暗号化は、平文データを暗号化テキストに置き換えることで、データの内容を意図した受信者だけが理解できるように保護するために使用されています。すべてのデータ形式は、最初にData Encryption Keys（DEK）で保存時に暗号化されます。DEKはさらにキーEncryption Keys（KEK）で暗号化され、セキュリティが強化されます。暗号化されたDEKは当社の自社キー管理サービス（KMS）に保存され、KEK（作成済み）は別のマスターサーバーに保存されます。暗号化とキー管理の詳細については、当社のホワイトペーパーをご参照ください。

Bring Your Own キー（BYOK）は、お客様自身のキー暗号化キー（KEK）をZohoのKEKの代わりに使用できる機能です。任意の外部キー管理者（EKM）からキーを追加するか、暗号化されたキーを手動でアップロードすることができます。

外部キー管理者からご自身のKEKへのアクセスを提供することを選択した場合、そのKEKを用いて弊社が提供するDEKの暗号化・復号化が行われます。これにより、データのセキュリティがご自身の管理下となり、組織のセキュリティ向上につながります。
処理の流れは以下の通りです：

1. Zoho Oneでキーを設定した後、お客様のEKMに対して弊社DEKの暗号化リクエストを送信します。

2. EKMから返却された暗号化済みDEKは、当社の自社KMSに保存されます。

3. 暗号化されたDEKを復号化する際、保存された暗号テキストを用いて、お客様のEKMに復号リクエストを送信し、平文DEKを受領します。

4. 平文DEKは、お客様が許可した期間のみキャッシュされ、その後は再度EKMに暗号化／復号リクエストを送信し、このプロセスを繰り返します。

キーのアップロードを選択した場合の流れは以下の通りです：

1. 当社のスタンダードな運用に従い、データは当社が管理するDEKで暗号化され、KMSに保存されます。DEKはさらに当社のKEKで暗号化され、このKEKは別のサーバーに保存されます。

2. KEKをアップロードするには、当社が提供する証明書から公開するキーを抽出し、それを使用してご自身のキーを暗号化およびハッシュ化することが必須となります。

3. 暗号化されたKEKとハッシュ化されたKEKをZoho Oneにアップロードします。

4. 当社のKEKを用いてDEKを復号し、プレーンなDEKを取得します。

5. このプレーンなDEKは、お客様が提供したKEKで暗号化されます。

各アプリケーションごとに個別にキーを設定することも、2つ以上のアプリケーションやその他のグループにまとめて設定することも、または組織内のすべてのアプリケーションに対して単一のキーを設定することも可能です。