ThoughtSpotトラストセンター

ビジネスパートナーシップを成功させるには、信頼が何よりも重要です。だからこそThoughtSpotは、セキュリティー、プライバシー、コンプライアンスを最優先事項としています。


カスタマーコントロール

ユーザーと役割、セキュリティー機能、
検索可能なデータセットについて
独自のポリシーを設定できます。
もっと詳しく

最大限のセキュリティーアーキテクチャー

ThoughtSpot Cloudのアーキテクチャーは、
最大限のデータセキュリティーを実現するために
基礎から設計されています。
もっと詳しく

プライバシーとコンプライアンス

データプライバシー規制を遵守した、
安全性の高い顧客データ管理ポリシー
を適用しています。
もっと詳しく

コーポレートセキュリティー

ThoughtSpotの手順、プロセス、データセンターによって
お客様のデータは常に安全に保たれます。
ご安心ください。
もっと詳しく

ガバナンスとレポート作成

ThoughtSpotでは定期的に
リスク評価を実施し、
責任ある情報開示プログラムを施行しています。
もっと詳しく

ポリシーと規約

ThoughtSpotのポリシーと法的規約では、
データセキュリティーとプライバシーに対する
弊社の取り組み基準を定めています。
もっと詳しく

カスタマーコントロール

ThoughtSpot Cloudには、お客様のデータガバナンスポリシーとアクセスルールを施行するためのコントロールが備わっています。

Data connectivity

Connect to the data warehouses of your choice to run live queries without moving your data.

データの選択

関連性の高いソースデータテーブルと列のみを選択し、分析に使用できます。

権限

ユーザー、役割、権限ごとに、異なるアクセス権と実行可能なアクションを割り当てることができます。

コンテンツの共有

コンテンツを共有するためのユーザー権限を割り振り、必要に応じて、以前に共有したコンテンツへのアクセス権を取り消すことができます。

データセキュリティールール

オブジェクト/列/行レベルの詳細なセキュリティールールを設定して、ユーザーが閲覧可能な内容を制御できます。

データの削除

更新版のピンボードや回答で不要になるデータは、先を見越して削除されます。


最大限のセキュリティーアーキテクチャー

データの安全性は最優先事項です。

テナントの分離

テナントを完全に分離することで
データ漏えいを防ぎ、不正アクセスから保護します。

ゼロトラストポリシー

複数のサービスが共通の攻撃ベクトルを監視および検出し、攻撃から保護します。

データ暗号化

AES 256ビット暗号化と各ユーザーに固有の鍵を利用して、保存時および送信時のデータ暗号化を包括的にサポートします。

AWSクラウドインフラストラクチャー

ThoughtSpot Cloudは、業界で最もセキュリティーの強固なAWSのクラウドインフラストラクチャーで動作します。

ソース側での分析

ご利用のデータウェアハウスにデータを格納したまま、データベース内でクエリーがライブ実行されます。データ移動は一切不要です。

データガバナンス

オブジェクト/テーブル/列/行レベルの詳細なアクセスルールにより、ユーザーが閲覧可能な内容が制御されます。ユーザーが実行可能なアクションは、権限によって決まります。

認証

ThoughtSpotは多要素認証、LDAPをサポートしており、SAMLによってさまざまなアイデンティティープロバイダーと連携します。

アクティビティー監査ログ

ユーザーログインとアクティビティーのログにアクセスできます。これらのログはセキュリティー保護され、異常がないか監視されます。

管理者アクセス

ThoughtSpotの従業員のアクセス権限は、最小権限によるアクセスの原則で職務要件に基づいて適用されており、雇用終了時に取り消されます。権限資格は半年ごとに見直されます。

インフラストラクチャーアクセス

Iインフラストラクチャーアクセスには、適切なユーザーアカウントと権限の管理が含まれ、セキュアVPN接続、2要素認証、複雑なパスワード、アカウントのロックアウトルールの使用が義務付けられています。

