Security

(Last updated 23rd August, 2023)

はじめに

Statusbrew株式会社（以下、当社）は、あらゆる規模の企業がより良いマーケターとなり、顧客とのより強固な信頼関係を構築し、より情報に基づく意思決定をし、世界で最も愛されるブランドとなることのサポートを使命としています。

当社は、お客様から提供された情報を、喪失、悪用、未承認のアクセスあるいは開示から保護するため、常に組織的且つ技術的な対策を講じています。このような対策においては、当社が取集、処理、保存する情報の機密性、技術の現状、実装に伴うコスト、そして当社がおこなうデータ処理の性質、範囲、コンテキスト、目的を考慮しています。

GDPR（General Data Protection Regulations）の遵守

EUでは、2018年5月25日に一般データ保護規則（GDPR）が施行されました。当社は、安全且つ安心なインターネットのためのこれらの規則を全面的に支持しています。当社は設計段階からプライバシーを尊重し、可能な限り個人を特定できる情報を収集しないように努めています。

当社のプライバシーポリシーでは、個人を特定できる情報が必要な場合についていくつかの例を挙げています。例えば、当社サービスへログインするためのメールアドレスや、お客様のアカウントを管理するためのソーシャルネットワークのユーザーネームがそれにあたります。

当社はプライバシー・バイ・デフォルトを目指しています。当社製品が作動するためにデータが必要でない場合には、当社はデータを収集しません。これはGDPRの精神と合致しており、また幸いなことに、これまで当社ではこのようなデータ収集を数多く実践してきました。そのため、トラッキングあるいはその他を目的として、個人を特定する情報を収集するための同意を要求するバナーやフォームを見かけることがあるかもしれません。当社はこの情報が当社サービスをお客様へ提供するうえで必要不可欠なものとは考えておらず、この情報が関連するようなアクティビティーやストラテジーには関与しません。

当社では、現在使用しているすべてのサブプロセッサ―の一覧を提供しています。またそれには個人情報を共有する第三者も含まれます。

お客様におかれましては、ご自身の情報をエクスポートし内容の確認をご希望の場合には、いつでもリクエストいただくことが可能です。また、情報の削除や抹消をご希望の場合にも速やかに対応します。その場合は、support@statusbrew.comまでメールにてお問合せください。

DPA（Data Processing Addendum、データ処理契約）

当社ではGDPRのためDPA（データ処理契約）を実施しています。GDPR DPAおよびそれに関するFAQsの一部は、すべてのお客様にご利用いただけます。当社においてGDPR DPAの締結をご希望の場合には、 support@statusbrew.comまでメールにてお問合せください。当社のデータ処理契約書をお送りいたしますので、ご記入、サインのうえご返送ください。

機密保持

当社では、お客様や承認されたユーザーが当社サービスを通じて入手可能とする顧客コンテンツへアクセスできる従業員を制限するため適切に管理し、アクセス権限をもたない者による顧客コンテンツへのアクセスを防止しています。

当社の全従業員は顧客コンテンツの機密保持のに関する当社のポリシーに拘束されます。

当社の従業員は入社時およびその後の業務のなかで、セキュリティ研修を受講します。従業員は当社サービスの提供に使用されるシステムおよびサービスの機密性、完全性、可用性、そしてレジリエンスを網羅したセキュリティーポリシーを読み、各自からのサインを義務付けています。特にセンシティブな立場である従業員を採用する場合には、必要に応じて、雇用前に犯罪歴の有無のチェックもおこなっています。

データセンター

当社の製品はAmazon Web Services (AWS)でホスティングされています。 AWSは世界標準ホスティング設備を提供しています。安全性、可用性、冗長性に優れ、CSA（ Cloud Security Alliance）のSTAR Level２、ISO 9001、27001、 27017、 27018、PCI DSS（Payment Card Industry Data Security Standard）Level1、SOC（System and Organization Controls）1、2、3に準拠しています。AWSの証明書やコンプライアンスプログラムの詳細は、 https://aws.amazon.com/compliance/programsをご確認ください。

顧客情報は、AWSの米国東部（us-east-1 region）にホストされています。当社はEU諸国やスイスからの個人情報の転送についてプライバシーシールドより承認されており、これはGDPRに準拠しています。 AWSデータセンターは世界規模の物理的なホスティング機能を誇ります。建物には、温度や湿度を監視・管理する機能、水害の自動検知・除去機能、火災の自動検知・抑制機能が備わっています。複数の電力供給、無停電電源装置（UPS）、その他発電機など、様々な種類の電力コンビネーションにより電力のバックアップが可能になっています。

アプリケーションセキュリティ

当社のデベロッパーは年に一度、セキュアコーディングに関する研修を受講しています。すべてのアプリケーションコードは、当社の従業員によって書かれており、いかなる変更もピアレビューを経ています。セキュリティの脆弱性は緊急に対処され、即座に修正されます。

データ暗号化
当社では、転送中のすべてのトラフィックを暗号化するため、最新の業界標準の安全な暗号スイートとプロトコルをサポートしています。当社は現在、メインのWEBサイトおよびクレジットカード情報を受信するすべてのページでTLS 1.2のみをサポートしています。

