当社ポリシーアーカイブ(新しいタブまたはウィンドウで開く)にあるこのポリシーおよび他のポリシーの以前のバージョンを参照してください。
この『技術的・組織的な施策に関する声明』は、当社の『データ処理に関する補遺』に参照により組み込まれます。ここでは、『サブスクリプションサービス契約(新しいタブまたはウィンドウで開く)』に基づいてCanvaがCanvaサービスに適用する最低限のセキュリティ基準について説明します。この『技術的・組織的な施策に関する声明』で使用されているが定義されていない大文字の用語は、「データ」(疑義を避けるため付記すると、当社との契約に別段の定めがない限り、これは企業の顧客データに限定されます)を含め、『データ処理に関する補遺(新しいタブまたはウィンドウで開く)』における意味を有します。
1. 個人データの仮名化および暗号化の施策
Canvaは、TLS 1.2以上を使用して、お客様とCanvaアプリケーション間でパブリックネットワークを介して送信されるデータを暗号化します。Canvaのサーバーに保存されるお客様のデータは、AES 256以上の強度で暗号化されます。
2. 処理システムおよびサービスの継続的な機密性、完全性、可用性、回復力を確保するための施策
Canvaでは、セキュリティとプライバシーの監督に責任を持つ担当者を配置しています。セキュリティ、プライバシー、データの責任者を任命し、四半期ごとに情報セキュリティ委員会を開催し、リスク登録で管理されているプライバシーとセキュリティのリスクについて議論しています。
3. 物理的または技術的なインシデントが発生した場合に、個人データへの可用性とアクセスを適時に復元する能力を確保するための施策
サービスの可用性をサポートするため、CanvaはAmazon Web Services(AWS)のオートスケーリング、AWSのアベイラビリティゾーン、広範なアプリケーションとインフラストラクチャの監視、24時間365日のアプリケーションサポート名簿管理を利用しています。
Canvaは、Canvaアプリケーションのコア機能をサポートする顧客データを含む、データストアのバックアップを維持します。バックアップは、プライマリデータの保存場所とは地理的に離れた場所に保存されています。
Canvaは、データに関するセキュリティインシデントに対する文書化された個人データインシデント対応計画を含む、セキュリティインシデント対応能力を維持しています。これには、インシデントの封じ込め、対応、評価、伝達の手段、Canvaスタッフの役割と責任、およびインシデント発生後のレビューの要件が定義されています。
4. 処理の安全性を確保するため、技術的および組織的施策の有効性を定期的にテスト、評価、査定するプロセス
Canvaは、第三者のセキュリティ専門テスターに依頼し、アプリケーションとインフラストラクチャの侵入テストを毎年実施しています。Canvaはまた、第三者のアプリケーション脆弱性スキャンサービスを採用し、公開バグ報奨金プログラムを実施しています。
5. ユーザー識別および認証のための施策
お客様のアカウントに認証用のパスワードが含まれる場合、Canvaは業界標準のパスワードハッシュ関数を使用して、パスワードをソルト化およびハッシュ化して保存します。Canvaは、SAML(Security Assertion Markup Language)を使用して、お客様のIDプロバイダーとのシングルサインオン(SSO)統合をサポートします。
6. 送信時のデータ保護施策
第1項に従い、CanvaはTLS 1.2以上を使用して、お客様とCanvaアプリケーション間のパブリックネットワークを介して送信されるデータを暗号化します。
7. 保存中のデータ保護施策
第1項に従い、Canvaのサーバーに保存される顧客データは、AES 256以上の強度で暗号化されます。
8. 個人データが処理される場所の物理的安全性を確保するための施策
本サービスはホストを利用し、データはAmazon Web Services(AWS)が提供するデータセンター内で保存されます。そのため、CanvaはAWSの物理的、環境的、インフラストラクチャ的な管理に依存しています。Canvaは、AWSが提供するデータセンター管理の有効性に関する証明書および第三者認定書を定期的に確認します。
9. イベントログを確保するための施策
Canvaは、アプリケーションとインフラストラクチャのセキュリティ監査ログを維持します。監査ログは、異常なアクティビティを検出するために分析されます。
