メインコンテンツへスキップOneSignalは、プラットフォームに保存されているデータのセキュリティとプライバシーに取り組んでいます。当社は、組織とサービスが安全であることを保証するために、多数のセキュリティ管理と機能を実装しています。このページでは、顧客から最も一般的なセキュリティ関連のリクエストを説明します。
PIIマスキング
すべてのユーザーのダッシュボードとすべてのエクスポートでメールと電話番号を非表示にします。詳細については、Handling Personal Dataを参照してください。
SOC 2 Type II & ISO 27001/27701
OneSignalはSOC 2およびISO認証を取得しています。
HIPAA
当社はHIPAA規制に準拠しています。
GDPR
OneSignalはGDPRに準拠し、顧客がGDPR責任を維持することを支援します。当社のデータセンターはEUに配置されています。
Data Privacy Framework
EUと米国間のデータ転送のためのData Privacy Frameworkで認証されています。
サードパーティセキュリティ評価と脆弱性スキャン
独立したサードパーティによる年次セキュリティ評価を実施しています。さらに、四半期ごとに脆弱性と侵入スキャンを実行します。すべての重要および高度な発見は修正されます。
ワークステーションセキュリティ
すべてのワークステーションは、ファイアウォール、エンドポイント保護、および保存時の暗号化が有効になっています。
インシデント対応
強固なインシデント対応プログラムを実施しています。
専用セキュリティ組織
セキュリティの問題を監視およびトリアージする専用のセキュリティチームがあります。
業界標準の暗号化
顧客データは、保存時および送信中の両方で、業界標準の暗号化アルゴリズムを使用して保護されています。
シングルサインオン(SSO)
WorkOSを通じて、OneSignalは一般的なIDプロバイダーでのSSOログインをサポートしています。
2FAの適用
管理者は組織全体で2FAを適用できます。
人事セキュリティ
定期的にセキュリティ意識トレーニングを実施しています。すべての新入社員にバックグラウンドチェックが実施されます。
データガバナンスと保持
顧客はデータ管理者のままであり、OneSignalはデータ処理者として機能します。APIとJourneysを介して送信されたメッセージは、削除前に30日間保存されます。ダッシュボードのMessagesフォームを通じて送信されたメッセージは、削除するまで保存されます。
ユーザーデータは、削除するまですべての有料プランで保持されます。無料プランでは、過去18か月間にアクティブだったユーザーデータを保持します。
データエクスポート
当社のプラットフォームは、データをエクスポートするための使いやすいツールを提供しています。
FAQ
OneSignalはCookieを使用していますか?
OneSignalのWeb SDKはCookieを使用していません。Local storageとIndexDBを使用しています。
ブラウザでOneSignalに起因するCookie __cf_bmが表示される場合があります。このCookieはCloudflareによって設定され、ボットと戦うために使用されます。EUのCookie法は、ユーザーの同意なしにシステム機能を実装するCookieを明示的に許可しています。Cloudflareは、オプトアウトできないことを含め、独自のStrictly NecessaryポリシーでこれらのCookieについて明示的に言及しています。詳細については、Strictly Necessary Cookieにはユーザーからの明示的な同意が不要であることに関するこのGDPR解説を参照してください。
OneSignal SDKによってどのようなデータが収集されますか?
Data Collected by the OneSignal SDKを参照してください。
OneSignalでのユーザーデータの処理をどのように推奨していますか?
Handling Personal Dataを参照してください。
OneSignalはCOPPAに準拠していますか?
OneSignalは2022年1月10日現在、Families Ads Programで認証されています。
COPPAは、パブリッシャーが維持する責任があります。ただし、OneSignalは、データを収集してプッシュを促す前にユーザー同意を収集するための簡単なソリューションを提供しています。この相互作用を適切に処理する方法の詳細については、この記事を参照してください:How to Implement COPPA Compliant Push Notifications in Kid Directed Apps.
自分またはユーザーがWebプッシュ通知からオプトアウト(購読解除)する方法は?
Unsubscribe from Notificationsを参照してください。
OneSignalアカウントをロックダウンまたは保護する方法は?
すべてのOneSignalアカウントで2-Step Authenticationおよび/またはSingle Sign-Onを設定することをお勧めします。
アカウントへのアクセスが不要なチームメンバーを削除します。複数の人が1つのアカウントを共有すべきではありません。各人に1つのメールを関連付ける必要があります。
APIキーを無効化、削除、および/またはローテーションします。詳細については、Keys & IDsを参照してください。APIキーを公開しないでください。これらのキーは、Githubやアプリ/サイト内など、公開アクセス可能な場所に配置しないでください。
パスワードをリセットします。詳細については、Account Managementを参照してください。
「悪意のあるアクター」がOneSignal REST APIキーにアクセスした場合はどうなりますか?
REST APIキーが侵害されたと思われる場合は、削除および/またはローテーションできます。詳細については、Keys & IDsを参照してください。
「悪意のあるアクター」がOneSignal App IDにアクセスした場合はどうなりますか?
OneSignal App IDは公開されています。誰かがこの情報で潜在的に行えることは、新しいユーザーを作成することだけです。ただし、デバイスが有効な手段で購読されていない場合、そのレコードはメッセージを受信できません。
Identity Verificationを使用して、ユーザーが互いになりすますことを防ぐことができます。
「悪意のあるアクター」がOneSignalサブスクリプションにアクセスした場合はどうなりますか?
ユーザー自身のsubscription_idはそのユーザーに公開されており、それを発見することは一般的に無害です。これを使用して、ユーザーのサブスクリプションに関するタグやその他のデータを表示および更新できます。このため、タグは認証や機密データおよび個人識別情報の保存に使用すべきではありません。
アプリケーションまたはサービスのユーザーには、他のユーザーのsubscription_idへのアクセスを許可すべきではありません。これは、subscription_id単独でそのユーザーのデバイスに通知を送信するのに十分だからです。したがって、他の人に属するsubscription_idは秘密にしておく必要があります。
Identity Verificationを使用して、ユーザーが互いになりすますことを防ぐことができます。
