UberallのSaaS（Software as a Service）ソリューションは、セキュリティとプライバシーを最優先とする理念に基づいて構築されています。Uberallは、堅牢なデータセキュリティ対策と、アプリケーション、インフラストラクチャ、ネットワークの包括的な監査を組み合わせることで、クライアントデータを確実に保護します。世界中の100万社以上の事業体（拠点）が、機密性の高いビジネスデータとエンドカスタマーデータの管理をUberallに委託しています。

コンプライアンスとプライバシー

GDPR

Uberall は、ユーザーのプライバシーを保護し尊重することに全力で取り組んでおり、適用されるデータ保護法、特に GDPR を遵守しています。

データ保護法への継続的な準拠を維持するために、特定の役割が Uberall グループ内のすべてのプライバシー関連の取り組みを監督および調整する責任を負います。

同時に、Uberallは、データ保護の持続的な確保は共同の取り組みであることを認識しています。Uberallの従業員はプライバシーに関する研修を受け、すべての事業部門がプライバシーの側面も考慮しながら、継続的に活動の見直しと最適化に努めています。

契約に基づくサービス提供の一環として、Uberallは、第28条に規定される個人データの処理者として第三者を使用します。 GDPR。このような処理業者の概要と、GDPR第32条（1）に基づくUberallの技術的および組織的措置（TOM）については、こちらをご覧ください。 。

インフラストラクチャセキュリティ

UberallはAmazon Web Services（AWS）上で完全にホストされており、プラットフォームに組み込まれたセキュリティ、プライバシー、冗長性機能をすべて活用することで、最高水準のプライバシーとデータセキュリティをお客様に提供しています。各AWSリージョンは、ISO/IEC 27001:2013、SOC 1、PCI DSSレベル1などの厳格なコンプライアンス基準を満たすように設計・構築されています。詳細については、 AWSコンプライアンスページをご覧ください。AWSは、適用されるすべてのEUデータ保護法に完全に準拠していると表明しています。AWSのセキュリティに関する詳細については、こちらを参照してください。

ネットワークセキュリティ： AWS ネットワークファイアウォールは、重要なネットワーク保護に使用されます。デフォルト拒否戦略により、必要なトラフィックのみを通過させます。

DDoS 対策: AWS Shield 複数のDDoS緩和機能により、悪質なトラフィックによる混乱を防ぎながら、正常なトラフィックを通過させます。これにより、Uberallのウェブサイト、アプリケーション、APIの高可用性とパフォーマンスが維持されます。

侵入検知と防止: Uberallは AWS ガードデューティ インフラストラクチャの脅威検出および継続的な監視ツールとして。

• すべてのワイヤレス ネットワークは WPA3-PSK で保護されています。

DMZ : バランサと要塞ホストのみがインターネットからアクセス可能。その他のリソースはプライベート VPC 内にあります。

内部セキュリティ

• シングル サインオン: Uber 社員は、Google シングル サインオン (SSO) を介してすべての社内ツールとサードパーティ サービスに接続して使用し、パスワードのセキュリティ サーフェス領域を最小限に抑えます。
• MFA:全従業員は Google アカウントで MFA を使用する必要があり、異常なログインやイベントは Google Suite によって監視され、IT チームによって定期的に監視されます。
• パスワードの強度: Google アカウントには強力なパスワード ルールがグローバルに適用されており、Google Suite はパスワードの暗号化とソルト化に関する業界標準のベスト プラクティスに準拠しています。

アプリケーションセキュリティ

ロールベースアクセス制御

Uberallは、ロールベースのアクセス制御ポリシーを使用して、システムへのアクセスを許可されたユーザーのみに制限します。お客様は、ユーザーレベルと機能レベルの2つの側面から、きめ細かなアクセス権限を設定できます。事前に定義された期待値とポリシーからの逸脱がないように、ルーチンが定期的に（少なくとも週に1回）実行されます。ユーザーアクセス制御の詳細については、こちらをご覧ください。

脆弱性管理

当社の脆弱性処理アプローチのいくつかの顕著な側面は次のとおりです。

• 社内のセキュリティ チームが、Uberall のコア アプリケーションをOWASP Top 10 のセキュリティ リスクに対して継続的にスキャンし、発見された問題を解決します。
• OWASP ZAPによる自動スキャンでセキュリティ脆弱性を検出します。Uberallサーバーは最新のセキュリティアップデートで定期的にパッチ適用されます。（OS、ライブラリ、アプリケーション）
• パッチ適用： OSのセキュリティパッチについては、自動アップグレードを有効にし、自動的に適用しています。ライブラリとアプリケーションは継続的にスキャンされ、脆弱性が発見され、アップグレードのテストが完了するとすぐに手動でアップグレードされます。
• 定期的に SpotBugs、Sonarqube、CodeNarc スキャンを実行してコード リポジトリを監視し、コーディング標準とベスト プラクティスの適用に役立てています。
• 侵入検知システム（AWS GuardDuty）。AWS ネットワークトラフィックとワークロードを継続的に監視し、悪意のあるアクティビティや不正なアクティビティを検出します。

CSRF

すべての POST リクエストは、リクエストを処理する前に CSRF トークンがチェックされます。

クロスサイトスクリプティング（XSS）

すべてのユーザー入力は、表示時に適切にエンコードされ、サニタイズされます。Uberallは、クロスサイトスクリプティング（XSS）攻撃とデータインジェクション攻撃を軽減するためのセキュリティ強化策として、コンテンツセキュアポリシーを有効化しています。