サポートコントロール

ThoughtSpotは、お客様が必要とする方法でサポートを提供します。弊社のサポートチームに与えるアクセスレベルや、弊社へのお問い合わせ方法は、お客様側で決定していただけます。

アカウントの終了

契約終了時、契約期間満了時、またはオーダーフォームを受け付け次第、テナントインスタンスとともにすべてのデータが削除されます。


プライバシーとコンプライアンス

ThoughtSpotの顧客データ管理ポリシーは、
データプライバシー規制を遵守しています。

GDPRの遵守

ThoughtSpotはEUの一般データ保護規則(GDPR)を完全に遵守しています。ThoughtSpotのデータ処理補足契約書には、EU承認済みのデータ移転メカニズム、つまり欧州委員会が定める標準契約条項が盛り込まれています。お客様が弊社のサービスを利用してEU内の個人データを移転する際には、これらの保護基準に従ってください。GDPRの詳細については、こちらを参照してください。

プライバシーシールドおよび国際的なデータ移転

ThoughtSpotは、EU米国間プライバシーシールドおよびスイス米国間プライバシーシールの各フレームワークの認定を受けており、EUおよびスイスと米国との間での個人データの移転に関するデータ保護要件に従っています。

HIPAAの遵守

ThoughtSpotはHIPAAを遵守しており、機密データへのアクセス制限と患者情報の保護を実施しています。必要に応じて、ThoughtSpotビジネスアソシエート補足契約書を締結することも可能です。

プライバシーステートメント

ThoughtSpotのWebサイトを介して、弊社の製品や関連サポートおよび専門サービスの購入および使用に関連して、および、登録者や出席者から情報を収集する弊社主催のイベントに関連して得られる個人情報の収集、使用、開示は、ThoughtSpotのプライバシーステータスに従って行われます。

クッキーに関するポリシー

ThoughtSpotでは、セッション型と永続型の両方のクッキーを使用します。セッション型クッキーは、Webセッション中にのみ存在し、インターネット・ブラウザーを閉じると有効期限が切れます。永続型クッキーは、お客様が手動で削除するまで、またはクッキーで指定された期間に基づいてブラウザーが削除するまで、ブラウザーのサブフォルダーに保持されます。

お客様のデータは売りません

ThoughtSpotがお客様のデータを売ることはありません。また、広告目的でお客様のデータをマイニングすることも、データにアクセスすることもありません。また、ThoughtSpotでは、ThoughtSpotの従業員や検証済みの認定請負業者が業務上必要な場合以外お客様のデータにアクセスしないことを契約で義務付けています。

Payment Card Industryデータセキュリティ基準

ThoughtSpotは、いかなるクレジットカード保有者情報についても自身で保管および処理することはなく、Payment Card Industryデータセキュリティ基準(PCI DSS)に記載されているとおり、プロセサー、加盟店、およびサービスプロバイダの資格がありません。ThoughtSpotはPCI-DSSの対象に属しませんが、私たちの既存のセキュリティープログラムはPCI-DSSの関連事項の多くに既に対応しています。私たちは、セキュリティープログラムとセキュリティープロセスを進化させることに伴い、コンプライアンス取得による利点の評価を続けます。ThoughtSpotの構成と使用方法はお客様の責任であるため、PCI-DSS(およびセキュリティーとプライバシー全般)はThoughtSpotとお客様の間の共同責任です。


コーポレートセキュリティー

ThoughtSpotの手順、プロセス、データセンターによって
お客様のデータは常に安全に保たれます。

安全なデータセンター

ThoughtSpotの現代的なクラウドデータセンターは、拡張性や融通性に対応すると同時に、
無許可のアクセスやデータ損失からお客様のデータを保護するよう設計されています。

最大限のセキュリティー

ThoughtSpotの従業員、資産、データを保護するため、ThoughtSpotの建物と業務スペースは無許可で立ち入れないようセキュリティー対策が施されています。最大限のセキュリティーを確保するため、業務上ThoughtSpotの施設に立ち入る必要があるThoughtSpotの従業員、請負業者および第三者はすべて、セキュリティー要件に従う必要があります。

