この情報セキュリティ プログラム (以下「セキュリティ プログラム」) は、 https://www.smartcat.com/にある Smartcat の Web サイト、サービス、テクノロジー プラットフォーム (以下「Smartcat プラットフォーム」) を通じて受信した情報を Smartcat がどのように保護するかに関するものです。Smartcat のセキュリティ システムが業界標準とコンプライアンスを満たしているため、Smartcat が提供する情報は保護されます。セキュリティ プログラムは、Smartcat アプリケーションとインフラストラクチャの物理的セキュリティと IT システム セキュリティの両方に適用されます。
Smartcat の献身的な従業員と請負業者は、情報、電子機器、ネットワーク リソースのセキュリティを確保するためにあらゆる努力を払っています。
情報を保護するために、Smartcat は「情報セキュリティ ポリシー」、「インシデント対応計画」、「暗号化ポリシー」、「安全な開発ポリシー」など、IT 企業の標準ポリシーを遵守しています。Smartcat は、これらのポリシーを少なくとも年 1 回見直します。
Smartcat は、SOC-1、SOC-2、SOC-3 に準拠した AWS と Microsoft Azure が運営する、米国、EU、中国の Tier IV データセンターを使用しています。
Smartcat は、独立した第三者機関の監査に合格し、SOC 2 Type II セキュリティ証明書を受け取りました。
Smartcat は、PCI DSS レベル 1 に準拠したサードパーティの支払いプロバイダーを使用します。これは、クレジット カード業界のデータ セキュリティ基準における最高レベルの認証です。
データをクラウドに保存することで、その安全性を確保できます。コンピュータが盗まれたりウイルスに感染したりした場合、侵入者はアクセスできなくなります。コンピューターが故障しても、すべてのデータは安全に利用できます。
Smartcat の生産システムおよびネットワークへの管理アクセス権または特権的な技術アクセス権を持つすべての Smartcat 従業員および第三者は、採用時およびその後毎年、セキュリティ意識向上トレーニングを完了する必要があります。従業員と請負業者は、関連する情報セキュリティ ポリシーと手順を認識しています。
Smartcat インシデント対応計画では、Smartcat または顧客データへの不正アクセスが発生する可能性がある場合、または実際に不正アクセスが発生した場合に実施する内部手順の概要を示します。SOC 2 の要件に従って、インシデント対応計画は毎年見直され、テストされます。
事業継続性が脅かされた場合、Smartcat は次の指標に従って最小限の損失でデータを回復できます。
復元ポイント目標は 24 時間以内
復元時間目標は 24 時間以内
Smartcat は、システム ログ、アプリケーション ログ、およびユーザー アクティビティを保存し、最大 1 年間保持します。
Smartcat は定期的に侵入テストを実施しており、顧客やその他の関係者はリクエストに応じてこれを利用でき、Smartcat との追加の秘密保持契約の対象となります。
Smartcat プラットフォームのサービスと機能を強化するために、Smartcat は、機密保持条項付きのサービス契約または別途の秘密保持契約を Smartcat と締結したサードパーティの下請け業者 (パートナーおよびプロバイダー) を使用します。
Smartcat のプライバシー活動は、GDPR を含むがこれに限定されない、個人データの保護を規定する、Smartcat プラットフォームが世界中で運営されている適用法に基づいています。お客様のデータのプライバシーは、Smartcat 利用規約 ( https://www.smartcat.com/terms/ ) および Smartcat プライバシー ポリシー ( https://www.smartcat.com/privacy-policy/ ) によって保証されています。
個人データや情報にアクセスできる限られた数の Smartcat の従業員と請負業者は、当社のセキュリティ チームによって徹底的にチェックされており、業務の一環としてのみお客様の個人データを使用できます。さらに、承認手続きとインフラストラクチャによってアクセスが制限されているため、権限が不十分な従業員は個人データにアクセスできません。