10. デフォルト構成を含むシステム構成を確保するための施策
Canvaは、一般的な業界標準に基づくハードニング標準を使用して、サーバーインフラストラクチャを強化しています。Canvaは、脆弱性管理手順に従い、サーバーにセキュリティパッチを適用します。
11. 社内ITおよびITセキュリティガバナンスと管理のための施策
Canvaスタッフによる顧客データへのアクセスは、役割に基づき、最小権限の原則に従います。スタッフには、責任を効果的に果たすために必要な顧客データへのアクセス権のみが付与されます。Canvaシステムへのリモートネットワークアクセスは、安全なプロトコルによる暗号化通信と多要素認証の使用を必要とします。Canvaは、従業員向けのパスワード管理手順を確立し、これを維持します。これは、パスワードが各個人の個人的なものとして権限のない人がアクセスできないように設計されており、少なくとも次のものが含まれます。
- パスワードがコンピュータシステムに保存される際、またはネットワーク上で転送される際、パスワードを暗号化して保護すること
- ベンダーのデフォルトパスワードを変更すること
- 適切なパスワード慣行に関する教育を実施すること
スタッフがプロダクションインフラストラクチャにアクセスするには、多要素認証(MFA)が必要です。
Canvaのスタッフには、守秘義務と個人データ取り扱いポリシーが適用されます。Canvaではスタッフに対し、入社時およびその後毎年、情報セキュリティに関する意識向上のためのトレーニングを受けることを義務付けています。また、Canvaはスタッフに対し、プライバシー法に関するトレーニングを毎年受けることを義務付けています(学生データに関するCOPPAおよびFERPAの遵守を含む)。
Canvaは、プライバシー影響評価を含むがこれに限定されない、プライバシーバイデザインを実施しています。
12. プロセスおよび製品の認証/保証のための施策
CanvaはISO 27001認証を維持し、情報セキュリティマネジメントシステム(ISMS)がこの規格の要件を満たしていることを確認するため、定期的な外部サーベイランスと再認証監査を受けます。
Canvaは、ISO 27001規格の要件を満たす情報セキュリティポリシー、CanvaのISMSおよび情報セキュリティコントロールを評価する内部監査プログラム、およびCanvaの情報セキュリティマネジメントシステム(ISMS)の監督に責任を負う経営委員会を維持します。
13. データの最小化を確実にするための施策
Canvaは、訪問者が匿名でプラットフォームの特定の機能を使用することを許可し、お客様から取得するデータを、要求されたサービスを提供するために必要なデータのみに最小限に抑えます。
14. データの品質を確保するための施策
Canvaは、canva.comプラットフォームに登録したメールの検証を通じてデータの品質を保証します。またCanvaでは、ユーザー自身が、またはカスタマーサポート機能であるカスタマーチームへのリクエストを通じて、アカウントの情報を更新することができます。
15. 限定的なデータ保持を確保するための施策
Canvaは、法的要件、Canvaの正当な利益、および収集目的に基づき、さまざまな種類のデータの保存期間を定めたデータ保持ポリシーを維持します。
16. 説明責任を確保するための施策
Canvaは、ヨーロッパおよびイギリスに現地代理人を置いています。欧州経済領域におけるCanvaの現地代理人はEuropean Data Protection Office(EDPO)で、登録住所はAvenue Huart Hamoir 71, 1030 Brussels, Belgiumです。英国の当社現地代理人はEuropean Data Protection Office UK(EDPO UK)で、登録住所は8 Northumberland Avenue, London WC2N 5BY, United Kingdomです。データ保護影響評価は、リスクの高い処理活動に対して実施され、Canvaはその処理活動の記録を保持します。
17. データポータビリティを可能にし、確実に消去するための施策
Canvaには、リクエストに応じて28日以内に顧客データを削除する自動プロセスがあり、顧客データをダウンロードして代替サービスプロバイダーに提供することができます。