プライバシーとセキュリティは、Pendoのソフトウェアとサービスの基本的な構成要素です。この記事では、弊社のソリューションがお客様のデータの完全性、ユーザー、アプリケーションに悪影響を及ぼさないようにする取り組みについて説明します。詳しくは、 Pendoのデータプライバシーとセキュリティをご覧ください。
Pendoのプライバシーとセキュリティ対策
お客様のデータのセキュリティとプライバシーを保護するため、弊社は業界標準(SOC2、GDRP、HIPAA)を遵守しています。このセクションでは、弊社のプライバシーおよびセキュリティ対策について説明します。
ベンダー監査と承認プロセス
ユーザーデータやその他の識別情報は非常に機密性が高いため、情報が第三者と共有される場合は常に、セキュリティとプライバシーが最大の懸念事項となります。Pendoは、すべてのサービスにおいてデータ保護に配慮した堅牢なセキュリティおよびプライバシープログラムを実装しています。
弊社では、ライセンスの供与またはサードパーティツールの使用前に広範なコンプライアンスレビューを実施して、承認プロセスを通します。また、独立した第三者機関によるセキュリティ監査も毎年実施しています。
マルチテナント環境でのホスティング
Pendoは、お客様のアプリケーションデータを安全なマルチテナント環境であるGoogle App Engineでホスティングし、Googleの主要サービスと同じインフラを共有しています。App Engineは、Googleが管理するデータセンターでウェブアプリケーションをホスティングするクラウドコンピューティングサービスです。
Google App Engineで開発、ホスティング、保存されたアプリケーションはサンドボックス化され、複数サーバーで実行されます。これにより、Pendoは、Google独自のサービスと同じ信頼性、パフォーマンス、セキュリティ特性を備えた、堅牢なマルチテナントインフラで運用することができます。
データ暗号化
すべてのデータは、業界で認められたツールやデータ処理とセキュリティのベストプラクティスを使用して暗号化されています。Pendoが収集したアプリケーションデータはすべてトランスポートレイヤーセキュリティ(TLS)を介して送信され、保存時にはAES-256で暗号化されます。
さらに、顧客データは論理的に分離され、機密情報へのアクセスが制限されます。データの混在を防ぐために、個別のApp Engineの名前空間を使用して顧客ごとにデータを保存しています。
アクセスと認証
デフォルトでは、Pendoサービスへのアクセスには、メールアドレスとパスワードの組み合わせが必要です。ユーザーはパスワードベースのログインを無効にするようPendoに要求したり、次のいずれかの認証を要求したりすることもできます。
- SAMLベースの認証(Okta、Azure AD、Duoなど)。
- GoogleのメールアドレスとPendoのログインアドレスが一致する場合は、Googleベースのログイン。
どちらのオプションも、選択したIDプロバイダーによる2要素認証(2FA)をサポートしています。
Pendoは、ユーザーデータのプライバシーとセキュリティを完全に制御できるよう設計されています。詳細なアクセス制御を設定して、特定の役割と権限に基づいて機能を付与および制限できます。詳しくは、Adoptの役割と権限をご覧ください。
セキュリティ監査
Pendoは、5つのTrustサービス原則をすべて網羅するSOC2 Type 2監査を毎年実施しています。
さらに、Google App Engineは、SOC2、SOC3、ISO-27001、FISMA、およびPCIに準拠しており、Googleは毎年複数の独立したセキュリティ監査を実施しています。
また、弊社はご依頼のあったすべてのクライアントでの厳格な内部セキュリティ監査に合格しています。ご要望に応じて、最新の監査結果をご提供いたします。
一般データ保護規則(GDPR)の遵守
Pendoはデフォルトで、ページとイベントデータを送信するブラウザのIPアドレスとジオロケーション(位置情報)を取得します。一般データ保護規則(GDPR)に対する弊社の取り組みの一環として、これを無効にすることができます。
Pendo Launcherのセキュリティとプライバシー
これまでは、自社製ウェブアプリケーションにJavaScriptスニペット(インストールスクリプト)を挿入してPendoをインストールし、アプリ内ガイダンス、アナリティクス、フィードバックツールによるユーザー体験の向上を支援してきました。
Pendo Adoptの一部としてサードパーティ製アプリケーションにPendoをインストールするために、Pendoエージェントを搭載したPendo Launcherを開発しました。Pendo Launcherは、データを収集し、会社で使用しているサードパーティ製アプリケーションの訪問者にアプリ内ガイダンスを提供できるブラウザ拡張機能です。
