ThoughtSpotトラストセンター

ビジネスパートナーシップを成功させるには、信頼が何よりも重要です。
だからこそThoughtSpotは、セキュリティー、プライバシー、コンプライアンスを最優先事項としています。


カスタマーコントロール

ユーザーと役割、セキュリティー機能、検索可能なデータセットについて独自のポリシーを設定できます。
もっと詳しく

最大限のセキュリティーアーキテクチャー

ThoughtSpot Cloudのアーキテクチャーは、最大限のデータセキュリティーを実現するために基礎から設計されています。
もっと詳しく

ガバナンス、リスク、コンプライアンス

ThoughtSpotは、業界標準の規制を遵守し、定期的にリスク評価を実施しています。
もっと詳しく

コーポレートセキュリティー

ThoughtSpotの手順、プロセス、データセンターによってお客様のデータは常に安全に保たれます。ご安心ください。
もっと詳しく

プライバシー

データプライバシー規制を遵守した、安全性の高い顧客データ管理ポリシーを適用しています。
もっと詳しく

ポリシーと規約

ThoughtSpotのポリシーと法的規約では、データセキュリティーとプライバシーに対する弊社の取り組み基準を定めています。
もっと詳しく

カスタマーコントロール

ThoughtSpot Cloudには、お客様のデータガバナンスポリシーとアク
セスルールを施行するためのコントロールが備わっています。

データ接続

データを移動せずに、ご利用のデータウェアハウスに接続してライブクエリーを実行できます。

データの選択

関連性の高いソースデータテーブルと列のみを選択し、分析に使用できます。

権限

ユーザー、役割、権限ごとに、異なるアクセス権と実行可能なアクションを割り当てることができます。

コンテンツの共有

コンテンツを共有するためのユーザー権限を割り振り、必要に応じて、以前に共有したコンテンツへのアクセス権を取り消すことができます。

データセキュリティールール

オブジェクト/列/行レベルの詳細なセキュリティールールを設定して、ユーザーが閲覧可能な内容を制御できます。

データの削除

更新版のピンボードや回答で不要になるデータは、先を見越して削除されます。


最大限のセキュリティーアーキテクチャー

データの安全性は最優先事項です。

テナントの分離

テナントを完全に分離することでデータ漏えいを防ぎ、不正アクセスから保護します。

ゼロトラストポリシー

複数のサービスが共通の攻撃ベクトルを監視および検出し、攻撃から保護します。

データ暗号化

AES 256ビット暗号化と各ユーザーに固有の鍵を利用して、保存時および送信時のデータ暗号化を包括的にサポートします。

AWSクラウドインフラストラクチャー

ThoughtSpot Cloudは、業界で最もセキュリティーの強固な AWS のクラウドインフラストラクチャーで動作します。

ソース側での分析

ご利用のデータウェアハウスにデータを格納したまま、データベース内でクエリーがライブ実行されます。データ移動は一切不要です。

データガバナンス

オブジェクト/テーブル/列/行レベルの詳細なアクセスルールにより、ユーザーが閲覧可能な内容が制御されます。ユーザーが実行可能なアクションは、権限によって決まります。

認証

ThoughtSpotは多要素認証、LDAPをサポートしており、SAMLによってさまざまなアイデンティティープロバイダーと連携します。

アクティビティー監査ログ

ユーザーログインとアクティビティーのログにアクセスできます。これらのログはセキュリティー保護され、異常がないか監視されます。

管理者アクセス

ThoughtSpotの従業員のアクセス権限は、最小権限によるアクセスの原則で職務要件に基づいて適用されており、雇用終了時に取り消されます。権限資格は半年ごとに見直されます。

インフラストラクチャーアクセス

インフラストラクチャーアクセスには、適切なユーザーアカウントと権限の管理が含まれ、セキュアVPN接続、2要素認証、複雑なパスワード、アカウントのロックアウトルールの使用が義務付けられています。

サポートコントロール

ThoughtSpotは、お客様が必要とする方法でサポートを提供します。弊社のサポートチームに与えるアクセスレベルや、弊社へのお問い合わせ方法は、お客様側で決定していただけます。

アカウントの終了

契約終了時、契約期間満了時、またはオーダーフォームを受け付け次第、テナントインスタンスとともにすべてのデータが削除されます。


ガバナンス、リスク、コンプライアンス

ThoughtSpotは、業界標準の規制を遵守し、定期的にリスク評価を実施しています。

ISO 27001認証

ISO/IEC 27001:2013認証は、セキュリティーマネジメントのベストプラクティスと、情報セキュリティーマネジメントシステム(ISMS)の確立、実施、維持、および継続的な改善を行うための統制を定めたもので、組織が保有する情報資産の安全性を高めることを目的としています。これは、ThoughtSpotのISMSがセキュリティーの脅威の変化に合わせて調整されていることを認証するものであり、このような調整は、急速に変化するITセキュリティーの分野で不可欠なものです。ThoughtSpotでは、毎年の継続審査のほか、3年ごとに更新審査を受けています。ThoughtSpotの認証については、 こちら を参照してください。

