この情報セキュリティポリシーは、Diditが保有する認証、Diditが運用する技術的および組織的コントロール、ならびに顧客、見込み顧客、規制当局、および監査人向けに利用可能な信頼性アーティファクトについて説明します。本ポリシーは少なくとも6ヶ月ごとに見直されます。
- セキュリティ担当者: security@didit.me
- データ保護責任者: dpo@didit.me
- ステータスページ (リアルタイム): status.didit.me
- トラストパック (NDA必須): security@didit.meまでメールでご連絡ください。
1. 認証と証明
| 証明 | 規格 | 発行機関 | ステータス |
|---|---|---|---|
| SOC 2 Type 1 | 米国公認会計士協会 (AICPA) トラストサービス基準, セキュリティ、可用性、機密性 | ATOM (独立サービス監査人) | 2026年4月9日発行。SOC 2 Type 2 審査進行中で、SOC 2 Type 1 ロゴ使用期間終了前に発行予定。 |
| ISO/IEC 27001:2022 | 情報セキュリティ、サイバーセキュリティ、およびプライバシー管理システム | Bureau Veritas Certification (ENAC認定)、証明書番号 ES144068 | 2026年4月7日発行。2027年6月3日まで有効。 |
| iBeta Level 1 PAD | ISO/IEC 30107-3, 生体認証プレゼンテーション攻撃検出、レベル1 | iBeta Quality Assurance (NIST / NVLAP ラボコード 200962) | 2026年1月5日〜2月4日テスト期間。360回の試行で攻撃成功率0%。 |
| Tesoro / SEPBLAC / CNMV サンドボックス証明 | スペイン金融サンドボックス (Ley 7/2020) | CNMV (Comisión Nacional del Mercado de Valores)、SEPBLAC (スペイン金融情報ユニット) がレビュー | 2024年11月1日〜2025年7月9日テスト。`tesoro.es` で公開された最終報告書 (2026年2月): Diditのリモート本人確認は、対面での本人確認と同等以上の安全性。 |
| EBA / MiCA 適合性メモ | 欧州銀行監督機構のリモート顧客オンボーディングに関するガイドライン (EBA/GL/2022/15) + EU AML 単一ルールブック + 暗号資産市場 (MiCA) 規制 | finReg360 (独立法務意見) | 2026年4月28日発行。 |
| GDPR 第32条 | EU一般データ保護規則 (規則 (EU) 2016/679) | 自己評価; ISO/IEC 27001 コントロールおよび`/terms/business`のデータ処理契約によってサポート | 継続的。 |
基礎となるレポートまたは証明書の請求は、security@didit.meまでメールでご連絡ください。発行者の規約により制限されているレポート(例:SOC 2 Type 1)は、署名済みの秘密保持契約(NDA)締結後、同営業日中に共有されます。
2. 適用範囲
本ポリシーは、すべてのDidit担当者(従業員、契約者、および承認された第三者)、すべてのDiditの生産および企業情報システム、ならびに事業規約に記載されている顧客向けサービスを対象とします。本ポリシーは、DiditのISO/IEC 27001:2022管理システムを支える適用宣言書によってサポートされています。
3. ガバナンス
- ISO/IEC 27001:2022およびISO/IEC 27701コントロールに準拠した情報セキュリティおよびプライバシー管理システム。文書化された適用宣言書を含む。
- 最高技術責任者が情報セキュリティ担当役員スポンサーを務め、データ保護責任者(dpo@didit.me)がプライバシープログラムのガバナンスを所管する。
- 独立監査人による年次外部セキュリティ監査(ISO 27001監視およびSOC 2審査)。
- リスクレジスターは四半期ごとにレビューおよび更新される。重大なリスクは経営委員会にエスカレートされる。
- 継続的改善, すべてのインシデント、監査結果、およびリスク評価は、是正措置のバックログと次回のポリシー更新に反映される。
4. 暗号化と鍵管理
- 保存時: すべてのプロダクションデータベース、オブジェクトストレージ、バックアップボリュームでAES-256を使用。
