チューリップのサイバーセキュリティ方針とインフラについて教えてください。

目的

チューリップの一般的なセキュリティポリシーについて学びます。

セキュリティは、チューリップのソフトウェア、オペレーション、インフラ、プロセスの中核をなすものです。セキュリティ、暗号化、脅威の管理には、業界標準のベストプラクティスを採用しています。

インフラストラクチャー

チューリップのクラウドは、クラス最高のデータセンターとインフラセキュリティを提供するAmazon Web Servicesで稼働しています。チューリップのサーバーはAWSの仮想プライベートクラウドの中にあり、セキュリティグループのファイアウォールで保護されています。管理者アクセスは、SSHキーログインとIPホワイトリストの両方によって保護されています。チューリップのAWSおよび他のクラウドアカウントは、強力なパスワードと多要素認証によって保護されています。Amazonのデータセンターは、ISO 27001、SOC、PCI、FedRAMPなど、多くのコンプライアンス要件を満たしています。

暗号化

チューリップが公衆インターネット上で送受信するデータはすべて、推奨される最も強力な暗号スイートを使ってTLSで暗号化されています。チューリップのTLS設定はQualsysのSSLLabsからA+グレードを獲得しています。アプリ、分析データ、アップロードされたアセットなど、チューリップが保存するすべてのデータは、256ビットAESを使用して静止状態で暗号化されています。

データストレージ

データはAWSのS3、RDSサービス、およびMongoDB Inc.のMongoDB Atlasサービスに保存されます。チューリップは、顧客データを扱うサードパーティベンダーがチューリップのデータセキュリティ基準を満たし、または上回ることを確認するために、正式な審査プロセスを採用しています。

アプリケーション

チューリップは、OWASPが推奨するものを含む、すべてのウェブアプリケーションのベストプラクティスに従います。チューリップはHSTSを使用して転送中の暗号化を保証し、DOMテンプレートとCSPでXSSを回避し、X-Frame-Optionsでクリックジャックを防止し、クッキーの代わりにlocalStorageを使用してCSRF攻撃を回避しています。サーバーサイドのACLは、コードレビューや市販・自作の静的解析ツールによって強制的に適用されます。パスワードは、クライアント側でSHA-256でハッシュ化し、サーバー側でbcryptで再ハッシュ化しています。

プロセス

すべてのプロダクションコードは、複数のエンジニアによってレビューされています。第三者機関であるセキュリティ会社による定期的な侵入テストを受けています。チューリップは定期的に社内でセキュリティレビューを行い、ソフトウェア開発プロセスを文書化しています。

共有セキュリティ・モデル

チューリップはセキュリティ共有モデルを採用し、チューリップ、お客様、第三者ベンダーにまたがる責任を確立しています。

{height="" width=""}.

その他の情報

ITセキュリティポリシー