セキュリティポリシー

セキュリティへの取り組み

当社はデータセキュリティを非常に重視しています。機密性の高いビジネスデータを扱うSaaSプラットフォームとして、お客様の情報が常に保護されるよう、最高のセキュリティ基準を維持しています。

データ暗号化

転送中

Tombaとの間で送受信されるすべてのデータは、業界標準のプロトコルを使用して暗号化されています：

• すべてのウェブトラフィックにTLS 1.3
• すべてのエンドポイントでHTTPSを強制
• API接続にSSL/TLS
• 内部データ転送にSSHトンネル

保存時

保存されているすべてのデータはAES-256暗号化で暗号化されています。

データ保持

データは、サービスを提供し、パイプラインを維持するために必要な期間のみ保持されます。

インフラストラクチャセキュリティ

クラウドホスティング

当社のインフラストラクチャはCloudflareとDigitalOceanでホストされており、以下に準拠しています：

• SOC 1、2、3
• HIPAA
• GDPR
• ISO 27001

物理的セキュリティ

ホスティングプロバイダーは包括的な物理的セキュリティを実装しています：

• 24時間365日のオンサイト監視チーム
• 生体認証アクセス制御
• 電力と接続の完全な冗長性
• アクセス制御付きの安全な施設

アプリケーションセキュリティ

ファイアウォール保護

• Webアプリケーションファイアウォール（WAF） Cloudflare WAFがすべての受信リクエストをフィルタリングして悪意のあるトラフィックをブロック
• ネットワークファイアウォール すべてのサーバーは厳格なIPベースのアクセス制御で保護

認証

• すべての管理アクセスに対する多要素認証
• 安全なセッション管理
• 強力な資格情報を強制するパスワードポリシー

コードセキュリティ

• 定期的なセキュリティ監査と侵入テスト
• 自動セキュリティアップデート
• 安全な開発プラクティス

人員セキュリティ

• すべてのチームメンバーに暗号化通信を要求
• セキュリティ意識向上トレーニング
• アクセスに対する最小権限の原則

決済セキュリティ

カードデータ保護

Tombaはクレジットカード情報を保存しません。カスタマーサポート目的で非機密データ（下4桁）のみを保持します。

PCIコンプライアンス

当社の決済プロセッサーであるPaddleは、PCIレベル1サービスプロバイダーとして認定されています 決済業界で最も厳格な認定です。

インシデント対応

包括的なインシデント対応計画を維持しています：

1. 検出 セキュリティ異常の継続的な監視
2. 封じ込め 影響を受けたシステムの即座の隔離
3. 調査 インシデント範囲の徹底的な分析
4. 通知 影響を受けた当事者へのタイムリーな通信
5. 修復 完全な解決と予防措置

脆弱性の開示

セキュリティの脆弱性を発見した場合は、責任を持って報告してください：

メール: security@tomba.io

Tombaを安全に保つためのご協力に感謝し、有効なレポートを認識します。

コンプライアンス

Tombaは以下に準拠しています：

• GDPR EUデータ保護規制
• CCPA カリフォルニア消費者プライバシー法
• SOC 2 Type II セキュリティと可用性の管理

ご質問がありますか？

セキュリティに関するお問い合わせは、security@tomba.ioまでご連絡ください