OneTapTrustの安全への取り組み

OneTapTrustでは、安心して安全にご利用いただけるように、不正利用対策、情報セキュリティー対策に取り組んでいます。



1. アーキテクチャ、デザイン及び脅威モデル

- セキュリティ対策はクライエント側及び該当するサーバで実施される。

- ユーザのスマホからサーバへの全てのアクセスにAmazon SSL Certificatte HTTPsを使用する。

- モバイル向けのアプリケーションの更新を実施する仕組みが設けられる。

- セキュリティ対策はソフトウェア開発ライフサイクルの全ての段階で言及されます。

- ローカル認証により2段階保護設定を提供する。

2. データ保管とプライバシー

- アプリケーションは最低限の権限を求めている。

- システムは情報漏洩防止ポリシーが適用されていて、高い効果があります。アプリケーションはプライバシーに関する規制や法律に準拠している。

- アプリケーションはユーザの情報や顔写真、ユーザに関するあらゆる証明書をデバイスに保持しないこととする。ユーザに関する情報はアプリケーション及びシステム認証用のデータベースにのみ保持されない。

- ユーザの情報をアプリケーションの歴史に保持しない。

- ユーザの情報を第三者に共有しない。ただし、アプリケーションのアーキテクチャとして必要とする場合又はユーザに許可される場合を除く。

- デバイスのパスワード設定を求めるなどデバイスへのアクセス権限に対して最低限のセキュリティ対策を実施している。

3. 暗号化

- アプリケーションは対称鍵暗号方式を唯一の方法として取り扱っていない。

- 全ての値は安全的な乱数生成方法を使用する。

4. 認証及びセッション管理

- 不正アクセスと思われる場合は複数段階の認証を求めると同時に、本人に当該のアクティビティを通報する。

- アプリケーションはアクセストークンの有効期限(3日間)を使用し、しばらくログインしない場合(最低は7日)又は他のアカウントにログインする場合にOTPコードを求める。

- アプリケーションにより発行したリンクには有効期限が設定される。(OTT - 10 分、 QR コード - 3時間、履歴書共有- 3日)

- 1つのアカウントに当たり1つのデバイスにのみログインできる。他のデバイスに切り替えてログインする場合は (OTPコードを登録した電話番号にSMS送信して認証するのが必要)、 元のデバイスからログアウトする又はアカウントが無効化される。

5. ネットワークコミュニケーション

- データはインターネット上でTLSにより暗号化されます。本セキュリティ対策はアプリケーション全体で一貫的に使用される。

- TLSの設定はモバイルがサポートしない場合は現在の最適のソリューションにする

- アプリケーションは登録やアカウントの回復など大切なアクティビティに対して安全性に欠けるコミュニケーション方法を使用しない。