Qualtirのセキュリティ

認証とコンプライアンス

ブラウザとサーバー間で送信されるすべてのデータはTLS 1.2以上を使用して暗号化されます。保存データはAES-256を使用して暗号化されます。

• 転送中: クライアントとサーバー間のすべてのデータにTLS 1.2+暗号化
• 保存時: すべての保存データにAES-256暗号化
• 鍵管理: Google Cloud Key Management Serviceによる暗号化鍵の管理
• データベース暗号化: すべてのデータベースはストレージレベルで暗号化

最小権限の原則に従います。顧客データへのアクセスは厳密に管理され、職務の遂行に必要な従業員に限定されています。

• すべての内部システムにわたるロールベースのアクセス制御（RBAC）
• すべての従業員アカウントに必須の多要素認証（MFA）
• アクセスログの維持と定期的なレビュー
• 特権アクセスは時間制限があり、追加の承認が必要
• 退職時に従業員のアクセスを即時取り消し

インフラ全体は、最も安全で信頼性の高いクラウド環境の1つであるGoogle Cloud Platform（GCP）でホスティングされています。

• EUおよびUS地域のGCPデータセンターにデータをホスティング
• ネットワークレベルのファイアウォールとDDoS保護
• インフラの自動脆弱性スキャン
• 本番環境を分離するプライベートVPCネットワーク
• 第三者セキュリティ会社による定期的なペネトレーションテスト

異常な活動、セキュリティの脅威、パフォーマンスの異常についてシステムを継続的に監視します。

• リアルタイムアラートによる24時間365日の自動モニタリング
• セキュリティ情報・イベント管理（SIEM）の統合
• 年次の第三者セキュリティ監査とペネトレーションテスト
• ISO 27001管理に対する定期的な内部監査
• 最低12ヶ月間保持される包括的な監査ログ

定期的にテストされ更新される文書化されたインシデント対応計画を持っています。

• 定義されたエスカレーションパスと常駐のセキュリティ対応チーム
• 確認されたインシデントから1時間以内の封じ込めを目標
• 確認された侵害から72時間以内の顧客への通知（GDPRの要件）
• 再発防止のためのインシデント後のレビューと改善

サービスの提供と法的義務の履行に必要な期間のみデータを保持します。

• アカウント閉鎖後90日以内にアカウントデータを削除
• バックアップは30日間保持後に永久に破棄
• すべてのストレージメディアに適用される安全な削除手順
• 30日以内にデータ削除リクエストを処理

Google Workspace拡張機能は最小権限アプローチで設計されています。

• Google APIサービスユーザーデータポリシーおよび制限的使用要件への準拠
• サーバーへのGoogle Doc、Sheet、またはDriveコンテンツの永続的な保存なし
• すべてのGoogleアカウント認証にOAuth 2.0を使用
• ユーザーはGoogleアカウントの設定からいつでもアクセスを取り消し可能
• 公開前にGoogleのセキュリティレビュープロセスを通過

8. 責任ある脆弱性開示

セキュリティコミュニティからの責任ある脆弱性開示を歓迎します。潜在的なセキュリティ問題を発見した場合は、以下までご連絡ください: contact@qualtir.com。48時間以内に報告書の受領を確認し、できるだけ早く問題を理解し対処するために協力することをお約束します。

セキュリティに関するご質問

データの保護方法についてご質問やご懸念がある場合は、お気軽にお問い合わせください。