信頼センター

セキュリティポジション、遵守ルートマップ、そして私たちがあなたのデータをどのように保護するか。

遵守ルートマップ

GDPR(EU/英国) 合意を通じてデータ処理の追加SCC モジュール 2 国際転送、72時間の違反通知
LGPD(ブラジル) — デフォルトによる遵守者; 要求された場合にブラジルに居住するデータ。
SOC 2 タイプ II 実施された監査、公式監査はQ32026をターゲットにした。 CAIQ v4 自己認証現在利用可能(CSA Cloud Controls Matrix、17ドメイン)
ヒッパ BAAは、医療労働費(エンタープライズレベル)の要請により利用可能です。
ISO 27001 について 調整された検査、2027年に実施された認証。

要望の道を通じて防御深さ:

エッジ 自動更新を含むCaddy reverse proxy on TLS 1.2+ with automatic Let's Encrypt renewal. HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, strict-origin Referrer-Policy, restrictive Permissions-Policy.
AUTHゲートウェイ すべての API 通話が認証された オートプロキシ:v3 ベーラーキーに対して(SHA-256 が Redis でハッシュされている)、スライドウィンドウのペース制限、およびバックエンドが達成される前に製品のペース制限。
CSP ノース 各インラインスクリプトの各リクエストに基づく暗号化ノセス 『Insafe インライン』 XSSは、ダイナミックなユーザーコンテンツでも防ぐ。
マーケティングサイト Webhooks マイクロソフト AD JWT サインは JWKS (RS256) に対して認定され、観客と発行者がチェックされ、 oper_id 再生攻撃防衛およびアイデンパワーガードを備えています。
内部隔離 各バックエンドコンテナは、Auth-proxy によって送信される X-Internal-Key を通じてのみサービスを展示します。 127.0.0.1 (ループバック) したがって、外部ネットワークからアクセスできない場合でも、誤った構成が発生した場合でも。
コンテナ耐久性 すべてのコンテナは、 再起動=無止 不健康なコンテナは、90秒以内に自動再起動。

API パワー - メモリで処理され、返信時に直ちに削除されます. 当社は、顧客の支払い負荷にログ、ストレージ、またはトレーニングを行いません. ログにはメタデータ(タイムストンプ、エンドポイント、状態、遅延、バイト数)のみが含まれています。
火の鍵 - SHA-256 ハッシュとして保存され、訴訟キーは発行後に機械にのみ存在します。
PII 編集 エラーログは、メール、電話、IP、およびその他の一般的なPIIパターンをスクリプトする前に、エラートラッカー(Glitchtip、自ホスト)に送信されます。
暗号化 TLS in transit (no plaintext anywhere); ホスト層のリラックス中のボリュームレベルの暗号化。

更新 2026-04-28. 新しいサブプロセッサを追加する前に30日間の通知を提供します。

GDPR第4条第12項の定義に基づく個人データ侵害を発見する場合:

責任ある情報を歓迎します. メール security@brainiall.com 私たちは、1営業日以内に、90日間の調整された開示ウィンドウをターゲットにし、私たちの公共のチャンゲログ(許可を得て)でクレジットレポーターを認識します。

スケール外: 料金制限、社会エンジニアリング、物理的攻撃、負荷によるサービスの拒否。
ボーナス: まだ公式化されていない - 有効なレポートのための認定 + Brainiall クレジットを提供しています。

顧客と公衆に通報するステータスページセキュリティアドバイスおよび死後のお客様のために、私たちはまた、あなたの指定されたセキュリティ連絡先に署名されたRFC-5322メールの通知を送信します。

ファーストパス・サプライヤーリスク評価を実施するオークションチームの場合、下記の文書は、一般的なセキュリティ問い合わせ(SIG、CAIQベース、カスタマイズ RFP)の90%をカバーします。