セキュリティポリシー

認証と評価

業界で認められた以下のセキュリティ認証を維持し、定期的な評価を受けています：

• SOC 2 Type II認証（進行中）
• 年次サードパーティ侵入テスト
• 継続的な脆弱性スキャン
• 独立企業による定期的なセキュリティ監査

詳細なセキュリティレポートは apilium.com/security で入手可能です

コードデータフロー

Apilium Forge IDEを使用すると、コードは安全なインフラストラクチャを通過します：

• コードはTLS 1.3を使用して転送中に暗号化されます
• リクエストはAWSでホストされているバックエンドサーバーを通じて処理されます
• AI処理は、ゼロ保持契約を持つモデルプロバイダーによって実行されます
• プライバシーモードが有効になっている場合、リクエスト完了後に平文コードは保存されません

インフラストラクチャパートナー

暗号化

転送中のデータ：Apilium Forgeとサーバー間で送信されるすべてのデータは、強力な暗号スイートを使用したTLS 1.3で暗号化されます

保存データ：すべての保存データはAES-256-GCM暗号化を使用して暗号化されます

暗号化キーは、90日ごとに自動ローテーションされるAWS KMSを使用して管理されます

エンタープライズのお客様には、お客様のみが復号化キーを保持するエンドツーエンド暗号化を提供します

アクセス制御

• すべての従業員アカウントに多要素認証（MFA）が必要
• 特権アクセス用のハードウェアセキュリティキー（FIDO2/WebAuthn）
• 最小権限の原則によるロールベースのアクセス制御（RBAC）
• 本番システムへのジャストインタイムアクセスプロビジョニング
• 四半期ごとのアクセスレビューと退職時の即時プロビジョニング解除
• 管理アクセス用のIP許可リストとVPN要件

ネットワークセキュリティ

• カスタムルールセットを備えたWebアプリケーションファイアウォール（WAF）
• エンタープライズグレードのDDoS緩和（Cloudflare Magic Transit）
• 機密サービス用のプライベートサブネットによるネットワークセグメンテーション
• 侵入検知/防止システム（IDS/IPS）
• 継続的なネットワークトラフィック監視と異常検出
• 定期的な外部および内部侵入テスト

アプリケーションセキュリティ

• セキュリティゲートを備えたセキュアソフトウェア開発ライフサイクル（SSDLC）
• セキュリティに焦点を当てたチェックリストによる必須コードレビュー
• CI/CDパイプラインでの静的アプリケーションセキュリティテスト（SAST）
• デプロイされたアプリケーション向けの動的アプリケーションセキュリティテスト（DAST）
• 依存関係の脆弱性に対するソフトウェア構成分析（SCA）
• すべての開発者向けの定期的なセキュリティトレーニング
• OWASP Top 10およびSANS Top 25の脆弱性に対する保護

クライアント（IDE）セキュリティ

Apilium Forge IDEはセキュリティを念頭に置いて構築されています：

• すべてのプラットフォーム（Windows、macOS、Linux）向けのコード署名済みバイナリ
• ロールバック機能を備えた自動セキュリティ更新
• サンドボックス化された拡張機能実行環境
• キャッシュされたデータと認証情報のローカル暗号化
• 許可リストドメインを使用した設定可能なネットワークアクセス
• AI処理から機密ファイルを除外するための.apiliumignoreのサポート

従業員セキュリティトレーニング

すべてのApilium従業員は、包括的なセキュリティトレーニングを受けます：

• オンボーディング中のセキュリティ意識向上トレーニング
• 四半期ごとのセキュリティトレーニング更新と評価
• 月次フィッシングシミュレーション演習
• エンジニア向けのロール固有のセキュリティトレーニング
• 年次インシデント対応卓上演習

セキュリティポリシー

包括的なセキュリティポリシーを維持し、実施しています：

• 情報セキュリティポリシーと基準
• 許容される使用とアクセス制御のポリシー
• インシデント対応とコミュニケーション計画
• 事業継続と災害復旧計画
• ベンダーセキュリティ評価要件
• データ分類と取り扱いガイドライン
• 変更管理とリリース手順

