セキュリティ概要

はじめに

Vtigerの情報と情報システムは貴重な資産であり、保護する必要があります。 これは、Vtigerへのリスクを管理するための適切なセキュリティフレームワークを実装し、セキュリティインシデントを防止して潜在的な影響を減らすことにより、ビジネスの継続性を確保することで実現されます。

組織のセキュリティ

ポリシーと手順は、ドメインとビジネスプロセス全体で定義および実装されます。 ポリシーは、制御をテストし、Vtigerの情報と情報リソースの機密性、可用性、完全性を保護するために使用されます。

従業員の調査

各従業員は、正式に入社する前に入念に審査されます。 Vtigerは、外部のサードパーティベンダーを利用して、犯罪歴、過去の雇用記録(ある場合)、および学歴の調査を含む経歴確認を行います。

トレーニングと意識

セキュリティ認識コンテンツは、Vtigerの従業員が情報セキュリティポリシー、新たな脅威、および一般的な攻撃ベクトルを確実に認識できるように、異なるチーム内で作成および配布されます。 このセキュリティ意識向上セッションに加えて、脅威、セキュリティ対策、および企業ポリシーに関する意識を高めるために行われます。

物理的なセキュリティ

Vtigerの企業セキュリティは、物理的な場所にあるVtiger資産を保護する責任があります。 VtigerはCCTVカメラで施設を監視し、その場所の要件に応じて、バックアップ映像を特定の期間まで利用できます。 施設へのアクセスは、バイオメトリックおよびキーカードの識別の使用時に許可されます。

クラウドリソース(AWS、DigitalOcean、OVHなど)の場合、クラウドISPは資産を保護し、適切なセキュリティ管理を維持する責任があります。 ISPのセキュリティコントロールを見つける方法の詳細 こちら.

運用上のセキュリティ

これらのプラクティスは、リアルタイムの通信システムを監視して、アクティブな脅威と手順を監視し、情報システムを保護し続けます。

ロギングとモニタリング

インフラストラクチャとアプリケーションは、専用ツールとエンタープライズツールを使用して24時間7日監視されます。 ネットワーク内のトラフィック、デバイスや端末の使用状況を監視しています。 イベントログ、監査ログ、障害ログ、管理者ログ、およびオペレーターログを記録し、これらのログを異常やインシデントについて分析します。 これらのログは、隔離された容量に安全に保存されます。

脆弱性評価

また、Vtigerはセキュリティチームを採用して、ソフトウェア内の脆弱性を発見して対処するとともに、より広範なソフトウェアセキュリティコミュニティのメンバーに脆弱性を特定して報告するよう奨励しています。

バックアップ

Vtigerは毎日、すべての顧客インスタンスのデータベースとファイルのバックアップをとります。 このバックアップは、ハードウェア障害のリスクから保護するために別のサーバーに保存されます。 このような障害が発生した場合、データとサービスへのアクセスは8時間以内に復元できます。

セキュリティパッチ

Vtigerは、パッチが内部で開発されたとき、または利用可能になったときにパッチを展開することにより、潜在的な脆弱性から保護する予防保守を実行します。

データセキュリティ

データはビジネスの鍵であり、データの機密性、可用性、整合性を常に維持するために、アーキテクチャ、開発、運用を中心とする厳格なガイドラインに従っています。

エンジニアリング慣行

エンジニアリングチームは、安全なコーディングガイドラインに準拠し、コードを運用環境に展開する前に手動で確認/スクリーニングします。

安全なコーディングガイドラインはOWASP標準に基づいており、アプリケーション層内の一般的な脅威や攻撃ベクトル(SQLインジェクション、クロスサイトスクリプティングなど)から保護するために実装されています。

データ分離

Vtigerはシングルテナントアーキテクチャに従うため、すべてのインスタンスに独自の個別のスペースが割り当てられます。 これらのインスタンスは他のすべてのインスタンスを認識しないため、別々に実行されます。

Encryption

輸送中

ブラウザとVtigerのサーバー間で転送されるすべてのデータは、業界標準のTLS 1.2 / 1.3で保護されています。 これには、ウェブアプリ、API、モバイルアプリ、IMAP / POP / SMTPメールクライアントアクセスが含まれます。

すべてのWebトラフィックに対して、Perfect Forward Secrecy(PFS)やHTTP Strict Transport Securityヘッダー(HSTS)などの安全な構成を有効にしました。これにより、ブラウザーは暗号化された通信チャネルを介してのみ接続することが義務付けられます。

 安静時に

すべてのサーバーのストレージディスクは、ディスクレベルの暗号化を使用して暗号化されます。

機密フィールドを使用する顧客データは、256ビットAdvanced Encryption Standard(AES)を使用して暗号化されます。キー管理にはAWS Key Management Service(KMS)を使用します。

バックアップはAWS S256でAES-3を使用して暗号化されます。

データの保持と削除

お客様がサービスのアクティブなサブスクライバーである限り、お客様のデータを保持します。キャンセルまたは非アクティブな場合、ルールに従ってデータを破棄します。

有料サブスクリプションを開始しないトライアルアカウントの場合、トライアルが終了してから12日後にデータが削除されます。

キャンセルされた有料アカウントの場合、データはアカウントのキャンセル日から90日後に削除されます。

支払いが失敗した有料アカウントの場合、アカウントは15日以内に一時停止され、90日後に閉鎖されます。 すべてのデータは、口座閉鎖後1週間後に削除されます。

無料アカウントの場合、データはアカウントが60日間使用されないと削除されます。

請求書の生成に使用される請求データは、ビジネス目的で7年間保持されます。

データの場所

Vtigerのサーバーは、米国、欧州連合(アイルランド、フランクフルト)、オーストラリア、シンガポール、日本、およびインドにあります。 データが保存されるサーバーは、無料のVtigerトライアルを開始した時点であなたがいる地域によって異なります。

インシデント管理

将来の再発を防ぐために危険を特定、分析、修正する組織の活動を説明するプロセス。 管理されない場合、インシデントは緊急事態、危機、または災害にエスカレートする可能性があります。

各種レポート作成

Vtigerは毎日、すべての顧客インスタンスのデータベースとファイルのバックアップをとります。 このバックアップは、ハードウェア障害のリスクから保護するために別のサーバーに保存されます。 このような障害が発生した場合、データとサービスへのアクセスは8時間以内に復元できます。

専用チームは、お客様に適用される環境内で発生するさまざまなインシデントを確認する責任があり、それを処理して報告するという必須のアクションに従います。 問題の根本原因を追跡し、予防策を講じて将来これを回避します。 同様の状況を緩和するために、さらなる対策と管理が導入されています。

違反通知

サービスレベルで違反が発見された場合、Vtigerは発見から72時間以内に顧客と関係当局に警告します。