情報セキュリティに関する説明
説明:
このドキュメントについて、ここに次のように表明します。
1. このドキュメントはお客様にTencent Real-Time Communication(TRTC)製品、サービスのセキュリティの概要についてご説明し、情報管理とお客様およびエンドユーザーのデータセキュリティ保護をどのように行っているかについて述べることを目的としたものです。セキュリティに対し強制的な要件をお持ちの場合は、Tencent Cloudとの間で書面の商用契約(SLA)によって取り決めを行うことをお勧めします。契約がない場合、Tencent Cloudはこのドキュメントの内容についていかなる明示的または黙示的なコミットメントまたは保証も行いません。
2. セキュリティ特性の範囲は幅広いため、ここでは技術セキュリティの要点の「一部」のみに言及します。
3. このドキュメントを国家または業界情報セキュリティ関連規格、要件の参考文書とすることはできません。
4. この文章は可読性向上のための加工を行っています。記述が不正確な部分が存在する場合は1点目をご参照ください。
5. ドキュメントの解釈権はTencent Cloudに帰属します。
1、概要
Tencent Cloud TRTCライブラリは下記の認証を取得し、下記の認証のセキュリティ要件に適合しています。
ISO 9001認証
ISO 20000認証
ISO 27001認証
ISO 27017認証
CSA STAR認証
GDPR
2、情報セキュリティ保障の説明
Tencent Cloud TRTCの管理セキュリティおよび技術セキュリティ要件はGDPR基準に適合しています。
2.1 情報データセキュリティ
ユーザーとTRTCサーバー間の通信はTencent Cloud VPC伝送プロトコル、TLS、Web Socket Secureなどのプロトコルによって保護されます。TRTCは伝送の過程で、伝送する情報を復号可能なキーを一切持ちません。通話内容の情報は端末デバイス上(クライアントappやローカルサーバーのレコーディングサーバーなど)で、お客様が権限を承認したキーによってのみ復号が可能です。
2.2 データ可用性
大容量データセンター:Tencent Cloud TRTCは世界各地に多数のデータセンターを持ち、協力してサービスをご提供しています。データセンターの1つが攻撃を受けても、他のデータセンターの正常な稼働に影響せず、サービス全体にも影響しないように、パーティション隔離による保障メカニズムを備えています。
障害隔離復旧:データセンターがサービス拒否(DoS)などの、防止が困難な悪意ある攻撃に遭い、サービスに障害が発生した場合、Tencent Cloud TRTCは障害を起こした機器に対し適切な処理を行い、サービス全体の安定性と可用性を確保します。
Anti-DDoS:Tencent Cloud TRTCは使用するデータセンターにAnti-DDoSファイアウォールを設置し、DDoSのリスクをコントロールするための十分な機能とリソースを備えています。
2.3 データ分類保存
個人情報 | 用途 | 法的根拠 |
コンソール設定データ: TRTCアプリケーションID、アプリケーション名、記録が有効化されているか、リレー機能が有効化されているか、選択した課金方式 | 課金に必要なため、当社はこれらの情報を使用してこの機能の使用状況を確認します。 これらのデータは当社のElasticsearch Service (ES)機能に保存されることにご注意ください。 | これらの情報は、当社がお客様と締結した契約を履行し、お客様にこの機能を提供するために不可欠な情報であるため、処理を行います。 |
バックエンドログデータ: ライブストリーミング活動のあらゆる参加者に関連するユーザーID、ルームナンバー、ライブストリーミング活動のあらゆる参加者に関連するクライアントIP、クライアントのSDKバージョン、ライブストリーミング活動のあらゆる参加者に関連するOSのタイプ | 当社はこの機能を要件に従って実行し、故障を排除することを確実にするために、これらの情報を使用します。 これらのデータは当社のES機能に保存されることにご注意ください。 | これらの情報は、当社がお客様と締結した契約を履行し、お客様にこの機能を提供するために不可欠な情報であるため、処理を行います。 |
ダッシュボード情報: 通話中のオーディオとビデオの品質に関する情報:エンドユーザーのAPPID、エンドユーザー制御機能に関するデータ(ビデオの有効化、ビデオの無効化、オーディオの有効化、オーディオの無効化)、入室、退室、ルームID、ミュート機能、CPU使用率、メモリ使用状況、ネットワーク遅延、データパケットロス、解像度、ビットレート、フレームレート、 音量 | 当社はこの機能を要件に従って実行し、故障を排除することを確実にするために、これらの情報を使用します。 これらのデータは当社のES機能に保存されることにご注意ください。 | これらの情報は、当社がお客様と締結した契約を履行し、お客様にこの機能を提供するために不可欠な情報であるため、処理を行います。 |
(エンドユーザーの)SDKログデータ: ユーザーID、ルームナンバー、クライアントSDKバージョン番号、TRTCルームのOSタイプ | 当社はこの機能を要件に従って実行し、故障を排除することを確実にするために、これらの情報を使用します。 これらのデータは当社のES機能に保存されることにご注意ください。 | これらの情報は、当社がお客様と締結した契約を履行し、お客様にこの機能を提供するために不可欠な情報であるため、処理を行います。 |