顧客コンテンツは、コンテンツの性質や関連するリスクに応じて、それが適切な場合には、保存される際にも暗号化されます。当社が処理する情報は、すでにどこか他の場所で公開されている情報がほとんどであるため、プライバシー上のリスクは伴いません。

当社は、変化めまぐるしい暗号化の現状を注視し、新たな暗号化の弱点に対処できるよう、当社サービスをアップグレードし、進化するベストプラクティスを実装できるよう商業的に合理的な努力をおこないます。

二要素認証
二要素認証を追加することで、お客様の当社サービスアカウントの保護がより一層高まります。お客様がご自身のアカウントへログインする際は必ず、認証情報を入力後、ご自身のスマートフォンにGoogleオーセンティケータ―のアプリに届く認証コードを追加で入力いただく必要があります。この二段階認証を追加いただくことで、当社はお客様だけがご自身のアカウントへログインすることを保証します。

シングルサインオン(SSO)
当社はシングルサインオン（SSO）を提供しています。SSOとは、一度のログイン認証で複数のアプリケーションへのアクセスを可能とする技術です。SSOは円滑で一貫性のあるアカウント保護とユーザー体験をもたらします。従業員のアクセス権限に変更がある場合、ネットワーク管理者は、該当するユーザー関連するアカウントをデータベースを通して簡単に無効にすることが可能です。

第三者によるペネトレーション（侵入）テスト
当社は、年に数回のペネトレーション（侵入）テストを実施するため、複数のペネトレーションテスト会社と契約しています。

PCI DSS（Payment Card Industry Data Security Standard）
クレジットカードによる支払処理の際、当社ではPCI DSSに準拠した第三者の企業を利用しています。当社では、お客様のクレジットカード情報を保存、転送または処理することはありません。当社においては、処理済みのトランザクションとして識別される匿名のトークンとして保存されるにとどまります。

製品セキュリティ機能

セキュア認証ストレージアカウントのパスワードは、最新の強固なアルゴリズムおよびアプローチを伴ってソルト化およびハッシュ化され、定期的に監視されます。当社の従業員を含め人間ではパスワードを確認することはできません。もしお客様が当該パスワードを失念なさった場合、復元することはできず、リセットされます。

ブルートフォース攻撃からの保護

計算的に難しいハッシュに加えて、当社の認証サービスは追加のレート制限保護とReCAPTCHAを導入しています。

承認ワークフロー
アカウントオーナーおよび管理者が、承認ワークフローにおける一部のアクティビティを制限する場合があります。これにより、公開されるアクションについては中央の意思決定者によって確認および管理されているという安心感をもたらし、チームの間でタスクの分担が可能になります。

アクセス許可
アカウントオーナーおよび管理者は、アカウントのユーザーごとにその権限を細かく設定することで、プロファイル、機能、アクション（含む、読む・書く）およびその他の情報へのアクセスを権限することが可能です。

メール署名
当社では、送信されたメールが間違いなく当社からのメールであることを確認するため、Sender Policy Framework (SPF) およびDomainKeys Identified Mail (DKIM) を導入し、なりすましを防止し、信頼性を確かなものとしています。

脆弱性開示ポリシー

当社では、お客様および当社サービスのセキュリティ基準を最高水準で維持するため、外部のセキュリティリサーチが重要な役割を果たすと考えています。また、当社のユーザーおよびシステムの安全に関する取り組みの一部として、当社は我々のプラットフォームや設備で発見されたいかなる脆弱性も責任ある報告がなされることを奨励しています。本ポリシーはそうした脆弱性を報告するためのガイドラインであり、それらに対処する当社の取り組みの概要です。

オーソリゼーション

お客様がセキュリティリサーチにおいて本ポリシーを遵守し、誠意をもって努力いただいた場合、当社はお客様のリサーチを承認し、当該問題の速やかな理解ならびに解決のためお客様と協力し、また、当社はお客様のリサーチに関し法的な措置を推奨あるいは求めることはありません。本ポリシーに従ってとられた行動について、第三者がお客様に対し法的措置を開始した場合、当社はこの承認について周知します。

ガイドライン

本ポリシーにおいて「リサーチ」とは次のことを意味します。

セキュリティに関し、実際のあるいは潜在的な問題を発見した後、速やかに当社へ知らせること
適宜お客様からのレポートの受領について通知すること
プライバシー違反、ユーザーエクスペリエンスの劣化、製品システムの破壊、データの破壊あるいは不正操作を防ぐためあらゆる努力をおこなうこと
脆弱性の存在を確認するためにのみ、必要な範囲でエクスプロイトを使用すること（データ侵害や流出、持続的なコマンドラインアクセスの確立、他のシステムにピボットするためにエクスプロイトを使用することは禁止します）
脆弱性の公開を求める場合には、公開前に問題を解決するための合理的な時間を当社へ提供すること
質の低いレポートを大量に提出することはしないでください

脆弱性が存在することを確認した場合、あるいは個人を特定できる情報や、財務情報、独自の情報や企業秘密などを含むセンシティブ情報に遭遇した場合には、直ちにテストを中止し、直ちに当社へ通知しなくてはなりません。また、当該データの公開を禁じます。

