Plume Trust Center

• Plumeは、業界で認められているOWASP SAMM. などのフレームワークに従って、セキュリティを製品開発ライフサイクルに統合しています。セキュリティ評価は、リリースプロセスの一環として実施されます。Plumeの目標は、ソフトウェアとファームウェアが最初から安全に設計され、構築されるようにすることです。
• セキュリティトレーニングは、当社の従業員がセキュリティ上の脅威を特定し、対処して軽減できるように設計されています。
• Plumeのサービスプロバイダーは、Plumeのサードパーティリスク管理プログラムの一環としてセキュリティリスク評価を受けます。このプログラムには、そのようなサードパーティの法令順守のレビューが含まれます。

• Plumeは、NISTのベストプラクティスフレームワークを使用してサービスを保護し、NIST標準を使用してストレージ内の顧客データと、コンシューマープレミス機器とクラウドへのモバイル/ウェブアプリケーション間の通信を暗号化しています。
• ネットワーク分離と役割ベースのアクセス制御は、不正なデータアクセスを制限するために使用されます。
• データアクセス許可は、最小特権の原則を使用して構成され、特定のビジネス目的でアクセス許可を必要とするユーザーのみにアクセスを制限します。
• 実稼働データへのアクセスは監視され、ログに記録され、監査されます。

• Plumeの情報保護プログラムについてご質問がある場合、Plumeのサービスに関連する情報セキュリティイベントが発生した場合、または脆弱性の開示を送信する場合は、security@plume.com. までお問い合わせください。脆弱性の開示を送信するために、このフォームを使用することもできます。
• 5営業日以内に確認通知をお送りします。報告された問題については、定期的に最新情報が送信されます。
• Plumeは、全力を尽くして、脆弱性の存在を確認し、プロセス全体を通じて可能な限り透明性を保ちます。

Plumeのプライバシーガバナンスプログラムには、次のような重要な慣行が含まれています。

• Plumeは、個人が個人情報に関して有する権利と選択肢、およびその権利の行使方法をプライバシーポリシーに記載しています。
• Plumeの従業員は、組織の要件、契約上の要件、規制上の要件を対象としたプライバシー意識向上トレーニングに参加します。
• Plumeは、製品開発ライフサイクルにプライバシーバイデザインとプライバシーバイデフォルトのコントロールを組み込んでいます。
• Plumeは、個人情報への不正アクセス、不正使用、不正利用、不正開示を防止、検出、是正するための手順を備えています。
• 個人情報を取り扱うPlumeのサプライヤーおよびベンダーは、個人情報の処理における役割と制限を規定する拘束力のある約定に従うものとします。
• Plumeは定期的に自己評価を実施して、プライバシーガバナンスプログラムのギャップを特定し、特定されたギャップを解消してベストプラクティスを確立するための対策を定めます。
• Plumeは、異なる保存期間が顧客契約または法律より要求されない限り、開示された目的を達成するために必要な期間中、個人情報を保持するための措置を講じます。
• Plumeのサービスは複数の地域でホストされ運営されています。場合により、Plumeは管轄区域を越えて個人情報を転送することがあります。EEA、英国、スイスから個人情報を国際的に転送する場合、Plumeと顧客およびサプライヤーとの契約には、決定2010/87/EUに従って欧州委員会が発行した標準契約条項 (英国およびスイスに関する補遺を含む) が含まれます。個人情報の宛先の管轄区域が送信元の管轄区域と同じレベルのデータ保護を保証していない場合、Plumeは、その他の個人情報の転送に関して適用される法律を順守します。

• Plumeクラウドは、高可用性とデータ冗長性を提供するように設計されています。
• クラウドインフラストラクチャは、組織的および技術的管理によって補完された認定クラウドプロバイダーのサービスを活用する責任共有モデルを使用して構築および運用されます。
• 企業リソースへのアクセスは、SSO (Single-Sign-On、シングルサインオン)、MFA (Multi-Factor Authentication、多要素認証)、VPN (Virtual Private Network、仮想プライベートネットワーク) ベースのリモートアクセスなどのコントロールを使用して管理されます。
• システムは必要最小限のサービスで構成されており、変更はログに記録され、監視されます。
• マルウェア対策システムと侵入検知システムは、異常な動作や悪意のある活動を検出して対応するために使用されます。
• 定期評価を実施して、環境の脆弱性を検出します。検出された脆弱性は、変更管理とインシデント対応プロセスを使用してリスクに基づいて軽減されます。

• ISMS (Information Security Management System、情報セキュリティマネジメントシステム) を規定するISO 27001は、リスクマネジメントプロセスを適用することにより、情報の機密性、完全性、可用性を維持し、リスクが適切に管理されていることを社内外の関係者に確信させるものです。
• ISO/IEC 27001:2013では、組織内で情報セキュリティマネジメントシステムを確立、実施、維持、継続的に改善するための要件を規定しています。

• 通信サービスプロバイダーおよび消費者向けPlumeのスマートホームコンシューマーエクスペリエンスクラウドプラットフォームの運用、メンテナンス、管理に関連するビジネス活動をカバーするPlumeの実稼動クラウドは、ISO 27001認証を取得しています。

  

• ISO 27701 PIMS (Privacy Information Management System、プライバシー情報マネジメントシステム) はISO/IEC 27001をベースに構築されており、組織のプライバシー規制要件の調整を支援します。この規格は、GDPRやCCPAなど、さまざまな規制にマッピングできる包括的な運用管理の概要を示します。マッピングされたPIMSの運用管理は、プライバシーの専門家によって実施され、社内監査人またはサードパーティの監査人によって監査され、最終的に認証と適合性の包括的な証拠が得られます。
• この規格は、ISO/IEC 27001およびISO/IEC 27002を拡張する形で、組織がプライバシー管理を行うためのプライバシー情報マネジメントシステム (PIMS) を確立し、実施し、維持し、継続的に改善するための要件を規定し、ガイダンスを提供します。
• 通信サービスプロバイダーおよび消費者向けPlumeのスマートホームコンシューマーエクスペリエンスクラウドプラットフォームの運用、メンテナンス、管理に関連するビジネス活動をカバーするPlumeの実稼動クラウドは、ISO 27701認証を取得しています。
  

  

• データプライバシーフレームワークは、各国で業務を行う組織間での個人データの移転を円滑化し、かつ規制するために開発された包括的なガイドラインと基準のセットです。米国商務省国際通商局がDPFを監督しています。
• DPFは、EU-U.S. DPF (EU-U.S. Data Privacy Framework、EUと米国間のデータプライバシーフレームワーク)、UK Extension to the EU-U.S. DPF (EUと米国間のデータプライバシーフレームワークへの英国の延長)、およびSwiss-U.S. DPF (Swiss-U.S. Data Privacy Framework、スイスと米国間のデータプライバシーフレームワーク) で構成されています。Plumeはこれら3つのDPF認証を正式に取得しました。
• DPFのウェブサイトの検索バーに「Plume Design Inc」と入力すると、Plumeが認証を受けていることがわかります。