最終更新日：2024年4月3日

このセキュリティ声明は、Kabob Cloud Inc.およびその関連会社が提供する製品、サービス、ウェブサイト、およびアプリ（以下、「Kabob Cloud」としてブランド化されています）に適用されます。本声明では、これらの製品、サービス、ウェブサイト、およびアプリをまとめて「サービス」と呼びます。このセキュリティ声明は、Kabob Cloudの顧客のユーザー契約の一部を構成します。

Kabob Cloudは、お客様が私たちにデータの管理者としての役割を委任してくれることによって私たちに寄せられる信頼を大切にしています。私たちは情報を保護し、セキュリティを確保する責任を真剣に受け止め、以下に詳述するセキュリティプラクティスについて完全な透明性を追求しています。また、プライバシーに関する通知も、データの取り扱い方法について詳しく説明しています。

Kabob Cloudの情報システムおよび技術インフラは、世界クラスのSOC 2認定データセンター（AWS）内にホストされています。これらのデータセンターの物理セキュリティコントロールには、24時間365日の監視、カメラ、来訪者ログ、入場制限などが含まれています。

Kabob Cloudは、最も広く認識されている情報セキュリティフレームワークに準拠するガバナンス、リスク管理、およびコンプライアンスプラクティスを実施しています。Kabob CloudはISO 27001認証を取得しています。

Kabob Cloudのテクノロジーリソースへのアクセスは、安全な接続（VPN、SSHなど）を介してのみ許可され、多要素認証が必要です。生産パスワードポリシーは複雑さ、有効期限、ロックアウトを要求し、再利用を禁止しています。Kabob Cloudは、必要最小限の権限に基づいてアクセスを許可し、最小特権ルールに基づいてアクセスを与え、権限を四半期ごとに確認し、従業員の退職後はすぐにアクセス権を取り消します。

Kabob Cloudは、少なくとも年次ベースで情報セキュリティポリシーを維持し、定期的に見直し、更新しています。従業員は年次でポリシーを認識し、役割に関連する追加トレーニングを受ける必要があります。トレーニングは、Kabob Cloudに適用されるすべての仕様と規制に準拠するよう設計されています。

Kabob Cloudは、雇用時にバックグラウンドスクリーニングを実施しています（適用法律および国に許可または促進される範囲内で）。さらに、Kabob Cloudはすべての人員にその情報セキュリティポリシーを伝達し（これを認識する必要があります）、新入社員に秘密保持契約を締結させ、継続的なプライバシーおよびセキュリティトレーニングを提供します。

Kabob Cloudには、アプリケーション、クラウド、ネットワーク、システムセキュリティに焦点を当てた専任の信頼およびセキュリティ組織があります。このチームは、セキュリティコンプライアンス、教育、インシデント対応も担当しています。

Kabob Cloudは、定期的なスキャン、サーバー、ワークステーション、ネットワーク機器、およびアプリケーションのセキュリティ脆弱性の識別と修復を含む文書化された脆弱性管理プログラムを維持しています。すべてのネットワーク、テスト環境と生産環境を含め、定期的に信頼できる第三者ベンダーによるスキャンを実施しています。重要なパッチは優先的にサーバーに適用され、その他のすべてのパッチについても適切に適用されます。

Kabob Cloudは、AES 256に基づく暗号化を使用して、データセンター内のすべてのデータを安全に保護しています。さらに、Kabob Cloudは、公共の証明機関を介して生成された2048ビットのRSAキー長の証明書を使用して、Kabob Cloudデータセンター外での通信のすべてのデータを、および内部証明機関を介して生成されたRSA 256証明書を使用して、データセンター内のすべてのデータを暗号化しています。

私たちの開発チームは、OWASPトップテンを中心とした安全なコーディングテクニックとベストプラクティスを採用しています。開発者は、雇用時にセキュアなWebアプリケーション開発プラクティスに関する正式なトレーニングを受け、年次でトレーニングを受けます。

Kabob Cloudは、情報および資産の識別、分類、保持、および廃棄を含む資産管理ポリシーを維持しています。会社発行のデバイスには、フルハードディスク暗号化と最新のウイルス対策ソフトウェアが搭載されています。企業発行のデバイスのみが企業ネットワークと生産ネットワークにアクセスできるようにされています。

Kabob Cloudは、初期対応、調査、顧客通知（適用法律で要求される最低限）、公開通信、および修復をカバーするセキュリティインシデント対応プロセスを維持しています。このプロセスは定期的に見直され、年次でテストされます。

バックアップは暗号化され、機密性と完全性を保持するために生産環境内に保存されます。Kabob Cloudは、最小限のダウンタイムとデータ損失を確保するバックアップ戦略を採用しています。ビジネス継続計画（BCP）は定期的にテストおよび更新され、災害発生時の有効性を確保しています。

データの安全を確保するためには、アカウントのセキュリティを維持することも必要です。十分に複雑なパスワードを使用し、安全に保存することが重要です。私たちは調査回答の送信を保護するためにTLSを提供していますが、適切な場合にはサービスがその機能を使用するように設定されていることを確認するのはお客様の責任です。

アプリケーションおよびインフラストラクチャシステムは、トラブルシューティング、セキュリティレビュー、および許可されたKabob Cloudの担当者による分析のために、情報を中央管理されたログリポジトリに記録します。ログは規制要件に従って保存されます。セキュリティインシデントがアカウントに影響を与える場合、私たちは顧客に合理的な支援とログへのアクセスを提供します。