従業員審査

顧客データにアクセスできるすべての従業員は、役割と管轄に応じた適切なバックグラウンドチェックを受け、機密保持契約に署名します。

エンタープライズプライバシーオプション

• 完全なデータ主権のためのオンプレミスデプロイメント
• 他の顧客から分離された専用インフラストラクチャ
• カスタムデータレジデンシー要件（EU専用、特定地域）
• Bring-Your-Own-Key（BYOK）暗号化
• プライベートネットワーク接続（AWS PrivateLink、VPN）

データ分類

機密レベルに基づいてすべてのデータを分類します：

• 公開：マーケティング資料、公開ドキュメント
• 内部：内部プロセス、機密性の低いビジネスデータ
• 機密：顧客アカウントデータ、サポート通信
• 制限：顧客コード、認証情報、セキュリティ構成

バックアップと復旧

堅牢なバックアップと災害復旧機能を維持しています：

• 暗号化された地理的に分散したバックアップ
• データベースのポイントインタイムリカバリ（最大35日）
• 目標復旧時間（RTO）：4時間
• 目標復旧時点（RPO）：1時間
• 四半期ごとの災害復旧テスト
• マルチリージョンフェイルオーバー機能

インシデント対応プロセス

構造化されたインシデント対応プロセスに従います：

• 検出：24時間365日の自動監視とアラート
• トリアージ：15分以内のセキュリティチーム評価
• 封じ込め：影響を受けたシステムの即座の分離
• 調査：根本原因分析と影響評価
• 根絶：脅威の除去とシステムの強化
• 復旧：サービスの制御された復元
• 事後分析：学んだ教訓とプロセスの改善

侵害通知

データに影響を与えるセキュリティ侵害が発生した場合、以下を約束します：

• 確認された侵害から72時間以内に影響を受けたユーザーに通知
• 影響を受けたデータに関する明確な詳細を提供
• インシデントに対処するために行っている措置を説明
• 自身を保護するために実行できる手順に関するガイダンスを提供
• 法律で義務付けられている場合、関連する規制当局に通知
• インシデントが解決するまで定期的な更新を提供

スコープ内

• Apilium Forge IDE（すべてのプラットフォーム）
• api.apilium.comおよびすべてのサブドメイン
• portal.apilium.com（カスタマーポータル）
• apilium.com（ウェブサイト）

報告方法

セキュリティ脆弱性を発見した場合：

• 詳細な脆弱性情報を[email protected]に電子メールで送信
• 再現手順、潜在的な影響、および概念実証を含める
• 機密レポートの場合、PGPキーを使用（セキュリティページで入手可能）
• 公開開示前に最大90日間の修復を許可

私たちのコミットメント

セキュリティリサーチャーに約束します：

• 24時間以内に受領を確認
• 5営業日以内に初期評価を提供
• 修復の進捗状況を常に通知
• セキュリティの謝辞にクレジットを記載（匿名を希望しない限り）
• 誠実なセキュリティリサーチに対して法的措置を取らない

適格な脆弱性に対して報奨金を提供します。現在のプログラムの詳細については、お問い合わせください。

ベンダーセキュリティ要件

顧客データにアクセスするすべてのベンダーは、セキュリティ要件を満たす必要があります：

• セキュリティアンケートとリスク評価を完了
• SOC 2 Type IIまたは同等の認証
• GDPR準拠条項を含むデータ処理契約（DPA）
• 年次セキュリティレビューと再認証
• 即座の侵害通知要件

サブプロセッサー

顧客データにアクセスできる現在のサブプロセッサー：

• AWS（インフラストラクチャ）- 米国/EU
• Anthropic、OpenAI（AIモデル）- ゼロ保持で米国
• Stripe（決済処理）- 米国/EU
• Cloudflare（CDN/セキュリティ）- グローバル
• MongoDB Atlas（データベース）- EU
• SendGrid（メール）- 米国

新しいサブプロセッサーを追加する30日前に顧客に通知します。現在のリストは apilium.com/compliance で入手可能です