信頼性とセキュリティ

情報の安全性に対する使命

当社は Revizto 使用の際にお客様とその利便性を重視しています。当社はお客様がワークフローへの実装にできるだけ集中できるように製品を制作します。他のすべては当社のチームによって処理されます。当社は特に、お客様のデータの安全性に配慮しています。

当社はデータの安全性を非常に真剣に受け止め、責任を持って取り組むと共に適用される情報セキュリティ基準とグローバルデータプライバシー法に準拠することを約束します。

会社の構造

複数の会社から構成されるReviztoグループは2008年創業。以来、南北アメリカ、ヨーロッパ、中近東およびアフリカ、アジア太平洋地域で事業を展開し、統合型コラボレーション プラットフォームの展開に注力しています。

現時点で有効な世界中の会社の構造は以下の通りです。当社はすべてのユーザーに完全な透明性を提供することを約束しているため、このセクションに書かれた会社の情報や構造は継続的に更新および反映されます。

ReviztoはISO 27001認証取得済です

ISO 27001認証により、Reviztoがその全プロセスにおいて最高のセキュリティ基準を満たすための投資と努力に真剣に取り組んでおり、最高のテクノロジーとサービスを提供していることが明確に示されています。この認証は、Reviztoのサービスがデータ保護と情報セキュリティのベスト プラクティスに一致するものであり、それがすべて外部機関によってリスク評価を通じて確認されているということを、お客様とパートナーに確証するものです。

Download ISO 27001 certificate (PDF)

アプリケーションの安全性

安全な Revizto 開発、必要な安全性制御の実施、定期的な安全性リスク評価の実行に関する高い要件を定義します。プログラム開発方法論が確立され、システム開発とプロジェクト管理のベストプラクティスに基づいています。

Revizto にはデスクトップ/モバイルアプリケーションおよび Web インフラストラクチャーへの脅威を回避するのに役立つ予防的な安全性制御が含まれています。

当社は Revizto コンポーネントのテストを非常に重要視しています。Revizto テストには開発およびテスト段階における静的コード分析手法の活用が含まれます。開発、テスト、およびステージング環境は実稼働環境からおよび相互に分離されています。

追加の制御とより良いユーザー管理プロセスのために、シングルサインオン（SSO）を介したユーザー認証を提供します。 現在、（LDAPとOAuth（Google Workspace（以前のG Suite））をサポートし、SAMLの実装に取り組んでいます。

トレーニングと意識

当社は、適格な担当者は安全性保守の主要な部分の 1 つであると考えています。当社は、スタッフと定期的にトレーニングとテストを実施しています。トレーニングと意識プログラムは、社内の情報安全性ポリシーと手順に従って、責任をチームに伝えるための主要なツールです。

オンボーディングプロセス中に、当社チームの新しいメンバーは安全性の意識向上トレーニングを受けると共に厳格な機密保持契約に署名します。

当社は、雇用前に徹底的な身元調査を行います。ソフトウェア開発者は、システム開発方法論のすべての側面を安全かつ効果的に適用する方法についてトレーニングを受けています。

アクセス制御

スタックの各レイヤーにアクセス制御メカニズムを実装し、インフラストラクチャーをゾーン、環境、サービスで分割します。次のレベルにて厳格なアクセス制御を実装しました。

• 物理的アクセス
• ネットワークアクセス
• データセンターインフラストラクチャーアクセス
• オペレーティングシステムアクセス
• アプリケーションアクセス

認証は、強力なパスワード保護（パスワードポリシーによる）および多要素認証（該当する場合）を介してのみ提供されます。機密ビジネスデータ、アプリケーション、および企業ネットワークへのアクセス（管理責任に対応）は、「知る必要がある」ベースにて許可されます。当社のチームはすべての処理データと情報システムへのアクセスを継続的に監視し、アクセスポリシーの遵守をチェックしています。

