セキュリティとコンプライアンス

完全に準拠したソリューションを提供するために、ソフトウェアと運用のすべてのレイヤーにセキュリティを組み込みます

データセキュリティ

InCountry のデータ保管庫は、規制対象のデータを安全に保管および処理するためにゼロから構築されています。当社のデータ ファイアウォールは、データが地理的境界内にとどまり、暗号化されたデータまたは集約データのみが国境を越えることができるようにします。

データ ファイアウォール
データ ファイアウォール
  • データが国外に出ないようにする
  • 国内のブラウザやアプリに安全にデータを直接配信
  • 宣言型制御の実施と記録
  • データ損失防止により、データが国外に流出しないようにします
データボールト
データボールト
  • 完全に強化されたサーバー
  • 分離されたサーバーレス機能
  • 基になるデータを明らかにしないビジネス インテリジェンス集計機能
認証と認可
認証と認可
  • ソース アプリケーションと ID プロバイダーは引き続きユーザーを認証し、In Country Vaults 内のすべてのアクションとデータ アクセスを許可します。
  • ソース アプリケーションは、ロールベースのアクセス制御 (RBAC)、属性ベースのアクセス制御 (ABAC)、およびポリシーベースのアクセス制御 (PBAC) を引き続き提供します。
  • データ認証は行およびフィールドレベルまで細かく設定できます
暗号化とトークン化
暗号化とトークン化
  • 各フィールドには、完全な暗号化、検索可能な暗号化、ハッシュ、決定論的ハッシュを含めることができます
  • Bring Your Own Key は国全体で完全にサポートされています

運用とアプリケーションのセキュリティ

セキュリティは、私たちの組織と製品エンジニアリングにとって重要な分野です。InCountry は、最高のセキュリティおよびプライバシー基準を備えた、セキュリティ志向の組織です。

来歴のある監査可能なロギング
来歴のある監査可能なロギング
  • すべてのユーザー アクティビティが記録されます
  • データとともに保存される来歴などのデータ ガバナンス メタデータ
  • 検証データは国外に出ません
ソフトウェア開発ライフサイクル
ソフトウェア開発ライフサイクル
  • ソフトウェア開発ライフサイクル全体にわたって統合された設計原則による、堅牢なセキュリティとプライバシー
  • 脅威モデリングと包括的な侵入テスト
  • アーキテクチャとコードのレビュー(手動と自動の両方)
インフラストラクチャのセキュリティ
インフラストラクチャのセキュリティ
  • インフラストラクチャの継続的なモニタリング (24 時間 365 日)
  • 継続的な脅威の検出、監視、対応
  • オンコール セキュリティ インシデント対応チーム (SIRT) (24 時間 365 日)
  • 内部および外部の定期的な侵入テスト
  • 定期的なスキャン、パッチ適用、アップデート

コンプライアンス

コンプライアンスは私たちのDNAの範囲内です。 私たちは、ソリューションが世界中の最新のコンプライアンスおよび規制基準を確実に満たすように常に取り組んでいます。 当社のサービスがお客様のビジネスを混乱させる可能性のある市場の変化に対応できるように、外部監査とレビューを受けています。

SOC1タイプII
SOC1タイプII

当社の内部統制報告書は、業界標準 (SSAE No. 16 および ISAE No. 3402) に従って実施され、財務報告に対する当社の統制の有効性を実証しています。 これにより、クライアントとその監査人の両方に保証が提供され、サービスのセキュリティと信頼性が保証されます。

レポートのリクエスト

SOC2タイプII
SOC2タイプII

InCountryは、AICPA Trust Service Principles(TSP)とCriteriaに基づいてSOC 2 Type II(Service Organization Controls)レポートを取得し、クラウドサービスプロバイダー(CSP)に関連するセキュリティ、可用性、および機密性のTSPをカバーしています。

レポートのリクエスト

SOC 3
SOC 3

SOC 3(Service Organization Controls)レポートは、SOC 2レポートの短縮版であり、クラウドサービスプロバイダー(CSP)のコントロールについて保証したいが、完全なSOC2レポートを必要としないユーザーに適しています。 SOC 3レポートは、CSPに資格のない監査がある場合にのみ発行できます。

