ビジネスパートナーシップを成功させるには、信頼が何よりも重要です。
だからこそThoughtSpotは、セキュリティー、プライバシー、コンプライアンスを最優先事項としています。
ユーザーと役割、セキュリティー機能、検索可能なデータセットについて独自のポリシーを設定できます。
もっと詳しく
ThoughtSpot
Cloudのアーキテクチャーは、最大限のデータセキュリティーを実現するために基礎から設計されています。
もっと詳しく
ThoughtSpotは、業界標準の規制を遵守し、定期的にリスク評価を実施しています。
もっと詳しく
ThoughtSpotの手順、プロセス、データセンターによってお客様のデータは常に安全に保たれます。ご安心ください。
もっと詳しく
データプライバシー規制を遵守した、安全性の高い顧客データ管理ポリシーを適用しています。
もっと詳しく
ThoughtSpotのポリシーと法的規約では、データセキュリティーとプライバシーに対する弊社の取り組み基準を定めています。
もっと詳しく
ThoughtSpot Cloudには、お客様のデータガバナンスポリシーとアク
セスルールを施行するためのコントロールが備わっています。
データを移動せずに、ご利用のデータウェアハウスに接続してライブクエリーを実行できます。
関連性の高いソースデータテーブルと列のみを選択し、分析に使用できます。
ユーザー、役割、権限ごとに、異なるアクセス権と実行可能なアクションを割り当てることができます。
コンテンツを共有するためのユーザー権限を割り振り、必要に応じて、以前に共有したコンテンツへのアクセス権を取り消すことができます。
オブジェクト/列/行レベルの詳細なセキュリティールールを設定して、ユーザーが閲覧可能な内容を制御できます。
更新版のピンボードや回答で不要になるデータは、先を見越して削除されます。
データの安全性は最優先事項です。
テナントを完全に分離することでデータ漏えいを防ぎ、不正アクセスから保護します。
複数のサービスが共通の攻撃ベクトルを監視および検出し、攻撃から保護します。
AES 256ビット暗号化と各ユーザーに固有の鍵を利用して、保存時および送信時のデータ暗号化を包括的にサポートします。
ThoughtSpot Cloudは、業界で最もセキュリティーの強固な AWS のクラウドインフラストラクチャーで動作します。
ご利用のデータウェアハウスにデータを格納したまま、データベース内でクエリーがライブ実行されます。データ移動は一切不要です。
オブジェクト/テーブル/列/行レベルの詳細なアクセスルールにより、ユーザーが閲覧可能な内容が制御されます。ユーザーが実行可能なアクションは、権限によって決まります。
ThoughtSpotは多要素認証、LDAPをサポートしており、SAMLによってさまざまなアイデンティティープロバイダーと連携します。
ユーザーログインとアクティビティーのログにアクセスできます。これらのログはセキュリティー保護され、異常がないか監視されます。
ThoughtSpotの従業員のアクセス権限は、最小権限によるアクセスの原則で職務要件に基づいて適用されており、雇用終了時に取り消されます。権限資格は半年ごとに見直されます。
インフラストラクチャーアクセスには、適切なユーザーアカウントと権限の管理が含まれ、セキュアVPN接続、2要素認証、複雑なパスワード、アカウントのロックアウトルールの使用が義務付けられています。
ThoughtSpotは、お客様が必要とする方法でサポートを提供します。弊社のサポートチームに与えるアクセスレベルや、弊社へのお問い合わせ方法は、お客様側で決定していただけます。
契約終了時、契約期間満了時、またはオーダーフォームを受け付け次第、テナントインスタンスとともにすべてのデータが削除されます。
ThoughtSpotは、業界標準の規制を遵守し、定期的にリスク評価を実施しています。
ISO/IEC 27001:2013認証は、セキュリティーマネジメントのベストプラクティスと、情報セキュリティーマネジメントシステム(ISMS)の確立、実施、維持、および継続的な改善を行うための統制を定めたもので、組織が保有する情報資産の安全性を高めることを目的としています。これは、ThoughtSpotのISMSがセキュリティーの脅威の変化に合わせて調整されていることを認証するものであり、このような調整は、急速に変化するITセキュリティーの分野で不可欠なものです。ThoughtSpotでは、毎年の継続審査のほか、3年ごとに更新審査を受けています。ThoughtSpotの認証については、 こちら を参照してください。
