あなたのデータセキュリティは私たち次第です
最優先
OnRavenはセキュリティを中核として構築されています。業界をリードする手法を採用し、顧客との会話やビジネスデータを常に保護します。
インフラストラクチャーパートナー
エンタープライズグレードクラウド
当社のインフラストラクチャは、世界中の何百万ものお客様から信頼されているアマゾンウェブサービス上で稼働しています。
セキュリティ機能
多層保護
あらゆるレベルでお客様のデータを保護するために、多層防御戦略を実施しています。
エンドツーエンド暗号化
すべてのメッセージとデータは、保存時にはAES-256暗号化、転送中はTLS 1.3を使用して暗号化されます。会話はどの段階でもプライベートで安全に保たれます。
安全なインフラストラクチャ
当社のインフラストラクチャは、米国およびカナダ地域のアマゾンウェブサービス(AWS)でホストされており、世界クラスの物理セキュリティとネットワークセキュリティの恩恵を受けています。
アクセスコントロール
役割ベースのアクセス制御 (RBAC) により、チームメンバーは必要なものだけにアクセスできます。多要素認証 (MFA) は保護をさらに強化します。
年中無休のモニタリング
継続的なセキュリティ監視と侵入検知システムは、脅威から保護します。当社のセキュリティチームは 24 時間体制でインシデントに対応します。
定期監査
潜在的なリスクを積極的に特定して対処するために、定期的にセキュリティ評価、侵入テスト、脆弱性スキャンを実施しています。
データバックアップとリカバリ
ポイントインタイムリカバリを備えた自動バックアップにより、データが失われることはありません。地理的冗長ストレージにより保護が強化されます。
データ保護
データは、業界標準の暗号化およびセキュリティプロトコルを使用して保護されています。
- 保存中のデータの AES-256 暗号化
- 転送中のデータの TLS 1.3 暗号化
- AWS KMS を使用した安全なキー管理
- 定期的な暗号化キーローテーション
- 暗号化されたデータベースバックアップ
- OAuth 2.0 によるセキュア API 認証
- IP 許可リスト機能
- セッション管理と自動タイムアウト
インフラストラクチャーセキュリティ
当社のインフラストラクチャは、AWS のセキュリティと信頼性を最大限に高めるように設計されています。
- AWS 仮想プライベートクラウド (VPC) 分離
- Web アプリケーションファイアウォール (WAF) 保護
- AWS シールドによる DDoS 攻撃対策
- ネットワークセグメンテーションとマイクロセグメンテーション
- 自動セキュリティパッチ
- コンテナセキュリティスキャン
- コードとしてのインフラストラクチャ (IaC) セキュリティ
- 不変のインフラストラクチャー・デプロイメント
コンプライアンス
業界標準とフレームワーク
コード、クラウド、デリバリーパイプラインを主要なセキュリティおよびプライバシーの枠組みに対して継続的に監視しています(Aikido Security を含む)。
PCI DSS レベル 1
Stripe 経由カード会員データは Stripe が処理します。安全な決済態勢を支えるプラットフォームおよびインフラのコントロールも監視しています。
GDPR
準備完了暗号化、アクセス管理、ログ、処理の保護措置を GDPR に沿ったテーマで監視しています。準備完了は技術・運用面の話であり、規制当局の承認ではありません。
CCPA
準備完了データアクセス、削除、処理のセキュリティはプロダクト方針で扱い、インフラおよびアプリのコントロールで監視しています。
PIPEDA
準備完了カナダ企業として、公正な情報取り扱いとセーフガードの期待を、監視下の技術コントロールと整合させています。
SOC 2
準備完了Trust Services の基準(セキュリティ、可用性、機密性)をクラウド、変更管理、アクセス、脆弱性 SLA 全体で追跡しています。SOC 2 Type II レポートは別途の正式な鑑定です。
HIPAA
準備完了暗号化、アクセス制御、監査ログ、バックアップなどの技術的保護措置を HIPAA に沿ったチェックリストで監視しています。BAA が必要なエンタープライズ顧客はお問い合わせください。
ISO 27001:2022
準備完了付録 A 型の領域(アクセス、暗号、ログ、バックアップ、脆弱性管理、セキュア開発)を継続監視に含めています。ISO 27001 認証には認定審査が必要です。
OWASP Top 10
準備完了アプリとクラウドのチェックで、不適切なアクセス制御、インジェクション、暗号の失敗、SSRF、ログなど OWASP Top 10 のリスクをカバーしています。
NIST SP 800-53
準備完了SaaS 構成に関連するセキュリティおよびプライバシーのコントロールファミリーを該当範囲で監視しています。FedRAMP パッケージや政府の ATO ではありません。
CIS Controls & AWS Benchmark
準備完了CIS Controls v8.1 と CIS AWS Foundations Benchmark の期待事項に基づき、構成と衛生状態を継続的に評価しています。
NIS2(EU)
準備完了ICT リスク管理、インシデント対応、サプライチェーン、レジリエンスを NIS2 に沿った要件で監視しています。
DORA(EU)
準備完了検知、対応、バックアップ、ガバナンスなどの運用レジリエンスを、DORA に沿った ICT リスクのテーマで監視しています。
UK Cyber Essentials
準備完了境界保護、安全な構成、アクセス、マルウェア対策、パッチ適用などの中核コントロールを Cyber Essentials 型の基準で監視しています。
HITRUST CSF
準備完了医療データに関するコントロールテーマをセキュリティプログラムで高いカバレッジで監視しています。HITRUST 認証ではありません。
ビジネススタンダード
エンタープライズ対応のセキュリティプラクティス
組織セキュリティ
- • 全従業員の身元調査
- • セキュリティ意識向上研修プログラム
- • 厳格なアクセス制御ポリシー
- • 秘密保持契約
- • インシデント対応手順
開発慣行
- • セキュアソフトウェア開発ライフサイクル (SSDLC)
- • コードレビューとセキュリティスキャン
- • 依存関係の脆弱性監視
- • 定期的なペネトレーションテスト
- • バグ報奨金プログラム
データレジデンシー
データは必要な場所に保管されます
OnRaven は、すべての顧客データを米国とカナダにある安全な AWS データセンターにのみ保管します。企業のお客様は、規制要件に合わせて希望するデータ居住地域を選択できます。
米国
AWS 米国東部、米国西部
カナダ
AWS カナダ (セントラル)
テクニカル・ドキュメンテーション
セキュリティと暗号化に関するホワイトペーパー
当社のセキュリティアーキテクチャ、暗号化方法、およびコンプライアンス対策の詳細な技術概要
暗号化アーキテクチャ
AES-256-GCM暗号化の実装、鍵管理、およびデータ保護戦略に関する包括的な詳細。
監査とコンプライアンス
詳細な監査ログメカニズム、GDPR コンプライアンス対策、およびデータ保持ポリシー。
インフラストラクチャーセキュリティ
AWS インフラストラクチャのセットアップ、ネットワークの分離、DDoS からの保護、および障害復旧手順
アクセスコントロール
ロールベースのアクセス制御 (RBAC)、多要素認証、およびセッション管理。
セキュリティに関する質問がありますか?
当社のセキュリティチームがお手伝いします。セキュリティ評価、コンプライアンス文書、または脆弱性の報告については、お問い合わせください。