Plume Trust Center
Plumeは、お客様のデータのセキュリティ、プライバシー、を保護することにより、信頼できるコンシューマーエクスペリエンスをお客様に提供することに取り組んでいます。
セキュリティ
Plumeは、製品とサービスのセキュリティに特化しています。お客様がサービスの成長と革新に専念できるよう、当社はセキュリティに重点を置き、消費者のスマートホームエクスペリエンスを向上させます。Plumeは、ISO (International Standards Organization、国際標準化機構) から2つの認証、 ISO27001とISO27701. を取得しています。ISO認証は、情報を保護するためのゴールドスタンダード認証であり、その情報を取り扱う制度として広く認められています。Plumeの情報保護プログラムについてご質問がある場合、またはPlumeのサービスに関連する情報セキュリティイベントが発生した場合は、 security@plume.comまでお問い合わせください。
デバイスとアプリケーションのセキュリティ
- Plumeは、業界で認められているOWASP SAMM. などのフレームワークに従って、セキュリティを製品開発ライフサイクルに統合しています。セキュリティ評価は、リリースプロセスの一環として実施されます。Plumeの目標は、ソフトウェアとファームウェアが最初から安全に設計され、構築されるようにすることです。
- セキュリティトレーニングは、当社の従業員がセキュリティ上の脅威を特定し、対処して軽減できるように設計されています。
- Plumeのサービスプロバイダーは、Plumeのサードパーティリスク管理プログラムの一環としてセキュリティリスク評価を受けます。このプログラムには、そのようなサードパーティの法令順守のレビューが含まれます。
データセキュリティ
- Plumeは、NISTのベストプラクティスフレームワークを使用してサービスを保護し、NIST標準を使用してストレージ内の顧客データと、コンシューマープレミス機器とクラウドへのモバイル/ウェブアプリケーション間の通信を暗号化しています。
- ネットワーク分離と役割ベースのアクセス制御は、不正なデータアクセスを制限するために使用されます。
- データアクセス許可は、最小特権の原則を使用して構成され、特定のビジネス目的でアクセス許可を必要とするユーザーのみにアクセスを制限します。
- 実稼働データへのアクセスは監視され、ログに記録され、監査されます。
脆弱性の開示
- Plumeの情報保護プログラムについてご質問がある場合、Plumeのサービスに関連する情報セキュリティイベントが発生した場合、または脆弱性の開示を送信する場合は、security@plume.com. までお問い合わせください。脆弱性の開示を送信するために、このフォームを使用することもできます。
- 5営業日以内に確認通知をお送りします。報告された問題については、定期的に最新情報が送信されます。
- Plumeは、全力を尽くして、脆弱性の存在を確認し、プロセス全体を通じて可能な限り透明性を保ちます。
プライバシー
Plumeは個人のプライバシー保護に取り組んでいます。Plumeの取り組みは、次のようなコアプライバシー原則に基づいたプライバシーガバナンスプログラムによって実現されます。
- 合法性、公正性、透明性:個人情報の取り扱いは透明かつ公正に行われます。
- 目的の制限:個人情報は、本人に開示される、明白で正当な特定の目的のために処理され、開示された目的と一致しない方法でそれ以上処理されることはありません。
- データの最小化:個人情報は、個人情報が収集された目的のために合理的に必要な範囲で処理されます。
- 正確性:Plumeは、個人情報を正確、最新かつ完全なものとして維持するよう努めています。
- 保存の制限:個人情報は、収集された目的に必要な期間のみ保存されます。
- 完全性と機密性:Plumeは、適切な技術的および組織的措置を講じて個人情報のセキュリティと機密性を保護します。
プライバシーガバナンスプログラム
Plumeのプライバシーガバナンスプログラムには、次のような重要な慣行が含まれています。
- Plumeは、個人が個人情報に関して有する権利と選択肢、およびその権利の行使方法をプライバシーポリシーに記載しています。
- Plumeの従業員は、組織の要件、契約上の要件、規制上の要件を対象としたプライバシー意識向上トレーニングに参加します。
- Plumeは、製品開発ライフサイクルにプライバシーバイデザインとプライバシーバイデフォルトのコントロールを組み込んでいます。
- Plumeは、個人情報への不正アクセス、不正使用、不正利用、不正開示を防止、検出、是正するための手順を備えています。
- 個人情報を取り扱うPlumeのサプライヤーおよびベンダーは、個人情報の処理における役割と制限を規定する拘束力のある約定に従うものとします。
- Plumeは定期的に自己評価を実施して、プライバシーガバナンスプログラムのギャップを特定し、特定されたギャップを解消してベストプラクティスを確立するための対策を定めます。
