Convivaのセキュリティ

Convivaは、ストリーミングマルチメディアの測定データにおける信頼できるソースであり、アクセス、保存、処理するすべてのデータを安全に保つよう努力しています。 当社のセキュリティ対策は、当社のセキュリティポリシーと実用の包括性をより良く要約するために、以下のカテゴリーに分類しています:(1) クラウドセキュリティとサードパーティ、(2) プロダクトセキュリティ、(3) コーポレートセキュリティ、(4) プライバシーとコンプライアンスです。

クラウドセキュリティとサードパーティ

当社は、当社が処理するデータを安全に取り扱うことができる当事者のみと取引を行うよう、第三者であるベンダーやサブプロセッサーを慎重に選定しています。 特に、当社が収集する個人データ、またはお客様がサービス(以下「サービス」) を提供する目的で当社に提供する個人データに関連して、当社はすべてのサブプロセッサーに対して、当社が自ら遵守するのと同じデータ管理、セキュリティ、および当社が保持するプライバシーの実行と標準を求めます。 つまり、当社は契約前に各当事者の技術的、管理的、物理的なセキュリティ対策を入念に検討し、当社の顧客データの流れや処理に関して終始一貫性を確保するように努めています。 さらに、当社のベンダーまたはサブプロセッサーのいずれかが個人データをEU圏外に転送する場合、当社はGDPRに準拠するために必要な転送メカニズムが整っていることを確認します。

当社がデータを扱う上で重要な要素は、ホスティングとデータストレージです。 当社は、Amazon Web Services(以下「AWS」)、Google Cloud PlatformおよびEquinixを活用してサービスをホスティングしています。 サービスの統計情報とメタデータは、米国で処理および保管されます。 当社のお客様は、当社の主要な第三者ベンダーが当社のデータを安全に保管し、SOCに準拠していることを確信していただけます。 例えば、AWSとGoogle Cloud Platformは、SOC-1、SOC-2、SOC-3に準拠しています。1Equinixは、SOC-1およびSOC-2に準拠しています。2.

お客様の個人データの処理に関して、当社の現在のサブプロセッサー一覧は、こちらでご覧いただけます。 https://www.conviva.com/conviva-subprocessors/.

プロダクトセキュリティ

当社は、Convivaのプラットフォームおよびその接続デバイスや製品のあらゆる側面を広範囲に調査する情報セキュリティプログラムを維持しています。 このセクションでは、お客様が当社のサービスに安全にアクセスするために当社が開発した対策、および製品内部からどのようにセキュリティが維持されるかを詳しくご説明します。

アプリケーションセキュリティ

当社は、当社のサービスの開発において、安全なソフトウェア開発ライフサイクル(以下「SDLC」)の実践に従います。 当社の開発者は、安全なコーディング規約のトレーニングを受け、最新の安全性の高いコーディング技術に通じています。 コードは、マスターコードブランチにコミットされる前に、定期的に査読されます。 当社は、信頼できる第三者の侵入テストサービスプロバイダーを使用して、当社のサービスに対するアプリケーション侵入テストを毎年実施しています。 また四半期ごと、および主要なソフトウェアアップグレードの際に、脆弱性スキャンと必要な是正措置を実施しています。 当社は、当社サービスのシングルサインオン(SSO)をサポートしています。

ネットワークとシステムのセキュリティ

当社は、ネットワークの設計と構成に業界のベストプラクティスを導入し、安全で信頼性の高いネットワークプラットフォームを提供するために、業界をリードするネットワーク機器を利用しています。 ConvivaのSaaSサービスへのネットワークアクセスは、データの安全な転送を保証するためにHTTPSを使用してのみ利用できるようになっています。
Convivaのネットワークは、本番環境、ステージング、品質保証、開発、および企業ネットワークを完全に分離するためにセグメント化されています。 さらに、Convivaのすべてのネットワークデバイス、ファイアウォール、管理用サーバーへのアクセスには、多要素認証付きのVPNアクセスが必要です。

本番環境に配備する新しいサーバーは、不要なサービスや安全でない可能性のあるサービスをすべて無効にして、初期のパスワードを削除し、本番使用前に各サーバーにConvivaのカスタム構成を適用してハード化しています。 また四半期ごと、もしくは主要なソフトウェアアップグレードの際には、ネットワークやシステムの脆弱性をスキャンし、必要な修正を実施しています。

モニタリング
アップタイムモニタリング

外部からアクセス可能なConvivaのプラットフォームサービスについて、サービスの可用性を監視しています。 さらにConvivaは、Convivaのエンドツーエンドのインフラストラクチャーとアプリケーションサービスを監視するために、様々なオープンソースや企業のモニタリングサービス、自社開発のモニタリングソリューションを採用しています。

