セキュリティ
監査担当者に提示できるセキュリティ。
Spot Suiteは規制下での導入を見据えて構築されています。各Environmentは分離・暗号化・監査ログが整備され、コンプライアンスチームがレビューできるコントロールマッピングを備えています。
PDPA (SG) · APPs (AU) · APPI (JP) · ISO 27001-aligned
統制マッピング: ISO 27001 · DORA · GDPR
監査エビデンスおよびコントロールマッピングパックはNDAのもとで共有されます。正式なSOC 2またはISO認証は取得していません。
-
統制マッピング: ISO 27001 · DORA · GDPR
プラットフォームのコントロールはISO 27001:2022、DORA、GDPRにマッピングされています。監査エビデンスおよびコントロールマッピングパックはNDAのもとで共有されます。正式なSOC 2またはISO認証は取得していません。
-
EUデータレジデンシー
顧客データはEU管轄内(Cloudflareネットワーク)で処理・保存されます。主要なコンピュートとストレージはCloudflare Workers、D1、R2上で動作し、Microsoft AzureはEU域内の補助的なサービスのサブプロセッサとして位置付けられます。
-
AES-256とTLS 1.3
保存データはAES-256で暗号化されます。クライアント/APIの通信はすべてTLS 1.3を使用します。鍵管理はCloudflareインフラ上で行います。
-
EntraとMFAによるOIDC SSO
Microsoft Entra IDとOIDCでサインインします。すべてのアカウントにTOTP MFAを必須とし、共有パスワードは利用しません。
-
お客様ごとに分離された環境
各Customer Environmentには専用のCloudflare Workerランタイム、D1データベース、R2ストレージバケットが割り当てられます。データが他のテナントと混在することはありません。
-
エクスポート可能な監査エビデンス
ログインイベント、管理者操作、設定変更を、アクター、IP、タイムスタンプとともに記録します。ベンダーリスクレビュー向けに監査パケットをエクスポートできます。
Customer Environmentの分離方法。
-
専用スタックをプロビジョニング
サインアップ後、Spot Suiteは製品が有効化される前に、専用のWorkerランタイム、D1データベース、R2バケットを備えたCustomer Environmentをプロビジョニングします。
-
IDをお客様テナントにスコープ
Entra ID OIDCにより、すべてのセッションはお客様のディレクトリに紐付けられます。APIトークンと管理者操作はテナントにスコープされ、顧客間のアクセス経路は存在しません。
-
証跡を記録しエクスポート
プラットフォームと製品のイベントはEnvironmentの監査ログに書き込まれます。ISO 27001、DORA、または社内統制のテストのためにエビデンスパックをダウンロードできます。
セキュリティチームに相談する
NDAのもとでコントロールマッピングパックをご請求いただくか、BAA、IDTA、LGPDの各条件についてお問い合わせください。