技術的および組織的なセキュリティ対策

Dotdigitalの情報セキュリティマネジメントシステム（ISMS）は、情報の機密性、完全性、可用性（CIA）を維持するために設計されたISO 27001:2013のフレームワークに基づいて構築されています。これは専任の情報セキュリティチームによって管理され、データ保護責任者（DPO）が監督するデータ保護、プライバシー、コンプライアンスプログラムによって強化されています。以下に、情報保護のために当社が講じている管理および対策の一部を示します：

仮名化と暗号化

• データはTLSで転送される。
• データはAES暗号化により静止状態で保護される。
• メールキャンペーンは、DKIMやDMARCなどの認証および検証システムを使用し、日和見的なTLSを使用して送信されます。
• プラットフォームのパスワードは一方向ハッシュ化されている。
• メール アドレスはMTAログに書き込まれる際にハッシュ化される

守秘義務

• ネットワーク・ファイアウォールのルールは、私たちのインフラにアクセスできるものを管理します。
• ウェブアプリケーションファイアウォールは、悪意のあるウェブリクエストを検出してブロックする。
• 役割ベースのアクセス許可は、システムやデータへのスタッフのアクセスを制御するために使用されます。
• 当社のウェブログインページとAPI 、ブルートフォース攻撃から保護するためにレート制限を実施しています。
• ウェブポータルへのログインは、オプションの二要素認証によってさらに保護することができます。
• インフラへのスタッフの管理アクセスは厳重に管理され、多要素認証による保護が採用されている。
• 最新のセキュリティ・アップデートが適用されていることを確認するため、毎月のパッチ適用サイクルを実施している。
• アカウントのアクセス権（インポート、エクスポート、読み取り、書き込み、送信）は、ニーズに合わせて設定でき、管理者ユーザーによって管理されます。
• すべてのユーザーは、管理者によってプラットフォームに設定されます。認証はメール と SMS で行います。
• 年1回の独立した侵入テストは、Crest認定のセキュリティコンサルタント会社によって実施される。
• サイバーエッセンシャル・プラス年次監査
• 継続的な脆弱性スキャンと管理プログラムの実施
• アカウント（およびアカウント内のデータ）は、解約後90日後に削除されます。

誠実さ

• すべてのデータは、プラットフォームにアップロードされる際にウイルススキャンされる。
• ウイルススキャン技術は、当社のインフラ全体に導入されています。
• マシンは、承認された硬化イメージから構築され、サードパーティのセキュリティ評価で検証されている。
• ウォッチドッグサービスは、顧客コンタクトのアップロードを常に監視しています。通常のパターンと異なる場合は、自動的にアップロードを停止します。このプロセスはまた、配信に影響を与える可能性のあるスパムトラップへの送信からお客様を保護します。
• 従業員はDBSチェック済み
• イベントロギングとアカウント監査が実施されている

空室状況

• 業界をリードするアップタイムSLAを持つクラウドサービスプロバイダーのみを使用
• 当社のデータセンターは、冗長インターネットリンクでインターネットに接続されており、帯域幅は要件に応じて簡単にアップグレードできます。
• 事業継続と災害復旧の方針と手順が定められ、テストされている。
• すべてのコンポーネントとサービスレベルに冗長性があり、予備容量もあるため、オンデマンドでサーバーを拡張することができます。つまり、Dotdigitalはコンポーネントに大きな障害が発生しても、長期にわたって稼働し続けることができ、容量が不足することはありません。
• 重要なデータのリストアポイントは5分ごとに取得しています。バックアップデータは同じ地域に安全に保管されていますが、災害が発生してもデータが失われないよう、十分な距離を保ちつつ、現地のデータ保護規制を遵守しています。
• このプラットフォームは、アンチDoSおよびDDoS技術を採用している。