セキュリティ

データはどこに保存されますか? そこは安全ですか?

はい、ユーザーのデータは安全であり、常にあなたの環境に格納されます。クエリー(すべてのユーザーの取得など)を実行すると、Retoolバックエンドはデータベースに対してリクエストをプロキシ経由にし、資格情報をサーバー側に適用します。データベースから返されるデータは、弊社側に格納されません。弊社がこれを実施するのは、エンドユーザーのブラウザーがデータベースに直接接続されると、資格情報が公開され、Retoolサーバーではなく、すべてのユーザーをホワイトリストに個別に登録することが必要になるためです。

オンプレミス版のRetoolもあるので、ユーザーはこれを自分のVPCやVPSに自分でデプロイすることができます。このように、ユーザーはRetoolインスタンスを完全に管理し、ユーザーのデータはVPCから出ることはありません。

オンプレミス版とは、どのようなものですか?

オンプレミス版は、Linuxマシン上にDockerまたはKubernetesを介してデプロイします。プロセス全体で約15分かかり、5つのコマンドを実行します。

ユーザーが別の形式のコンプライアンス(HIPAA、SOC2、PCIなど)を順守する場合、エアギャップに対応したオンプレミス版のRetoolも用意しています。これにより、受信ネットワーク接続も送信ネットワーク接続も不要になり、分析が格納されることなく、ライセンス・サーバーにpingが実行されません。これを使用する場合は、弊社にお問い合わせください( English )。※オンプレミス版(Enterpriseプラン)についてのお問い合わせは、グロースエクスパートナーズ株式会社でも受け付けております。

Retoolを安全に保つために何をしていますか?

セキュリティは、Retoolで実行するすべてのことに影響を与えます。弊社では、SOC 2 Type 2に準拠しており、次のことを実行します。

  • すべての接続にHTTPSを強制します。したがって、送信中のデータはTLSで暗号化されます。
  • 存在するすべてのデータベースのデータをAES-256で暗号化します。
  • すべてのサーバーは、米国のデータ・センター(SOC 1、SOC 2およびISO 27001で認定されています)でホストされます。弊社のデータ・センターは、24時間体制のセキュリティ、完全冗長電源システム、2要素認証、および物理的な監査ログを備えています。
  • サードパーティのベンダーによる外部侵入テストを定期的に実施します(企業カスタマーにレポートを提供可能)。
  • すべての従業員にセキュリティ意識向上トレーニングを定期的に実施します。
  • すべての内部システムの詳細な監査ログを保持します。
  • セキュリティの脆弱性の可能性を認識したときに、セキュリティ研究者と連携するために、脆弱性報奨金制度を導入しています。提出から24時間以内のすべてのレポートに対応します。

オンプレミスのエアギャップ済みのデプロイメントでは、弊社はデータ、分析、ユーザーのRetoolインスタンスに関連する他のすべてのものに物理的にアクセスすることはできません。

Retoolでは、どのようなデータを格納していますか?

次のようなユーザーの使用に関連するメタデータのみです。

  • ページ・ビュー(ページのURL)
  • クエリーの保存(クエリーのタイプ、クエリーの名前)
  • コンポーネントの作成(コンポーネントのタイプ)
  • クエリーのプレビュー(クエリーのタイプ、クエリーの名前)
  • リソースの追加(リソースのタイプ、リソースの名前)
  • ユーザー(電子メール、承認済みシート数など)

(ネットワーク要件に関する詳細)