monday.com は、お客様のデータを安全に保つために、世界をリードするセキュリティソリューションを使用しています。
概要
お客様のデータはどのように保護されるのか?
当社のシステムは、アマゾンウェブサービス(AWS)の複数のアベイラビリティーゾーンでホストされています。これにより、信頼できるサービスを提供し、必要なときにいつでもデータを利用できるようになります。さらに、AWS の別の米国地域にディザスタリカバリーサイトも設立しました。
これらのデータセンターは、先進の物理的且つ環境的セキュリティ対策を採用しているため、耐障害性の高いインフラストラクチャを実現しています。セキュリティ対策の詳細については、以下を参照してください。
AWS セキュリティページGCP セキュリティページ
アプリケーションのセキュリティ
monday.com はセキュリティ指向の設計を複数の層で実装していて、そのうちの1つはアプリケーション層です。monday.com アプリケーションは、OWASP トップ10フレームワークに従って開発され、すべてのコードは製造、デプロイメント前に審査されています。
当社の制御された CI/CD プロセスには、静的コード分析、脆弱性評価、エンドツーエンドのテスト、認可の側面に対応するユニットテストなどが含まれます。monday.com の開発者には、定期的にセキュリティトレーニングを実施し、安全な開発について最新のベストプラクティスに精通した状態を保ちます。
インフラストラクチャ・セキュリティ
- IP ホワイトリストを強要するファイアーウォールにより、許可されたポートのみを介してネットワークリソースにアクセス
- コンテンツベースで攻撃を動的にブロックするウェブアプリケーションファイアウォール(WAF)
- DDoS 攻撃の緩和とレート制限
- 早期の攻撃検出のための NIDS センサー
- 高度なルーティング設定
- 内部とエッジの両方でネットワークトラフィックを包括的にロギング
データの暗号化
- トラフィックは最新の暗号スイートで TLS 1.3 を使用して暗号化され、最低でも TLS 1.2 がサポートされます
- ユーザーデータは、AES-256 以上を使用してインフラストラクチャ全体で暗号化されます
- 認証情報は、最新の関数を使用してハッシュされ、保存されます
外部のセキュリティ監査と侵入テスト
サードパーティーによる独立した評価が、お客様のセキュリティ体制を正確かつ公平に理解するために不可欠です。monday.com は、よく知られている独立した監査人を使用して、アプリケーションレベルとインフラストラクチャレベルの両方で毎年侵入テストを実施しています。
さらに、monday.com は、SOC2 タイプII監査、ISO 認証およびその他の外部監査の一環として、外部監査を通過しています。
バグ報奨金プログラム
物理的セキュリティ
monday.com はクラウドベースの企業であり、インフラストラクチャのオンプレミスでの保持は一切していませんオフィスでの物理的なセキュリティには、個人識別ベースのアクセス制御、CCTV およびアラームシステムの導入が含まれます。
monday.com のデータセンターは、アマゾンウェブサービスと Google クラウドプラットフォームインフラストラクチャ上にホスティングされており、主要な物理的セキュリティ対策が施されています。
障害回復とバックアップ
monday.comは、すべての顧客に継続的かつ中断のないサービスを提供することをコミットしています。ユーザーデータのバックアップは 5 分ごとに一貫して行っています。すべてのバックアップは暗号化され、さまざまな場所に分散されて25 日間保持されます。
当社の障害回復計画は、その有効性を評価し、サービスが中断された場合にチームの責任と整合性を維持するために少なくとも年に2回テストされています。