セキュリティ

お客様のデータセキュリティは、Yextの最優先事項です。

お客様が当社にデータを託してくださったことを、私たちは真剣に受け止めています。お客様の質問に安全に答えられるように、エンタープライズクラスのセキュリティ機能とベストプラクティスに継続的に投資しています。

 

 

 

 

コンプライアンス

 

セキュリティ・コンプライアンス

 

SOC2

当社は、更新されたSOC 2レポートを受け取るためにルーチン化された監査を受けています。当社は、過年度のSOC 2タイプⅡ報告書を保有しており、2018年12月15日以降に発行された報告書についてAICPAが公表した新しいSSAE No.18基準に基づくSOC 2タイプⅠが発行されており、要求に応じて入手可能であり、守秘義務を負っています。現在、この新基準に基づくSOC 2タイプⅡの監査を受けており、2021年春に報告書が発行される予定です。最新のSOC 2レポートは、当社の営業担当者またはカスタマー・サクセス・マネージャーにお問い合わせください。

 

ISO 27001と27018

Yextのセキュリティ管理と実践は、ISO 27001と27018の原則に基づいて設計されています。

 

業界別コンプライアンス

 

HIPAA

Yext製品の適切なセキュリティ設定オプションを活用して、お客様のHIPAA義務への対応を支援します。また、対象製品を購入した関連する顧客が、ビジネスアソシエイト契約書(BAA)を締結できるようにしています。

 

プライバシーとデータ保護

 

プライバシーポリシー

Yextのプライバシーポリシーをこちらでご確認ください。

 

データ処理契約(DPA)

DPAは、EU、英国、スイス、南アフリカ、オーストラリアに拠点を置くお客様に製品を提供するという文脈でYextが扱う個人データに適用されます。Yextのデータ処理契約書をここで確認してください。

 

サブプロセッサー

Yextは、Yextの製品を提供する一環として、一部のサードパーティのサブプロセッサーや関連会社に個人データの処理を許可しています。Yextのサブプロセッサーについては、こちらをご覧ください。

 

 

クラウドセキュリティ

 

 

データセンターの物理的セキュリティ

 

ファシリティ

Yextは、主にINAPのコロケーション施設と、クラウド・コンピューティング・プロバイダーのAmazon Web Services(AWS)およびGoogle Cloud Platform(GCP)でクライアント・データをホストしています。

 

INAP

Yextは、PCI DSS、SOC 2、HIPAAに準拠していると認定されたコロケーション・データセンターを使用しています。INAPのコンプライアンスについてはこちらをご覧ください。

INAPデータセンターでは、スタックのすべてのレベルでコンカレントメンテナンスが可能です。INAPデータセンターについての詳細はこちらをご覧ください。

 

アマゾン ウェブ サービス(AWS)

Yextは、PCI DSS、SOC 2、HIPAAに準拠していると認定されたAWSのデータセンターを使用しています。AWSでのコンプライアンスについてはこちらをご覧ください。

AWSのインフラサービスには、サーバーを保護するためのバックアップ電源、HVACシステム、消火設備が含まれています。AWSのデータセンターコントロールについてはこちらをご覧ください。

 

グーグル・クラウド・プラットフォーム(GCP)

Yextは、PCI DSS、SOC 2、およびHIPAAに準拠していると認定されたGCPデータセンターを使用しています。GCPでのコンプライアンスについてはこちらをご覧ください。

GCPのインフラストラクチャサービスは、高い可用性と信頼性を持つように設計されています。GCPデータセンターについての詳細はこちらをご覧ください。

 

データホスティングロケーション

Yextは、米国のINAPデータセンターを活用しています。

Yextは、米国、欧州、およびアジア太平洋地域でAmazon Web Servicesデータセンターを活用しています。

Yextは、米国と欧州でGoogle Cloud Platformのデータセンターを活用しています。

 

 

ネットワークセキュリティ

 

専任セキュリティチーム

セキュリティチームが24時間体制で待機し、セキュリティアラートやイベントに対応しています。

 

