Alohiのセキュリティ
Sign.Plus、Fax.Plus、Scan.Plusを含むすべてのサービスにおいて、お客様のデータを保護するための堅牢なセキュリティおよびプライバシー対策を提供します。
高度な暗号化、厳格なアクセス制御、リアルタイムの脅威検出を実装し、サービス全体でお客様のデータを保護します。当社のセキュリティ対策は国際標準に準拠し、堅牢な保護とプライバシーを保証します。新たなサイバー脅威に対抗するために防御を継続的に進化させ、お客様の情報を安全に保ちます。
テクノロジー
転送中および保存時のデータ暗号化
署名済みおよびFAX送信されたドキュメントを含む、保存されているすべてのファイルは、256ビットAdvanced Encryption Standard(AES)を使用して暗号化されます。各ユーザーは、データのセキュリティを確保するために、固有の暗号化キーを利用できます。
モバイル、API、Webのいずれであっても、アプリとサーバー間で送信されるデータには、Transport Layer Security(TLS)を使用します。これは、以前の暗号化プロトコルであるSecure Sockets Layer(SSL)の最新かつ改良版です。これにより、128ビット以上のAdvanced Encryption Standard(AES)暗号化によって強化された安全なトンネルが作成されます。
TLS 1.3を積極的にサポートしており、速度が向上するだけでなく、TLS 1.2を超えるセキュリティも強化されます。これにより、プライバシーがさらに強化され、2つのエンドポイントのみがトラフィックを復号化できるようになり、最大限の機密性が保証されます。
アプリケーションセキュリティテスト
当社のセキュリティチームは、Webおよびモバイルアプリケーションの潜在的な脆弱性やバグを検出して修正するために、日常的な自動および手動のセキュリティ評価を実施しています。さらに、第三者監査による年次のセキュリティテストを受けており、Web、API、およびモバイルアプリケーション全体で特定された問題に迅速に対処できます。セキュリティへの取り組みを強化するために、HackerOneなどのセキュリティプラットフォームに積極的に参加し、セキュリティインシデントの可能性をさらに最小限に抑えます。
システムアーキテクチャ
安定性、パフォーマンス、セキュリティを強化するために、当社のシステムアーキテクチャは、複数の保護層を組み込んだn層フレームワーク上に構築されています。これらの保護層は、暗号化、ネットワーク構成、およびアプリケーションレベルの制御を包含し、これらはすべて、スケーラブルで安全なインフラストラクチャ全体に慎重に分散されています。
DDoS防御
過去に記録された最大のDDoS攻撃の15倍以上のネットワーク容量を持つコンテンツ配信ネットワーク(CDN)を利用しています。この堅牢なインフラストラクチャは、潜在的なDDoS攻撃から当社のサービスを保護するための最前線です。
キー管理
保存時にファイル(署名済みおよびFAX送信されたファイルの両方)を暗号化する責任を負う当社のキー管理インフラストラクチャは、堅牢な運用、技術、および手続き上のセキュリティ制御を使用して細心の注意を払って設計されています。キーへのアクセスは厳しく制限されており、最大限のセキュリティが保証されます。
WAF
複雑なネットワークレベルのファイアウォールに加えて、弊社では Enterprise クラスのWebアプリケーションファイアウォール(WAF)を使用し、SQLインジェクション攻撃、クロスサイトスクリプティング、クロスサイトフォージェリなどの脆弱性からサービスを保護しています。
ハードウェアレベルセキュリティ
すべてのFAX送信および署名済みファイルは、ISO 27001などの最も厳格なセキュリティ標準への準拠について細心の注意を払って選択されたスイスのデータセンター内に専用のホームを見つけます。これらのデータセンターは、Cloud Security Alliance(CSA)の誇り高いメンバーでもあります。興味深いことに、当社のデータセンターの1つは、チューリッヒ近郊の旧軍事防衛指令センター内に安全に位置しています。もう1つはジュネーブにあり、ヨーロッパの金融ハブとグローバル市場の近くに戦略的に配置されています。