- 転送時: すべての外部API呼び出し、Webhook、ビジネスコンソールセッションでTLS 1.3を使用。古いTLSバージョンと脆弱な暗号は無効化されています。HTTP Strict Transport Security (HSTS) はサイト全体で強制され、プリロードされています。
- 鍵管理: AWS Key Management Service (KMS) が鍵を保持し、ローテーションします。アプリケーションコードは生の鍵素材に触れることはありません。サンドボックスとプロダクションの鍵は完全に分離されています。
- ハッシュ化: 顧客の認証情報は、業界標準の適応型関数 (bcryptまたは同等) でハッシュ化されます。APIキーは一方向ハッシュとして保存され、生の値は作成時にのみオペレーターに表示されます。
5. ID、アクセス、およびゼロトラストアーキテクチャ
- デフォルトでゼロトラスト, すべての内部システムへのすべてのリクエストは認証され、認可されます。ネットワークロケーションに基づく暗黙的な信頼はありません。
- 最小権限の原則に基づくロールベースアクセス制御 (RBAC)。アクセスレビューは四半期ごとに実行されます。
- 多要素認証 (MFA) は、すべての従業員、すべてのプロダクションシステム、すべてのクラウドコンソール、およびすべてのコードホスティングアカウントで必須です。
- 特権ロールにはハードウェアトークンMFAを使用した内部アプリケーション向けのシングルサインオン (SSO)。
- プロダクション向けのジャストインタイムアクセス:常時特権アクセスは例外であり、原則ではありません。
- 監査ログ, すべての特権アクションは、改ざん防止機能付きの書き込み専用監査パイプラインにログ記録され、少なくとも12ヶ月間保持されます。
6. データレジデンシーと分離
- デフォルトは欧州連合。 本番データは、Amazon Web Services上の欧州連合内で処理および保存されます。特定の地域または国内でのレジデンシーは、規制当局が要求する管轄区域向けに、利用可能性に応じてエンタープライズ契約で利用可能です。
- 環境分離。 サンドボックス、ステージング、および本番環境は、ネットワーク、ID、およびキー管理層で分離されています。明示的かつ監査されたアクセスパスなしに、ある環境の人間またはサービスが別の環境のデータを読み取ることはできません。
- テナント分離。 マルチテナントデータは、該当する場合、テナントごとの暗号化キーで論理的に分離されています。テナント間のクエリは、アプリケーション層およびデータベース層でブロックされます。
7. セキュア開発ライフサイクル (SDLC)
- すべてのプロダクション変更にはコードレビューが必須です。単一のエンジニアがレビューされていないコードをプロダクションにマージすることはできません。
- 静的アプリケーションセキュリティテスト (SAST)、依存関係スキャン、およびソフトウェア構成分析 (SCA) は、すべてのプルリクエストで自動的に実行されます。
- すべてのビルド時およびデプロイされたイメージの定期的なスケジュールでのコンテナおよびインフラストラクチャスキャン。
- 高影響度の変更(認証、鍵管理、生体認証パイプライン、支払いフロー)に対するプレプロダクションセキュリティテスト。
- 内部侵入テストは継続的に実施され、外部侵入テストは独立した専門家によって少なくとも年に1回実施されます。重大な発見事項は、SLAに準拠したスケジュールで解決まで追跡されます。
- バグバウンティ / 責任ある開示チャネル, セキュリティ問題はsecurity@didit.meに報告してください。
8. 脆弱性管理
- 重大度別のパッチ適用SLA, 重大 (ベンダー開示後72時間以内)、高 (7日以内)、中 (30日以内)、低 (90日以内)。
- プロダクションインフラストラクチャ、コンテナ、および依存関係全体にわたる継続的な脆弱性スキャン。
- 新しい製品インターフェース、生体認証パイプライン、および環境間統合に対する脅威モデリング。
9. 監視、検出、およびインシデント対応
- 可用性、エラー、およびセキュリティシグナルに関するアラートを含む、すべてのプロダクションシステムの24時間365日監視。
- セキュリティ情報およびイベント管理 (SIEM) は、セキュリティイベントを集約および関連付け、異常なパターンはオンコールセキュリティエンジニアにエスカレートされます。