冗長構成

ThoughtSpotのデータセンターは、サービスレベルを維持するとともに、障害を予測し、障害に耐えられるよう設計されています。障害発生時には、影響を受けるエリアから自動プロセスでトラフィックが移行されます。また、障害が発生していないサイト間でトラフィックを負荷分散できるだけの十分なキャパシティーがあります。

利用開始について

重要なシステムコンポーネントは、分離された複数のロケーションでバックアップされており、高い信頼性で独立して稼動するよう設計されています。障害回復性の高いシステムにより、最高レベルのサービス可用性を実現し、障害発生時にはお客様が非常に短い目標復旧時間(RTO)と目標復旧時点(RPO)を達成できるようにします。

キャパシティー計画

可用性に対する弊社の取り組みと要件をサポートするため、サービスの利用状況は常にモニタリングされています。また、キャパシティー計画モデルと照合してサービスの利用状況が少なくとも月1回測定されます。このモデルは、将来的な需要計画をサポートするものであり、情報処理、通信、監査ログの保管などの考慮事項も加味しています。

安全なスタッフ

セキュリティー制御とプライバシー制御を遵守するため、
ThoughtSpotの従業員は適切な審査とトレーニングを受けています。

アクセス

データセンターへのアクセスを必要とする従業員はすべて、まずアクセス権を申請し、業務上の正当な理由を示す必要があります。これらのリクエストは最小権限の原則に基づいて承諾され、レビューが行われます。

経歴調査

ThoughtSpotでは該当する法律および規制に従い、全従業員を対象に、業務要件、アクセスする情報の機密性、ThoughtSpotの経歴調査ポリシーに従って考えられるリスクに比例した経歴調査を実施しています。

セキュリティートレーニング

ThoughtSpotでは、従業員が過度のリスクを生じさせないよう、セキュリティートレーニングを実施しています。従業員は、雇用開始後の妥当な時期、およびそれ以降は四半期ごとに1回、情報セキュリティートレーニングを修了する必要があります。ThoughtSpotでは、セキュリティートレーニングの出席記録とトレーニング資料のコピーを保持し、必ず従業員が適切にトレーニングを修了してから、システムへのアクセス権が付与されるようにしています。

お客様のデータのセキュリティー

ThoughtSpotは、お客様のデータのセキュリティーとプライバシーを特に重視しています。

暗号化

弊社のデータセンターと各地域を相互接続するグローバルネットワークを通るデータはすべて、セキュリティー保護された弊社施設から出る前に、自動的に暗号化されます。ThoughtSpotはAWS提供のツールを使用して、送信時と保存時にデータを容易に暗号化し、許可されたユーザーしかデータにアクセスできないようにしています。暗号鍵はAWS Key Management Service(KMS)またはFIPS 140-2 Level 3認定HSMを使用したCloudHSMで管理されます。

データロケーション

ThoughtSpotでは、お客様が地域および現地のデータプライバシー法規制に従うために必要な制御と可視化を行うことができます。AWSグローバルインフラストラクチャーの設計により、お客様はデータが物理的に置かれている地域に対して完全な制御を維持できるため、データの保存要件を満たすのに役立ちます。

行レベルのセキュリティー

行レベルのセキュリティー(RLS)により、グループのアクセス権をテーブル行にまで絞って制限することができます。ルールが定義された後、グループメンバーが検索や回答表示などのデータ処理を行うと、ThoughtSpotがそのユーザーのアクセスをルールと照合して評価し、制限対象のデータが表示されないようにします。そのため、ユーザーは許可されているデータしか閲覧できません。

安全なソフトウェア開発ライフサイクル

ThoughtSpotでは、OWASP Top Tenなどの業界標準プラクティスに沿った、安全なアプリケーション開発ポリシーと手順を維持しています。安全なアプリケーション設計と開発を担当するスタッフは全員、ThoughtSpotの安全なアプリケーション開発プラクティスに関する適切なトレーニングを受けています。ThoughtSpotでは、静的および動的なテストとコード分析を組み合わせて、各リリースの前に優先度の高い脆弱性問題にすべて対処しています。