ThoughtSpotは、Service Organization Control (SOC) 2 Type II監査に問題なく合格しています。SOC 2報告書では、ThoughtSpotの情報セキュリティープラクティス、ポリシー、手順、オペレーションの設計および運用有効性が、セキュリティー、可用性、機密性の各基準を満たすのに適切であることが証明されています。
ThoughtSpotは、AICPAが定めるTrustサービスのセキュリティー、可用性、処理の整合性、
秘密保持の原則と規準を満たしています。それを示すSOC
3の一般公開報告書は
こちら
から入手できます。
ThoughtSpotは1996年の医療保険の携行性と責任に関する法律(HIPAA)を遵守しており、機密データへのアクセス制限と患者情報の保護を実施しています。必要に応じて、ThoughtSpotビジネスアソシエート補足契約書を締結することも可能です。ThoughtSpot Analytics Cloudで利用可能なセキュリティーコントロールが、セキュリティーとプライバシーに関するHIPAA上の要件にどのように対応しているかについては、 Security Infrastructure and HIPAA White Paper を確認してください。
ThoughtSpotは、いかなるクレジットカード保有者情報についても自身で保管および処理することはなく、Payment Card Industryデータセキュリティー基準(PCI DSS)に記載されているとおり、プロセサー、加盟店、およびサービスプロバイダの資格がありません。ThoughtSpotはPCI-DSSの対象に属しませんが、私たちの既存のセキュリティープログラムはPCI-DSSの関連事項の多くに既に対応しています。私たちは、セキュリティープログラムとセキュリティープロセスを進化させることに伴い、コンプライアンス取得による利点の評価を続けます。ThoughtSpotの構成と使用方法はお客様の責任であるため、PCI-DSS(およびセキュリティーとプライバシー全般)はThoughtSpotとお客様の間の共同責任です。
ThoughtSpotでは、リスクガバナンスプログラムの一環として情報セキュリティーリスク評価を実施し、セキュリティープログラムの有効性を定期的にテストおよび評価しています。これらの評価では、リスクの影響を認識および評価します。それにより、リスク低減/緩和戦略を実施して、新しい/進化するセキュリティーテクノロジーや、業界標準プラクティスの変更、変化するセキュリティー脅威に対処します。このリスクプログラムは、独立した第三者による監査を年1回受けています。
ThoughtSpotでは、セキュリティーリスク評価を四半期ごとに1回実施して、情報資産に対する脅威の評価、潜在的な脆弱性の判別、改善措置を行っています。既知の脆弱性に対処するため、ソフトウェアパッチが定期的にお客様のインスタンスに導入されます。
ソフトウェアの脆弱性が判明し、ベンダーのパッチによって対処される場合は、ThoughtSpotがそのパッチを当該ベンダーから入手し、必ずすべての実動システムでパッチをテストし、インストールしても安全であることを判断してから、その時のThoughtSpotの脆弱性管理/セキュリティーパッチ管理の標準運用手順に従って、適切な期間内にパッチを適用します。
セキュリティー、信頼性、確実性、およびリスク(STAR)レジストリは、一般的なクラウドコン
ピューティングサービスで実施されているセキュリティーとプライバシーのコントロールについ
て記録している公開レジストリです。STARは、クラウドコントロールマトリックス(CCM)に記載される透明性、厳格な監査、基準の調和という主要原則を包含しています。ThoughtSpotは、CSAのConsensus
Assessments Initiative
Questionnaire(CAIQ)を提出しており、定期的に更新してい
ます。CAIQは、
こちらからダウンロード
できます。
ThoughtSpotでは、当社のシステム、製品、および機密情報のセキュリティを真剣に考慮し、セキュリティコミュニティを大切にしています。セキュリティ研究者がThoughtSpotのシステム、製品、資産で発見された潜在的な脆弱性を報告するために当社に連絡することを歓迎し、奨励します。ThoughtSpotは公的な脆弱性報奨金制度を運営しておらず、潜在的な脆弱性を報告する代わりに報酬や補償を提供することはないことに注意してください。潜在的な脆弱性を報告する方法の詳細については、こちらをご覧ください。
ThoughtSpotの手順、プロセス、データセンターによってお客様のデータは常に安全に保たれます。