Smartcat の従業員と請負業者は、企業ネットワークにアクセスするために有効な ID、ユーザー名、およびパスワードを持っている必要があります。さらに、重要なビジネス システムにアクセスするには、VPN と多要素認証が必要です。
システム内のすべてのアカウントは分離されているため、あるアカウントのユーザーは別のアカウントの情報にアクセスできません。つまり、すべての言語リソースは、あなたとあなたが承認したユーザーのみが利用できます。
法人のお客様の場合、会社のシングル サインオン (SSO) プロバイダーを介してユーザーを管理する機能を構成できます。Smartcat は現在、ADFS、Azure AD、および Okta の 3 つの主要な認証システムをサポートしています。詳しくはこちらの記事をご覧ください。
Smartcat のオフィス、施設、紙の記録、および企業の IT システムには、盗難、誤用、環境の脅威、不正アクセス、機密データとシステムの機密性、整合性、可用性に対するその他の脅威から保護するための物理的なセキュリティ対策が適用されます。物理的な制御手段は次のとおりです。
2つのチェックポイント;
バッジへのアクセス;
CCTV;
24 時間年中無休のセキュリティ。
Smartcat オフィスの可用性やセキュリティに影響を及ぼす重大な混乱が発生した場合、スタッフと管理者は緩和措置を決定して適用します。
バックアップを保護するためのセキュリティ対策は、データの機密性または感度に応じて適用されます。データの損失を防ぐために、情報、ソフトウェア、およびシステム イメージのバックアップ コピーが定期的に作成されます。
当社のサーバーおよびデータ センターへのバックアップは、対象範囲内のシステムで毎日実行されるように構成されています。バックアップ スケジュールは、バックアップ アプリケーション ソフトウェア内で維持されます。
バックアップ復元プロセスのテストを含む災害復旧テストは、毎年実行されます。
業務の継続性とともに情報セキュリティの継続性も確保されます。
情報の機密性、真正性、整合性を保護するために暗号化を適切かつ効果的に使用するために、Smartcat は暗号化キー (デジタル署名、暗号化、ハッシュなど) を使用します。
情報は次のように暗号化されます。
プラットフォームは、HTTPS/TLS プロトコルを使用して、ユーザーのコンピューターと Smartcat サーバー間の転送中のデータを保護します。
Web 証明書の場合、Smartcat はデジタル署名キー タイプ、DSA または RSA PCKS#1 アルゴリズム、2048 ビットのキー長を使用します。
Web 暗号の場合、Smartcat は暗号鍵タイプ、AES アルゴリズム、256 ビットの鍵長を使用します。
機密性のために、Smartcat は暗号化キー タイプ、AES アルゴリズム、256 ビットのキー長を使用します。
すべてのパスワードはハッシュ化およびソルト化された形式 (Bcrypt、PBKDF2、または scrypt、ECDH キー タイプ、少なくとも 256 ビットのキー長) で保存され、OAuth 2.0 を介して複数の外部承認サービスがサポートされます。運用構成ファイルのすべてのパスワードは暗号化され、構成の暗号化解除に必要な証明書は、管理者によって運用マシンにインストールされますが、下位レベルのエンジニアはアクセスできません。
Smartcat は、生産環境と財務システムの情報セキュリティに影響を与える組織、ビジネス プロセス、情報処理設備、システムへの変更を制御します。範囲内のシステムに対する重要な変更はすべて文書化されています。
変更管理プロセスには以下が含まれます。
改善策を含む、変更の計画とテストのプロセス。
情報セキュリティ、運用、または運用プラットフォームに重大な影響を与える可能性のある変更を進める前に、管理者の承認と承認を文書化します。
スケジュールおよび合理的に予想される影響の説明を含む、変更の事前通知。
すべての緊急変更とその後のレビューの文書化。
失敗した変更を修復するプロセス。
アプリケーションと情報システムの開発ライフサイクル内で情報セキュリティが設計および実装されるように、Smartcat は、システム変更管理手順、ソフトウェア バージョン管理、プラットフォーム変更後のアプリケーションの技術レビュー、ソフトウェア パッケージの変更に対する制限、安全なシステム エンジニアリングの原則、安全な開発環境、アウトソーシング開発、システム セキュリティ テスト、システム受け入れテスト、テスト データの保護を継続的に実装します。