セキュリティ

お客様のデータは、お客様の施設から決して外に出ません

Panel Studioはお客様のサーバー上で動作します。クラウドアカウント、第三者のデータ処理業者、外部API呼び出しは、お客様が設定しない限り発生しません。すべてが監査可能で、暗号化されており、お客様の管理下にあります。

原則

4つのコミットメント

自己ホスト型

単一サーバーでのデプロイ。クラウドへの依存なし、SaaSリレーなし、データがお客様のネットワーク境界を離れることはありません。

ソースコード公開

BSL 1.1ライセンス。すべての行を読み、すべてのルートを監査し、すべての主張を検証できます。ブラックボックスはありません。

第三者なし

外部データ処理なし。Panelの回答、ペルソナデータ、推論トレースは、お客様のインフラストラクチャから決して外に出ません。

英国登録

Kronaxis Limitedはイングランドおよびウェールズで登録されています。英国GDPRに標準で準拠。オフショアでのデータルーティングはありません。

技術詳細

Panel Studioがお客様のデータを保護する方法

暗号化機密トークンには60 second TTLを持つFernet対称暗号化を使用。すべてのシークレットは保存時に暗号化され、使用時にのみ復号化されます。
パスワードハッシュ scrypt鍵導出関数を使用。SHA-256でもbcryptでもありません。scryptはメモリハードであり、ブルートフォース攻撃を桁違いに高価にします。
ウェブフック署名サブスクリプションごとのシークレットを持つHMAC SHA-256。すべての送信ウェブフックには、お客様のシステムが独立して検証できる暗号署名が含まれています。
API認証オプションのセッションベースログインとマルチテナンシーを備えたAPIキーヘッダー認証。キーはユーザーごとに生成され、いつでも取り消すことができます。
転送 HSTS (Strict-Transport-Security) を使用したHTTPS。すべてのトラフィックは転送中に暗号化されます。平文へのフォールバックはありません。
データベース PostgreSQLと、全体にわたるパラメータ化されたクエリ。いかなるSQLステートメントにも文字列補間はありません。ORMマジックなし：すべてのクエリは明示的で監査可能です。
シークレット管理コンテナ起動時の環境変数インジェクション。ソースコードにハードコードされた認証情報はなし。TFS_DB_PASSWORDとFLASK_SECRET_KEYは必須であり、値が欠落している場合はクラッシュします。

コンプライアンス

GDPRとデータ保護

Panel Studioは合成ペルソナを生成します。パネル調査中に実際の個人データが収集、保存、処理されることはありません。お客様の組織自身のデータについては、以下の保証を提供します。

保持

デフォルトのデータ保持期間

データタイプ	デフォルト保持期間	設定可能
パネル回答	パネル削除まで	はい
ニュース記事	90日間	はい
訪問者クッキー	2年間	はい
支払い記録	7年間（PCI準拠）	いいえ
監査ログエントリ	無期限	はい
API使用ログ	90日間	はい

ご自身でコードを確認してください

Panel StudioはBSL 1.1ライセンスの下でソースコードが公開されています。デプロイする前に、ライセンス条項を読み、コードベースを検査し、すべてのセキュリティ主張を検証してください。

ライセンスプライバシーポリシー

お客様のデータは、お客様の施設から決して外に出ません

4つのコミットメント

自己ホスト型

ソースコード公開

第三者なし

英国登録

Panel Studioがお客様のデータを保護する方法

GDPRとデータ保護

データ管理者

法的根拠

データ主体の権利

データ保持

国境を越えた転送

監査証跡

デフォルトのデータ保持期間

ご自身でコードを確認してください