PhotoRobot情報セキュリティポリシー

この文書はPhotoRobot情報セキュリティポリシーを定義しています。PhotoRobotがシステム、データ、顧客情報を保護するために実装している原則、責任、管理について説明しています。情報セキュリティポリシーは、DPAおよびSLAに基づくPhotoRobotの契約義務の遵守を支援します。

‍

‍

目的

• すべてのシステムとデータの機密性、完全性、可用性を確保します
• 情報セキュリティの役割と責任を明確に定義すること
• GDPRおよび業界のベストプラクティスの遵守を維持する
• リスク管理と継続的改善のためのガバナンスを提供します

‍

‍

範囲

カバー:

• PhotoRobot Cloudプラットフォーム
• Google Cloud Platform上でホストされるインフラストラクチャ
• 支援システムと内部プロセス
• 従業員、請負業者、第三者

‍

‍

役割と責任

• CTO / エンジニアリングリード: プラットフォームセキュリティに対する全体的な責任
• DevOps: クラウドセキュリティ制御の実装と維持
• 開発者: 安全なコーディングおよびSDLC標準に従う
• サポートチーム: インシデント対応や顧客通知を担当します

‍

‍

セキュリティ原則

• 最小の特権 
• 知る必要者アクセス 
• 職務 の分離
• ゼロトラストアプローチ 
• セキュリティ・バイ・デザイン

‍

‍

技術的安全策

• 暗号化(TLS、AES-256)
• Google IdentityによるSSO認証
• 細かいRBACの役割
• GCPクラウドログとモニタリング
• 自動化されたインフラパッチ適用
• 復元機能付きのデイリーバックアップ

‍

‍

組織上の安全対策

• オンボーディングおよびオフボーディング手続き 
• デバイスのセキュリティ期待 値
• 機密保持義務
• 必須のセキュリティ意識

‍

‍

リスク管理

• 定期的に評価されるリスク
• 検査結果に基づいて管理が更新されました
• セキュリティイベントの記録とレビュー

‍

‍

コンプライアンス

• GDPR準拠の処理
• 顧客向けにDPAが提供されています
• 公表されているサブプロセッサ

‍

‍

継続的改善

• 制御の定期的な見直し
• クラウドセキュリティ構成へのアップグレード
• 新たな脅威の監視