1. セキュリティー

セキュリティー

個人データのセキュリティは、Floの最優先事項です。弊社は、アプリのプロファイルが機密性の高い個人データを含む可能性があることを心得ております。ゆえに、業界のベストプラクティスおよび標準を実装するために日々最善を尽くしております。
法令遵守
Flo は、EU 一般データ保護規則、カリフォルニア州消費者プライバシー法、およびその他の規定に関する要件事項に従う個人データに対するセキュリティを確保するために尽力しております。
第三者監査
弊社は、内部セキュリティのプロセスおよびポリシーを審査および強化するために、公知の第三者機関を利用し、定期的に監査を実施しております。
物理セキュリティおよび環境セキュリティ
Flo は、物理制御、環境制御、およびホスト制御に対する最高の業界標準に従います。Flo のデータセンターは、Amazon Web Services によって処理され、新しい構築的エンジニアリング手法を利用します。
製品セキュリティ
サーバーおよびネットワーク

弊社では、Amazon Web Services を使用し、すべての運用環境をホストします。AWS は、弊社のアプリケーションの安全かつ高性能で、回復性が高くて効率的なインフラストラクチャの構築に役立つように設計されています。AWS のデータセンターは安全な設計で、SOC 1、SOC 2、および SOC 3認定となります。すべての実稼働サーバーは不変的で、継続的に修正プログラムが適用された Docker ベースのシステムです。また、弊社では VPC (仮想プライベートクラウド)、AWS の複数アカウントのインフラストラクチャ、EKS (Elastic Kubernetes Service) などの追加の AWS サービスを利用しています。ネットワーク上の通信を保護するため、弊社では TLS (トランスポート・レイヤー・セキュリティ) を使用する暗号化された HTTPS プロトコルを使用します。

弊社では、Amazon Web Services を使用し、すべての運用環境をホストします。AWS は、弊社のアプリケーションの安全かつ高性能で、回復性が高くて効率的なインフラストラクチャの構築に役立つように設計されています。AWS のデータセンターは安全な設計で、SOC 1、SOC 2、および SOC 3認定となります。すべての実稼働サーバーは不変的で、継続的に修正プログラムが適用された Docker ベースのシステムです。また、弊社では VPC (仮想プライベートクラウド)、AWS の複数アカウントのインフラストラクチャ、EKS (Elastic Kubernetes Service) などの追加の AWS サービスを利用しています。ネットワーク上の通信を保護するため、弊社では TLS (トランスポート・レイヤー・セキュリティ) を使用する暗号化された HTTPS プロトコルを使用します。

暗号化

弊社では、AWS KMS (キー管理サービス) を使用してキーを作成および管理し、AWS サービスとアプリケーションの広範囲にわたる暗号化の使用を管理します。

弊社では、AWS KMS (キー管理サービス) を使用してキーを作成および管理し、AWS サービスとアプリケーションの広範囲にわたる暗号化の使用を管理します。

ストレージ

Flo では、メタデータ、アクティビティ、元のファイル、および様々な場所のお客様のデータなどのすべてのデータを保管します。すべてのデータは各場所において、KMS によって暗号化されます。
エンドユーザーの機密データはログから削除され、Flo エンジニアはこのデータにアクセスできなくなります。

Flo では、メタデータ、アクティビティ、元のファイル、および様々な場所のお客様のデータなどのすべてのデータを保管します。すべてのデータは各場所において、KMS によって暗号化されます。
エンドユーザーの機密データはログから削除され、Flo エンジニアはこのデータにアクセスできなくなります。

分離環境

実稼働ネットワークは、その他のステージング環境、開発環境、およびインフラ環境から分離されます。各環境は、個別の VPC ネットワークに入り込む個別の AWS アカウントに置かれています。

 

実稼働ネットワークは、その他のステージング環境、開発環境、およびインフラ環境から分離されます。各環境は、個別の VPC ネットワークに入り込む個別の AWS アカウントに置かれています。

 

お客様の支払データ

すべての支払は、決済セキュリティに対してすべての責任を負う App Store、Google Play、または Stripe のいずれかによって処理されます。Flo ではいかなるクレジットカード情報を保存することはありません。

すべての支払は、決済セキュリティに対してすべての責任を負う App Store、Google Play、または Stripe のいずれかによって処理されます。Flo ではいかなるクレジットカード情報を保存することはありません。

安全な設計
Flo エンジニアたちは、文書化した開発・品質保証のプロセス保持などといった業界標準を忠実に守り、最高の製品開発技術を活用しています。弊社は守秘義務、整合性、可用性に関するセキュリティプリンシパルに従い、脆弱性の落とし穴のリスクを減らす方法で、アプリを設計しています。
サービスレベルおよびバックアップ
Flo のインフラストラクチャでは、自動サイズ調整、負荷分散、タスクキュー、およびローリングデプロイなど、ますます信頼度が高まる稼働時間向けの多層技術を活用しています。弊社は、データベースに関する最大限のデイリー自動バックアップを行います。すべてのバックアップは暗号化されます。
システムの監視およびアラート
Flo において、実稼働アプリケーションおよび基本になるインフラストラクチャ コンポーネントは、専用の監視システムによって年中無休で24時間監視されます。これらのシステムによって生成される重要なアラートは、年中無休24時間体制サービスのオーナーに送信され、オペレーション・マネジメントに適切にエスカレーションされます。
脆弱性 (ペネトレーション) テスト
Flo では、ネットワーク構成、インフラストラクチャ、およびアプリケーション レイヤーに対し、業界トップのサイバーセキュリティレッドチームの集団による定期的なペネトレーションテストを実施しています。こうした脆弱性テストでは、利用開始される前にアプリケーションの脆弱性を特定するため、一般に知られている Web アプリケーション向けのセキュリティツールキットおよびスキャナーが使用されます。
トラフィック管理
Cloudflare のセキュリティスイートにより、Flo アプリは自動的に悪意のあるトラフィックをブロックし、アプリの信頼性を保証することができます。ユーザーがどこにいても対応 — Floは、スマートトラフィックルーティングのおかげでスマートフォン上でスムーズに動作し、アプリ内のコンテンツが最寄りのCloudflareからユーザーに配信されるようになりました。
インシデント対応およびデータ侵害の通知
Flo では、国際的指針および規制法に従い、個人データの侵害などのインシデントとして分類される種類の何かしらのイベントを、Flo Health によって検出された場合に取るべき行動を説明するプロセスを構築しました。
Flo の企業文化の一環としてのセキュリティ
Flo Health の職員および契約社員にはセキュリティ意識を向上する教育が提供され、少なくとも年に一度、関連ポリシー、手続き、および同意に一致してそれらの情報セキュリティ関連の義務および責任を果たすよう指導されます。Flo のセキュリティチームは、企業の機密保持およびプライバシーに関するプログラムを継続的にレビュー、更新、検査、維持および改善しております。