このセクションでは、Pendo Launcherを使用してAdoptをインストールする際のプライバシーとセキュリティに関する付加的なメリットについて説明します。
ブラウザのウェブストアで限定公開する
Pendo Launcherは、アマゾンウェブサービス(AWS)のCloudFrontが提供するコンテンツ配信ネットワーク(CDN)からPendoエージェントをインストールスクリプトで読み込むのではなく、ブラウザのウェブアプリケーションストア(ChromeやEdgeなど)を通じて限定公開されます。
ウェブストアに掲載されるには、Pendo Launcherがウェブストアのプライバシーおよびセキュリティポリシーに完全に準拠している必要があります。さらに、Pendo Launcherはブラウザのウェブストアから直接デプロイする必要があるため、中間者攻撃やクロスサイトスクリプティングを回避できます。
Pendo Launcherはブラウザのウェブストアから直接デプロイする必要があるため、Pendoが正しく動作するためには、拡張機能に特定の権限を付与する必要があります。これらはウェブブラウザの要件であり、調整することはできません。
デフォルトでは、この拡張機能は訪問したウェブページに関するデータを収集しません。Adoptのアプリケーション設定で設定されたウェブアプリケーションのデータのみを収集します。このプロセスの詳細については、以下のAdoptをアプリケーションにデプロイするのセクションを参照してください。以下は、各ブラウザのウェブストアの権限のリストです。
ChromeおよびEdge
すべてのウェブサイトのすべてのデータの読み取りと変更
この権限により、Pendoはサブスクリプション内で設定されたアプリケーションドメインのページの読み込みとフィーチャークリックの動作を収集し、Adoptで設定したアプリ内ガイダンスを提供することができます。
メールアドレスの認識
これにより、Pendoは現在のブラウザセッションIDに基づいてユーザーを識別できます。これはオプションの識別方法です。Pendoはデフォルトではこの情報を収集しません。
Firefox
Mozillaからの具体的な許可リクエストについての詳細は、Firefox拡張機能の権限要求メッセージの記事をご覧ください。
ブラウザタブへのアクセス
この権限により、Pendoはサブスクリプション内で設定されたアプリケーションドメインでのページ読み込み動作に関するデータを収集できます。
ナビゲーション中のブラウザアクティビティへのアクセス
この権限により、Pendoはサブスクリプション内で設定されたアプリケーションドメインでのページ読み込み動作に関するデータを収集できます。
すべてのウェブサイトのデータへのアクセス
この権限により、Pendoはサブスクリプション内で設定されたアプリケーションドメインでのフィーチャークリックの動作を収集し、Adoptで設定したアプリ内ガイダンスを提供することができます。
コードブロックを無効化する
Google Chromeは、Chromiumの拡張機能Manifest V3(MV3)APIの一部として、「リモートコードの挿入を許可しない」ことを義務付けています。詳しくは、GoogleのManifest V3の概要をご覧ください。
この基準は、Microsoft(Edge)やMozilla(Firefox)を含む多くのブラウザ提供企業で採用されているため、Pendo Launcher拡張機能の一部としてバンドルされず、GoogleのウェブストアチームによるレビューのないJavascriptコードは実行できません。その結果、Pendoでは拡張機能自体とは別に定義されたコードブロックを渡すことができず、拡張機能アプリケーションのコードブロックの受け渡し機能を削除しました。
その代わり、コーディングなしでインパクトのあるガイドを構築できる堅牢なUIをご提供します。UIには、コードを書く代わりに使用できる設定、形式、スタイル設定などのオプションが含まれています。ガイドの形式とスタイルのオプションの詳細については、ガイドテーマをご覧ください。
Pendoのデータ収集
Pendoでは個々のエンドユーザー(訪問者)に一意の識別子が必要ですが、追加のユーザーデータをPendoと共有することもでき、そのデータに個人を特定できる情報(PII)を含めるかどうかを選択できます。このデータを分析に使用し、アプリ内ガイダンスのターゲットを絞り込むことができます。
個人を特定できる情報(PII)
弊社のプロダクトおよび機能を利用するためにPIIは必須ではありません。Pendoが必要とする唯一の情報は、各訪問者の一意の識別子です。また、Pendoプラットフォームは、PIIが含まれる可能性があるため、フォームフィールドにユーザーが入力したテキストや情報を収集することはありません。デフォルトでは、追跡を容易にするためにフィールド、ボタン、その他の要素の名前をアプリケーションデータと共に収集しますが、ユーザーが入力した情報は収集されません。
メタデータ