SOC 2、SOC 3

ThoughtSpotは、Service Organization Control (SOC) 2 Type II監査に問題なく合格しています。SOC 2報告書では、ThoughtSpotの情報セキュリティープラクティス、ポリシー、手順、オペレーションの設計および運用有効性が、セキュリティー、可用性、機密性の各基準を満たすのに適切であることが証明されています。

ThoughtSpotは、AICPAが定めるTrustサービスのセキュリティー、可用性、処理の整合性、
秘密保持の原則と規準を満たしています。それを示すSOC 3の一般公開報告書は こちら から入手できます。

HIPAAの遵守

ThoughtSpotは1996年の医療保険の携行性と責任に関する法律(HIPAA)を遵守しており、機密データへのアクセス制限と患者情報の保護を実施しています。必要に応じて、ThoughtSpotビジネスアソシエート補足契約書を締結することも可能です。ThoughtSpot Analytics Cloudで利用可能なセキュリティーコントロールが、セキュリティーとプライバシーに関するHIPAA上の要件にどのように対応しているかについては、 Security Infrastructure and HIPAA White Paper を確認してください。

Payment Card Industryデータセキュリティー基準

ThoughtSpotは、いかなるクレジットカード保有者情報についても自身で保管および処理することはなく、Payment Card Industryデータセキュリティー基準(PCI DSS)に記載されているとおり、プロセサー、加盟店、およびサービスプロバイダの資格がありません。ThoughtSpotはPCI-DSSの対象に属しませんが、私たちの既存のセキュリティープログラムはPCI-DSSの関連事項の多くに既に対応しています。私たちは、セキュリティープログラムとセキュリティープロセスを進化させることに伴い、コンプライアンス取得による利点の評価を続けます。ThoughtSpotの構成と使用方法はお客様の責任であるため、PCI-DSS(およびセキュリティーとプライバシー全般)はThoughtSpotとお客様の間の共同責任です。

リスク管理

ThoughtSpotでは、リスクガバナンスプログラムの一環として情報セキュリティーリスク評価を実施し、セキュリティープログラムの有効性を定期的にテストおよび評価しています。これらの評価では、リスクの影響を認識および評価します。それにより、リスク低減/緩和戦略を実施して、新しい/進化するセキュリティーテクノロジーや、業界標準プラクティスの変更、変化するセキュリティー脅威に対処します。このリスクプログラムは、独立した第三者による監査を年1回受けています。

脆弱性管理

ThoughtSpotでは、セキュリティーリスク評価を四半期ごとに1回実施して、情報資産に対する脅威の評価、潜在的な脆弱性の判別、改善措置を行っています。既知の脆弱性に対処するため、ソフトウェアパッチが定期的にお客様のインスタンスに導入されます。

ベンダーの脆弱性管理

ソフトウェアの脆弱性が判明し、ベンダーのパッチによって対処される場合は、ThoughtSpotがそのパッチを当該ベンダーから入手し、必ずすべての実動システムでパッチをテストし、インストールしても安全であることを判断してから、その時のThoughtSpotの脆弱性管理/セキュリティーパッチ管理の標準運用手順に従って、適切な期間内にパッチを適用します。

クラウドセキュリティーアライアンス(CSA)STARアセスメント

セキュリティー、信頼性、確実性、およびリスク(STAR)レジストリは、一般的なクラウドコン
ピューティングサービスで実施されているセキュリティーとプライバシーのコントロールについ
て記録している公開レジストリです。STARは、クラウドコントロールマトリックス(CCM)に記載される透明性、厳格な監査、基準の調和という主要原則を包含しています。ThoughtSpotは、CSAのConsensus Assessments Initiative Questionnaire(CAIQ)を提出しており、定期的に更新してい ます。CAIQは、 こちらからダウンロード できます。

脆弱性のご報告

脆弱性などのセキュリティー上の懸念がある場合は、件名に「Security Vulnerability(セキュリティーの脆弱性)」と入力して、 [email protected] までメールでご連絡ください。

お客様からのご報告にできる限り効果的かつ効率的にお答えするため、問題を裏付ける情報や、その問題を再現するための明確で簡潔なステップがございましたらご提供ください。これらの情報は、弊社がその脆弱性の性質や深刻度を把握するのに役立ちます。

ThoughtSpotはお客様からのご報告に直ちに対応し、ご報告いただいたセキュリティー問題の調査および対処の進捗状況を逐次お知らせいたします。弊社は、お客様からご報告を受けたことを速やかに確認し、今後取るべきステップをまとめます。初期調査が完了したら、調査結果とともに問題解決のプランをお客様にお伝えいたします。

