当社は、以下に、当社の「情報セキュリティ方針」を拡充し、クラウドサービスにおける情報セキュリティ方針を示します。
1.クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項・お客様からの情報セキュリティ要求事項及び当社にて確立した本方針を適用し、クラウドサービスの設計及び実装を行います。
2.内部関係者からのリスク
・リスクアセスメントにて特定された内部関係者からのリスクに対し、管理策を採用し、対応策を実施します。
3.クラウドコンピューティング環境の隔離・仮想化されたマルチテナント環境を利用して、クラウドコンピューティング環境を論理的に隔離し、セキュリティの確保を行います。
4.当社従業員による、お客様データへのアクセス及び保護・クラウドサービスを提供するに当たって、または技術的な問題の解決のため、お客様のアカウントにアクセスすることがありますが、当社の利用規約等に定める場合を除き、お客様の事前の許可なく、お客様のデータを監視、編集、開示しません。
5.アクセス制御手順
・より安全性を強化した認証を設定します。
6.お客様への変更通知
・クラウドサービスに関する仕様変更等については、当社ホームページへの掲載等を通じて情報提供します。
7.仮想化セキュリティ
・ハイパーバイザ(仮想化ソフトウェア)を攻撃から守り、ホスト基盤を仮想化環境において生じる脅威から守り、仮想マシンのライフサイクルを通じて保全します。
8. お客様のアカウント管理
・お客様のアカウント管理は、当社が定める利用規約等に基づき、お客様の責任において作成し、管理していただくこととします。
9. 情報共有指針
・違反の通知、調査及び証拠保全支援のための情報共有を実施します。通知・連絡の手段は当社の定める利用規約等にて定義します。
以 上
株式会社 ティファナ・ドットコム
代表取締役社長 森 博也
当社は、以下に、当社とお客様との責任分界点(責任の共有及び分担)を示します。
当社の責任
お客様の責任
① AIさくらさんアプリケーションのセキュリティ対策
① 各利用者に付与されたパスワードの適切な管理
② AIさくらさんアプリケーションに保管されたお客様データの保護
② AIさくらさんアカウントの適切な管理(権限設定、組織管理者設定など)
③ AIさくらさんアプリケーションの提供に利用するミドルウェア、OS、その他のインフラのセキュリティ対策
③ クラウドサービスを適切に取り扱うための意識向上、教育及び訓練の実施
④ 当社が検知し、サービスに影響を与える情報セキュリティ事象が発生した場合のお客様への連絡
④ お客様の方で何らかの不具合が発生した場合の当社への連絡
お客様からお預かりしたデータは、Amazon Web Services, Inc.提供の「AWS」に保管されます。
データの保管先はゾーンに関わらず全て日本国内となります。
AIさくらさん利用に関する契約が終了した場合、本契約終了日から20日間保存され、以降にお客様からお預かりしたデータは完全に消去されます。
お客様は、機能においてお客様が希望するカスタマイズを行うことが可能です。各案件担当者までご相談ください。
お客様は、契約の範囲内において、ユーザーの登録・削除を行うことが可能です。ユーザー登録・削除を行いたい場合は、各案件担当者までご連絡ください。
お客様は、当社から提供する権限を、ユーザーに対して付与することができます。アクセス権の付与・変更等を行いたい場合は、各案件担当者までご連絡ください。
(1) 初期パスワードの配付方法
① 新規ユーザーを追加したと同時に、新規ユーザーのメールアドレスに、初期パスワードを登録するための独自のURLを含むメールが送信されます。新規ユーザーは、そのURLにアクセスし、パスワードを設定することで、サービスの利用を開始できます。
② 新規ユーザーを追加したと同時に、初期パスワードが生成され、ユーザー追加者に対して、新規ユーザーの初期パスワードが表示されます。ユーザー追加者は表示された初期パスワードを、メールなど組織のルールに合わせた自由な方法で、新規ユーザーに配付することが可能です。
(2) ユーザーがパスワードを忘れた場合の再設定方法ユーザーがパスワードを忘れた場合の再設定方法は、「操作手順書」に基づき、実施してください。