- Plumeは、異なる保存期間が顧客契約または法律より要求されない限り、開示された目的を達成するために必要な期間中、個人情報を保持するための措置を講じます。
- Plumeのサービスは複数の地域でホストされ運営されています。場合により、Plumeは管轄区域を越えて個人情報を転送することがあります。EEA、英国、スイスから個人情報を国際的に転送する場合、Plumeと顧客およびサプライヤーとの契約には、決定2010/87/EUに従って欧州委員会が発行した標準契約条項 (英国およびスイスに関する補遺を含む) が含まれます。個人情報の宛先の管轄区域が送信元の管轄区域と同じレベルのデータ保護を保証していない場合、Plumeは、その他の個人情報の転送に関して適用される法律を順守します。
クラウドに関するプラクティス
- Plumeクラウドは、高可用性とデータ冗長性を提供するように設計されています。
- クラウドインフラストラクチャは、組織的および技術的管理によって補完された認定クラウドプロバイダーのサービスを活用する責任共有モデルを使用して構築および運用されます。
- 企業リソースへのアクセスは、SSO (Single-Sign-On、シングルサインオン)、MFA (Multi-Factor Authentication、多要素認証)、VPN (Virtual Private Network、仮想プライベートネットワーク) ベースのリモートアクセスなどのコントロールを使用して管理されます。
- システムは必要最小限のサービスで構成されており、変更はログに記録され、監視されます。
- マルウェア対策システムと侵入検知システムは、異常な動作や悪意のある活動を検出して対応するために使用されます。
- 定期評価を実施して、環境の脆弱性を検出します。検出された脆弱性は、変更管理とインシデント対応プロセスを使用してリスクに基づいて軽減されます。
コンプライアンス
Plumeは、規制順守義務を満たし、義務を上回る措置を講じるために継続的に取り組んでいます。Plumeは、一連のコンプライアンス認証を維持しています。
ISO27001:セキュリティ情報管理
- ISMS (Information Security Management System、情報セキュリティマネジメントシステム) を規定するISO 27001は、リスクマネジメントプロセスを適用することにより、情報の機密性、完全性、可用性を維持し、リスクが適切に管理されていることを社内外の関係者に確信させるものです。
- ISO/IEC 27001:2013では、組織内で情報セキュリティマネジメントシステムを確立、実施、維持、継続的に改善するための要件を規定しています。
通信サービスプロバイダーおよび消費者向けPlumeのスマートホームコンシューマーエクスペリエンスクラウドプラットフォームの運用、メンテナンス、管理に関連するビジネス活動をカバーするPlumeの実稼動クラウドは、ISO 27001認証を取得しています。
ISO27701:プライバシー情報管理
- ISO 27701 PIMS (Privacy Information Management System、プライバシー情報マネジメントシステム) はISO/IEC 27001をベースに構築されており、組織のプライバシー規制要件の調整を支援します。この規格は、GDPRやCCPAなど、さまざまな規制にマッピングできる包括的な運用管理の概要を示します。マッピングされたPIMSの運用管理は、プライバシーの専門家によって実施され、社内監査人またはサードパーティの監査人によって監査され、最終的に認証と適合性の包括的な証拠が得られます。
- この規格は、ISO/IEC 27001およびISO/IEC 27002を拡張する形で、組織がプライバシー管理を行うためのプライバシー情報マネジメントシステム (PIMS) を確立し、実施し、維持し、継続的に改善するための要件を規定し、ガイダンスを提供します。
- 通信サービスプロバイダーおよび消費者向けPlumeのスマートホームコンシューマーエクスペリエンスクラウドプラットフォームの運用、メンテナンス、管理に関連するビジネス活動をカバーするPlumeの実稼動クラウドは、ISO 27701認証を取得しています。
データプライバシーフレームワーク
- データプライバシーフレームワークは、各国で業務を行う組織間での個人データの移転を円滑化し、かつ規制するために開発された包括的なガイドラインと基準のセットです。米国商務省国際通商局がDPFを監督しています。
- DPFは、EU-U.S. DPF (EU-U.S. Data Privacy Framework、EUと米国間のデータプライバシーフレームワーク)、UK Extension to the EU-U.S. DPF (EUと米国間のデータプライバシーフレームワークへの英国の延長)、およびSwiss-U.S. DPF (Swiss-U.S. Data Privacy Framework、スイスと米国間のデータプライバシーフレームワーク) で構成されています。Plumeはこれら3つのDPF認証を正式に取得しました。
- DPFのウェブサイトの検索バーに「Plume Design Inc」と入力すると、Plumeが認証を受けていることがわかります。