なお、ThoughtSpotは、手段の自動/手動を問わず、弊社のインフラストラクチャーに対する能動的侵入、攻撃、調査の試みを一切許容しません。


コーポレートセキュリティー

ThoughtSpotの手順、プロセス、データセンターによってお客様のデータは常に安全に保たれます。

安全なデータセンター

ThoughtSpotの最新のクラウドデータセンターは、拡張性や融通性に対応するよう設計されています。

最大限のセキュリティー

ThoughtSpotの従業員、資産、データを保護するため、ThoughtSpotの建物と業務スペースは無許可で立ち入れないようセキュリティー対策が施されています。最大限のセキュリティーを確保するため、業務上ThoughtSpotの施設に立ち入る必要があるThoughtSpotの従業員、請負業者および第三者はすべて、セキュリティー要件に従う必要があります。

冗長構成

ThoughtSpotのデータセンターは、サービスレベルを維持するとともに、障害を予測し、障害に耐えられるよう設計されています。障害発生時には、影響を受けるエリアから自動プロセスでトラフィックが移行されます。また、障害が発生していないサイト間でトラフィックを負荷分散できるだけの十分なキャパシティーがあります。

可用性

重要なシステムコンポーネントは、分離された複数のロケーションでバックアップされており、 高い信頼性で独立して稼動するよう設計されています。障害回復性の高いシステムにより、最高レベルのサービス可用性を実現し、障害発生時にはお客様が非常に短い目標復旧時間(RTO)と目標復旧時点(RPO)を達成できるようにします。

キャパシティー計画

可用性に対する弊社の取り組みと要件をサポートするため、サービスの利用状況は常にモニタリングされています。また、キャパシティー計画モデルと照合してサービスの利用状況が少なくとも月1回測定されます。このモデルは、将来的な需要計画をサポートするものであり、情報処理、通信、監査ログの保管などの考慮事項も加味しています。

安全なスタッフ

セキュリティー制御とプライバシー制御を遵守するため、ThoughtSpotの従業員は適切な審査とトレーニングを受けています。

アクセス

データセンターへのアクセスを必要とする従業員はすべて、まずアクセス権を申請し、業務上の正当な理由を示す必要があります。これらのリクエストは最小権限の原則に基づいて承諾され、レビューが行われます。

経歴調査

ThoughtSpotでは該当する法律および規制に従い、全従業員を対象に、業務要件、アクセスする情報の機密性、ThoughtSpotの経歴調査ポリシーに従って考えられるリスクに比例した経歴調査を実施しています。

セキュリティートレーニング

ThoughtSpotでは、従業員が過度のリスクを生じさせないよう、セキュリティートレーニングを実施しています。従業員は、雇用開始後の妥当な時期、およびそれ以降は四半期ごとに1回、情報セキュリティートレーニングを修了する必要があります。ThoughtSpotでは、セキュリティートレーニングの出席記録とトレーニング資料のコピーを保持し、必ず従業員が適切にトレーニングを修了してから、システムへのアクセス権が付与されるようにしています。

お客様のデータのセキュリティー

ThoughtSpotは、お客様のデータのセキュリティーとプライバシーを特に重視しています。

暗号化

弊社のデータセンターと各地域を相互接続するグローバルネットワークを通るデータはすべて、 セキュリティー保護された弊社施設から出る前に、自動的に暗号化されます。ThoughtSpotはAWS提供のツールを使用して、送信時と保存時にデータを容易に暗号化し、許可されたユーザーしかデータにアクセスできないようにしています。暗号鍵はAWS Key Management Service(KMS)またはFIPS 140-2 Level 3認定HSMを使用したCloudHSMで管理されます。

データロケーション

ThoughtSpotでは、お客様が地域および現地のデータプライバシー法規制に従うために必要な制御と可視化を行うことができます。AWSグローバルインフラストラクチャーの設計により、お客様はデータが物理的に置かれている地域に対して完全な制御を維持できるため、データの保存要件を満たすのに役立ちます。

行レベルのセキュリティー

行レベルのセキュリティー(RLS)により、グループのアクセス権をテーブル行にまで絞って制限することができます。ルールが定義された後、グループメンバーが検索や回答表示などのデータ処理を行うと、ThoughtSpotがそのユーザーのアクセスをルールと照合して評価し、制限対象のデータが表示されないようにします。そのため、ユーザーは許可されているデータしか閲覧できません。

安全なソフトウェア開発ライフサイクル

ThoughtSpotでは、OWASP Top Tenなどの業界標準プラクティスに沿った、安全なアプリケーション開発ポリシーと手順を維持しています。安全なアプリケーション設計と開発を担当するスタッフは全員、ThoughtSpotの安全なアプリケーション開発プラクティスに関する適切なトレーニングを受けています。ThoughtSpotでは、静的および動的なテストとコード分析を組み合わせて、各リリースの前に優先度の高い脆弱性問題にすべて対処しています。


