■ 本資料について
経済産業省が公開している「SaaS 向け SLA ガイドライン」を参考に、セキュリティや サービスレベルについて簡素化し網羅的に記載しております。
※具体的な内容が異なる場合がありますので、詳細は弊社主担当にお問い合わせください。
セキュリティ(全般)
公的認証の取得 | ISMS認証登録番号:JP20/080650 |
情報セキュリティに関するルール | |
情報取扱者の制限 | MSマニュアルで定めた管理体制に沿ってお客様のデータにアクセス可能な従業員を限定している不要となったアクセス権は適切に変更・削除を実施※ISMS認証に準拠したMSマニュアルに詳細記載 |
通信の暗号化レベル | 伝送データはTLS v1.2以上で暗号化を実施 |
パスワードの取り扱い | 機密性の高いパスワード等の情報をデータベースに保存する際には不可逆暗号(ハッシュ化)して保存、管理 |
従業員へのセキュリティ教育 | 定期的に実施(最低年1回以上実施) |
ウィルス対策 | 業務で用いるPCにウィルス対策ソフトを導入 |
セキュリティパッチ適用 | 個人情報を取扱う業務で用いるPCに対して、速やかにセキュリティパッチの適用をする方針 |
スクリーンロック | PCやスマートフォンのスクリーンロックの設定を実施 |
2段階認証 | 重要な機密情報にアクセスする際に利用するアカウントについて、2段階認証を設定 ※GoogleおよびAWSのログインアカウントは必須 |
データセンターの利用形態 | IaaS/PaaSの利用 ※AWS(AmazonWebService), GCP(GoogleCloudPlatform) |
第三者へ再委託 |
|
セキュリティ(脆弱性対策)
ソースコード |
|
ライブラリ | ソースコードの構成管理で利用しているGithub社が提供する依存パッケージの脆弱性を検知・通知するサービス(Dependabot アラート)を利用し、緊急度の高い脆弱性から優先的にアップデートする方針 |
ミドルウェア/OS | アップデートの提供が開始されたら迅速に適用する方針 |
インフラ基盤 | DBサーバがWebサーバと分離された構成になっており、WebサーバとDBサーバ間の通信経路が必要最低限になるようアクセスを制御している DBサーバは外部から直接アクセスできないようにアクセスを制御している |
第三者による脆弱性診断やペネトレーションテスト | プラットフォーム(OS、ミドルウェアやネットワーク)に対する脆弱性診断、WEBアプリケーションに対して脆弱性診断を定期的に実施※基本1年に1度実施 |
可用性および信頼性
サービス稼働率 | 99.98%以上(年間ダウンタイム:2時間程度)※2分以上の停止をダウンタイムとしてカウント |
サービス提供時間 | 365日24時間運用(メンテナンスによる停止は除く) |
計画停止予定通知 | 貴社と協議の上、決定※メール、チャットツールなどのコミュニケーションツール。これらと電話の併用 |
障害時の連絡 | 電話、メール、ウェブサイト告知による連絡。また、緊急を要する場合は個別に別途連絡 |
障害監視間隔 | 1分間隔 |
目標復旧時点 (RPO:最大データ損失量) | 24時間※事由により変動 |
目標復旧時間 (RTO:復旧までの時間) | 8時間※事由により変動 |
不具合監視 | 不具合監視SaaSを利用し検出、対応 |
冗長化 | システムは冗長構成にて構築 |
データ管理
バックアップの取得 | データが格納されているデータベースのバックアップを24時間に一度実施 |
バックアップデータの保存期間 | 7世代管理 |
契約終了後のデータの取扱い | 利用ユーザー個人が特定されないように情報は変更する形で保持 ※購入履歴など決済等が関係するため、利用ユーザーに紐づくデータの物理削除は不可能 |
ログ管理
アプリケーションログの取得・保存期間 | クラウド上に3年間保存 |
インフラ操作ログの取得・保存期間 | クラウド上に一定期間保存 |
サポート
サポート窓口営業時間 | 10:00~17:00 (土、日、祝祭日を除く) |
連絡先 | 【メールによるお問合せ】
【お電話によるお問合せ】
|