- 役割、通信ツリー、重大度マトリックス、およびインシデント後のレビュープロセスを明記した文書化されたインシデント対応計画。この計画は、テーブルトップ演習を通じて少なくとも年1回テストされます。
- 個人データ侵害通知。 Diditは、影響を受ける顧客に不当な遅延なく、かついずれの場合も、顧客が一般データ保護規則 (GDPR) 第33条に基づく72時間通知義務を履行できるよう、時間内に通知します。エンタープライズ顧客には、担当エンジニアと専用の通信チャネルが提供されます。
- status.didit.meの公開ステータスページ, すべてのプロダクションインシデント、すべての事後分析がログイン不要で公開されています。
10. 事業継続と災害復旧
- すべてのプロダクションリージョンにおけるマルチAZアクティブ冗長性。ステートレスサービスに対する自動フェイルオーバー。
- バックアップは暗号化され、選択されたレジデンシー境界内で地理的に分離され、定期的にテストされます。
- コア検証APIおよびビジネスコンソールに対する目標復旧時点 (RPO) ≤ 1時間および目標復旧時間 (RTO) ≤ 4時間。
- 災害復旧 (DR) テストは少なくとも年1回実施されます。
11. 人員セキュリティ
- 適用される法律で許可されている場合、プロダクションデータまたは個人データにアクセスするすべての従業員および契約者に対する身元調査。
- すべての従業員および契約者に対する雇用時の機密保持契約。
- すべての従業員に対するオンボーディング時および少なくとも年1回の必須セキュリティおよびプライバシー研修。必要な役割に対する対象を絞った研修(セキュアコーディング、生体認証データ処理、不正対策、マネーロンダリング対策)。
- 定期的なスケジュールでのフィッシングシミュレーション。
- 役割変更または退職後24時間以内にアクセスを取り消す入社/異動/退職プロセス。
12. ベンダーおよびサブプロセッサー管理
- すべてのサブプロセッサーは、オンボーディング前にリスク評価され、少なくとも年1回再評価されます。
- すべてのサブプロセッサーは、Diditが自身の顧客に対して負う義務と実質的に同等のデータ保護義務を課すデータ処理契約 (DPA) に署名します。
- 現在のサブプロセッサーリストは、秘密保持契約 (NDA) 署名後、メールで顧客および見込み顧客と共有されます。security@didit.meまでメールでご請求ください。サブプロセッサー変更通知を購読している顧客には、異議を申し立てるのに十分な事前通知をもってメールで通知されます。
13. データ主体の権利と削除
- アクセス権とポータビリティ権, `GET /v3/sessions/:session_id/decision/`。
- 消去権, `POST /v3/sessions/:session_id/delete/`。セッションと、すべてのレプリカにリンクされたすべてのアーティファクトを削除します。
- アプリケーションごとの保持期間は、ビジネスコンソールで30日から10年の間で設定可能です。顧客がより短い期間を設定しない限り、デフォルトは無期限です。生体認証データの保持期間は、いかなる場合も、適用される生体認証プライバシー法および規制(EU一般データ保護規則 (GDPR) 第9条、イリノイ州生体認証情報プライバシー法 (BIPA)、テキサス州生体認証識別子取得または使用法 (CUBI)、ワシントン州H.B. 1493、およびその他の適用される生体認証プライバシー法を含む)に従い、それによって上限が定められます。かかる法律がより短い保持期間またはより早い破棄義務を規定している場合、そのより短いまたはより厳格な規則が、デフォルトまたは顧客が設定した保持期間よりも優先されます。
- データ主体の権利に関する完全なプロセスについては、プライバシーポリシーおよび検証プライバシー通知をご覧ください。
14. セキュリティ問題の報告
Diditの製品またはサービスにセキュリティ脆弱性を発見したと思われる場合は、security@didit.meまで、説明、再現手順、および観察された影響を添えてメールでご連絡ください。Diditは、セキュリティ報告を2営業日以内に確認し、責任ある開示慣行に従う報告者と誠意をもって協力します。
15. お問い合わせ
- セキュリティ: security@didit.me
- データ保護責任者: dpo@didit.me
- プライバシー: privacy@didit.me
- 法務 / 契約: legal@didit.me
- トラストパック請求 (NDA必須): security@didit.me