プライバシー

データプライバシー規制を遵守した、安全性の高い顧客データ管理ポリシーを適用しています。

GDPRの遵守

ThoughtSpotはEUの一般データ保護規則(GDPR)を完全に遵守しています。ThoughtSpotのデータ処理補足契約書には、EU承認済みのデータ移転メカニズム、つまり欧州委員会が定める標準 契約条項が盛り込まれています。お客様が弊社のサービスを利用してEU内の個人データを移転す る際には、これらの保護基準に従ってください。GDPRの詳細については、 こちら を参照してくだ さい。該当する各ThoughtSpot SaaSアプリケーション向けに、個人データの処理が承認されている サブプロセッサーのリストは、 こちら から確認できます。

プライバシーシールド

ThoughtSpotでは、欧州司法裁判所の判決(Case C-311/18)を踏まえ、個人データの移転に関してEU・米国間プライバシーシールドを法的根拠としていませんが、プライバシーシールドに規定されるセキュリティーとプライバシーに関する原則に引き続き取り組むとともに、プライバシーシールドの要件に対する自己認証を継続的に行っています。ThoughtSpotによるプライバシーシールドの継続的な遵守については、 プライバシーシールドのWebサイト および ThoughtSpotのプライバシーシールドに関するポリシー を参照してください。

プライバシーステートメント

ThoughtSpotのWebサイトを介して、弊社の製品や関連サポートおよび専門サービスの購入および使用に関連して、および、登録者や出席者から情報を収集する弊社主催のイベントに関連して得られる個人情報の収集、使用、開示は、ThoughtSpotの プライバシーステートメント に従って行われます。

クッキーに関するポリシー

ThoughtSpotでは、セッション型と永続型の両方のクッキーを使用します。セッション型クッキーは、Webセッション中にのみ存在し、インターネット・ブラウザーを閉じると有効期限が切れます。永続型クッキーは、お客様が手動で削除するまで、またはクッキーで指定された期間に基づいてブラウザーが削除するまで、ブラウザーのサブフォルダーに保持されます。

Schrems II事件後における個人データの越境移転

欧州司法裁判所による2020年7月16日の判決(C-311/18。いわゆる「Schrems II」事件)に従い、ThoughtSpotは、EEAまたはスイスから米国への越境データ移転に関して、EU・米国間およびスイス・米国間プライバシーシールド認証を法的根拠とすることを取りやめています。弊社は、2020年7月16日以前に当該認証に依拠して米国に移転されたすべての個人情報について、EU・米国間およびスイス・米国間プライバシーシールドの原則を引き続き遵守します。

ThoughtSpotは、EU法の適用対象となる個人データをお客様およびサブプロセッサーから、またお客様およびサブプロセッサーに移転するにあたり、移転機構として標準契約条項を使用します。Schrems II事件の判決およびEU監督機関による関連ガイダンスに従い、ThoughtSpotでは、特定の移転にあたり、標準契約条項の使用と併せて、適切と思われるさまざまな技術的および組織的保護措置を実施しています。Schrems II事件の判決に対するThoughtSpotの対応については、 こちら を参照してください。

お客様のデータの不販売

ThoughtSpotがお客様のデータを販売することはありません。また、広告目的でお客様のデータをマイニングすることも、データにアクセスすることもありません。また、ThoughtSpotでは、ThoughtSpotの従業員や検証済みの認定請負業者が業務上必要な場合以外お客様のデータにアクセスしないことを契約で義務付けています。


ポリシーと規約

ThoughtSpotの企業ポリシーと法的規約では、データセキュリティーとプライバシーに対する取り組み基準を定めています。

プライバシーステートメント

ThoughtSpotでは、ブラウザークッキーの使用を含め、お客様やユーザーのプライバシー保護に努めています。

クッキーに関するポリシー

このポリシーでは、ThoughtSpotのWebサイト上で情報収集ツールを使用して、自動的手段で弊社が収集する情報について説明しています。

サブスクリプションおよびライセンス契約書

このページには、サブスクリプション登録者(サブスクライバー)およびライセンス取得者(ライセンシー)に対するThoughtSpotの義務事項が記載されています。

データ処理補足契約書

ThoughtSpotがGDPRに従ってお客様のデータを取り扱えるようにする際には、データ処理補足契約書(DPA)に副署して、ThoughtSpotに追加の契約義務を課すことができます。

人身売買および奴隷制度反対の取り組み

ThoughtSpotは倫理的かつ責任ある行動に努めており、強制労働に断固反対しています。

サードパーティーのソフトウェアライセンス

ThoughtSpotは、サードパーティーライセンスの帰属要件に従っています。