セキュリティとコンプライアンス


このセキュリティおよびコンプライアンスポリシーは、お客様との契約に基づくPureCloud製品群(以下「PureCloud」)の性能に関し、弊社が提供する情報セキュリティおよびデータ保護の最低要件を説明しています。本ポリシーにおける大文字の用語は、別段の定義がない限り、契約書に定める意味を持つものとします。

  1. Security Program 
    We have implemented and will maintain an information security program that follows generally accepted system security principles embodied in the ISO 27001 standard designed to protect the Customer Data as appropriate to the nature and scope of the Services provided. Genesys Telecommunications Laboratories Inc.’s Security & Compliance Team maintaining the information security program includes experienced professionals holding a wide range of certifications in both security and privacy. The information security program includes at least the following elements:

    1. セキュリティ意識およびトレーニング
      弊社では、情報セキュリティに関する意識向上プログラムを実施、維持しています。これは、社員や該当する請負業者の採用時または契約開始時に実施されるもので、それ以降も毎年行われています。意識向上プログラムは電子的に配布され、最低合格ラインを設けたテストが含まれています。さらに、開発スタッフにはセキュアなコード開発トレーニングも用意されています。
    2. 方針および手続き
      弊社では、情報セキュリティプログラムをサポートするための方針および手続きを維持しています。方針および手続きは毎年精査され、必要に応じて更新されます。
    3. 変更管理
      弊社では、業界標準に基づいた変更管理プロセスを採用することで、PureCloud商用環境への変更がすべて適切に精査、試験、そして承認されていることを確認しております。
    4. Patching
      PureCloud does not patch. The strategy is to destroy and rebuild all server instances at least every 30 days on new “gold images” that have current patch levels. Gold images are updated at least every two weeks with up-to-date security patches.
    5. データのストレージおよびバックアップ
      重要な顧客データは、文書化したバックアップ手順に基づいてバックアップを作成しています。バックアップデータの保存は、携帯型のメディアには行われません。バックアップメディアに保存された顧客データは、Amazon Web Services ("AWS") が提供するサーバーサイド暗号化を用いて暗号化されます。
    6. 脆弱性スキャンおよび侵入テスト
      弊社では、自動スキャンと通知を使用した、内部脆弱性スキャンを定期的に行っております。スキャン結果は、判明している脆弱性を確認するため解析され、リスクに応じた時間の枠内で修復のスケジュールが設定されます。
      最低年に一度、有資格の独立系ベンダーとともに脆弱性評価と侵入テストを実施します。実施時に特定化された問題に対しては、問題のリスクレベルに見合う妥当な時間内に適切な対応が行われます。書面による要請があれば、テスト結果の修正版エグゼクティブサマリーを提出するものとします。これは、守秘義務契約書 (NDA) および秘密保持契約書に順ずることとします。
    7. データ破壊
      顧客データで古くなったもの、または契約により不要となったものの破壊は、AWSの標準方式に準じて行います。
    8. ウイルスおよびマルウェアに対する保護
      弊社は、トロイの木馬やウイルス、ワーム等、悪意のあるソフトウェアに対して、業界標準のアンチウイルスやアンチマルウェアなどの保護ソリューションを活用し、PureCloudをサポートするインフラストラクチャの保護を行います。ソリューションは一元的に管理され、アップデートが必ずタイムリーに行われるよう設定されます。
      PureCloud内のアプリケーションは、コーディングの相互レビューやセキュリティとユニットのテスト、セキュアコーディング技術の順守など、業界標準のセキュアコーディング方法を利用して開発、維持されています。PureCloud 内で実行されるアプリケーションに、いかなるプログラムやルーチン、サブルーチン、データ(悪意のあるソフトウェアまたは「マルウェア」、ウイルス、ワームやトロイの木馬を含む)も混入しないよう、業界基準の手法を使用しています。
  2. Network Security
    AWS provides a strong foundation of security and compliance which we supplement by employing industry standard network security controls designed to protect Customer Data, including, but not limited to, the following:

    1. 侵入検知システム
      弊社では、疑わしい動作が検知された時に警告を発するよう設計されたホストベースおよびネットワークベースの侵入検知システムを実装、維持しています。
    2. PureCloudとのデータ接続
      弊社ではブラウザやモバイルアプリ、そして他のPureCloudコンポーネント間の接続を確保するため、AES-256で暗号化されたHTTPS/TLSを使用しています。
    3. PureCloudとサードパーティ間のデータ接続
      お客様、またはお客様が指定するサードパーティとの間での顧客データの通信または交換は、セキュアな方法を用いて行われます(例えばTLSやHTTPS、SFTPなど)。
    4. 録音の暗号化
      通話の録音はデフォルトですべて暗号化されます。PureCloud は、お客様固有の暗号化キーを生成し、通話の録音のセキュリティを確保します。チャットのセッションは送信中に暗号化が行われます。
    5. Encryption Protection
      We use industry standard methods to support encryption. We use a minimum of RSA 2048 bits for asymmetric key encryption. For symmetric key encryption, we use AES 128 bits. For hashing, we use SHA1 and SHA2.
  3. User Access Control
    We have implemented and maintain appropriate access controls and the concept of least privilege designed to ensure only authorized users have access to Customer Data within PureCloud. User access is logged for audit purposes.