ログ記録とアラート機能

Convivaの情報セキュリティチームは、生産ログを収集および処理し、改ざん防止された集中ログ管理システムに保存しています。 ログは少なくとも12ヶ月間保持されます。 ログ分析は、セキュリティ上の問題や異常を検出するために実用的な範囲で自動化されており、インシデント管理の目的でアラートを提供するように設定されています。

事業継続と災害復旧
ホスティング環境

当社のサードパーティー製ホスティングサーバーは、無停電電源装置と発電機を組み合わせて、停電時に電力を維持できるようにしています。

当社は、単一障害点を回避するため、分散型システムを維持します。 当社は、業界標準に従って機器を保守し、信頼性の低い機器や古い機器は撤去します。 Convivaのアーキテクチャでは、単一障害点は可能な限り回避され、故障したシステムを置き換えるために、必要に応じて待機システムが維持されています。 同様に、故障したソフトウェアコンポーネントは、故障が発生するたびにデバッグされ、交換されます。

冗長性の計算

当社の計算プラットフォームは、異なる領域に複数のデータコピーを持つ分散型システムです。 そのため、1つの領域内で複数のノードが故障しても、データを失うことなく耐えることができます。 機能しなくなったノードは査定および必要に応じて交換され、システムとデータの整合性が保たれます。 万が一、ある領域でデータが失われた場合でも、他の領域からデータを復元することが可能です。 このプロセスは定期的にテストされ、領域全体のデータの整合性を維持するために必要に応じて使用されます。

災害復旧計画

当社の災害復旧計画には、当社の主要な事業環境における事業資源の自動的な待機システムへの切り替えと、世界の複数の地域にある他の事業拠点への地理的な自動的な待機システムへの切り替えが組み込まれています。 Convivaは、当社のサービスが処理される主要な事業拠点とは別の遠隔地に、本番データの完全なバックアップコピーを保持しています。 完全なバックアップデータは、遠隔地 に保存され、毎日更新されます。 バックアップは定期的にテストされ、正常に復元されることを確認しています。

エンドポイントセキュリティとモニタリング

当社のユーザーシステムは、疑わしいコードや安全でない設定、ユーザーの行動を検出するための監視、設定管理、ウィルス対策ツールのホストを実行するように構成されています。 ITチームは、ワークステーションのアラートを監視し、これらの問題が適宜解決されるようにします。

データセキュリティ

Convivaにおける顧客データの安全性担保と保護には、データの暗号化、データアクセスの管理コントロール、データの保持と破壊が含まれます。

データの暗号化と保護

ファイアウォール、ルーター、スイッチのアクセスコントロールリストを使用して、ネットワークの入口を保護しています。 管理者アクセスは、秘密鍵を使用したSSH、および必要に応じてパスワードを使用したWebポータルのSSLで実行されます。

クライアントデバイスからConvivaへのデータ転送には、暗号化が使用されます。 Convivaや外部システムのパスワードを含め、データベースに保存されているクライアントの機密情報は、可能な限り暗号化またはハッシュ化されています。

管理者アカウントは、特定のお客様のアカウントを管理するためにそのレベルのアクセス権が必要な人にのみ付与され、その従業員の退職または担当の変更に伴って取り消されます。

ユーザー名、パスワード、役割、アクセスベースの許可はConvivaのシステム全体で使用され、許可された個人のみが、その個人の役割に固有の適切なシステムおよびデータにアクセスできるようになっています。 秘密鍵は必要に応じて使用されます。

当社は、すべてのシステムおよびデータへのアクセスログを保持し、またセキュリティ侵害の可能性を評価してお客様に適切に通知します。 万が一、データ侵害があった場合、何らかの修復が必要かどうかを判断するために事後調査を行い、その修復を可能な限り迅速に実施します。

システムおよびアプリケーションレベルのログは、Convivaのシステムへのアクセスの試み、失敗、および成功に対して維持されます。

コーポレートセキュリティ

当社は、Convivaのすべての従業員および請負業者が、Convivaのサービス、プラットフォーム、およびデータのセキュリティを確保するために従うべき一連の情報セキュリティポリシー、手順、およびガイドラインを維持しています。 これらの手順、ポリシー、ガイドラインは随時更新されるドキュメントとして、技術や法律の変化、新しい形の侵入に対応するため、Convivaの情報セキュリティおよび法務チームによって定期的に見直され、必要に応じて更新されます。 当社のセキュリティポリシーの主な焦点には、コンピュータやデータに対するあらゆる脅威を処理するための明確に定義された組織的アプローチを提供し、また第三者のサイトで発生した侵入やインシデントの原因がConvivaにさかのぼる場合に適切な行動を取るためのインシデント対応計画も含まれています。 この計画は、Convivaのチームメンバーが脅威を察知した際に迅速な行動ができるように、インシデント対応チームの役割と責任を特定し、説明するものです。

