セキュリティ
テナントデータの取り扱い方法。
各お客様はCloudflare WorkersとD1上に専用のCustomer Environmentを取得します。デバイスエージェントはローカルでポリシーを適用し、クラウドエッジがポリシー、ブロックイベント、エンロールメント記録を保持します — すべてSpot Cloud B.V.のテナントスコープ内です。
-
Spot Suite OIDCサインイン
管理者サインインはspot-cloud.spot-suite.comのSpot Suite OIDCを介したMicrosoft Entra IDを使用します。デバイスエージェントはユーザーのパスワードを一切見ません。
-
顧客ごとの専用分離
各Customer Environmentは独自のCloudflare Worker、D1データベース、ストレージ上で動作します。テナント間で共有インフラストラクチャはありません。
-
テナントスコープデータ
ポリシー、ブロックイベント、エンロールメント記録はテナントにスコープされます。行が顧客の境界を越えることはありません。
-
EUデータレジデンシー
Customer EnvironmentはEU地域で動作し、Spot Cloud B.V.が運営します。
-
監査ログとエクスポート
ブロックイベントはデバイス、ドメイン、カテゴリ、ソース、タイムスタンプを記録します。管理コンソールからCSVまたはJSONとしてエクスポートできます。
-
ハッシュ化デバイス認証情報
管理対象エージェントはデバイスごとのcsk_ APIキーで認証し、サーバー側でsha256ハッシュ化されます。キーはエンドポイント上で0600権限で保存されます。
-
署名付きインジケータバンドル
脅威フィードはed25519署名付きgzipバンドルとして配信されます。エージェントはインジケータを適用する前に署名を検証します — オフラインキャッシュは最後に検証されたバンドルを保持します。
-
TLS復号なし
適用はDNSのみです。ブロックされたドメインはローカルブロックページにシンクホールされます。ポリシーパスにTLSインスペクション、PACファイル、ネットワークゲートウェイはありません。
-
統制マッピング: ISO 27001 · DORA · GDPR
プラットフォーム統制はISO 27001:2022、DORA、GDPRにマッピングされています。監査証拠と統制マッピングパックはNDAの下で共有されます — 正式なSOC 2やISO認証は主張されていません。