Lucid のセキュリティ

Lucid は、最新のセキュリティ文書、認定、よくある質問に対する回答をトラストセンターで管理しており、セキュリティに関する質問に対する回答を瞬時に得ることができます。弊社のトラストセンターには、30点以上の文書に加え、SOC 2、CAIQ、SIG 関連文書が含まれます。

Lucid は、お客様のデータが保護されなければならない貴重な資産であることを認識しています。Lucidchart、Lucidspark、Lucidscale における顧客データの保護のためのセキュリティポリシー、慣行や手順の詳細については、ホワイトペーパーでご覧ください。

Lucid は、いかなる文書データの所有権を主張しません。知的財産権を始め、文書と文書に含まれる情報に関する一切の権利は、文書の所有者であるユーザーの皆様に属します。Lucidchart はユーザーのプライバシーを尊重しており、許可なしにユーザーの文書が一般に閲覧可能な状態となることはありません。

ユーザー情報のプライバシーを確保するため、ユーザーデバイスと Lucid サーバー間のデータの転送にはすべて、世界有数の認証プロバイダーと TLS 1.2 経由で最大 256 ビットの暗号化技術を用いた接続を使用しています。また、Lucid では、保管時の暗号化技術 (AES-256) を用いてアプリケーションにより永続化されるすべてのデータの機密性を保護しています。Lucid の保護に使用される暗号化キーは Amazon の Key Management Services により保護されています。

Lucid は CCPA および GDPR 遵守を約束し、欧州経済領域、英国またはスイスから米国への顧客の個人データの転送に承認された枠組み (標準契約条項または EU-米国データプライバシーフレームワークなど) を使用することを保証します。また、Lucid のすべてのサププロセッサーは、欧州経済領域、英国またはスイスから米国への個人データの転送にデータプライバシーフレームワーク、標準契約条項または拘束的企業準則のいずれかを使用しています。Lucid は ISO 27701 の認定も受けています。

詳細については次のリソースを参照してください。

• プライバシーポリシー
• 利用規約
• データ処理に関する補遺 (エンタープライズアカウントのお客様向け)
• よくある質問

クラウドストレージでのデータ保護には特別な努力を要することを念頭に、Lucidscale では、お客様のデータを安全に保護し、適切な人がアクセスできるセキュリティプロセスを整備しており、Lucidscale と統合する AWS、Azure、GCP の全プロバイダーのセキュリティに関してベストプラクティスを実践しています。

AWS、Azure、GCP のデータに対するサードパーティのアクセス、権限、ユーザー ID や保管方法の詳細はこちらをご覧ください。

Lucid は適用される現地の、および国際的な要件を遵守し、次のようなコンプライアンス認証を維持しています。

• SOC 2 Type II
• PCI
• EU-米国およびスイス-米国データプライバシーフレームワーク
• FedRAMP 認証
• ISO 27001
• ISO 27701
• Cloud Application Security Assessment (CASA)
• IRAP 評価 (PROTECTED レベル)

お客様のデータのセキュリティは当社の最優先事項の 1 つであり、当社には Lucid のシステム、プロセス、および制御のセキュリティ保護に専念するチームがあります。Lucid は、業界をリードする安全なコンピューティング インフラストラクチャ プロバイダーである Amazon Web Services (AWS) を利用しています。
私たちが AWS を選んだのは、次のような厳格なセキュリティ対策を備えているからです。

• SOC 2監査
• ペイメントカード業界（PCI）データセキュリティ標準（DSS）に基づくレベル1サービスプロバイダー
• ISO 27001認証
• 米国一般調達局FISMA - 中程度の運用認可
• FedRAMP 中程度のセキュリティ影響レベルで認定

AWS が採用しているセキュリティ手順の詳細については、セキュリティドキュメントとコンプライアンスドキュメントを参照してください。

Lucid の製品へは、いつでも、どんなデバイスや場所からでも、安全にアクセスしていただけます。また、企業のお客様に対しては 99.9% のアップタイムを保証しています。業界標準のデータ管理システムやフェイルオーバーソリューションを用い、文書、アカウント情報、アクセス管理リストやその他の永続的なデータを複数の可用性ゾーンに複製することでこれを実現しています。

Lucid のエンタープライズ機能では、コンプライアンス要件の遵守強化を実現するため、アカウントのガバナンスを維持する内容を提供しています。これらの機能には、文書の共有制限、許可された IP のみへの制限、ドメインの許可などが含まれます。

Lucidchart は、セキュリティにおけるベストプラクティスに従い、最小権限の原則に基づきユーザーの皆様のデータを保護しています。シンプルなロールベースの権限システムにより、アカウントで保有する文書へのアクセス管理を管理者自身で行えます。アカウント管理ツールを使用することで、アカウントとチーム管理者は、ID 管理プラットフォームとの統合と共同編集設定の管理を実現することができます。

Lucid では、HackerOne がホストするバグ報奨金プログラムを通じて、サードパーティの研究者が製品のセキュリティバグを見つけて報告できるようにしています。当社のプログラムに参加したい場合は、HackerOne のユーザー名を security@lucid.co までお送りください。

当社製品のセキュリティ上のバグを発見された場合には、HackerOne 経由で報告いただく代わりに security@lucid.co まで直接詳細をお送りいただくことも可能です。ただし、報奨金は HackerOne プログラム経由でのみ授与されます。

Enterprise Shield (エンタープライズシールド) は、Lucid のエンタープライズおよび FedRAMP 認定アカウント用のセキュリティアドオンで、すでに高度なセキュリティを備えた Lucid のプラットフォームのセキュリティをさらに強化し、綿密なコントロールを可能にするレイヤーを追加します。

エンタープライズシールドを使用すると、管理者は機密データを保護し、コンテンツへのアクセスを制御し、コンプライアンスを強化するために設計された高度な機能を利用できます。

Lucid は、当社プラットフォームにおける AI のセキュリティ確保に尽力しています。AI 機能はオプションであり、ユーザーはいつでも自由に使用を停止できます。Lucid の生成 AI 機能は、Microsoft Azure OpenAI サービスを利用しています。Lucid と Microsoft Azure OpenAI サービスの協力により、生成 AI の入力と出力は限られた期間保存され、ユーザーのプライバシーを優先しながら機能性とコンプライアンスが確保されます。

顧客データは、第三者が利用できる生成 AI モデルのトレーニングには使用されません。Lucid は、独自の内部エラー処理と分析のために匿名化および編集されたプロンプトと応答を保存し、個々の Lucid ユーザーまたは文書に直接紐づけられないようにします。Lucid と Microsoft はいずれも、ユーザーデータをモデルトレーニングプロセスから分離する厳格なポリシーに準拠しており、顧客データが意図された目的にのみ使用されるスタンドアロンの実体のままであり続け、ユーザーのプライバシーとデータの機密性を高水準で維持することを保証しております。