コンプライアンス

暗号化ポリシー
データ保持ポリシー
資産管理方針
データ保護方針
人権方針
環境方針
行動規範
差別撤廃と機会均等に関する方針
腐敗防止および贈収賄防止に関する方針

Rask AIにおけるデータ保護方針

株式会社ブラスク

目的

このポリシーは、データ保護に関する手順および技術的管理の概要を示すものです。

スコープ

Rask AI顧客データを扱う生産システムは、このポリシーに従わなければならない。

定義

生産データ:事業運営や顧客サービスのために積極的に使用され、維持されているデータ。

生産システム:Rask AI の顧客データを作成、受信、保存、送信するシステムおよびインフラ。

役割と責任

ブラスクMLインフラストラクチャ部は、本ポリシーを維持・更新します。CEOと法務部門は、本ポリシーとその変更を承認します。

方針

ブラスクのポリシーは、次のことを要求している:

  • 分類と承認された暗号化基準に従ってデータを扱い、保護する。
  • 機密データと非機密データの混在を避ける。リポジトリ内の最も高い分類に基づいてセキュリティ管理を適用する。
  • 従業員は、緊急時(フォレンジック分析、災害復旧など)を除き、本番データに直接管理者権限でアクセスすることはできません。
  • すべてのプロダクション・システムで不要なサービスを無効にする。
  • プロダクション・システムへのすべてのアクセスをログに記録する。
  • すべてのプロダクション・システムでセキュリティ監視を有効にする(アクティビティとファイルの整合性監視、脆弱性スキャン、マルウェア検出)。

データ保護の実施とプロセス

顧客データ保護

Rask AIは、冗長性とディザスタリカバリのために複数のリージョンにデータを複製したAWSを使用している。

Braskの従業員は、生産データを保護するためにこれらのプロセスに従います:

  • 不適切な改ざんや破壊を防止するための管理を実施し、見直す。
  • アクセスログと自動化されたセキュリティ監視をサポートするために機密データを保存する。
  • 顧客生産データへのアクセスをセグメント化し、許可された顧客に制限する。
  • Braskが管理するキーを使用して、すべてのプロダクションデータを静止状態で暗号化します。
  • 暗号化キーとキー生成マシンを不正アクセスから保護し、特権アカウントのみがキーマテリアルにアクセスできるようにする。

アクセス

従業員による本番環境へのアクセスは、デフォルトで無効になっており、承認が必要です。一時的なアクセスは必要に応じて許可され、ケースごとにセキュリティチームによってレビューされます。

分離

  • 顧客データは、一意の顧客識別子を使用して、データベース/データストアレベルで論理的に分離される。
  • APIレイヤーは、選択したアカウントによるクライアント認証を要求することで、分離を強制する。
  • 認証されると、顧客固有の識別子がアクセストークンに含まれる。
  • APIはこのトークンを使って、認証されたアカウントへのデータアクセスを制限する。
  • すべてのデータベース/データストアクエリは、適切なデータ分離を確実にするために、アカウント識別子を含む。

モニタリング

Rask AIはAmazon CloudWatchを使ってクラウドサービスを監視している。システム障害が発生した場合、主要な担当者にテキスト、チャット、または電子メールで通知され、是正措置が取られる。

守秘義務/秘密保持契約(NDA)

ブラスクは、社内外の関係者に適用される法的強制力のある条件で機密情報を保護するため、NDA を使用しています。主な要素は以下のとおりです:

  • 情報定義
  • 契約期間
  • 解雇時の措置
  • 不正開示を防止する責任
  • 情報と知的財産の所有権
  • 許可された使用と権利
  • 監査およびモニタリング活動
  • 不正な開示の報告
  • 契約終了時の情報の返却または破棄
  • 契約違反に対する措置
  • 定期的な見直し

休止中のデータ

暗号化

Rask AI 暗号化ポリシーに従い、すべてのデータベース、データストア、ファイルシステムを暗号化する。

保持

保存されたデータを分類し、Rask AI資産管理およびデータ保持ポリシーに従って保持スケジュールを適用する。

保持のための配慮:

  • 法的および契約上の要件
  • データの種類(会計記録、データベース記録、監査ログなど)
  • 記録メディアの種類(紙、ハードドライブ、サーバーなど)

保管と廃棄

静止状態のデータを適切に保存し、取り扱うこと。考慮すべき事項

  • アクセスおよび管理の認可
  • 記録の特定と保存期間
  • 保有期間中のテクノロジーの変化とアクセス
  • 検索期間と形式
  • 廃棄方法

データ削除

不要になった機密データは、ブラスクの事業目的、法律、第三者との契約に沿って適切に削除すること。削除の記録を保管すること。

輸送中のデータ

必要性

ビジネスプロセス上、厳密に必要な場合にのみデータを転送する。

移籍要因

データ転送の方法を選択する前に、以下のことを考慮しなければならない:

  • 情報の性質、機密性、機密性、価値
  • データサイズ
  • 潜在的なデータ損失の影響

暗号化

輸送中のデータの安全性を確保する:

  • クラウドやサードパーティベンダーを含め、すべての外部通信をBraskが管理する鍵でエンドツーエンドで暗号化する。
  • インターネットやイントラネットの接続には、強力なプロトコル、鍵交換、暗号を使用する。

エンドユーザー・メッセージング・チャンネル

エンドツーエンドの暗号化が有効になっていない限り、電子メールやチャットなどの電子的なエンドユーザー・メッセージング・チャンネルで、制限された機密データを送信することはできません。

今すぐビデオの翻訳を開始

無料体験
無料体験 - クレジットカード不要 - 即時アクセス