セキュリティポリシー

前へサービスの責任範囲次へAnyflow SDK v0.13.0

最終更新 1 か月前

セキュリティポリシー

当社では、Anyflowに送信される、あるいはAnyflowを経由して送信するすべてのデータが安全に処理されるように努めています。

このドキュメントでは、お客様のデータを安全に保つために実施していることの一部と、お客様のデータのセキュリティを継続的に改善するために行っていることをご紹介しています。

また、当社のおよびもご参照ください。

セキュリティ資格

ISMS（JIS Q 27001:2014(ISO/IEC 27001:2013)）を取得しています。認証登録番号:

セキュリティ対策

さまざまなサードパーティツールとの接続情報、ソリューションの実行ログなど、必要なデータのみを保存しています。
Anyflowを経由するすべてのデータは、送信中に暗号化されます。
アプリケーションのエンドポイントはTLS/SSLのみを使用しています。
使用しているサードパーティ製ソフトウェアのアカウントには、2段階認証を使用しています。
サードパーティのツールに与えられた権限を定期的に見直し、共有ログインが必要な場合は、1Password for teamを使用して安全にログイン情報を共有しています。
アプリケーションの変更を数分でデプロイできるシステムを導入しています。週に数10回のデプロイを行っているため、セキュリティ修正の必要性が生じた場合でも、迅速に展開できます。
ユーザーのパスワード、APIキー、アクセストークンなどのセンシティブなデータに対しては、データの暗号化を行っています。
保存されているワークフローの実行ログデータから、APIキーやアクセストークンなどの機密データを削除しています。
Anyflowの管理画面のログインはGoogle WorkplaceなどをIdpとしたSSO認証に限定されます。
インスタンス・データベース等のコンポーネントは24時間365日監視され、自動アラートが設定されており、エンジニアが迅速に対応できます。

ホスティング

保持しているデータについて

当社では、ソリューションの実行に必要なデータのみを必要な期間保存しています。また、可能な限り保存したすべてのデータをご要望に応じて削除できるようにしています。

以下は、当社が保存するデータの種類とその保存期間の一覧です。

アカウント情報

Anyflowアカウントの作成時に提供されたエンドユーザーのお名前や電子メールアドレスなどの個人情報は、お客様のアカウントが有効である限り保存されます。いつでもアカウントの削除を要求できます。

個人を特定できる情報（PII）

当社は、生のサーバーログや分析ツール（Google Analyticsなど）など、製品の使用状況を追跡するためのさまざまなツールを使用しています。

これらのツールは、エンドユーザーのコンピューターのIPアドレスや、お名前や電子メールアドレスなど個人を特定できる情報を受け取ることがあります。生のサーバーログは30日を超えて保存されません。

また、ベンダーは当社が保存しているエンドユーザーに紐づく情報を当社のシステムから削除するよう要求できます。要求する際には、削除対象のエンドユーザーの anyflow_user_id および anyflow_user_email を送付してください。

認証データ

エンドユーザーに代わってサードパーティサービス間でデータを処理できるようにするため、ユーザー名、パスワード、アクセストークンの形でサードパーティサービスに認証を行います（OAuth認証を含む）。

この認証データは、当社のデータベースにおいて、256ビットの強力な暗号化を用いて暗号化されておりAnyflowアカウントを削除するとことで削除されます。認証データは、ソリューションの実行状態に難読化されます。

ソリューションデータ

エンドユーザーがAnyflow上でワークフローを実行する際、実行プロセスの一部として、また実行後のロギングのために、様々な状態のデータを保存する必要があります。

すべてのソリューションの詳細な実行データとログ情報は、必要とされる期間のみ保存されます。生の実行データは、ソリューションの実行が終了してから30日後にシステムから削除されます。特定のAnyflowスタッフは、お客様のソリューションをサポートする際など、必要に応じてこのデータにアクセスできます。

ソリューション利用状況

ベンダーにエンドユーザーの利用状況を共有することや、ソリューションのサポートに用いるため、以下の情報が保存されます。以下の情報はベンダーが管理画面から確認できます。

連携ソリューションを利用するエンドユーザー数
利用している連携ソリューション
連携ソリューションの実行数
連携ソリューションの実行履歴（成功/失敗）

バックアップ

データを毎日定期的にバックアップしています。これらのバックアップは暗号化され、最大7日間保存された後、削除されます。