私たちのデータは安全ですか?
私たちは、業界標準のプロトコルとベストプラクティスを使用して、あなたのデータとプライバシーを保護しています。
今日の複雑で規制された環境の中で、私たちのユーザーは業界標準に準拠したツールと実践を用いてデータの保護を私たちに託しています。このページでは、Netatooがこれらの要件に応えるために行っている取り組みの概要を示します。
今日の複雑で規制された環境の中で、私たちのユーザーは業界標準に準拠したツールと実践を用いてデータの保護を私たちに託しています。このページでは、Netatooがこれらの要件に応えるために行っている取り組みの概要を示します。
データベースとアクセスのセキュリティ
まず、私たちはアプリケーションの主要データベースへのアクセスを制限することで、永続層を保護しています。この制限は、Netatooに属する既知の固定IPアドレスのセットとアプリケーション層に限定されています。このアクセス制限は、ファイアウォールルール、認証メカニズム(ユーザーが自分の身元を証明する必要がある)、および役割に基づく権限を通じて実現されています。
データのバックアップと復元
自然災害などによるアプリケーションデータの壊滅的な損失の可能性に対処するために、地理的冗長性アプローチでデータベースのバックアップを自動的に作成しています。
- 完全バックアップと差分バックアップを作成し、それぞれがAES-256アルゴリズムで暗号化されています。
- データベースの完全バックアップは数時間ごとに行われ、差分バックアップは通常1時間ごとに行われ、トランザクションログのバックアップは通常10〜15分ごとに行われます。
- データ損失が発生した場合、特定の時点にデータを復元することができ、情報の損失を最小限に抑えることができます。バックアップの整合性は、保存されたデータが準拠していることを確認するために、半自動的かつ定期的に検証されます。
- バックアップは90日間保持され、その後破棄されます。
セキュリティ監査と脅威の検出
規制の遵守を維持し、データベースの活動を理解し、セキュリティ違反の疑いを示す可能性のある逸脱や異常をよりよく理解するために、サーバー上で脅威検出を可能にする高度な監査を展開しています。これらのサービスは、潜在的な脅威(例:データベースへの異常な接続、SQLインジェクションの脆弱性)をリアルタイムで検出し、必要な措置を講じるためにチームに即座に警告します。特にGDPRに関しては、このサービスはデータ違反を検出し、万が一そのような状況が発生した場合に監督当局に通知するための技術的な仕組みの重要な要素です。
接続のセキュリティとHTTPSプロトコル
アプリケーション層では、すべての受信リクエストがHTTPS(TLS上のHTTP)を使用するように強制しています。クライアントデバイスによっては、接続はTLS 1.0、TLS 1.1.1、またはTLS 1.2を使用することがあります。SSL 2およびSSL 3などの古くて脆弱なプロトコルを使用する接続は禁止しています。
高度なHTTPセキュリティヘッダー
受け入れられたTLS接続は、最も強力なウェブ標準を使用したSSL証明書で暗号化されています。すべてのHTTPS応答の一環として、サーバーにはいくつかの高度なセキュリティヘッダーが含まれています。これには特に以下が含まれます:
- X-XSS-Protection は、反射型XSS(クロスサイトスクリプティング)攻撃を検出した際に通信を中断するように現代のブラウザに指示します。
- Content-Security-Policy は、ブラウザに対してクロスサイトスクリプティング(XSS)、クリックジャッキング、信頼できるウェブページのコンテキストで悪意のあるコンテンツを実行することによるコードインジェクション攻撃を防ぐための厳格な措置を講じるように要求します。
- Strict-Transport-Security はHSTSとしても知られています。ブラウザに対してballejaune.com / openresa.comにアクセスする際にHTTPSのみを使用するように要求します(つまり、HTTPを使用しない)。このヘッダーは長期間にわたって展開されています。
- Expect-CT は、クライアント/ウェブブラウザに対して証明書の透明性要件を適用するように要求します(つまり、サイトの証明書が公開CTログに表示されることを確認します)。これにより、Netatooの不正な証明書の使用を防ぐのに役立ちます。