ガバナンスとレポート作成

ThoughtSpotでは定期的にリスク評価を実施し、
責任ある情報開示プログラムを施行しています。

SSAE 18 SOC 2

ThoughtSpotは、Service Organization Control (SOC) 2 Type II監査に問題なく合格しています。SOC 2報告書では、ThoughtSpotの情報セキュリティープラクティス、ポリシー、手順、オペレーションの設計および運用有効性が、セキュリティー、可用性、機密性の各基準を満たすのに適切であることが証明されています。

リスク管理

ThoughtSpotでは、リスクガバナンスプログラムの一環として情報セキュリティーリスク評価を実施し、セキュリティプログラムの有効性を定期的にテストおよび評価しています。これらの評価では、リスクの影響を認識および評価します。それにより、リスク低減/緩和戦略を実施して、新しい/進化するセキュリティーテクノロジーや、業界標準プラクティスの変更、変化するセキュリティー脅威に対処します。このリスクプログラムは、独立した第三者による監査を年1回受けています。

脆弱性管理

ThoughtSpotでは、セキュリティーリスク評価を四半期ごとに1回実施して、情報資産に対する脅威の評価、潜在的な脆弱性の判別、改善措置を行っています。既知の脆弱性に対処するため、ソフトウェアパッチが定期的にお客様のインスタンスに導入されます。

ベンダーの脆弱性管理

ソフトウェアの脆弱性が判明し、ベンダーのパッチによって対処される場合は、ThoughtSpotがそのパッチを当該ベンダーから入手し、必ずすべての実動システムでパッチをテストし、インストールしても安全であることを判断してから、その時のThoughtSpotの脆弱性管理/セキュリティーパッチ管理の標準運用手順に従って、適切な期間内にパッチを適用します。

脆弱性のご報告

脆弱性などのセキュリティー上の懸念がある場合は、件名に「Security Vulnerability(セキュリティーの脆弱性)」と入力して、[email protected]までメールでご連絡ください。

お客様からのご報告にできる限り効果的かつ効率的にお答えするため、問題を裏付ける情報や、その問題を再現するための明確で簡潔なステップがございましたらご提供ください。これらの情報は、弊社がその脆弱性の性質や深刻度を把握するのに役立ちます。

ThoughtSpotはお客様からのご報告に直ちに対応し、ご報告いただいたセキュリティー問題の調査および対処の進捗状況を逐次お知らせいたします。弊社は、お客様からご報告を受けたことを速やかに確認し、今後取るべきステップをまとめます。初期調査が完了したら、調査結果とともに問題解決のプランをお客様にお伝えいたします。

なお、ThoughtSpotは、手段の自動/手動を問わず、弊社のインフラストラクチャーに対する能動的侵入、攻撃、調査の試みを一切許容しません。


ポリシーと規約

ThoughtSpotの企業ポリシーと法的規約では、
データセキュリティーとプライバシーに対する取り組み基準を定めています。

プライバシーステートメント

ThoughtSpotでは、ブラウザークッキーの使用を含め、お客様やユーザーのプライバシー保護に努めています。

クッキーに関するポリシー

このポリシーでは、ThoughtSpotのWebサイト上で情報収集ツールを使用して、自動的手段で弊社が収集する情報について説明しています。

サブスクリプションおよびライセンス契約書

このページには、サブスクリプション登録者(サブスクライバー)およびライセンス取得者(ライセンシー)に対するThoughtSpotの義務事項が記載されています。

データ処理補足契約書

ThoughtSpotがGDPRに従ってお客様のデータを取り扱えるようにする際には、データ処理補足契約書(DPA)に副署して、ThoughtSpotに追加の契約義務を課すことができます。

人身売買および奴隷制度反対の取り組み

ThoughtSpotは倫理的かつ責任ある行動に努めており、強制労働に断固反対しています。

サードパーティーのソフトウェアライセンス

ThoughtSpotは、サードパーティーライセンスの帰属要件に従っています。