プライバシー、セキュリティ、コンプライアンス

対象: BROSHのプラットフォームアプリ

01

情報セキュリティ

BROSH では、セキュリティを真剣に受け止めています。当社のセキュリティ プログラムは、ISO 27001 や CIS Critical Security Controls などの業界標準に準拠しています。当社では、製品のセキュリティだけでなく、日常業務の遂行方法も向上させる方法を常に模索しています。

チームが広範囲に分散していることには、独自の課題が伴います。そのため、当社ではすべての従業員が BROSH のセキュリティ保護における自分の役割を理解していることを確認しています。また、社内のセキュリティ ポリシーへの準拠を強化するためのツールも使用しています。

コンプライアンス

BROSH は、国際規格 ISO 27001 およびAICPA が定義する SOC 2 規格に準拠しています。

当社のオンライン決済処理業者であるGooglePayPal は、どちらもレベル 1 サービス プロバイダー (PCI DSS) として認定されています。BROSH は機密性の高い決済情報にアクセスすることはありません。

BROSH は CCPA および GDPR 規制に準拠しています。

法律上の

利用規約

データ保護添付ファイル

クッキーポリシー

プライバシー

CCPA 通知

02

内部セキュリティ対策

人事セキュリティ

すべての従業員は身元調査を受け、セキュリティ ポリシーに同意し、機密保持契約に署名する必要があります。

アイデンティティとアクセス管理

従業員は、すべてのビジネスクリティカルなシステムに対して固有のログイン情報を持ち、可能な限り二要素認証を実施しています。当社は定期的にアクセス監査を実施し、最小権限の原則に基づいて業務を行っています。

ハードウェアセキュリティ

従業員のラップトップはすべて管理されており、ハードドライブは暗号化されており、ウイルス対策ソフトウェアで監視されています。

物理的セキュリティ

BROSH のオフィスはキーフォブ アクセス ドアで保護されています。出入り口は監視され、閉回路 (CCTV) カメラで記録されます。オフィスは警報システムによって監視され、保護されています。

ネットワークセキュリティ

内部ネットワークは制限され、セグメント化され、パスワードで保護されています。

セキュリティ教育

当社では、セキュリティに関してチームメンバー全員が自分の役割を理解できるようにする取り組みの一環として、定期的なフィッシング テストを含む継続的なセキュリティ トレーニングを年間を通じて提供しています。新入社員は全員、入社後 2 週間以内にセキュリティ トレーニング セッションに参加し、ソーシャル エンジニアリングやフィッシングなどの脅威を識別する方法を習得します。

さらに、コーディングの責任を負う従業員と請負業者は、セキュア コード トレーニング コースを修了する必要があります。


03

BROSHのアプリケーションセキュリティ

BROSH はAWSや GOOGLE クラウドなどのパブリック クラウドでホストされており、物理的なセキュリティ、冗長性、スケーラビリティ、キー管理など、これらのクラウドが顧客に提供するメリットを利用できます。

パブリック クラウドによって提供される利点に加えて、当社のアプリケーションには追加のセキュリティ機能が組み込まれています。

  • 役割ベースの権限
  • オートメーション
  • バックアップとバージョン管理
  • 2要素認証*
  • G Suite の SSO 機能 *
  • シングルサインオン *
* 機能はサブスクリプションレベルによって異なります

顧客データとプライバシー

BROSH は次の顧客データをクラウドに保存します。

  • 名前
  • ユーザー名とメールアドレス
  • 請求先メールアドレス
  • 支払い履歴と請求書
  • 電話番号(オプション)
  • 請求先住所
  • 会社名(オプション)
  • 場所(都市、国)
  • 役職名(オプション)
  • 個人ウェブサイト(オプション)
  • 紹介者(ユーザーに BROSH の使用を紹介した人(任意))

BROSH は、データ処理、顧客エンゲージメント、分析活動を支援するために、さまざまなサードパーティ サービス プロバイダーを使用しています。サブプロセッサーがアクセスできるデータの種類は、提供されるサービスを実行するために合理的に必要なデータのみに制限されています。リストの詳細については、 サブプロセッサー ページを参照してください。

HIPAA に準拠する必要があるお客様には、BROSH フォームを使用するのではなく、サードパーティのフォーム プロバイダーを統合することをお勧めします。

暗号化

PII および非公開データを不正アクセスから保護するために、BROSH 全体で暗号化が使用されています。

BROSH ユーザーと BROSH 提供の Web アプリケーション間のすべての通信は、アプリケーションの使用中に TLS を使用して転送中に暗号化されます。

すべてのデータベースとデータベースのバックアップは保存時に暗号化されます。

データ保持

お客様は、法的保留または調査の対象でない限り、 support@brosh.ioに電子メールを送信して、すべてのデータを要求したり、削除したりすることができます。

アカウントまたはプロジェクトを削除すると、関連するすべてのデータ (アカウント設定など) がシステムから削除されます。この操作は元に戻せません。

データへのアクセス

顧客データは、職務を遂行するためにアクセスを必要とする役割を持つ人のみに制限されます。その一例が当社のサポート チームです。

サードパーティのサブプロセッサー

BROSH では、分析、支払い、サービスのホスティングを支援するためにサードパーティのサービスプロバイダーを利用しています。

すべてのサードパーティ サービスは、お客様のデータが安全に保たれるようにデューデリジェンス チェックを受けます。これらのサービスに提供されるデータは、処理業務を遂行するために必要な最小限のものに制限されます。

インフラストラクチャの可用性

当社のバックエンド インフラストラクチャは、パブリック クラウド AWS/GOOGLE CLOUD などでホストされており、ダウンタイムを検出するために完全に監視されています。

BROSH ホスティングおよび BROSH アプリケーションの SLA は、エンタープライズ プランの BROSH マスター サービス契約を通じて利用できます。

侵入テストとセキュリティスキャン

BROSH は、少なくとも年に 1 回、サードパーティによるペンテストを実施しています。定期的なペンテストに加えて、スキャン ツールを使用して脆弱性を監視および検出します。サービスやコンテンツ、またはサービスに接続されているシステムやネットワークの脆弱性を調査、スキャン、またはテストすることは、BROSH の利用規約に違反します。

責任ある開示

BROSHのアプリケーションに脆弱性を発見したと思われる場合は、 support@brosh.ioに電子メールでレポートを送信してください。

BROSH は現時点では公開バグ報奨金プログラムに参加しておらず、公開された発見に対して金銭的な報酬も提供していません。

アカウントが侵害されたと思われる場合、またはアカウントで不審なアクティビティが見られる場合は、 support@brosh.ioまで報告してください。

04

ベストプラクティス

  • いかなる状況でも、自分のアカウントの認証情報を他人に渡さないでください。
  • 長くて強力なパスワードを作成します (大文字、小文字、数字、特殊文字を含む 12 文字以上を推奨)。
  • 多要素認証またはシングルサインオンを使用していることを確認してください(可能な場合)
  • 支払い情報やユーザー名情報などの機密アカウント詳細を第三者と共有しないでください
05

接触

セキュリティに関してさらにご質問がある場合は、support@brosh.io までメールでお問い合わせください。エンタープライズのお客様の場合は、セキュリティ プログラムの詳細については、アカウント エグゼクティブにお問い合わせください。


      当社は、コンテンツや広告のカスタマイズ、ソーシャルメディア機能の提供、トラフィックの分析のためにクッキーを使用しています。詳細については、 当社のクッキーポリシーをご覧ください。