OneSignalは、プラットフォームに保存されているすべてのデータのプライバシーとセキュリティを保護することに取り組んでいます。当社は厳格なセキュリティ管理を維持し、主要なコンプライアンスフレームワークに準拠し、システムを継続的に監視および改善して、お客様のデータの安全性を確保しています。
このページでは、OneSignalのデータ処理、セキュリティプラクティス、およびコンプライアンス認証に関する一般的な質問に回答します。
データ保護とコンプライアンス
メールアドレスと電話番号を非表示にする
ユーザーのメールアドレスと電話番号がOneSignalダッシュボードやデータエクスポートに表示されないようにすることができます。設定手順については、個人データの取り扱いを参照してください。
SOC 2 Type II および ISO 認証
OneSignalは以下の独立したセキュリティ認証を維持しています:
これらの監査は、OneSignalの内部管理とプライバシー管理システムが、データセキュリティと運用の完全性に関する最高水準を満たしていることを検証しています。
HIPAA
OneSignalは、保護対象健康情報(PHI)を管理する顧客のHIPAA要件に準拠しています。
詳細については、HIPAAドキュメントを参照してください。
GDPR
OneSignalはEU一般データ保護規則(GDPR)に準拠し、顧客がGDPR責任を果たすことを支援しています。当社の主要データセンターは欧州連合内にあります。
詳細については、GDPRと個人の権利を参照してください。
データプライバシーフレームワーク
OneSignalは、EUと米国間の合法的なデータ転送のためのEU-米国データプライバシーフレームワークの下で認証されています。
セキュリティプラクティス
独立した評価と脆弱性スキャン
当社は年次サードパーティセキュリティ評価を実施し、四半期ごとの脆弱性および侵入スキャンを実行しています。すべての重大および高重要度の発見は速やかに修正されます。
ワークステーションセキュリティ
すべての従業員のワークステーションには以下が含まれます:
- ファイアウォールとエンドポイント保護
- フルディスク暗号化
- 自動パッチ管理
インシデント対応
当社は、セキュリティインシデントを迅速に検出、封じ込め、修正するための堅牢なインシデント対応プログラムを維持しています。
専任のセキュリティ組織
OneSignalのセキュリティチームは、セキュリティ関連イベントを継続的に監視、トリアージ、対応しています。
暗号化
すべての顧客データは、業界標準のアルゴリズムを使用して、転送中(TLS 1.2+)および保存時(AES-256)の両方で暗号化されています。
シングルサインオン(SSO)
OneSignalは、WorkOSを通じてSSOをサポートしており、主要なIDプロバイダーとの統合を可能にしています。シングルサインオンを参照してください。
二要素認証(2FA)
組織管理者は、すべてのチームメンバーに**2段階認証(2FA)**を強制できます。
2段階認証を参照してください。
人事セキュリティ
すべての従業員は、身元調査と定期的なセキュリティ意識トレーニングを受けています。
データガバナンスと保持
OneSignalはデータ処理者として機能し、顧客はデータ管理者のままです。
- メッセージデータ(APIまたはJourneys経由で送信):削除前に30日間保持されます。
- ダッシュボードメッセージ:手動で削除されるまで保持されます。
- ユーザーデータ:
- 有料プランでは削除されるまで無期限に保持されます。
- 無料プランでは18か月間の非アクティブ期間保持されます。
データエクスポート
OneSignalは、ユーザーおよびメッセージデータを簡単にエクスポートするためのツールを提供しています。データのエクスポートを参照してください。
FAQ
私またはユーザーがプッシュ通知をオプトアウトするにはどうすればよいですか?
ユーザーは、デバイスの通知設定でプッシュ通知を無効にできます。Webプッシュ通知については、通知の購読解除を参照してください。詳細については、サブスクリプションを参照してください。
OneSignal SDKによって収集されるデータは何ですか?
OneSignal SDKによって収集されるデータを参照してください。
OneSignalはCookieを使用していますか?
OneSignalのWeb SDKはCookieを使用していません。クライアントデータを保存するためにローカルストレージとIndexedDBを使用しています。
__cf_bmという名前のCloudflare Cookieが表示される場合があります。このCookieは:
- Cloudflare(OneSignalではない)によって設定されます
- ボットから保護するために使用されます
- EU Cookie法の下で同意を必要としない厳密に必要なCookieに分類されます
詳細については、CloudflareのCookieポリシーおよびGDPR解説を参照してください。
OneSignalでユーザーデータをどのように処理すべきですか?
個人データの取り扱いのベストプラクティスに従ってください。
OneSignalはCOPPAに準拠していますか?
OneSignalは、ファミリー広告プログラム(2022年1月10日現在)の下で認証されています。
COPPAコンプライアンスは公開者の責任ですが、OneSignalは、データ収集やプッシュプロンプトの前にユーザーの同意を収集するのに役立つツールを提供しています。ユーザーの同意の取得およびこのCOPPAガイドを参照してください。
OneSignalアカウントを保護するにはどうすればよいですか?
次のセキュリティベストプラクティスに従ってください:
- 2段階認証および/またはシングルサインオンを有効にします。
- 不要なチームメンバーを削除します。
- 共有ログインを避けてください。各人が独自のOneSignalアカウントを持つべきです。
- APIキーを定期的にローテーションまたは削除します。キーとIDを参照してください。
- 必要に応じてパスワードをリセットします。アカウント管理を参照してください。
REST APIキーまたはアプリキーをパブリックリポジトリまたはクライアント側コードで公開しないでください。
パスワードのルールとポリシーは何ですか?
- パスワードは最低8文字必要で、漏洩したパスワードのデータベースに表示されてはなりません。
- パスワードには事前定義された有効期限やローテーションポリシーはありません。
REST APIキーが侵害された場合はどうすればよいですか?
直ちにAPIキーを削除してローテーションしてください。手順については、キーとIDを参照してください。
アプリIDが公開された場合はどうなりますか?
アプリIDは公開されており、安全に共有できます—新しいユーザーレコードの作成にのみ使用できます。ただし、有効な手段で購読していない限り、ユーザーはメッセージを受信できません。追加の保護のために、ID検証を有効にしてください。
サブスクリプションIDが公開された場合はどうなりますか?
ユーザー自身のsubscription_idは、そのユーザーに公開しても安全です—自分のデータのみを変更できます。ただし、他のユーザーのサブスクリプションIDを共有しないでください。これらは特定のデバイスに通知を送信するために使用できます。なりすましを防ぐには、ID検証を使用してください。