ダウンロード

GxP
GxP

InCountryプラットフォームのGoodClinical Practices、Good Laboratory Practices、およびGood Manufacturing Practices( “GxP”)コンプライアンスにより、検証および制御されたワークロードに対するライフサイエンス組織の要件に合わせて、安全で可用性の高いデータ配信とローカリゼーションが可能になります。 顧客は、ユーザーエクスペリエンスの向上、コストの削減、セキュリティの向上から恩恵を受けることができます。

レポートのリクエスト

PCI DSS
PCI DSS

ペイメントカード業界-データセキュリティ標準(PCI-DSS)は、クレジットカード情報の安全な取り扱いに関する業界レベルの情報セキュリティ標準です。

HIPPA
HIPPA

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、対象事業体(CE)とビジネスアソシエイト(BA)が保持する患者の健康情報に対する米国連邦政府の保護を提供します。

152-FZ
152-FZ

InCountryは、ロシアの連邦法第152号に準拠し、業界標準を満たしているだけでなく、「個人データに関する」法律の要件も満たしています。

コンプライアンスに関する意見(英語)

CSA
CSA

Security Trust Assurance and Risk(STAR)レベル2認定は、クラウドサービスプロバイダーのセキュリティに関する厳格なサードパーティの独立した評価です。 この認定は、ISO / IEC 27001:2013マネジメントシステム標準の要件とCSA Cloud ControlsMatrix基準を活用しています。

ダウンロード

ISO 27001
ISO 27001

ISO/IEC 27001:2022 は、リスクベースの一連の情報セキュリティ要件であり、組織が適切に構造化された情報セキュリティ管理システム (ISMS) を備えることを要求します。 システムを維持するには、外部監査人による年次監査、継続的なリスク評価、およびシステムの継続的な改善が必要です。

ダウンロード

ISO 27017
ISO 27017

ISO / IEC 27017:2015は、クラウドコンピューティングの情報セキュリティの側面に関するガイダンスを提供し、ISO / IEC27002およびISO / IEC27001標準のガイダンスを補足するクラウド固有の情報セキュリティ管理の実装を推奨しています。 この行動規範は、クラウドサービスプロバイダーに固有の追加情報セキュリティ制御の実装ガイダンスを提供します。

ダウンロード

ISO 27018
ISO 27018

ISO / IEC 27018:2019は、クラウド内の個人データの保護に焦点を当てた行動規範です。 これは、ISO / IEC情報セキュリティ標準27002に基づいており、パブリッククラウドの個人情報(PII)に適用可能なISO / IEC27002制御の実装ガイダンスを提供します。

ダウンロード

ISO 27701
ISO 27701

ISO 27701の設計目標は、プライバシー情報管理システム(PIMS)を確立、実装、維持、および継続的に改善するために、既存の情報セキュリティ管理システム(ISMS)を追加の要件で強化することです。 この規格は、個人のプライバシー権へのリスクを軽減するためにプライバシー管理を管理するための個人情報(PII)コントローラーおよびPIIプロセッサーのフレームワークの概要を示しています。

ダウンロード

アリババクラウドと提携

SCC
SCC

個人情報の国境を越えた転送に関する標準契約条項(中国の SCC)は、中国国外への個人情報の転送に関する中国の個人情報保護法(PIPL)で指定されている 3 つのメカニズムの 1 つです。

PIPL
PIPL

中国個人情報保護法 (PIPL) は、個人情報を保護し、個人データの漏洩問題に対処することを目的とした、中国の新しいデータ プライバシー法です。

DSL
DSL

中華人民共和国のデータ セキュリティ法 (DSL) は、中国の国家安全保障への潜在的な影響に基づいて中国で収集および保存されるデータを分類し、データの分類レベルに基づいてその保存と転送を規制するためのフレームワークを確立します。

