セキュリティホワイトペーパー
データ保管場所について
【HERP Hire】
お客様からお預かりしたデータは、AWSのap-northeast-1 (東京)に保管されます。
メールの受信機能を使ったデータは一時的にus-west-2(オレゴン)に保存されます。
【HERP Nurture】
お客様からお預かりしたデータは、AWSのap-northeast-1 (東京)に保管されます。
ラベル付機能について
【HERP Hire】
お客様は、募集する職種名の設定が可能です。
【操作手順】
- 職種を作成する https://guide.herp.cloud/manual/a03751906b554504a6ec37692c32b4c1
- 職種を一括で変更する https://guide.herp.cloud/manual/189d9e3c69814f85af40ea1ece8ba59a
- 職種ごとの採用進捗を確認する https://guide.herp.cloud/faq/e7d252b4ca0142cb88c759642165829e
【HERP Nurture】
お客様は、各タレントに対してタグを設定することが可能です。 【操作手順】
- タグを作成・編集・削除する https://guide.herp.cloud/manual/63fdb6d4a8474a629cc483c410ef60ed
- タグを利用してタレントを管理する https://guide.herp.cloud/manual/ed0a1333592e466b9ebe4d9b6f2a0df4
暗号化について
【HERP Hire/Nurture】
- データベースに保管される情報は各社共通の鍵で保存時にストレージ層で暗号化され、適切なアクセス権のもとで保管されます。但し、パスワードは、不可逆暗号化(ハッシュ化)された状態で、データベースに保管されます。
- お客様が用意した鍵を使用した暗号化機能は提供しておりません。
- お客様の端末と、システムとの間のインターネット通信は、SSL/TLS通信によって暗号化されます。なお、対応している SSL/TLS は、TLS1.2 以降となります。
変更管理について
【HERP Hire/Nurture】
- お客様に悪影響を及ぼす可能性のあるサービスの変更を行う場合は、事前に一定の権限を有しているユーザに対してメールで通知します。
バックアップについて
【HERP Hire/Nurture】
- データベースに保管される、お客様の各種情報は、日次でバックアップを取得しています。バックアップは、35世代分保管されます。
- お客様による一部データのエクスポート機能も提供しております。
- ただし、HERPが取得しているバックアップデータ、およびお客様がエクスポートしたデータからの復元に関する要望は承っておりません。
ログのクロックに関する情報について
【HERP Hire/Nurture】
- サービス内で提供されるログは、タイムゾーンJST(UTC+9)で提供されます。
- ログの時間は、AWSが提供するNTPサービスと同期しています。
ログの提供について
【HERP Hire/Nurture】
- サービスログイン時の認証ログを取得しており、提供が可能です。
- 提供をご希望の場合はサポートまでご連絡ください。
脆弱性管理に関する情報について
【HERP Hire/Nurture】
- 開発チームは、システムで利用しているOS、ミドルウェア等に関する脆弱性情報を、定期的に収集しています。
- システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適用されます。
開発におけるセキュリティ情報について
【HERP Hire/Nurture】
- サービスの開発は、社内の開発方針に従って開発しています。
インシデント発生時の対応について
【HERP Hire/Nurture】
- お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止等)が発生した場合は、インシデント発見後、原則として1時間以内(営業時間外に発生した障害の場合は翌営業開始時間から1時間以内)に一定の権限を有しているユーザに対してメールおよびチャットにて通知します。
- 情報セキュリティインシデントに関する問合せは、本セキュリティホワイトペーパー末尾の「セキュリティ担当」窓口より受け付けています。
お客様データの保護について
【HERP Hire/Nurture】
- お客様から預かったデータを適切に保護することは、株式会社HERPの責任です。ログデータを含むお客様データは、不正なアクセスや改ざんを防ぐため、限られたアクセス権のもとで事業継続の限り保管されます。
- AWS内で利用されたストレージデバイスなどの装置の処分に関してはAWSの廃棄プロセスに従っています。
認証について
- 株式会社HERPは、情報マネジメントシステム認定センター(ISMS-AC)が運営する、ISMS適合性評価制度における、ISMS認証を取得しています。
- 認証登録範囲は以下リンク先を参照 https://isms.jp/lst/ind/CR_IS_x0020_721526.html
- 株式会社HERPは、情報マネジメントシステム認定センター(ISMS-AC)が運営する、ISMS適合性評価制度における、ISMSクラウドセキュリティ認証を取得しています。
- 認証登録範囲は以下リンク先を参照 https://isms.jp/isms-cls/lst/ind/CR_CLOUD_x0020_751305.html
- 株式会社HERPは、日本情報経済社会推進協会(JIPDEC)が運営する、プライバシーマーク制度における、プライバシーマークを取得しています。
外部クラウドサービスの利用
【HERP Hire/Nurture】
- 次に示す機能を運用するために、外部のクラウドサービスを利用しています。
クラウドサービス | 機能 | 運営会社 | 保存される情報 |
チャネルトーク | Webチャットによるユーザヘルプ | Channel Corp | 個人名・メールアドレス・お問い合わせ内容等 |
reCAPTCHA | セキュリティ対策 | Google LLC | アクセス履歴 |
Sendgrid | メール送信 | SendGrid | メールアドレス・メール内容・送信日時等 |
Google Cloud Platform | データ分析機能 | Google LLC | 顧客データ
※HERP Hireのみ |
Trocco | データ分析機能 | 株式会社primeNumber | なし(Google Cloud Platformへデータ転送に使用。Trocco自体にデータ保存なし) |
LaunchDarkly | 顧客ごとの機能切り替え | Catamorphic Co. | 顧客の設定 |
OpenAI API | 求人票作成AIサポートの提供 | OpenAI | 職種名・職種情報・企業情報 |
Auth0 | エージェントユーザを対象としたログイン機能 | Auth0, Inc. | アカウント情報(メールアドレス、パスワード) |
改訂履歴
- 改訂履歴は以下を参照ください。
改訂日 | 改訂内容 |
2021/6/29 | 初版発行 |
2022/2/17 | [データ保管場所]の修正
[インシデント発生時の対応]の問い合わせ先名称を変更。
[認証]にISMSクラウドセキュリティ認証を取得した旨記載を変更。認証登録範囲の注釈を追加。
[外部クラウドサービスの利用]の記載を一部変更。Sendgrid・GoogleCloud Platform・LaunchDarklyを追加。 |
2022/9/06 | [外部クラウドサービスの利用]へチャネルトーク追加 |
2022/11/26 | ・データへのラベル付け機能 のヘルプページURLを更新
・[外部クラウドサービスの利用]からIntercom削除、Notion追加 |
2023/6/9 | [外部クラウドサービスの利用]へOpenAI APIを追加 |
2023/8/30 | [バックアップの状況]バックアップ世代を30から35に更新 |
2023/9/21 | [バックアップの状況]へ既存エクスポート機能、バックアップおよびエクス
ポートデータのインポート不可を追記 |
2023/10/11 | ・本セキュリティホワイトペーパをPDFからNotionページに移行
・[外部クラウドサービスの利用] ヘルプ情報のみが記載(クライアント関連の情報資産記載なし)のためNotionを一覧から削除
・[インシデント発生時の対応について] インシデント発生時の通知を「速やかに」から「原則として1時間以内…」に更新。また、通知方法に「チャット」を追加
|
2024/01/17 | [外部クラウドサービスの利用]へTroccoを追記 |
2024/02/14 | [外部クラウドサービスの利用]へAuth0を追記 |
2024/04/18 | [ログの提供]を追記 |
この資料に関するお問い合わせ
株式会社HERP セキュリティ担当 Email security-info@herp.co.jp