- Referrer-Policy は、ページ外のリンクに対する「referer」ヘッダーの値を制御することを可能にします。私たちの場合、「referer」ヘッダーはHTTPSからHTTPへのダウングレードが発生した場合に設定されないように指定しています。
独立したセキュリティ監査の結果
Netatooは、独立したサービスsecurityheaders.ioから「A」の評価を受けており、実施されたさまざまな要素を確認できます。ballejaune.comとopenresa.comのテストをリクエストして自分でレポートを確認することができます。また、使用している他のウェブサイトや使用を検討しているウェブサイトとテストを比較することをお勧めします。
Netatooのアプリケーションホスティングサーバーは、業界標準の独立したサーバーテストQualys SSL Labsからも「A+」の評価を受けています。テストをリクエストして自分でレポートを確認することができます。レポートでは、BEAST、POODLE、Heartbleedなどの最新の脆弱性に対して脆弱ではないことが示されています。再度、使用している他のウェブサイトや使用を検討しているウェブサイトとテストを比較することをお勧めします。
攻撃の防止とクッキーのセキュリティ
辞書攻撃を防ぐために、ログインメカニズムは、誤ったログインパスワードが複数回入力された場合にアカウントをロックする機能を使用しています。
サーバーからクライアントに送信されるクッキーは、認証とリクエストの検証のために常に「HttpOnly」と「Secure」属性が付けられ、ballejaune.com / openresa.comでの使用に適したドメインとパスの値が設定されています。
オンライン決済のセキュリティ
オンライン決済に関しては、NetatooはPCI基準に準拠しています。実際には、すべての支払いは選択した支払いゲートウェイ(PayPal、Paybox Verifone)で直接処理されます。そのため、Netatooが所有するシステムには機密の支払い詳細が接触することはなく、代わりにゲートウェイに透明にリダイレクトされ、その後トークンベースのアプローチで管理されます。
トランザクションメールのセキュリティ
私たちのサービスから送信されるトランザクションメールは、メールの検証のための最新のセキュリティ機能を使用しています。これには、SPF、DKIM、DMARCの有効なポリシーが含まれます。DMARCに関しては、公開されたポリシーは、DMARCテストに合格しないすべてのメッセージを隔離するように受信者のサーバーに要求します。これらの機能は、スパム、スプーフィング、フィッシング攻撃を防ぐための高度なツールです。もちろん、送信するすべてのメールには購読解除リンクも含まれており、メール爆撃攻撃を防ぐためのレート制限システムも導入しています。
Netatooの内部セキュリティ慣行
組織レベルでは、Netatooの従業員は「知る必要がある」および「最小特権」のセキュリティ原則に基づいてデータへのアクセスが制限されています。開発およびテストシステムは、外部からアクセスできない内部ネットワークに展開されています。アプリケーションのソースコードはプライベートリポジトリで管理されており、APIキー、パスワード、接続文字列などの機密情報は含まれていません。
サービスの可用性の監視
インシデント(例:アプリケーションの停止、パフォーマンスの低下など)が発生した場合、Pingdomを通じてサービスの状態を次のアドレスで確認できます:http://stats.pingdom.com/rn0d9ch52vnj/1678478
継続的な更新とベストプラクティス
最後に、最新のセキュリティパッチを提供するために、サーバーと内部システムを定期的に更新することに特に注意を払っています。パスワードは60日ごとに変更し、使用しているほぼすべてのアプリケーションとサードパーティサービスで二要素認証を使用しています。
結論
これらの情報が、Netatooがあなたのデータを保護するために実施している主要なセキュリティメカニズムを理解するのに役立ったことを願っています。私たちはセキュリティ手順を継続的に見直しており、セキュリティの状況の変化に対応するために、これらの情報は将来的に変更される可能性があります。
お問い合わせ
郵送先住所:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE
メール:
support@openresa.com
2025年6月12日木曜日 に更新