データベースに保管される、お客様の各種情報(氏名、メールアドレス、各機能で利用するデータなど)は、暗号化されずに、適切なアクセス権のもとで保管されます。但し、パスワードは、不可逆暗号化(ハッシュ化)された状態で、データベースに保管されます。また、お客様の端末と、システムとの間のインターネット通信は、SSL通信(SHA256)によって暗号化されます。
サービスのバージョンアップ情報を始めとした、各種の変更に関する情報は、お客様管理画面上で閲覧することが可能です。
また、サービスのバージョンアップが実施された場合、必要に応じて当社のサポート担当から、サービス登録時に当社にご提供いただいたメールアドレスに対し、メールにてご連絡、もしくはバックログにてご連絡いたします。
お客様が利用できる手順書は、お客様ごとにカスタマイズした手順書をメールもしくはバックログにてお送りさせていただいております。
データベースに保管される、お客様の各種情報(氏名、メールアドレス、各機能で利用するデータなど)は、毎日自動的にバックアップを実行しています。
バックアップは、1世代分保管されます。
但し、お客様によるバックアップデータの復元等に関する要望は、承っておりません。詳細は、「AIさくらさんセキュリティチェックシート」に記します。
当社提供サービスへのアクセスログは、無期限に保存しており、それらの保存期間や保存形式、閲覧は運用管理者が管理できるようにしております。
なお、監査ログ機能で提供している以外のログの提供サービスは行っておりません。
サービス内で提供されるログは、日本標準時(JST)で提供し、AWS(アマゾンウェブサービス)、Twilio、Googleが提供するNTPサービスと同期しています。
当社の開発チームは、システムで利用しているOS、ミドルウェア等に関する脆弱性情報を定期的に収集しています。
システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適⽤します。
適用後は、自社WEBを通じて、もしくはサービス登録時に当社にご提供いただいたメールアドレスに対し、メールにてご連絡いたします。
当社の提供するクラウドサービスにおいて、実施しているセキュリティ対策及び機能については、以下にて公開しております。
■ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-overview/security-and-compliance.html
システムの開発には、Railsセキュリティガイドおよび、社内で定められたコーディング規約に従って実施しています。
■ Railsセキュリティガイド
https://railsguides.jp/security.html
お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止等)が発生した場合は、インシデント発生してから72時間以内を目標に、利用契約にご提供頂いた貴社の管理者のメールもしくは電話に連絡します。
情報セキュリティインシデントに関する問合せは、本セキュリティホワイトペーパー末尾の「サポート担当」窓口より受け付けています。
ログデータを含むお客様データは、不正なアクセスや改ざんを防ぐため、開発チームの限られた人間しかアクセスできない、管理されたアクセス権のもとで保管されます。但し、裁判所からの証拠提出命令など、 法的に認められた形でお客様のデータの提供を要請された場合、当社は、お客様の許可なく、 必要最小限の範囲で、 お客様情報を外部に提供する可能性があります。
お客様と当社の間の契約は、日本法に基づいて解釈されるものとします。
当社は、以下の第三者認証を取得しております。
・ISO9001(品質マネジメントシステム)認証取得
認証登録番号 FS 583612
・ISO27001(情報セキュリティマネジメントシステム)認証取得
認証登録番号 IS 637478
・ISO27017(クラウドサービスセキュリティ)認証取得
認証登録番号 CLOUD 731683
当社は、当サービスを提供するにあたって、以下の外部クラウドサービスを利用しております。
クラウドサービス名
機能
運営会社
情報
AWS
クラウドサーバー
Amazon Web Services
メールアドレス、個人情報、データファイル等
AIさくらさんサポート担当
メール:support@tifana.com