必須ではありませんが、多くのPendoのお客様から、セグメント構築に役立つその他のユーザー属性情報と併せて、役割、役職、開始日などの追加情報をメタデータとして受け取っています。
一般に、メタデータを追加すると、有意義なインサイトが得られ、ガイドを効果的にターゲティングできるようになりますが、従業員のプライバシーに関する意思決定が求められる場合があります。組織にとって適切なメタデータのセットは、ビジネス、IT、セキュリティの各関係者との協議の上で決定してください。
Pendoでは、管理データと処理データの両方について、削除要求に基づきデータを削除することができます。
イベント
Pendo Launcherを使って収集されたイベントデータは、Pendoのバックエンドに送信され、Google Cloud Platform(GCP)で保存および処理されます。Pendoは、以下のユーザーインタラクションを追跡します。
- ページ閲覧イベント:ページの読み込みやURLの変更。ページの読み込み時に、PendoはURL、言語やブラウザのバージョンなどの一部のブラウザ情報、ページのタイトル(有効な場合)を収集します。
- クリックイベント:ボタン、リンク、その他のクリック可能な要素とのユーザーインタラクション。機能の使用状況やエンドユーザーのジャーニーを把握できます。
- フォーカスイベント:タブの入力による要素の強調表示など、クリック以外のユーザーインタラクション。ユーザーの機能の利用方法に関するインサイトが得られます。
EUと米国のデータ収集
Adoptの各訪問者に対し、Pendo Launcherを場所に応じて異なる方法でデプロイできます。EUのデータセンター内のデータ管理への懸念がある雇用主は、PendoサブスクリプションをEUインスタンス内に設定できます。この場合、この状態を示す追加の構成キーで拡張機能を構成する必要があります。APIキーと併せて、ユーザーのデプロイ設定で「dataEnvironment」を「eu」として設定します。
Adoptをアプリケーションにデプロイする
Adoptをインストールするブラウザ拡張機能であるPendo Launcherは、ウェブアプリケーションのブラウザ内で実行されるJavascriptコードを介してデータを収集します。この方法により、強力なツールになるだけでなく、インターネット上のエンドユーザーのプライバシーをさらに保護できます。
AdoptのJavaScriptコードは、Pendoの管理者が設定したウェブページでのみ実行されます。弊社は、Adoptが動作しているページを管理者が制御するためのツールを提供し、ブラウザ上でAdoptがいつ/どこでアクティブになっているかエンドユーザーが認識できるようにします。詳しくは、本記事のプライバシーセンターをご覧ください。
Pendoのアプリケーションは、Adoptをデプロイしたい特定のウェブサイトまたは複数のウェブサイトに対応し、ガイドの配信やアナリティクスの収集ができます。Pendoの管理者は、Adoptの拡張アプリケーションフォームに入力することで、ウェブアプリケーションを追跡するようAdoptを設定できます。
[設定(Settings)]>[アプリケーション(Applications)]に移動し、リストから特定のアプリケーションを選択します。[アプリケーション設定(Application Settings)]から、特定のアプリケーションで追跡するウェブサイトのリストを、ウェブアプリケーションのドメインで更新できます。たとえば、Salesforceアプリケーションは、example.force.lightning.comドメインを含めて構成できます。
このフィルタリングは、拡張機能APIのwebNavigation
によって管理されています。この拡張機能では、onCommitted
フックを使ってURLの変更を特定し(webNavigation.onCommitted
)、その結果のURLをevent.UrlFilter
を介して渡します。これにより、拡張機能は指定した一連のホスト名に一致するページにのみPendoエージェントを挿入するようになります。
プライバシーセンター
Pendo Launcherがアクティブかどうかは、どのページでも、拡張機能アイコンがグレー(非アクティブ)かピンク(アクティブ)かで判断できます。
プライバシーセンターでは、Pendo Launcherに関する一般的な情報のほか、サブスクリプションに属するすべてのアプリケーションのリストなど、組織構成に固有の情報も提供されます。ユーザーが現在表示しているウェブページと一致するアプリがある場合、そのアプリケーションは[当該ページ(On This Page)]セクションで強調表示されます。
Pendo Launcherをインストールしたユーザーは、ブラウザのツールバーにある拡張機能アイコンを右クリックして、[プライバシーセンターを表示(Show Privacy Center)]を選択することで、プライバシーセンターにアクセスできます。