データセンターや事務所設備への物理的アクセスは、許可された担当者のみに制限されています。
VPN にて社内ネットワークへのネットワークアクセスが許可されます。Revizto のクラウドインフラストラクチャーへのアクセス制御は、仮想プライベートクラウド（VPC）ルーティングと証明書に基づく暗号化接続によって提供されます。

信頼性ポリシー

当社はお客様におけるすべての瞬間を評価すると共に尊重し、アプリケーションの信頼性に配慮します。Revizto はAWS にてホスティングされ、高度なスケーラビリティとフォールトトレランスを提供します。アプリケーション、データ、およびバックアップデータは、AWS リージョン内の複数のデータセンター間で複製および保存されます。お客様の個人データは、当社のプライバシーポリシーおよびグローバルデータプライバシー規制に従って処理されます。

リスク管理

当社の情報安全性プログラムは、リスクベースのアプローチに基づいています。リスク管理プロセスは、すべての情報システムとビジネスプロセスに実装されています。リスク管理に関する当社の目標は次のとおりです。

当社のチームは、Revizto の脅威モデリングを実行して、潜在的な安全性脅威を特定すると共に優先順位付けします。この情報はアプリケーションの設計プロセスおよび開発後の段階にて考慮されます。開発チームのすべての主要メンバーは、客観的な脅威モデリングプロセスに関わっています。

ウイルス対策ポリシー

当社は、「悪意のあるコード」（コンピュータウイルス、マルウェア）を防止および防止するために必要な保護を実装しており、悪意のあるコードは脆弱性の悪用、コンピューティング環境のパフォーマンスへの悪影響を与えることや、ラップトップ、ワークステーション、およびデータセンターサーバーに保持されている機密ビジネスデータを取得するために設計されています。

ネットワーク安全性ポリシー

ネットワーク安全性の展開と維持のプロセスにおいては、当社は情報安全性のベストプラクティスとベンダー標準の要件と推奨事項を使用します。当社は定期的に事務所と AWS の両方にてネットワークインフラストラクチャーを分析し、新しい潜在的な脅威とリスクに基づいて再構成します。

当社のネットワーク安全性制御には、さまざまな保護対策が含まれています。

• ネットワークのセグメンテーション
• 構成ルールを備えたファイアウォール
• 暗号化されたプロトコル
• その他

ネットワーク安全性により、「内部」と「外部」の両方にてアプリケーションインフラストラクチャーの脅威に効果的に対処できます。

脆弱性/パッチ管理

当社の IT チームは、すべてのシステムの脆弱性に関する情報を収集し、ベンダー提供によるソフトウェアアップデート、パッチ、修正によりすべてのシステムを最新の状態に保つための措置を講じています。脆弱性/パッチ管理には 5 つのステップがあります。

1. ガバナンス – 脆弱性/パッチ管理フレームワークを維持します。
2. カバレッジ – 適切なシステムコンポーネントが脆弱性/パッチ管理ポリシーに準拠していることを確認します。
3. 検査 – 特定の会社のシステムコンポーネントに関連する脆弱性/パッチを特定するために設計された自動および/または手動による手法を採用します。
4. レポート – 脆弱性/パッチ実装情報を定義、収集、およびエスカレーションし、会社の戦略および組織の目的と一致する修正を促進します。
5. 処理 – システムを修正または改善し、システムへの悪影響を防止、最小化、または軽減します。

安全性インシデント管理

さまざまな情報システムからのログを集約し、SIEM プラットフォームを使用して分析します。インシデント管理プロセスで定義された内部ポリシーと手順：監視、分析、分類、対応、修正、レポート、教訓。インシデント対応の効率とスピードを高めるために、すべての主要な従業員がインシデントレポートの内部構造に関わっています。

重大な安全性インシデントが発生した場合、当社のチームは対応と調査のために外部の専門家を関与させます。インシデントがお客様の権利と自由を脅かす場合、当社のチームはインシデントを軽減するために必要なすべての措置を講じます。そのため、お客様に影響はありませんが、影響がある場合は直ちにお客様に連絡いたします。