セキュリティステートメント

概要

KnowBe4は、データセキュリティに関して明確にしたいと考えます。第一に、利用者のプライバシーを尊重し、すべてのデータを保護するために多大な努力を尽くします。第二に、KnowBe4は利用者のデータを決して侵害しません。そして、最後に、KnowBe4は、セキュリティ企業であり、高度なセキュリティ意識を所有しているプロフェッショナルによって設立され、運営されています。

 KnowBe4が行う最も重要なことは、利用者のデータを安全に保つことです。そして、KnowBe4は、利用者がKnowBe4に提供するすべてのデータが安全に保護するためにいかなる労をいとみません。 KnowBe4のシステムと利用者のデータを安全に保護することは、KnowBe4のビジネスの根本です。  ご利用される前に、KnowBe4のプライバシーポリシー利用規定も併せて確認することをお願いします。

セキュリティおよびプライバシーチーム

KnowBe4のインフラストラクチャおよびセキュリティチームは、スタートアップ企業から大手上場企業や政府機関において、高度で安全なインターネットシステムの設計、構築、運用に50年以上の経験豊富なプロフェッショナルから構成されています。KnowBe4のチームのメンバーは、業界で認められたセキュリティとプライバシーの認定を受理するだけでなく、セキュアコーディングとインシデント処理の分野で特定のトレーニングを継続的に受けています。

ベストプラクティス

インシデントレスポンスプラン

  • KnowBe4は、セキュリティインシデント手順を確立しており、KnowBe4セキュリティポリシーに従ってすべてのスタッフを教育しています。
  • セキュリティインシデントが検出されると、セキュリティ運用チームにエスカレーションされ、関係者が特定され、通知され、イベントに迅速に対処するためのチームが編成されます。
  • セキュリティイベントが修正された後、関係者とセキュリティ運用チームは、原因究明の分析を実行します。
  • 分析は直接レビューされ、関係者に配布されます。その中には、将来、同様のイベントを検出し、防止するためのコントロールを実装するアクションアイテムが含まれます。

 プロセスの自動化

  • 頻繁に使用される自動化機能を備えているため、アプリケーションとプラットフォームの運用両方に変更を数分以内に安全かつ確実に展開することができます。
  • KnowBe4は、通常、ソフトウェアコードを1日通して定期的に展開しているため、必要に応じてセキュリティ修正プログラムも迅速に実装できると確信しています。

インフラストラクチャ

  • すべてのサービスはクラウドで実行されます。自社のルーター、ロードバランサー、DNSサーバーまたは物理サーバーは実行していません。
  • 一部のデータサブプロセッサを除き、KnowBe4のサービスとデータは主にAmazon Web ServicesAWS)でホスティングされています。米国に拠点を置く顧客およびデータを米国内に保持したい顧客の場合、米国リージョンのAWSデータセンターを利用します。 EU内にデータを保持したい場合、米国のみの少数のサブプロセッサを除き、EUリージョンのAWSデータセンターを利用します。 KnowBe4サービスは、ビジネスの継続性と災害復旧を考慮して構築されています。
  • インフラストラクチャ全体(サーバーとデータベースを含む)は、米国とEUの両方のリージョンの複数のAWSデータセンター(アベイラビリティーゾーン)に分散されており、これらのデータセンターのいずれかが予期せず障害が発生した場合でも機能し続けます
  • すべてのサーバーは、ネットワークアクセス制御リスト(ACL)を備えた独自の仮想プライベートクラウド(VPC)内にあり、内部ネットワークへの不正なリクエストを防ぐことができます。
  • 現在、機能の制限により、AWSの米国およびEUリージョンでのみ動作できます。プラットフォームの実行に必要なすべてのサービスが利用可能になると、他のAWSリージョンも考慮されます。

サービスレベル

  • 99.9%以上の稼働率があります..より高いです。
  • 月曜日から金曜日の午前9時から午後6時まで、米国東部時間帯の通常の営業時間内にサポートを受けることができます。 support@knowbe4.comまでメールを送信してサポートチケットを作成するか、サポートサイトにアクセスすることもできます。

データ

  • 米国リージョン(training.knowBe4.com)を使用している場合、すべてのデータは米国に保存されます。 EUリージョン(eu.knowBe4.com)を使用している場合、米国にある一部のサブプロセッサーによる30日未満の一時保存を除き、データ(メールアドレス)はEUに保存されます。
  • 顧客データはマルチテナントアーキテクチャに保存されます。お客様毎に個別のデータベースやサーバーはありません。ただし、データのプライバシーを確​​保し、ある顧客が別の顧客のデータにアクセスできないようにするために、厳格なプライバシー管理がアプリケーションコードに適用されます。これは、各ユーザーを特定のアカウントに関連付ける一意のアカウント識別子を使用して実現されます。これらのプライバシーコントロールが期待どおりに機能することを確認するために、多くの単体テストと統合テストを実施しています。これらのテストは、コードベースが更新される毎に実行されます。 1つのテストが失敗した場合、新しいコードは、運用環境に適用されません。
  • すべてのデータは、業界標準の暗号化アルゴリズムを使用して、保管中および転送中に暗号化されます。