SQLインジェクション

Uberall は ORM を使用し、サーバー側の検証を実行して、SQL、NoSQL、OS、LDAP インジェクション攻撃を回避します。

ログ記録と監視

• Uberall は、実行された操作の説明責任を確保し、異常または疑わしいイベントを監視および分析するために、適切な追跡手段を採用しています。
• Uberall は、サービス、ネットワーク トラフィック、すべてのログイン、アクセス制御の失敗、サーバー側の入力検証の失敗、管理者のアクティビティなどから収集されたすべての情報のログを保持します。
• これらのログはリアルタイムで監視および分析され、潜在的に悪意のあるアクティビティや不正なアクティビティを識別するのに役立ちます。
• すべてのログ ファイル情報は、紛失や改ざんを防ぎ、監査ログのライフサイクル管理を支援するために、中央データベースに複製されます。
• Uberall は、脅威の検出とすべての送信トラフィックと受信トラフィックの継続的な監視に AWS GuardDuty を使用しています。

インシデント管理

Uberallは、システムやデータの整合性または可用性に影響を与える可能性のあるセキュリティイベントに対応するインシデント対応プロセスを導入しています。これには以下の内容が含まれます。

• 常時監視と侵入検知
• アラートの作成、クライアントへの通知、インシデントチケット、および問題を評価するための専用タスクフォース
• 被害の深刻度と範囲の評価
• 違反封じ込め
• 根本原因の除去
• 回復と通常業務への復帰
• 事後分析、文書化

セキュリティインシデントの報告

セキュリティ インシデントは、 security@uberall.com (または社内の #security) に報告できます。

セキュリティ チームはすべてのレポートを確認し、必要なアクション (内部チケットの発行など) を実行します。

事業継続性

予期しない問題が発生した場合でも製品の復元力を確保するために、当社は次のような厳格な事業継続ポリシーを維持しています。

• 3 つの可用性リージョンにまたがって複製された毎日のデータベース バックアップ
• 破壊されたインフラを再開するための定期的にテストされた災害復旧計画
• すべてのシステムで自動アラートを発し、問題を発生時に捕捉します
• オンコールの DevOps チームが 24 時間 365 日対応で問題に対応します

品質保証

Uberall は、品質保証 / ソフトウェア テスト エンジニアの専門チームを採用し、コード内のセキュリティの脆弱性を特定、テスト、トリアージし、それをエンジニアリング チームに継続的に中継して修正と展開を行っています。

データセキュリティ

データホスティング

Uberallの物理インフラストラクチャは、 Amazonの安全なデータセンター内でホストおよび管理されています。AWSはデータセンターのリスクを継続的に監視し、業界標準への準拠を保証するための評価を実施しています。Amazonのデータセンター運営は、SOC 1およびSOC 2/SSAE 16/ISAE 3402（旧SAS 70 Type II）、PCIレベル1、FISMA Moderate、およびサーベンス・オクスリー法（SOX）の認定を受けています。

Uberall のサーバーはフランクフルト/マイン (ドイツ) にあります。

データ暗号化

Uberallは、コンプライアンス基準を満たすため、電子送信に最先端かつ高度に安全な暗号化方式を採用しています。データはHTTPSおよびSSLで暗号化され、VPN接続によって保護されています。

• 転送中の暗号化：パブリックネットワーク経由で当社サーバーに送信されるすべての顧客データは、強力な暗号化プロトコルを使用して保護されます。当社サーバーへのすべての接続において、強力な暗号を用いたトランスポート層セキュリティ（TLS 1.3）暗号化を使用することを義務付けています。
• 保存時:保存中の機密顧客データは、256 ビットの Advanced Encryption Standard (AES) を使用して暗号化されます。
• すべてのパスワードはハッシュ化されます（blowfish 暗号化）
• ハッシュできない機密データは、AES-256 で暗号化された金庫に保存されます。
• 顧客や下請け業者との通信には、アクセス トークンによる認証が必要です。
• AWS キー管理サービス （KMS）は暗号化キーの安全な取り扱いに使用されます

データのバックアップ

• Uberall は、1 日に数回バックアップを作成し、それをさまざまな場所 (SQL または直接スナップショット) に保存することで、クライアント データの最適な可用性と整合性を確保します。さらに、各コンポーネントは冗長化され、ファイアウォールによって保護されています。
• Uberallは、重大な損失が発生する前にサービスを復旧するための対策を講じています。データベースのスナップショットはいつでも復元可能です。高度に自動化された手順により、インフラストラクチャは数時間以内に復旧可能です。
• すべてのバックアップは AES-256 で暗号化されます。

データの匿名化

• Uberall は、収集された IP アドレスを匿名化します。
• Uberall は、非本番システムの開発使用のために顧客の電子メール アドレスを匿名化します。
   

人事慣行

• セキュリティ意識向上トレーニング - 顧客データを保護する責任を果たすために、すべての従業員はセキュリティとデータの取り扱いに関する必須のトレーニングを受けます。
• 開発者トレーニング - すべてのエンジニアには、セキュリティ ファースト プログラミングに関する OWASP ベスト プラクティスに従ったトレーニングが提供されます。