保護

当社のネットワークは、多くのセキュリティサービスの利用、Cloudflareエッジ保護ネットワークとの統合、定期的な監査、既知の悪意のあるトラフィックやネットワーク攻撃を監視およびブロックするネットワークインテリジェンス技術によって保護されています。

 

ネットワーク脆弱性スキャン

ネットワーク・セキュリティ・スキャンは、コンプライアンス違反や潜在的な脆弱性を持つシステムを迅速に特定するための深いインサイトを提供します。

 

サードパーティによるペネトレーション・テスト

当社の広範な内部スキャンとテスト・プログラムに加えて、毎年、Yextはサードパーティのセキュリティ専門家を採用して、Yextプロダクションおよびコーポレート・ネットワーク全体で広範なペネトレーション・テストを実施しています。テスト結果のエグゼクティブ・サマリーは、当社のアカウントチームにリクエストできます。

 

セキュリティ・インシデント・イベント・マネジメント

当社のセキュリティ・インシデント・イベント管理(SIEM)システムは、重要なネットワーク・デバイスやホスト・システムから広範なログを収集します。SIEMは、相関するイベントに基づいてセキュリティ・チームに通知するトリガーで警告を発し、調査と対応を行います。

 

侵入検知・防御

サービスの入退室ポイントに計測器を設置して監視し、異常な動作を検知します。これらのシステムは、インシデントや値があらかじめ設定された、しきい値を超えた場合に警告を発するように構成されており、新たな脅威に基づいて定期的に更新されるシグネチャを使用します。これには24時間365日のシステム監視が含まれます。

 

脅威情報プログラム

Yextは、いくつかの脅威情報共有プログラムに参加しています。これらの脅威情報ネットワークに投稿された脅威を監視し、リスクに応じた対応を行っています。

 

分散型サービス妨害(DDOS)の緩和

Yextは、DDoS軽減のためのマルチレイヤーアプローチを構築しました。コアテクノロジーであるCloudflareAkamaiとのパートナーシップがネットワークエッジの防御を提供し、Amazon Web ServicesとGoogle Cloud Platformのスケーリングおよび保護ツールの使用がバックエンドの保護を提供しています。

 

論理的アクセス

Yext Production Networkへのアクセスは、明示的な知る必要性に基づいて制限されています。Yext Production Networkにアクセスする従業員は、複数の認証要素を使用する必要があります。

 

セキュリティ・インシデント・レスポンス

システムアラートが発生した場合、イベントはオペレーション、ネットワークエンジニアリング、セキュリティをカバーする24時間体制のチームにエスカレーションされます。従業員は、コミュニケーション・チャンネルやエスカレーション・パスを含む、セキュリティ・インシデント対応プロセスに関するトレーニングを受けています。

 

 

暗号化

 

転送中の暗号化

Yext UIおよびAPIとのすべての通信は、公共ネットワーク上で業界標準のHTTPS/TLS 1.2を介して暗号化されます。これにより、Yextとお客様との間のトラフィックが転送中に安全であることが保証されます。

 

静止時の暗号化

Yext Knowledge Graph内のお客様のデータは、AES-256キー暗号化を使用してINAP内で静止時に暗号化されます。Yext Knowledge Graphのお客様のデータは、Google Cloud PlatformとAmazon Web ServicesでAES-256キー暗号化を使用して静止状態で暗号化されます。

 

 

可用性と継続性

 

アップタイム

Yextは、システムの可用性の詳細、定期的なメンテナンス、サービスインシデントの履歴を含む、公開された信頼性の高いウェブページを維持しています。

 

冗長性

Yextは、クラスタリングとネットワークの冗長性を採用して、単一障害点を排除しています。

 

災害復旧

当社のディザスターリカバリー(DR)プログラムにより、Yextのサービスは災害時にも利用可能であり、簡単に回復することができます。当社には強力な災害復旧計画があり、定期的にテストされています。当社の災害復旧計画の詳細については、ご要望に応じて提供することができます。

 

 

アプリケーションセキュリティ

 

 

セキュアな開発(SDLC)

 

