|
情報セキュリティ及び個人情報保護
Q,情報セキュリティ及び個人情報保護のための責任者を定めていますか?
定めています。
Q,情報セキュリティ及び個人情報保護のための体制を整備していますか?
整備しています。
Q,情報セキュリティ及び個人情報保護に関して、リスクアセスメントならびにリスク対応を当該サービスを含めた形で実施していますか?
実施しています。
Q,情報セキュリティ及び個人情報保護のための方針、規程、基準、手順等を定めていますか?
定めています。
Q,全ての役職員に情報セキュリティ及び個人情報保護に関する教育を定期的に実施しているか?
実施しています。
Q,全ての役職員と機密保持誓約を締結していますか?
実施しています。
Q,社内規程等の遵守状況に関し、定期的に確認を実施していますか?
実施しています。
Q,情報セキュリティ及び個人情報保護を維持するための体制や社内規定等を定期的に見直し改善を行なっていますか?
実施しています。
Third Party管理について
Q,運用、管理業務を他社に委託していますか?
委託していません。
Q,SmartFlowの構成で、他社サービスの機能を利用していますか?
利用しています。
Microsoft/LINEWORKS/Slack/Docusign/OneDriveのAPI連携
Q,他社サービスの選定時に情報セキュリ ティ対策を評価し、SmartFlowと同等以上の情報セキュリティ水準であることを確認していますか?
確認しています。
Q,他社サービスと機密保持契 約を締結していますか?
実施しています。
Q,他社サービス における情報 セキュリティ対策の実施状況を定期的に確認していますか?
実施しています。
アクセス制御(サービスの認証方式、ID,パスワード、特権管理等)
Q,IPアドレスによる接続制限
提供しています。
Q,多要素認証(MFA)を提供していますか?
オプション機能として提供しています。
Q,利用者のID管理において個人ごとに1アカウントを作成できますか?
登録、変更、削除はできますか?
個人ごとに1アカウントの作成ができます。
削除やステータスの変更に関しては、一部の権限を持っているユーザーのみとなります。
Q,ユーザーのパスワード管理について
・仮パスワードの有効期限設定、強制変更
・一般に公開されているセキュリティガイドラインが推奨するパスワードポリシーに準じた複雑性を持ったパスワードの設定
提供しています。
Q,アクセス権を制限できる機能を提供していますか︖
提供しています。ステータスの変更によりログインの制限ができます。
Q,マルチテナント環境の場合、当社が使用するアプリケーション、オペレーティングシステム、ストレージ、ネットワーク等の資源を論理的に分離していますか︖
実施しています。
アプリケーションセキュリティ(セキュア開発、脆弱性対応)
Q,CERT、OWASP 、SANS、IPA等の信頼できる団体から提供される開発ガイドライン等を参照してセキュア開発基準を作成し、基準に従って開発をさせていますか︖
実施しています。
Q,SmartFlowを構成するアプリケーション(API含む)、プラットフォームに対して脆弱性診断やペネトレーションテストをサービスリリース前および定期的(最低年1回)に実施し、発見された問題に対処していますか︖
実施していません。
運用性キュリティ
Q,稼働監視に関する実施基準・手順等を定め、実施していますか︖
実施しています。
Q,構成管理に関する実施基準・手順等を定め、実施していますか︖
実施しています。
Q,変更管理に関する実施基準・手順等を定め、実施していますか︖
実施しています。
Q,サーバ・管理端末等にウィルス等に対する対策(ウィルス対策ソフトの導入・最新化)を実施していますか︖
実施しています。
Q,脆弱性管理に関する実施基準・手順等を定め、適用していますか︖
・ベンダーによる保守が終了した古いソフトウェア の利用禁止
・OS やアプリケーションに関する最新の脆弱性情報の収集とサービス利用者への情報提供
・脆弱性が発見された場合の重要度に応じた対策の実施
・不要なサービスの停止、不要なポートの閉鎖
実施しています。
Q,サーバ・管理端末・通信機器等において時刻同期を行うと共に、定期的に時刻同期の状況を確認していますか︖
実施しています。
Q,アクセスログ・操作ログを取得し、保管期間を定めた上で改ざんが不可能な環境に保管していますか︖
実施しています。操作ログは10日分は管理者が常に確認可能。
