Lucid のセキュリティ

Lucid は、最新のセキュリティ文書、認定、よくある質問に対する回答をトラストセンターで管理しており、セキュリティに関する質問に対する回答を瞬時に得ることができます。当社のトラストセンターには、30点以上の文書に加え、SOC 2、CAIQ、SIG 関連文書が含まれます。

Lucid は、お客様のデータが保護されなければならない貴重な資産であることを認識しています。Lucidchart、Lucidspark、Lucidscale における顧客データの保護のためのセキュリティポリシー、慣行や手順の詳細については、ホワイトペーパーでご覧ください。

Lucid は、いかなる文書データの所有権も主張しません。知的財産権を始め、文書と文書に含まれる情報に関する一切の権利は、文書の所有者であるユーザーの皆様に属します。Lucidchart はユーザーのプライバシーを尊重しており、許可なしにユーザーの文書が一般に閲覧可能な状態となることはありません。

ユーザー情報のプライバシーを確保するため、ユーザーデバイスと Lucid サーバー間のデータの転送にはすべて、世界有数の認証プロバイダーと TLS 1.2 経由で最大 256 ビットの暗号化技術を用いた接続を使用しています。また、Lucid では、保管時の暗号化技術 (AES-256) を用いてアプリケーションにより永続化されるすべてのデータの機密性を保護しています。Lucid の保護に使用される暗号化キーは Amazon の Key Management Services により保護されています。

Lucid は CCPA および GDPR 遵守を約束し、欧州経済領域、英国またはスイスから米国への顧客の個人データの転送に承認された枠組み (標準契約条項またはプライバシーシールドの後継となる仕組みなど) を使用することを保証します。また、Lucid のすべてのサププロセッサーは、欧州経済領域、英国またはスイスから米国への個人データの転送に標準契約条項または拘束的企業準則のいずれかを使用しています。Lucid は EU-US プライバシーシールド認定を取得しています。

詳細については以下のリソースを参照してください。

• プライバシーポリシー
• サービス利用規約
• データ処理に関する補遺 (エンタープライズアカウントのお客様向け)
• よくある質問 (FAQ)

クラウドストレージでのデータ保護には特別な努力を要することを念頭に、Lucidscale では、お客様のデータを安全に保護し、適切な人がアクセスできるセキュリティプロセスを整備しており、Lucidscale と統合する AWS、Azure、GCP の全プロバイダーのセキュリティに関してベストプラクティスを実践しています。 

AWS、Azure、GCP のデータに対するサードパーティのアクセス、権限、ユーザー ID や保管方法の詳細はこちらをご覧ください。

Lucid は適用される現地の、および国際的な要件を遵守し、コンプライアンス証明書を保持しています。

• SOC 2 Type II
• PCI
• EU-US/スイス-US プライバシーシールド
• FedRAMP In-Process

Lucid は、内部プロセスと統制の第三者認証である SOC 2 Type II の監査を受けています。また、Lucid は、EU-US およびスイス- US のプライバシーシールド認定を維持しており、その原則を遵守しています。

ユーザーデータのセキュリティは当社の最優先事項のひとつであり、当社では Lucid のシステムやプロセス、管理の保護に係る専任のチームを任命しています。Lucid はセキュアなコンピューティングインフラストラクチャの提供で業界をリードする Amazon Web Services (AWS) によりホストされています。当社が AWS を選定する理由は、同サービスの厳格なセキュリティ対策にあります。

• SOC 2 監査
• PCI データセキュリティ基準 (PCI DSS) に定めるレベル 1 サービスプロバイダー
• ISO 27001 認証    
• 米国共通役務庁連邦情報セキュリティ管理法 (FISMA) -Moderate レベル運用認証

AWS の採用するセキュリティ手順についての詳細は、同サービスのセキュリティ関連・コンプライアンス関連ドキュメンテーションを参照してください。

Lucid の製品へは、いつでも、どんなデバイスや場所からでも、安全にアクセスしていただけます。また、企業のお客様に対しては 99.9% のアップタイムを保証しています。業界標準のデータ管理システムやフェイルオーバーソリューションを用い、文書、アカウント情報、アクセス管理リストやその他の永続的なデータを複数の可用性ゾーンに複製することでこれを実現しています。

Lucid のエンタープライズ機能では、コンプライアンス要件の遵守強化を実現するため、アカウントのガバナンスを維持する内容を提供しています。これらの機能には、文書の共有制限、許可された IP のみへの制限、ドメインの許可などが含まれます。また、顧客が各自で固有の暗号化キーを管理し、セキュリティをさらに高めることのできる Key Management Service (KMS) も提供しています。

Lucidchart は、セキュリティにおけるベストプラクティスに従い、最小権限の原則に基づきユーザーの皆様のデータを保護しています。シンプルなロールベースの権限システムにより、アカウントで保有する文書へのアクセス管理を管理者自身で行えます。アカウント管理ツールを使用することで、アカウントとチーム管理者は、ID 管理プラットフォームとの統合と共同編集設定の管理を実現することができます。

Lucid では、HackerOne がホストするバグ報奨金プログラムを通じて、サードパーティの研究者が製品のセキュリティバグを見つけて報告できるようにしています。当社のプログラムに参加したい場合は、HackerOne のユーザー名を security@lucid.co までお送りください。

当社製品のセキュリティ上のバグを発見された場合には、HackerOne 経由で報告いただく代わりに security@lucid.co まで直接詳細をお送りいただくことも可能です。ただし、報奨金は HackerOne プログラム経由でのみ授与されます。