セキュリティとプライバシー
アプリケーションデータの所有権
Roktおよびそのパートナーは、アプリケーションフォームのデータにアクセスまたは受信することはできません。顧客がアプリケーションフォームに入力した情報は、あなたにのみ提供され、あなた自身のサーバーによって保存されます。ユーザーはもちろん、同じまたは類似の情報を直接パートナーと共有することも選択することができます。名前や住所などの多くの情報は、元のパートナーサイトでの購入を完了するために必要です。顧客が直接パートナーに提供する顧客の個人情報(PIIデータ)にはアクセスできません。
アプリケーションデータの保存
Roktは、アプリケーションフォームに入力された顧客データにアクセスすることはありません。したがって、顧客データは統合アプリケーションキャンペーンのためにRoktサーバーに保存されません。
Roktのセキュリティポリシー
以下に、Roktが意図的に実施しているいくつかのセキュリティ対策を示します。これにより、明示的に定義されたpostmessageの実装を介さない限り、ウェブアプリとの通信のあらゆる形態からの脆弱性を軽減し、保護します。
- Roktは、アプリケーションのコンテンツにアクセスすることは絶対に試みませんが、RoktはアプリケーションをホストするiFrameのために最も安全なCSP(Content Security Policy)設定を行い、外部からのアクセスを不可能にします。
- Roktは、送信者と受信者の両方でChannel Messaging APIを使用しています。これは、第三者が
window.postmessage()
を介してメッセージを送受信することを防ぐためです。 - Roktは、
window.postmessage()
を介してクレデンシャルやトークンを送信しません。 - Roktは、どのような種類の通信チャネルも使用しませんので、アプリケーションは「message」イベントをリッスンする必要はありません。
- Roktは、クリックジャッキングに対して防御するためにframe-ancestors CSPディレクティブを実装しています。
Roktは、セキュリティインシデントに対処するための詳細なプロセスを持っており、これにはすべてのインシデントの完全な内部レビューが含まれます。