Q,アクセスログ・操作ログを元に当該サービスに対する不正利用の兆候を当社が監視・確認する手段を提供することができますか︖
提供可能です。
Q,経営陣によって承認された当該サービスの継続に関わる計画を策定していますか︖
また、上記計画に基づく訓練を少なくとも年に1回実施していますか︖
実施しています。
Q,当該サービスを構成する全てのコンポーネント(ハードウェア、ハイパーバイザ、オペレーティングシステム、ミドルウェア、アプリケーション、ネットワーク機器等)について、情報セキュリティ基準を文書化して随時更新していますか︖
実施しています。
データ管理
Q,保管データの暗号化
実施しています。
Q,バックアップデータが格納される媒体を紛失・毀損することのないよう適切に保管していますか︖
実施しています。
Q,サービスの使用終了時に当社に関するデータを特定した上で、データの返却またはデータの完全消去を実施していますか︖
実施しています。
Q,データ返却・消去の証明書を発行することが可能ですか︖
対応可能です。
情報セキュリティインシデント対応(情報漏洩、改竄、システム障害発生時の対応)
Q,情報セキュリティインシデントが発生した場合に備え以下が整備されていますか︖
・迅速に報告・連絡するための体制
・情報セキュリティインシデント対応手順(原因究明、復旧、再発防止策の検討、記録管理等)
実施しています。
Q,重大なセキュリティ情報(脆弱性発生やインシデント発生、重大なセキュリティリリース、パッチ提供等)を顧客に対して、必要な時に迅速に提供しますか︖
実施しています。
Q,情報セキュリティインシデントが発生した場合に備えた訓練を定期的に実施し、訓練の結果に基づき当該手順の更新を行っていますか︖
実施しています。
ネットワークセキュリティ(不正アクセス対策)
Q,外部および内部からの不正アクセスを防止する措置(ファイアウォール、リバースプロキシ、WAFの導入等)を講じていますか︖
実施しています。
Q,通信(APIを介した通信を含む)をTLS、IPsec等の安全(暗号化されかつ認証された)で標準的なネットワークプロトコルを用いて暗号化していますか︖
実施しています。
Q,IPS/IDS等により外部からの不正アクセスを監視・防止していますか︖
実施しています。
Q,ネットワーク機器、ファイアウォール、リバースプロキシ、WAF、IPS/IDS等のログを取得し、保管期間を定めた上で改ざんが不可能な環境に保管していますか︖
実施しています。
物理セキュリティ(建物、設備等のセキュリティ対策)
Q,サーバの設置場所は、データセンター専用の建物ですか︖
はい。
Q,データを保存する国、地域を開示することは可能ですか︖
はい。 日本/東京
Q,データを保存する国、地域を当社が指定することは可能ですか︖
いいえ。
Q,サーバ・通信機器等は、地震・火災・水害・停電・落雷等に耐えうる環境に設置されていますか︖
はい、設置されています。
Q,サーバ、通信機器、ファシリティ(空調設備、電源設備、入退管理システム、監視カメラ等)を定期的に保守していますか︖
実施しています。
Q,情報を扱う場所(データセンター、オペレーションルーム等)は、当該情報を取り扱う人のみ入室できるよう制限していますか︖
制限しておりません。
Q,情報を扱う場所(データセンター、オペレーションルーム等) の入退記録を期限を定めた上で保管していますか︖
保管していません。
Q,サーバ・通信機器等が設置されているエリアでの作業を管理できる対策を実施していますか︖
・監視カメラの設置
・役職員と第三者を区別するための対策(社員証、バッジ等の着用)
実施しています。
Q,業務をリモートワークで実施している場合、貴社で整備されたルールに基づき業務を実施していますか︖
実施しています。
コンプライアンス
Q,PCIDSS に準拠していますか?
PCIDSS :クレジットカード情報セキュリティの国際統一基準
はい。
Q,GDPR/CCPAに準拠していますか︖
GDPR:EUにおける個人データ保護に関する法律
CCPA:カリフォルニア州消費者プライバシー法
いいえ。今後の取得を検討しています。
Q,情報セキュリティ状況について、登録企業(ユーザー)が監査を行うことは可能ですか︖
対応できかねます。
Q,少なくとも登録企業(ユーザー)に影響がある重大なインシデント発生時は、監査を実施することが可能ですか︖
対応可能です。
コメント
0件のコメント
サインインしてコメントを残してください。