地域および国に基づく特定のデータプライバシーおよび所在地要件に対応するために、お客様は、完全に暗号化されたファイルを、さまざまなグローバルロケーションにあるデータセンター間で柔軟に移動できます。この仕組みの詳細については、データ所在地をご覧ください。
コンプライアンス
ISO/IEC 27001準拠
Alohiの認定情報セキュリティ管理システム(ISMS)は、お客様のデータのセキュリティを確保するように設計されています。これには、Alohiの利害関係者とのすべてのやり取りが含まれ、当社のサービスと製品の開発、サポート、およびメンテナンスに不可欠な個人、プロセス、およびツールが含まれます。
SOC 2 Type 2準拠
当社のSOC 2レポートは、セキュリティに関するトラストサービス基準(TSPセクション100)に対応し、包括的で制御に焦点を当てた保証を提供します。Alohiの手順と、お客様のデータを保護するために実装された複数の保護手段の広範な概要を提供します。世界的に有名で評判の高いエンティティであるEY CertifyPointは、この評価を実施し、当社の管理の有効な設計と運用を認定しました。
HIPAA準拠
患者の医療データの最大限のプライバシーとセキュリティを維持することの重要性を尊重します。これを実現するために、すべての管理上、物理的、および技術的な保護要件を綿密に調査し、すべてのHIPAA仕様への完全な準拠を保証しています。この包括的なアプローチにより、個人の保護された医療情報(PHI)および電子的に保護された医療情報(ePHI)を含む、お客様のデータが保護されます。
PCI-DSS準拠
お客様の支払いカード情報の安全かつ確実な取り扱いを保証するために、最新バージョンのPCI DSSへの準拠を維持します。お客様のクレジットカード情報の継続的な安全性とセキュリティを確保するために、厳格なデータセキュリティ基準が整備されています。
高度なセキュリティ
高度なセキュリティ制御
すべてのユーザーとそのデータの最高レベルのセキュリティとプライバシーを確保するために講じているすべてのセキュリティ対策に加えて、Enterpriseプランの管理者には、データの保護をより詳細に制御するための特定のセキュリティツールと機能を提供しています。アクセスログ:詳細なアクセスログは、Enterpriseチームのユーザーと管理者の両方が利用できます。アカウントがサインインするたびに、使用されたデバイスの種類と接続のIPアドレスを記録します。
ユーザーのブロック:組織から離脱した場合や、緊急事態またはデータ侵害が発生した場合に、ユーザーを簡単にブロックできます。
Business Associate Agreement(BAA):Health Insurance Portability and Accountability Act(HIPAA:医療保険の携行性と責任に関する法律)に準拠するためにBAAを必要とするEnterpriseプランのユーザーとBAAを締結します。
*高度なセキュリティ制御は、Sign.PlusおよびFax.PlusのEnterpriseプランでのみ利用可能です。
スイスの会社
すべてのユーザーデータは、スイス連邦データ保護法(DPA)およびスイス連邦データ保護条例(DPO)によって保護されており、個人および企業の両方に対して世界で最も強力なプライバシー保護を提供します。Alohiは米国およびEUの管轄外にあるため、ジュネーブ州裁判所またはスイス連邦最高裁判所の裁判所命令のみが、当社が保有する極めて限定的なユーザー情報の開示を強制できます。
セキュリティ脆弱性の報告
当社にとって最優先事項は、お客様のデータのプライバシーとセキュリティです。これを徹底するため、セキュリティ研究者がシステムとデータを安全に保つ上で果たす重要な役割を重視しています。潜在的なセキュリティ脆弱性の責任ある報告を奨励するため、セキュリティチームはコミュニティと協力して、正当な報告を検証、再現、および対応することに尽力しています。潜在的なセキュリティ脆弱性を特定したと思われる場合は、すぐにご報告ください。すべての正当な報告を調査し、迅速な問題解決に最善を尽くします。
HackerOne脆弱性開示プログラムを通じて、ご報告を送信できます。
Confédération Suisse
Confederazione Svizzera
Confederaziun Svizra
Swiss Confederation
Innosuisse - Swiss Innovation Agency