ThoughtSpotの最新のクラウドデータセンターは、拡張性や融通性に対応するよう設計されています。
ThoughtSpotの従業員、資産、データを保護するため、ThoughtSpotの建物と業務スペースは無許可で立ち入れないようセキュリティー対策が施されています。最大限のセキュリティーを確保するため、業務上ThoughtSpotの施設に立ち入る必要があるThoughtSpotの従業員、請負業者および第三者はすべて、セキュリティー要件に従う必要があります。
ThoughtSpotのデータセンターは、サービスレベルを維持するとともに、障害を予測し、障害に耐えられるよう設計されています。障害発生時には、影響を受けるエリアから自動プロセスでトラフィックが移行されます。また、障害が発生していないサイト間でトラフィックを負荷分散できるだけの十分なキャパシティーがあります。
重要なシステムコンポーネントは、分離された複数のロケーションでバックアップされており、 高い信頼性で独立して稼動するよう設計されています。障害回復性の高いシステムにより、最高レベルのサービス可用性を実現し、障害発生時にはお客様が非常に短い目標復旧時間(RTO)と目標復旧時点(RPO)を達成できるようにします。
可用性に対する弊社の取り組みと要件をサポートするため、サービスの利用状況は常にモニタリングされています。また、キャパシティー計画モデルと照合してサービスの利用状況が少なくとも月1回測定されます。このモデルは、将来的な需要計画をサポートするものであり、情報処理、通信、監査ログの保管などの考慮事項も加味しています。
セキュリティー制御とプライバシー制御を遵守するため、ThoughtSpotの従業員は適切な審査とトレーニングを受けています。
データセンターへのアクセスを必要とする従業員はすべて、まずアクセス権を申請し、業務上の正当な理由を示す必要があります。これらのリクエストは最小権限の原則に基づいて承諾され、レビューが行われます。
ThoughtSpotでは該当する法律および規制に従い、全従業員を対象に、業務要件、アクセスする情報の機密性、ThoughtSpotの経歴調査ポリシーに従って考えられるリスクに比例した経歴調査を実施しています。
ThoughtSpotでは、従業員が過度のリスクを生じさせないよう、セキュリティートレーニングを実施しています。従業員は、雇用開始後の妥当な時期、およびそれ以降は四半期ごとに1回、情報セキュリティートレーニングを修了する必要があります。ThoughtSpotでは、セキュリティートレーニングの出席記録とトレーニング資料のコピーを保持し、必ず従業員が適切にトレーニングを修了してから、システムへのアクセス権が付与されるようにしています。
ThoughtSpotは、お客様のデータのセキュリティーとプライバシーを特に重視しています。
弊社のデータセンターと各地域を相互接続するグローバルネットワークを通るデータはすべて、 セキュリティー保護された弊社施設から出る前に、自動的に暗号化されます。ThoughtSpotはAWS提供のツールを使用して、送信時と保存時にデータを容易に暗号化し、許可されたユーザーしかデータにアクセスできないようにしています。暗号鍵はAWS Key Management Service(KMS)またはFIPS 140-2 Level 3認定HSMを使用したCloudHSMで管理されます。
ThoughtSpotでは、お客様が地域および現地のデータプライバシー法規制に従うために必要な制御と可視化を行うことができます。AWSグローバルインフラストラクチャーの設計により、お客様はデータが物理的に置かれている地域に対して完全な制御を維持できるため、データの保存要件を満たすのに役立ちます。
行レベルのセキュリティー(RLS)により、グループのアクセス権をテーブル行にまで絞って制限することができます。ルールが定義された後、グループメンバーが検索や回答表示などのデータ処理を行うと、ThoughtSpotがそのユーザーのアクセスをルールと照合して評価し、制限対象のデータが表示されないようにします。そのため、ユーザーは許可されているデータしか閲覧できません。
ThoughtSpotでは、OWASP Top Tenなどの業界標準プラクティスに沿った、安全なアプリケーション開発ポリシーと手順を維持しています。安全なアプリケーション設計と開発を担当するスタッフは全員、ThoughtSpotの安全なアプリケーション開発プラクティスに関する適切なトレーニングを受けています。ThoughtSpotでは、静的および動的なテストとコード分析を組み合わせて、各リリースの前に優先度の高い脆弱性問題にすべて対処しています。