CSL
CSL

中国サイバーセキュリティ法 (CSL) は、中国のサイバースペースを保護するためのサイバーセキュリティ要件を規定しています。この法律は、中国の組織と個人の両方の法的利益と権利を保護します。

MLPS 2.0
MLPS 2.0

MLPS 2.0 シリーズ標準には、「GB/T 22239-2019 情報セキュリティ技術 – サイバーセキュリティの機密保護のためのベースライン」、「GB/T 25070-2019 情報セキュリティ技術 – サイバーセキュリティの機密保護のためのセキュリティ設計の技術要件」および「GB」が含まれます。 /T 28448-2019 情報セキュリティ技術 – サイバーセキュリティの機密保護に関する評価要件」は、中国におけるネットワークの開発、運用、保守、使用の監督に適用されます。

近日公開

プライバシー

私たちは、個人の権利、特に情報の処理および使用中のデータ保護とプライバシーを尊重し、保護します。 お客様のデータのプライバシーを保護し、不正アクセスを防止することをお約束します。 当社のプライバシーポリシーとデータ処理契約は、テクノロジー製品やマーケティングコンテンツを含むすべての成果物において当社の価値観を実行し、世界中のすべての関連法を遵守するのに役立ちます。

InCountryはそうではありません
InCountryは
ソーシャルメディアの投稿
テキストメッセージ
インスタントメッセージ
個人写真
電話ログ
プロファイルデータ
財務データ
支払いデータ
健康データ
従業員データ

デザインによるプライバシー
InCountryは顧客データにアクセスしたり販売したりしません。 あなたのデータはあなたのものです。

 

私たちの倫理的スタンス
私たちの使命は、データの所在地と保護の課題に対処することにより、企業がビジネスを新しい国に拡大するのを支援することです。 当社は、企業が規制対象データ (クレジット カード情報 (PCI)、保護医療情報 (PHI)、個人識別情報 (PII)) などの規制対象データのデータ保護要件を満たすために必要なツールと安全なストレージ サービスを提供することにより、これを実現します。 事業を行っている国。 InCountry は、サービスの運用に必要な範囲を超えて、いかなる情報も収集または保存しません。 ソーシャル メディアの投稿、テキスト メッセージ、インスタント メッセージ、個人の写真、電話のログを処理または保存することはありません。 InCountry は、最高度の倫理的価値を持ってビジネスを行うことに専念しており、規制および法的要件への準拠を維持するための専用リソースを持っています。

EU一般データ保護規則

.
欧州連合(EU)は、個人が個人データをより細かく管理できるようにするためにGDPRを可決しました。 GDPRは、PIIの処理に関してより多くのルールを課し、強力な施行が付属しています。 GDPRへの準拠を維持するために重要な戦略的リソースを投資し、お客様が概説されているプロセスとポリシーに準拠できるよう支援することも目指しています。

データ保護およびプライバシー契約

.
InCountryのプライバシーポリシーでは、InCountryが収集するデータの種類、このデータの使用方法と保護方法、顧客データの保持期間、およびデータの使用に関する顧客の権利について説明しています。 当社のポリシーにより、関連するプライバシーおよびデータ保護法を遵守することができます。 また、個人データの処理とアクセスの要件を定義し、明確な責任と組織構造を確立します。 これは、ユーザーのデータが安全に保護されていることを意味します。

内部データ保護

.
InCountryの従業員は、高レベルのデータプライバシー意識を確保するために、定期的にトレーニングとテストを行っています。 内部チームは、適切なレベルのデータ保護を維持し続けることができるかどうかを確認するために、プライバシーおよびセキュリティ管理の有効性を定期的に検証します。

法執行のためのガイドライン

お客様の権利とデータのプライバシーを保護するために、当社は、お客様に通知し、法律で定められたすべての法的プロセスと手順に従った後にのみ、法執行機関または政府機関にお客様の情報を提供します。 法。

代理店または事業体が郵送または直接リクエストを送信する必要がある場合、当社の住所は次のとおりです。

2443フィルモアストリート、スイート#380-16895
サンフランシスコ、CA 94123