また、人事部では、全従業員および直接雇用の契約社員に対して、犯罪歴、学歴、雇用証明などの身元調査を実施しています。 すべての従業員は、システムにアクセスする前に守秘義務に同意の上、身元調査に合格し、セキュリティトレーニングを受けなければなりません。 このトレーニングでは、デバイスのセキュリティ、許容される使用条件、マルウェアの防止、物理的セキュリティ、データプライバシー、アカウント管理、インシデントレポートなど、プライバシーとセキュリティに関するトピックを扱っています。 コンプライアンストレーニングは、すべてのスタッフが最新のセキュリティプロトコルを常に最新の状態に保つために、毎年実施されます。 また、システムが中断した場合にどの社員も唯一の知識ポイントとならないよう、社員はクロストレーニングを受けています。 従業員または契約社員がConvivaから解雇された場合、その人物のConvivaのシステムへのアクセスは直ちに無効となります。

プライバシーとコンプライアンス

当社はサブプロセッサーとして、サービスを提供する際にデータを保護することの重要性を理解しています。 個人データまたは個人を特定できる情報に関して、当社のお客様は、当社がサービスを提供するために、IPアドレス、視聴者ID番号、デバイス識別子、位置情報を収集および処理するよう当社に委ねる、または指示することができます。 当社は、個人情報をハッシュ化または匿名化することができます。 例えば、IPアドレスについては、ランダムに生成されIPアドレスと関連づけることができないインスタンスID番号に匿名で変換することにより、ハッシュ化することができます。 その後、IPアドレスを削除し、そこから処理されたお客様を特定できる情報は、当社のデータ保持ポリシーに従ってさらに削除されます。 顧客の従業員に関しては、顧客の担当者がConvivaのプラットフォームにアクセスし、当社のサービスに関連するデータメトリクスを閲覧できるように、氏名、電子メールアドレス、パスワードなどのウェブサイトのログイン情報を収集します。

Convivaのプライバシーポリシーは、次のサイトからアクセスできます。 https://www.conviva.com/legal/..

個人情報の保有期間

当社のサービスを提供する過程で、当社は適用されるデータプライバシー法の下で個人データまたは個人を特定できる情報(以下「個人データ」)とみなされる可能性のある特定のデータを収集し、処理します。 当社はお客様の指示に従い、適用されるデータプライバシー法に従って、当該個人データを所定の期間保持します。

情報の変更・削除およびその他の権利の行使について

適用されるデータプライバシー法に従い、当社の顧客は、その従業員および/またはエンドユーザーの個人データへのアクセス、修正、削除、または収集の停止を要請することができます。 これらの要請は、当社のカスタマーウェブポータル「Pulse」のヘルプドロップダウンメニューにあるサポートフォームを使用して送信することができます。 当社は適切に提出された要請に対して、当社が対応にさらに時間を要すると判断した場合を除き、30日以内に回答します。 当社は要請に対応するために、要請された方の身元を確認するための追加情報を請求する場合があります。 状況によっては、当社は個人データの処理を停止できない場合があります。その場合は、説明を行います。 個人データの削除および収集の停止を要請された場合、当社のサービスの一部の機能に影響が及ぶ可能性があります。 上記に関するご質問やご要望は、当社のカスタマーサポートチームまでお願いいたします。 (support@conviva.com).

当社が個人の個人データを保有し、それが顧客へのサービスに関連して収集および/または処理された場合、当該個人は、適用されるデータプライバシー法の下で個人データに関する権利を行使するために、顧客に直接連絡する必要があります。 該当の法律に従い、当社はお客様の指示によってのみかかる要求に応じるものとします。

ご質問

Convivaのサービスのセキュリティについて、または上記でご説明したことに関して一般的な質問がある場合は、下記までご連絡ください。

Conviva Inc.
Legal-Privacy Policy Issues
989 East Hillsdale Boulevard, Suite 400
Foster City, CA 94404
USA
(650) 401-8282
.

EUにお住まいの方は、ConvivaのEUオフィスまでご連絡ください:

Conviva Japan合同会社
100-0005 東京都千代田区丸の内1-8-3
丸の内トラストタワー本館20階
.

 

 

1AWSのセキュリティに関する追加情報は、以下のリンクからアクセスすることができます。
http://aws.amazon.com/security/sharing-the-security-responsibility
https://aws.amazon.com/security/
https://aws.amazon.com/compliance/
https://aws.amazon.com/compliance/soc-faqs/
Google Cloud Platformのセキュリティについては、以下のリンクからアクセスすることができます。 https://cloud.google.com/security/compliance/#/

2Equinixのセキュリティに関する追加情報は、以下のリンクからアクセスすることができます。
http://www.equinix.com/services/data-centers-colocation/standards-compliance/.