データ転送

 KnowBe4との間で送受信されるすべてのデータは、TLS / SSLを使用して転送中に暗号化されます。 これには、システムログ、電子メールアドレス一覧、およびその他の機密情報が含まれます。

認証

  • KnowBe4はhttps経由で100%提供されます。 http経由でサイトにアクセスしようとすると、https接続にリダイレクトされます。
  • すべての従業員がシステムとデータにアクセスし、インフラを管理するには、多要素認証(MFA)が必要です。

アプリケーション監視

  • アプリケーションレベルでは、すべてのシステムおよびアプリケーションアクティビティの監査ログを生成し、AWS S3を介して分析、集中化、およびアーカイブを行うために、TLS暗号化接続を介してリアルタイムでサブプロセッサにログを送信します。
  • KnowBe4アプリケーションへのすべてのアクセスはログに記録され、監査されます。
  • KnowBe4は、サブプロセッサを使用してアプリケーションエラーを監視します。 本サブプロセッサは、生成されたリアルタイムのアプリケーションエラーについて技術スタッフに通知できます。
  • システムのパフォーマンスと稼働時間が監視されます。

セキュリティ監査とコンプライアンス

  • 社内の情報セキュリティチームは、KnowBe4のシステムおよびアプリケーションで四半期ごとにネットワークおよびアプリケーションレベルの脆弱性スキャンを実行します。

KnowBe4のインフラストラクチャプロバイダーは(Amazon Web Services - AWS)です。 KnowBe4は米国で運営しており、顧客の要求によって、EUリージョンにおいてもサービスを提供することができます。 Amazon Web Services のコンプライアンスは、次のページをご参照ください。 https://aws.amazon.com/compliance/

Amazon Web Services SOC3レポートへの直接リンクは、                 https://d0.awsstatic.com/whitepapers/compliance/soc3_amazon_web_services.pdfにあります。

Amazon Web Services SOC2レポートは公開情報ではないため、譲渡できない機密保持契約に基づいています。 AWS SOC2レポートを顧客または見込み客に送信することは法的に許可されていません。 機密保持契約に基づきこれを要求するには、AWSの顧客である必要があります。

SOCレポートは、他の多くの監査およびコンプライアンス文書などと同様に、すべてAWS Artifactから簡単にアクセスできます。

「Get started for free(無料で始める)」のリンクをクリックすると、AWSコンソールにリダイレクトされます。 まだAWSアカウントを持っていない場合は、新しいAWSアカウントを作成する必要があります。 AmazonSOCレポートを共有するには、オンラインNDAにデジタルで同意する必要があります(まだ同意していない場合)。 Artifactが本プロセスをガイドします。 選択可能なSOCレポートの一覧が表示されます(SOC 1SOC 2SOC 3、現在および以前のバージョン)。 すべての最新レポートは、ポータルでいつでもすぐに利用できます。 ISOおよびその他の認証を表示することもできます。

KnowBe4SOC2 Type 2認証を取得しており、毎年SOC2監査を実施しています。 これらの結果は、要求に応じて、NDAの対象となる顧客または見込み客に提供されます。

KnowBe4は、ベンダーのデューデリジェンス書類およびセキュリティアンケートに喜んで記入します。 CAIQおよびSIG Lite形式で事前に記入済みアンケートがあります。 NDAの対象である顧客および見込み客は、これらの文書を要求できます。

https://cloudsecurityalliance.org/star/registry/knowbe4-inc/

 KnowBe4は、クラウドセキュリティアライアンス(CSA)STARレジストリに登録されています。 https://cloudsecurityalliance.org/star/registry/knowbe4-inc/

データプライバシー

  • KnowBe4アプリケーションのEUインスタンスを使用したいお客様のために、KnowBe4は個人情報のEUデータ保護(指令95/46 / EC)第29条のWorking Partyに対するコンプライアンスを維持し、米国ベースのデータサブスクリプションの受け入れの対象となります。 相互秘密保持契約の締結時に提供されます。
  • KnowBe4は、US-EU / US-Swiss Privacy Shieldの認定を受けています。 法律および契約チームと連携して、正式なサービス契約、モデル条項契約、およびデータ保護契約を締結します。
  • GDPRに遵守するためのポリシーと手順を実施しています。

セキュリティバグを見つけましたか?

  • KnowBe4は、現在、プライベートバグバウンティプログラムに参加しています。本プログラムでは、吟味された研究者が、インフラストラクチャとアプリケーションのセキュリティテストを継続的に実施しています。
  • システムにセキュリティ上の欠陥を発見したと思われる場合は、バグバウンティプログラムを通じてお知らせください。
  • 本プライベートプログラム以外でのセキュリティテストは許可されていません。