    1. お客様のユーザーアクセス
      アプリケーション内のユーザーアクセスコントロールの管理は、お客様の責任です。お客様が各ユーザーのユーザー名や役割、パスワードの特徴(長さ、複雑さ、有効期限)の定義を行います。お客様は、お客様またはそのエージェント、契約社員や社員(これにはお客様の全ユーザーが制限なく含まれます)によるユーザー名やパスワード、そしてその他アカウント情報管理の不行き届きによる一切の責任を負うものとします。弊社の重大な過失または作為もしくは不作為により発生したセキュリティの停止があった場合を除き、お客様の承認の有無に関わらず、お客様はお客様のユーザー名およびパスワードを用いて行われたPureCloudのすべての使用およびその使用の結果生じたすべての費用につき一切の責任を負うものとします。PureCloud商用環境になんらかの不正使用があった場合は、お客様は直ちに弊社まで連絡するものとします。
    2. Our User Access
      We will create individual user accounts for each of our employees or contractors that have a business need to access the PureCloud production environment. The following guidelines will be followed with regard to our user account management:

      1. ユーザーアカウントは、弊社の管理部門が要請および承認を行います。
      2. ユーザーアカウントは最小権限の概念を踏襲します。
      3. Access to the PureCloud Production environment requires multifactor authentication.
      4. PureCloud内では、パスワードの代わりにSSHキーが使用されます。
      5. 休止中のアカウントまたは使用されていないアカウントは、使用されなくなってから90日を経過すると無効となります。
      6. セッションのタイムアウトは体系的に実行されます。
      7. 社員の離職または異動時にはユーザーアカウントは直ちに無効となり、アクセスする正当な業務上の必要性は排除されます。
  4. Business Continuity and Disaster Recovery
    PureCloud is deployed and configured in a redundant infrastructure through AWS. Services provided by PureCloud follow a stateless architecture. Data repositories in PureCloud use redundancy and replication designed to maintain availability and avoid data loss in the event of a lost data node. The PureCloud environment is physically separated from our corporate network environment so that a disruption event involving the corporate environment does not impact the availability of the PureCloud Services.

    1. ビジネスの継続性
      企業環境での中断があっても、継続中のモニターサービスやサポートサービスが続行できるよう、ビジネス継続性計画を維持しております。
    2. High Availability
      PureCloud utilizes AWS services to provide highly available environments, including, but not limited to, the following:

      1. 可用性ゾーン(AZ)、これは、それぞれが余剰電力とネットワーキング、そしてコネクティビティを備えた1つまたは複数の分離したデータセンターからなるもので、また施設も別々に設置されています。
      2. オートスケーリング グループ (ASG)は、障害発生時に、需要に基づいて動的にクラスターの増減を行い、代替インスタンスを自動的に起動するものです。
      3. AWS エラスティック ロードバランサー (ELB)は、内外のトラフィックを良好なインフラストラクチャにルーティングし、異常があるインフラストラクチャを回避します。
      4. 永続性の高いメッセージキューイング システムは、リクエストのキューイングとpoint-to-multipoint通知をサポートします。メッセージ キューにより、データ損失を伴わずに要求やイベントのロードバランスを行い、また ロードバーストを処理することができます。
      5. Amazon シンプル ストレージサービス (S3)。S3は、Amazon S3 リージョン内において、オブジェクトを複数のデバイスの複数の施設に冗長的に保存します。Amazon は99.999999999% の永続性を提供することを目標としています。
  5. Security Incident Response
    We maintain a Security Incident response program based on industry standards designed to identify and respond to suspected and actual Security Incidents involving Customer Data. The program will be reviewed, tested and, if necessary, updated on at least an annual basis. “Security Incident” means a confirmed event resulting in the unauthorized use, deletion, modification, disclosure, or access to Customer Data.

    1. 通知
      顧客データの不正な公開もしくは開示に関わるセキュリティ インシデント、または適用法に基づき通知が必要となるセキュリティイベントがあったと確認できた場合は、弊社は法執行機関による要請または裁判所命令による指示がある場合を除き、72時間以内にお客様への通知を行い、お客様が当該イベントに関連して必要な通知を行うことができるよう適切な協力を提供するものとします。
    2. 通知の詳細
      確認されたセキュリティ インシデントにつき、次の詳細を通知します: (i) セキュリティ インシデントが検知、確認された日付、(ii) セキュリティ インシデントの性質および影響の範囲、(iii) 弊社が既に行った措置、(iv) 取るべき是正措置、そして (v) 代替措置の評価と次の手順。
    3. 継続的コミュニケーション
      弊社は、セキュリティ インシデントの解決に関する適切なステータスレポートを継続して提供し、セキュリティ インシデントを是正し同様のセキュリティ インシデントの発生を防ぐ努力を誠意をもって継続します。また、お客様からの合理的な要請に応じて、セキュリティ インシデントのさらなる調査および解決に協力します。
  6. プライバシー
    弊社は、弊社の管理下にある顧客データを尊重・保護するためのプライバシープログラムを開発しており、これを維持します。このプログラムは、こちらにあります: https://help.mypurecloud.com/articles/purecloud-privacy-policy/ 顧客データは、いかなる外部の第三者にも賃貸、販売、共有をしません。顧客データはPureCloudサービスの提供のみを目的として使用またはアクセスされるものとします。

  7. Industry Specific Certifications
    Our security and operational controls are based on industry standard practices and are certified to meet ISO 27001, ISO 9001, HIPAA, PCI Service Provider Level 1, and SSAE16 Service Organization Control (SOC) guidelines. PureCloud utilizes infrastructure deployed on Amazon Web Services (AWS). AWS provides the following letters of compliance and/or certification: ISM, ASD, ISO 9001:2008, ISO 27001:2013, ISO 27018:2014, ISO 27017:2015, Multi-Tier Cloud Security Standard Level-3 (CSP) Certification. AWS also undergoes frequent SOC 3 audits. A copy of the certifications and audit reports for AWS are available on the AWS website at http://aws.amazon.com/compliance/published-certifications.

    ただし、ビジネスに必要とされる業界標準の認証取得および維持は、お客様の責任となります(例: PCI DSS、HIPAA、GLBA、NIST 800-53、FedRAMP 等)。