Offers MGRでのセキュリティの取組み
この文書は、2023年10月の時点におけるOffers MGRの情報セキュリティへの取り組みと、情報セキュリティの観点からお客さまにご注意いただきたい点について紹介するものです。
Offers MGRは、株式会社overflowが運営する、ソフトウェア開発組織に特化した開発生産性の最大化を支援するサービスです。
組織で利用しているSaaSを連携することで、アクティビティデータ・コンディションデータを計測し、チームや個人の開発効率の分析やコンディション状態の把握ができます。
1.利⽤者との責任分界点
- (1)overflowの責任overflowは、以下のセキュリティ対策を実施します。
- ・Offers MGR のセキュリティ対策
- ・Offers MGR に保管されたお客様データの保護
- ・Offers MGR の提供に利⽤するインスタンスにおける、ミドルウェア、OS のセキュリティ対策
- (2)お客様の責任お客様は、以下のセキュリティ対策を実施する必要があります。
- ・各利⽤者に付与されたパスワードの適切な管理
- ・Offers MGR アカウントの適切な管理(登録、削除、管理者権限の付与など)
2. データ保管場所
3. 暗号による保護
- (1)通信の暗号化Offers MGRでは、通信内容を暗号化することで、データの漏洩や改竄を防いでいます。暗号通信方式としてTLSを使用しております。
- (2)データの暗号化Offers MGRでは、連携データを一時的にサーバーに保存する際にも暗号化を行い、これによってデータの漏洩や、内部不正による持ち出しを防いでいます。暗号アルゴリズムには AES-GCM を採用し、秘密鍵はAWS Key ManagementService(KMS)を利用して厳重に管理しています。その他、お客さまが登録、入力されたデータは、データベースに保存しています。データベースについては透過的暗号化、フルディスク暗号化を実施しています。
- (3)パスワードのハッシュ化利用者のパスワードは平文では保存せず、ハッシュ化し、元の形に復元できないようにした上で保存しています。
4. データのバックアップと削除
Offers MGR 利⽤に関する契約が終了した場合、法令上必要がない場合を除き、利用規約に基づいた期間は、お客様のデータは保存されます。
期間 を超えますと、 コメントやサービス連携、従業員追加などといった機能での設定が全て削除されます。詳しくは利用規約の退会の項目をご参照ください。詳細はこちら。
5. 装置のセキュリティを保った処分⼜は再利⽤
6. 容量・能⼒の管理
7. 開発体制
Offers MGRのシステム開発は、当社の社内で行っています。
開発時にはガイドラインを設けており、セキュリティ上の注意点を含めています。さらに、開発時にはコードレビューを実施し、レビューを経なければ本番反映できない仕組みとすることで、実際のコードがガイドラインに従っていることを確認しています。
また、公開前にユニットテスト(プログラム部品単位での自動化テスト)とE2Eテスト(End to Endテスト、ブラウザ自動操作による結合テストおよび表示検証)を実施して、コードの品質を担保しています。
8. インシデント対応ポリシー
- ・Offers MGR の責任範囲において、お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止、情報漏洩等)が発生した場合は、インシデント発生してから 24 時間以内を目標に、Offers MGR 利用契約時にご提供頂いた組織管理者のメールもしくは電話に連絡します
- ・ただし、ユーザの誤操作によるデータの消失に関しては利用者側の責任とします
- ・情報セキュリティインシデントに関する問合せは、本セキュリティホワイトペーパー末尾の問い合わせ窓口より受け付けています。
9. お客様データの保護及び第三者提供について
ログデータを含むお客様データは、不正なアクセスや改ざんを防ぐため、⼀部の⼈間しかアクセスできない、限られたアクセス権のもとで保管されます。
但し、裁判所からの証拠提出命令など、法的に認められた形でお客様のデータの提供を要請された場合、お客様の許可なく、必要最⼩限の範囲で、お客様情報を外部に提供する可能性があります。
詳しくはプライバシーポリシーの第三者提供の項目をご参照ください。詳細はこちら。
このドキュメントに関するお問い合わせ
株式会社overflow 管理部
改定履歴
版数 | 改定日 | 改定内容 |
|---|---|---|
| 1.0 | 2023/10/13 | 初版発行 |