UIN | 当社はこれらの情報を使用してこの機能の使用状況を確認します。 これらのデータは当社のES機能に保存されることにご注意ください。 | これらの情報は、当社がお客様と締結した契約を履行し、お客様にこの機能を提供するために不可欠な情報であるため、処理を行います。 |
SDK APPID (UINを使用して異なるアプリケーションを作成) | この機能の一部として、当社はこれらの情報を使用してお客様のアプリケーションの使用状況を確認します。 これらのデータは当社のES機能に保存されることにご注意ください。 | これらの情報は、当社がお客様と締結した契約を履行し、お客様にこの機能を提供するために不可欠な情報であるため、処理を行います。 |
故障排除データ:エンドユーザーのAPPID、エンドユーザー制御機能に関するデータ(ビデオの有効化、ビデオの無効化、オーディオの有効化、オーディオの無効化)、入室、退室、ミュート機能、ルームID、CPU使用率、メモリ使用状況、ネットワーク遅延、データパケットロス、解像度、ビットレート、フレームレート、音量 | 当社はこれらの情報を使用してエンドユーザーの問題の検出と特定を行い、故障を排除します。 これらのデータは当社のES機能に保存されることにご注意ください。 | これらの情報は、当社がお客様と締結した契約を履行し、お客様にこの機能を提供するために不可欠な情報であるため、処理を行います。 |
TRTCはローカライズレコーディングおよびクラウドレコーディング機能を提供し、お客様は通話内容の一部またはすべてをレコーディングすることができます。クラウドレコーディングサービスを使用する際、オーディオビデオ通話の録音/録画はすべてお客様のクラウドストレージサービスに保存され、TRTCではオーディオビデオファイルの保存は行いません。
TRTCは国内サイトのお客様の上記のデータは中国大陸で、グローバルサイトのお客様の上記のデータはシンガポールデータセンターでそれぞれ保存することで、データセキュリティコンプライアンスのストレージに関する要件を満たしています。
2.4 アクセス権限承認
エンドユーザーがTRTCルームに入室する際、動的署名によるID認証を行い、悪意ある攻撃によってお客様のクラウドサービス使用権が不正利用されることを阻止する必要があります。詳細についてはセキュリティ保護署名UserSigの説明をご参照ください。
2.5 アクセス制御
TRTCは内部の全システムに対し厳格なアクセス制御管理を実行しています。全ユーザーが独立した内部アカウントと権限承認システムを持ち、さらに2段階認証を経る必要があります。アクセスレコードはすべて記録として保存されます。
ユーザーデータサービスにかかわるすべての機器は厳重に審査され、保護されています。TRTCは必要な場合以外はユーザーのサーバーにアクセスしません。安全上の理由からユーザーサーバーへのアクセスが必要な場合も、TRTCは一時的な権限を取得してユーザーサーバーにアクセスし、かつその一連のプロセスをスクリーンキャプチャし、すべての操作記録を維持します。
2.6 内部セキュリティ審査
当社はこの機能によって処理した個人データを保存します。具体的には以下のとおりです。
個人情報 | 保持ポリシー |
お客様の一時キー情報: SDK APPID、ユーザー名、秘密鍵 | 当社はお客様によるこの機能の使用期間中、これらのデータを保持します。お客様がこの機能の使用を終了されるか、またはアカウントが削除された場合、当社は7日以内にこれらのデータを削除します。 |
アプリケーションに関連するお客様のログデータ: SDK APPID、アプリケーション名、タグ、サービスステータス、作成時間、操作 | 当社はお客様によるこの機能の使用期間中、これらのデータを保持します。お客様がこの機能の使用を終了されるか、またはアカウントが削除された場合、当社は7日以内にこれらのデータを削除します。 |
これらの個人データはDPSAリクエストによって削除することができます。
2.7 従業員セキュリティ意識トレーニング
Tencent Cloud TRTCは全従業員に対し情報セキュリティ意識およびセキュリティコンプライアンストレーニングを定期的に実施しています。また、全従業員が毎年定期的に情報秘密保持意識に関する講義とトレーニングを受講しています。
2.8 違反処理
Tencent Cloud TRTCの従業員は要件に従って秘密保持契約および内部セキュリティ制度を遵守することが義務付けられています。従業員が上記の要件に違反した場合、状況の重大性に応じて相応の違反処理措置が課せられます。これにはトレーニングと教育の強化、労働契約の解除、その他の法的責任の追及などが含まれますが、これらに限定されません。
2.9 潜在的なセキュリティ上の脆弱性
お客様がTRTCプラットフォームで潜在的なセキュリティ上の脆弱性を発見された場合は、チケットを提出して直接フィードバックをいただければ、当社の専門技術者がただちに処理とフィードバックを行います。ご協力に感謝申し上げます。
脆弱性の検証と特定のため、以下の関連内容をご提出ください。
ご連絡先
発見された潜在的な脆弱性機能の記述
必要な特定方法、問題再現の手順についてもあわせてご提供ください。