コンプライアンスプログラム
規制環境が人材管理 SaaS と接する領域、そしてそれに対する当社の取り組みです。プログラムの実態を率直に開示します —— 提供済みの項目、進行中の項目、そして意図的にまだロードマップに載せていない項目を含めて。
コンプライアンスフレームワーク
svdy は時点的なチェックリストではなく、継続的なコンプライアンスプログラムを運用しています。具体的には:
• プライバシー・バイ・デザイン —— PII に触れる新機能は、マージ前にプライバシー影響評価を必ず通過します。Wave 1-4 のプライバシー監査ログは社内トラッカーにあり、可視成果は GDPR 第 9 条の顔認証同意フロー、削除権メカニズム、購読解約後 30 日の顧客データ削除ウィンドウです。
• 文書化されたコントロール —— セキュリティポリシー(アクセス制御、変更管理、ベンダー管理、インシデント対応)はバージョン管理され、年次でレビューされます。
• ベンダー管理 —— すべての副次処理者は、顧客データへのアクセス権を得る前に文書化された受入レビューを経ます。現在の 5 社は /trust/sub-processors に掲載されており、変更は 30 日前にお客様へ通知します。
• 継続的モニタリング —— SOC 2 取得前は社内で実施(監査ログ、アクセスレビュー、変更チケット)。Vanta が接続されると(2026 年第 3-4 四半期)、証拠収集は継続化され外部監査可能になります。
• 規制レーダー —— 顧客ベースに影響する立法(米国州プライバシー法、EU NIS2、中国 PIPL、ブラジル LGPD)を追跡し、対象範囲の拡大に応じて DPA や製品機能を調整します。
準拠する標準
以下の業界標準フレームワークに整合しています。「準拠」≠「認証取得済み」 —— 正式に監査される範囲とその時期は /trust/soc2 をご覧ください。
• NIST サイバーセキュリティフレームワーク(CSF)2.0: 社内コントロールを Identify / Protect / Detect / Respond / Recover にマッピング。自己評価ベース。SOC 2 Type II 監査(2027 年第 1 四半期以降)の基盤となります。
• OWASP Top 10(Web アプリケーション): エンジニアリング実践は OWASP Top 10(2021)をカバー:パラメータ化クエリによるインジェクション防止、テナント限定クエリによる不正アクセス制御の防止など。SAST ツールはマージ前に実行、SCA は Dependabot 経由。
• CIS AWS 基礎ベンチマーク: AWS 構成は CIS Foundations v2.0 に整合 —— IAM 最小権限、root の MFA、暗号化された EBS、S3 のパブリックアクセス遮断、監査ログの中央アカウント集約。現在は自己宣言、SOC 2 監査が 2027 年第 2 四半期に検証します。
• ISO/IEC 27001 —— 方向性のみ、未認証: コントロールセットは ISO 27001 附属書 A の項目を参考にしています。正式認証はフェーズ 2(SOC 2 Type II 後、2027-2028 年見込み)—— EU エンタープライズ顧客の要望があれば開始します。
地域別法令
svdy の顧客データが規制対象国・地域に触れる場合の状況とスタンス:
• EU および英国: GDPR(EU 2016/679), UK GDPR + Data Protection Act 2018, ePrivacy 指令(クッキー)
EU + 英国のお客様には、/trust/dpa の DPA に含まれる EU 標準契約条項(2021 年版)と UK Addendum を適用します。プライバシーポリシーは GDPR 第 13/14 条準拠。データ主体権利は legal@svdy.com 経由で 30 日以内に対応します。データレジデンシー:現在は us-east-1。EU / APAC リージョン展開はエンタープライズ向けロードマップ(2027)。
• 米国: CCPA / CPRA(カリフォルニア), VCDPA(バージニア), CPA(コロラド), CTDPA(コネチカット), UCPA(ユタ)
適用される米国の州プライバシー法すべての下で「販売拒否」「知る権利」「削除権」を尊重します。プライバシーポリシーには CCPA で要求されるカテゴリ開示と保持期間を含めます。§1798.140(t) で定義される「個人情報」を販売しません。
• ブラジル & APAC: LGPD(ブラジル), シンガポール PDPA, オーストラリア Privacy Act
顧客が存在する範囲で遵守します。中国 PIPL のデータローカライゼーション要件は現状未対応(中国本土のデータレジデンシーがありません)。中国本土の従業員を持つお客様は、当該データを既存の us-east-1 リージョンに保持していただく必要があります(LATAM / APAC リージョン整備後)。
監査および第三者保証
今日実際に監査されている内容、間もなく開始するもの、意図的に追求しないもの:
• SOC 2 Type II —— 進行中: 2027 年第 1 四半期に監査開始(6 か月の観察期間)、第 3 四半期にレポート発行を目標。Vanta + A-LIGN 選定済み。公開タイムラインは /trust/soc2。
• GDPR —— 自己評価: GDPR には正式なコンプライアンス認証はありません(規制当局は証明書を発行しません)。社内のプライバシー監査 Wave 1-4 で検証された GDPR 対応アーキテクチャを維持しています。書面の処理者契約が必要なお客様には /trust/dpa から DPA を提供します。
• ISO 27001 —— フェーズ 2: 未着手。SOC 2 後(2027-2028)に EU エンタープライズの需要が監査コストを正当化すれば推進予定。開始時に /trust/soc2 で更新します。
• HIPAA / PCI-DSS / FedRAMP —— 範囲外: svdy は現在 HIPAA ビジネスアソシエートではなく、PCI-DSS の対象外(Stripe が認証済みプラットフォームでカードホルダーデータを処理)、FedRAMP も追求していません。連邦政府/規制業界のお客様は登録前に support@svdy.com にご連絡いただき、貴方の特定のコンプライアンス要件への適合可否についてご相談ください。
当社のコンプライアンスドキュメント、地域別の規制鑑証、SOC 2 タイムラインが必要ですか?legal@svdy.com までメールをお送りください —— SOC 2 の進捗は /trust/soc2 をご覧ください。