範囲

本ポリシーは次のシステムおよびサービスに適用されます。

上記以外のサービスについては、接続されているサービスも含めて対象範囲から除外され、テストは許可されていません。

Statusbrewは、Facebook、Google、LinkedInといったソーシャルネットワークから提供されるAPIに大きく依存しているため、ソーシャルネットワークへのアクセス要求をおこなう機能は対象範囲外であり、テストは許可されていません。例えば、Statusbrewのエンゲージツールを用いたコメントやメッセージへの返信、予約プランナーを用いたコンテンツ投稿などは対象の範囲外です。

当社は様々なオンラインシステムやサービスを運用・管理していますが、調査や検証の実施は、この文書の範囲内で述べられているものに限るようお願いいたします。もしも対象外のシステムで調査が必要と思われる場合には、当社に事前にご相談ください。当社は本ポリシーの対象範囲を段階的に拡げることを考えています。

なお、当社のベンダーから提供されたシステムにおいて脆弱性が発見された場合、本ポリシーの対象外となり、当該ベンダーの公開ポリシーがある場合には、それに従って当該ベンダーへ直接報告してください。

認められないリサーチ方法

当社では、次の種類のリサーチを認めていません。

ネットワークサービス拒否（DoSまたはDDoS）のテスト、またはシステムやデータへのアクセスを弱めたりダメージを与えるその他のテスト
物理的なテスト（例：MS Accessへの攻撃、バックドア攻撃、テールゲート攻撃）やソーシャルエンジニアリング（例：フィッシング、ビッシング）、その他の非技術的な脆弱性テスト
所有権がないデータへのアクセスやデータ取得を試みること
不要な、または不正メールやスパム、その他の種類の迷惑通信の配信、また配信を試みること
当社サービスに接続している外部のウェブサイト、アプリケーション、サービスでのテスト実施
ウイルスやマルウェアなどの悪意あるソフトウエアを故意に送信、アップロード、リンク、転送、保存すること
未成年者、制裁リストに記載がある者、制裁リストに記載されている国の居住者によって実施されたテスト

Exclusions from Eligibility

Please be aware that Statusbrew does not recognize the following as qualifying vulnerabilities for this program:

Third-Party/Open Source Component Vulnerabilities: Issues within components not owned by Statusbrew.
Distributed Denial of Service (DDoS): Attacks intended to disrupt service through high traffic.
Social Engineering/Phishing Issues: Tactics that manipulate individuals into disclosing confidential information.
Email Bomb/Flooding: Overwhelming an email system with a high volume of messages.
Unvetted Automated Scanner Findings: Results from automated tools that have not undergone manual verification.
Exposure of Server or Software Versions: Mere disclosure of software or server versions.
Password Strength or Policy Issues: Concerns regarding the strength or guidelines of password policies.
Exploits Requiring Jailbroken or Rooted Devices: Security flaws that only present on compromised devices.
Self-Exploitation Attacks: Vulnerabilities exploitable only by the user against themselves.
Outdated Browser Exploits: Issues only affecting older, unsupported browser versions.
Subresource Integrity Checks: Absence of subresource integrity validation.
Header Misconfigurations or Missing Security Headers: Issues with headers that lack proof of exploitability against a remote victim.
Similar Unclaimed Social Media Accounts, Links, or Domains: Unclaimed digital assets that resemble Statusbrew’s official channels.
DMARC/SPF Issues: Problems related to email sender verification.
TLS/SSL Version Concerns: Issues solely related to the versions of TLS/SSL used.

How to Report a Security Vulnerability

If you believe you have found a security vulnerability in any of our services, we ask that you report it to us as follows:

Secure Communication: Please send your findings via encrypted email to security@statusbrew.com or using this form. Ensure that your report includes a detailed description of the issue, including such information as the URL or the component where the vulnerability exists, and any supporting material like screenshots, proof of concept, or tools used.
Information to Include: Description of the location and potential impact of the vulnerability. A detailed description of the steps required to reproduce the vulnerability (Proof of Concept scripts or screenshots are helpful). Your contact information.
What to Expect: Acknowledgment of your report within 10 business days. Regular updates about our progress. Notification when the issue is resolved.

Kindly refrain from making these details public without obtaining explicit written permission from Statusbrew. When reporting potential vulnerabilities, ensure you provide sufficient details to enable us to replicate your actions and respond accordingly.

Safe Harbor

When you follow this policy in reporting an issue to us, Statusbrew will work with you to understand and resolve the issue quickly. We will not initiate legal action against you or administrative or legal complaints to law enforcement. We ask in return that:

You provide us a reasonable amount of time to resolve the issue before disclosing it publicly.
You make a good faith effort to avoid privacy violations, destruction of data, and interruption or degradation of our service during your research.

Rewards

While we do not currently offer a paid bug bounty program, Statusbrew values contributions by the security community. Recognition and rewards for such contributions may vary and are at the discretion of our security team based on the severity and creativity of the vulnerability reported.

Contact Information

For any inquiries or further information regarding security at Statusbrew, please contact security@statusbrew.com.