加入者データと管理
PowerDMARCは、担当者の加入者データへのアクセスを以下のように制限しています。
- クラウドホスティングの管理者アクセスには多要素認証を含む、安全なログインとパスワードによる固有のユーザーアクセス認証が必要です。
- PowerDMARCの担当者が利用できるサブスクライバーデータを「知る必要がある」場合に限定します。
- 業務上の必要性に基づいて、PowerDMARCの担当者によるPowerDMARCの本番環境へのアクセスを制限することができます。
- 本番環境へのアクセスのために、ユーザーのセキュリティ認証を暗号化します。
- PowerDMARC の要員が、コンピュータ・ラップトップ、ポータブル・ドライブ、その他同様のデバイスなどの電子的なポータブル・ストレージ・デバイスに利用者データを保存することを禁止する。
- PowerDMARCは、契約者の各データを論理的に分離し、契約者のデータが他の顧客に公開されたり、アクセスされたりすることを防ぐための措置を講じています。
データの暗号化
PowerDMARCは、加入者のデータに対して以下のような業界標準の暗号化を行います。
- トランスポート時とレスト時の暗号化を実現しています。
- PowerDMARCの本番環境に保存されている加入者データのAES 256ビット暗号化を含む、強力な暗号化手法を使用していること。
- クラウドストレージに保存されているすべての加入者データを静止状態で暗号化します。
ネットワークセキュリティ、物理的セキュリティ、環境制御
- PowerDMARCは、加入者データを処理するシステムへの不正アクセスを防止するために、ファイアウォール、ネットワークアクセスコントロールおよびその他の技術を使用しています。
- PowerDMARCは、本サービスを提供するために使用されるすべての関連システムおよびアプリケーションに対して、セキュリティパッチを評価、テストおよび適用するために設計された手段を維持するものとします。
- PowerDMARCは、クラウドサービスを含む、加入者のデータを処理するアプリケーションへの特権的なアクセスを監視します。
- 本サービスは、Amazon Web Services(以下「AWS」)およびHeroku上で運営されており、Amazonのセキュリティおよび環境制御によって保護されています。AWSのセキュリティに関する詳細な情報は、https://aws.amazon.com/security/ および http://aws.amazon.com/security/sharing-the-security-responsibility/ でご覧いただけます。AWSのSOCレポートについては、https://aws.amazon.com/compliance/soc-faqs/。
- AWSに保存されている加入者データは、常に暗号化されています。AWSは、暗号化されていない契約者データにはアクセスできません。
インシデントレスポンス
PowerDMARCがその管理下にある利用者データへの不正なアクセスまたは開示(以下「侵害」といいます)に気付いた場合、PowerDMARCは以下を行います。
- 破棄の有害な影響を軽減し、さらなる不正アクセスまたは開示を防止するための合理的な措置を講じること。
- 違反行為が確認された場合、不当に遅延することなく、顧客に違反行為を書面で通知する。上記にかかわらず、PowerDMARCは、適用される法律で禁止されている範囲では、かかる通知を行う必要はなく、法執行機関の要請および/またはPowerDMARCが通知を行う前に問題を調査または修復する正当な必要性に照らして、かかる通知を遅らせることができるものとします。
違反行為に関する各通知には、以下が含まれます。
- 違反行為中に加入者データが使用、アクセス、取得、または開示された、またはされたと合理的に考えられる範囲。
- 違反行為の発生日および違反行為を発見した日(判明している場合)を含む、出来事の説明。
- 判明している範囲での違反の範囲、および
- 違反行為によって生じた損害を軽減するために PowerDMARC が講じた措置を含む、違反行為に対する PowerDMARC の対応の説明。
- PowerDMARCは、適切な事業継続計画と災害復旧計画を維持しています。
- PowerDMARCは、システム、ネットワーク、データストレージのフェイルオーバーによる冗長性を確保するプロセスを維持しています。
人事管理
- PowerDMARCは、適用される法律に基づき、すべての新規雇用者に対して、身元証明書の検証および犯罪歴調査を含む雇用検証を行います。
- PowerDMARC は、加入者データの処理に関与する従業員に対し、許可なく加入者データを収集、処理、または使用しないよう、また、加入者データに関わるすべての役割が終了した後も含めて、加入者データの機密を保持するよう、トレーニングを実施します。
- PowerDMARCは、従業員のシステム活動を定期的かつ無作為に監視しています。
- 従業員が解雇された場合、自発的か非自発的かにかかわらず、PowerDMARCは直ちにPowerDMARCシステムへのすべてのアクセスを無効にします。
- PowerDMARCは、毎年、情報セキュリティ意識向上のためのトレーニングと、従業員への継続的な説明会を実施しています。
最終更新日2020年5月10日