セキュリティ

第 1 条

プログラム方針

Giftpack は、機密性、完全性、可用性、プライバシーおよび責任あるサービス提供を支援するために設計された管理的、技術的および組織的措置を維持しています。Giftpack のセキュリティプログラムは、Giftpack のプラットフォーム、製品、サプライヤーおよび顧客要件の進化に合わせて発展するよう設計されています。

第 2 条

インフラストラクチャおよびホスティング

Giftpack はホスティングおよび関連インフラサービスに Google Cloud Platform を使用しています。Giftpack は災害復旧目的で東京の GCP インフラを使用しています。本番および関連環境は、セキュリティ、レジリエンスおよび運用継続性を考慮して管理されます。

第 3 条

暗号化

Giftpack は、転送中および保存時のデータを保護するために業界標準の暗号化プロトコルを使用します。暗号化措置は、プラットフォームを通じて処理されるデータの機密性および完全性を支援するよう設計されています。

第 4 条

アクセス制御および認証

システムおよび顧客データへのアクセスは、正当な業務上の必要性を有する承認済み担当者に限定されます。Giftpack は、適切な場合、ロールベースアクセス原則および最小権限の実務を適用します。Giftpack は、不正アクセスリスクを低減することを目的とした認証およびアクセス制御をサポートし、適切な場合には内部システムの多要素認証を含みます。シングルサインオンおよび関連する ID 統制は、サービス設定およびプランに応じてサポートされる場合があります。

第 5 条

セキュア開発および変更管理

Giftpack は、安全なソフトウェア提供を支援するために設計された開発および変更管理の実務を維持しています。コード変更およびインフラ更新は、サービス環境に適した管理されたワークフローを通じてレビュー、テストおよびデプロイされることを意図しています。

第 6 条

監視、ログおよび脆弱性管理

Giftpack は、潜在的なセキュリティイベントおよび運用上の異常の検知、調査および対応を支援するために設計された監視およびログ実務を維持しています。Giftpack は、侵入テストを含む脆弱性スキャンおよび定期的なセキュリティテストを実施し、特定された問題をリスク、重大度および運用文脈に基づき修復のためにレビューします。

第 7 条

インシデント対応

Giftpack は、セキュリティインシデントの識別、エスカレーション、封じ込め、調査、修復および適切なコミュニケーションを支援するために設計されたインシデント対応プロセスを維持しています。関連する顧客には、契約上および法的義務に従い、該当する場合には Giftpack のデータ処理補遺を含めて通知されることがあります。

第 8 条

人員および内部セキュリティ

Giftpack のセキュリティプログラムは、システムおよびデータの責任ある取扱いを強化することを目的とした内部方針、秘密保持義務およびセキュリティ意識向上実務により支えられています。

第 9 条

プライバシーおよびデータ保護

Giftpack のセキュリティおよびプライバシー実務は、個人データおよび秘密情報の責任ある取扱いを支援することを目的としています。詳細は Giftpack のプライバシーポリシーおよびデータ処理補遺をご確認ください。

第 10 条

コンプライアンスおよび保証

Giftpack は、関連するセキュリティ統制を対象とする SOC 2 Type II レポートを維持しています。Giftpack のプライバシーおよびセキュリティプログラムは、GDPR、CCPA、および適切な場合には ISO 27001 原則に沿った統制を含む、公認のフレームワークおよび規制要件を参照して設計されています。

第 11 条

ベンダーおよび復処理者管理

Giftpack は、セキュリティおよびプライバシーを考慮して第三者サービスプロバイダーを評価および管理します。データへのアクセスは、サービス提供に必要な範囲に限定されることを意図しており、適切な場合には契約上の保護が使用されます。

第 12 条

セキュリティレビューの依頼

追加のセキュリティレビュー、質問票、評価支援、SOC 2 資料または調達支援文書を必要とする顧客は、Giftpack のセキュリティまたは調達レビュー窓口を通じて依頼を提出できます。Giftpack は、秘密保持要件、顧客適格性および内部レビューに従い、追加文書を提供することがあります。