データプライバシー規制を遵守した、安全性の高い顧客データ管理ポリシーを適用しています。
ThoughtSpotはEUの一般データ保護規則(GDPR)を完全に遵守しています。ThoughtSpotのデータ処理補足契約書には、EU承認済みのデータ移転メカニズム、つまり欧州委員会が定める標準 契約条項が盛り込まれています。お客様が弊社のサービスを利用してEU内の個人データを移転す る際には、これらの保護基準に従ってください。GDPRの詳細については、 こちら を参照してくだ さい。該当する各ThoughtSpot SaaSアプリケーション向けに、個人データの処理が承認されている サブプロセッサーのリストは、 こちら から確認できます。
ThoughtSpotでは、欧州司法裁判所の判決(Case C-311/18)を踏まえ、個人データの移転に関してEU・米国間プライバシーシールドを法的根拠としていませんが、プライバシーシールドに規定されるセキュリティーとプライバシーに関する原則に引き続き取り組むとともに、プライバシーシールドの要件に対する自己認証を継続的に行っています。ThoughtSpotによるプライバシーシールドの継続的な遵守については、 プライバシーシールドのWebサイト および ThoughtSpotのプライバシーシールドに関するポリシー を参照してください。
ThoughtSpotのWebサイトを介して、弊社の製品や関連サポートおよび専門サービスの購入および使用に関連して、および、登録者や出席者から情報を収集する弊社主催のイベントに関連して得られる個人情報の収集、使用、開示は、ThoughtSpotの プライバシーステートメント に従って行われます。
ThoughtSpotでは、セッション型と永続型の両方のクッキーを使用します。セッション型クッキーは、Webセッション中にのみ存在し、インターネット・ブラウザーを閉じると有効期限が切れます。永続型クッキーは、お客様が手動で削除するまで、またはクッキーで指定された期間に基づいてブラウザーが削除するまで、ブラウザーのサブフォルダーに保持されます。
欧州司法裁判所による2020年7月16日の判決(C-311/18。いわゆる「Schrems II」事件)に従い、ThoughtSpotは、EEAまたはスイスから米国への越境データ移転に関して、EU・米国間およびスイス・米国間プライバシーシールド認証を法的根拠とすることを取りやめています。弊社は、2020年7月16日以前に当該認証に依拠して米国に移転されたすべての個人情報について、EU・米国間およびスイス・米国間プライバシーシールドの原則を引き続き遵守します。
ThoughtSpotは、EU法の適用対象となる個人データをお客様およびサブプロセッサーから、またお客様およびサブプロセッサーに移転するにあたり、移転機構として標準契約条項を使用します。Schrems II事件の判決およびEU監督機関による関連ガイダンスに従い、ThoughtSpotでは、特定の移転にあたり、標準契約条項の使用と併せて、適切と思われるさまざまな技術的および組織的保護措置を実施しています。Schrems II事件の判決に対するThoughtSpotの対応については、 こちら を参照してください。
ThoughtSpotがお客様のデータを販売することはありません。また、広告目的でお客様のデータをマイニングすることも、データにアクセスすることもありません。また、ThoughtSpotでは、ThoughtSpotの従業員や検証済みの認定請負業者が業務上必要な場合以外お客様のデータにアクセスしないことを契約で義務付けています。
ThoughtSpotの企業ポリシーと法的規約では、データセキュリティーとプライバシーに対する取り組み基準を定めています。
ThoughtSpotでは、ブラウザークッキーの使用を含め、お客様やユーザーのプライバシー保護に努めています。
このポリシーでは、ThoughtSpotのWebサイト上で情報収集ツールを使用して、自動的手段で弊社が収集する情報について説明しています。
このページには、サブスクリプション登録者(サブスクライバー)およびライセンス取得者(ライセンシー)に対するThoughtSpotの義務事項が記載されています。
ThoughtSpotがGDPRに従ってお客様のデータを取り扱えるようにする際には、データ処理補足契約書(DPA)に副署して、ThoughtSpotに追加の契約義務を課すことができます。
ThoughtSpotは倫理的かつ責任ある行動に努めており、強制労働に断固反対しています。
ThoughtSpotは、サードパーティーライセンスの帰属要件に従っています。