セキュアコードトレーニング

Yextのエンジニアは、入社時とその後も定期的に、OWASPトップ10のセキュリティリスクと、セキュアコーディングのためのYext固有のツールをカバーするセキュアコードトレーニングに参加しています。

 

フレームワークのセキュリティ管理

Yextは、OWASPトップ10のセキュリティ・リスクにさらされる機会を制限するために、セキュリティ・コントロールを備えた最新で安全なオープンソース・フレームワークを活用しています。これらの固有のコントロールは、特にSQLインジェクション(SQLi)やクロスサイト・リクエスト・フォージェリ(CSRF)への露出を減らします。

 

個別環境

開発、テスト、およびサンドボックス環境は、本番環境から分離されています。開発環境やテスト環境では、お客様のデータは一切使用されません。

 

 

脆弱性管理

 

静的コード解析

当社は、サードパーティ製のセキュリティツールを採用し、OWASPトップ10のセキュリティリスクに対してコアアプリケーションを毎日スキャンしています。また、社内のアプリケーションセキュリティ専門チームがテストを行い、発見された問題をエンジニアリングチームと協力して修正しています。

 

サードパーティによるペネトレーションテスト

社内の広範なスキャンとテスト・プログラムに加えて、Yextはサードパーティのセキュリティ専門家を雇用して、当社製品群のさまざまなアプリケーションに対して詳細な侵入テストを実施しています。発見内容のエグゼクティブ・サマリーは、当社のアカウントチームにできます。

 

責任ある開示/バグバウンティプログラム

Yextでは、HackerOneとの提携により、安全なテストとYextへのセキュリティ脆弱性の通知を可能にするバグ・バウンティ・プログラムを運営しています。

 

 

製品のセキュリティ

 

 

認証セキュリティ

 

認証オプション

顧客は、顧客ユーザー認証のためにYextのネイティブ認証またはEnterprise SSO(SAML)を有効にすることができます。

 

サービス・クレデンシャル・ストレージ

Yextは、人間が読める形式でパスワードを決して保存せず、安全な塩漬けの一方向ハッシュの結果としてのみ保存することで、安全なクレデンシャル・ストレージのベストプラクティスに従っています。

 

 

その他の製品セキュリティ機能

 

ロールベースのアクセス制御

Yextアプリケーション内のデータへのアクセスは、ロールベース・アクセス・コントロール(RBAC)によって管理され、細かいアクセス権限を定義するように設定することができます。Yextでは、組織内のユーザーに対して様々な権限レベルが設定されています。

 

 

 

人事部のセキュリティ

 

 

セキュリティ意識の向上

 

ポリシー

Yextは、さまざまなトピックをカバーする包括的なセキュリティ・ポリシーを策定しました。これらのポリシーは、Yextの情報資産にアクセスするすべての従業員や契約者と共有され、利用できるようになっています。

 

トレーニング

すべての従業員は、入社時とその後毎年行われる「セキュリティ意識向上トレーニング」に参加します。エンジニアは全員、セキュアコード・トレーニングを受けます。セキュリティ・チームは、電子メール、Slack、社内イベントでのプレゼンテーションを通じて、セキュリティ意識に関する最新情報を提供しています。

 

 

社員の審査

 

バックグラウンドチェック

Yextは、現地の法律に基づいて、すべての新入社員のバックグラウンドチェックを行います。従業員の所在地に応じて、バックグラウンドチェックには、犯罪歴、学歴、雇用の確認が含まれます。

 

守秘義務契約

すべての新規雇用者は、秘密保持契約書と機密保持契約書に署名する必要があります。

 

 

追加リソース

 

ご要望に応じてご提供できる資料が多数あります。

 

利用可能な追加リソース

以下のリソースは、当社のアカウントチームにリクエストすることができます。アクセスには、秘密保持契約(NDA)または機密保持義務を伴うその他の事前契約が必要になる場合があります。

・PCI準拠証明書(AoC)および準拠証明書

・ 保険の証明書

・ネットワーク・アーキテクチャ・ダイアグラム

・SOC 2タイプIレポート、または以前のSOC 2タイプIIレポート

・年次侵入テストの概要

・事業継続性と災害復旧テストの概要

・災害復旧計画