Centric Software セキュリティ&コンプライアンス
データを確実に保護
セキュリティ by デザイン
世界をリードする企業が信頼するCentric
シリコンバレーにルーツを持つCentricは、企業にとって信頼を置けるソフトウェアパートナーがいかに重要かをよく理解しており、お客様のデータを保護して、コンプライアンス要件を満たすことを、最優先に取り組んでいます。CentricのWebアプリケーションは、セキュリティ by デザインという手法で開発されています。
セキュリティの専門家で構成されたチームや、安全なホスティング環境を用意し、ISO 27001標準に準拠することで、安定性と信頼性が高く、コンプライアンスに対応したソリューションをご用意しています。実際にCentricは、この点で高い評価を受けています
最先端のセキュリティ
ホスティングパートナーなど社外のサプライヤ管理から、開発のためのベストプラクティス、セキュリティに特化したチームまで、セキュリティフレームワークに沿って、国際的な基準を上回るよう設計されたアプローチを行っています。
物理的セキュリティ
Centric Softwareのシステムや技術インフラは、業界認定を受けた世界有数のデータセンターでホスティングされています。データセンターでは、24時間365日の監視、監視カメラ、訪問者の記録、入室制限など、安全性の高いデータ管理施設に求められる物理的なセキュリティ管理が行われています。
クラウドサービスプロバイダーの詳細については、こちらをご覧ください。
Amazon Web Services | Microsoft Azure| Google Cloud Platform| Centric Data Center
データセキュリティとコンプライアンス
Centric Softwareは、世界で高く認められた情報セキュリティフレームワークに沿ったガバナンス・リスク管理・コンプライアンスを実践しており、SOC 3認証を取得して、GDPRにも準拠しています。
SOC2 Type 2
Centric Softwareは、米国公認会計士協会(AICPA)ガイド「サービス機関における統制の報告(Reporting on Controls at a Service Organization)」の1.26項に規定される基準を用いて、セキュリティ・可用性・機密性の原則に対する設計と運用の有効性の適合性についてアセスメントを受けています。
SOC3 Type 2
Centric Softwareは、米国公認会計士協会(AICPA)ガイド「サービス機関における統制の報告(Reporting on Controls at a Service Organization)」の1.26項に規定される基準を用いて、セキュリティ・可用性・機密性の原則に対する設計と運用の有効性の適合性についてアセスメントを受けています。
GDPR(一般データ保護規則)
一般データ保護規則(GDPR)では、欧州連合(EU)の人々に商品やサービスを提供する企業、またはEU市民に関する個人情報を収集・処理する企業に対して、その企業の所在地に関係なく規則が導入されています。Centric Softwareは個人情報の保護に取り組んでいます。以下の資料に、当社の個人情報の取り扱いに関する重要な情報を記載しています。
ISO/IEC 27001:2022
Centric Software's certification for ISO/IEC 27001:2022, ISO 27017:2015, and ISO 27018:2019 was issued by A-LIGN, an independent and accredited certification body, on successful completion of a formal audit process.
ISO/IEC 27017:2015
ISO/IEC 27017:2015 provides guidance on the information security aspects of cloud computing, recommending the implementation of cloud-specific information security controls that supplement the guidance of the ISO/IEC 27002 and ISO/IEC 27001 standards.
ISO/IEC 27018:2019
ISO/IEC 27018:2019 is a code of practice that focuses on protection of personal data in the cloud. It is based on ISO/IEC information security standard 27002 and provides implementation guidance on ISO/IEC 27002 controls applicable to public cloud Personally Identifiable Information (PII).
Protecting data at every stage.
Trust is built on openness. So being accountable and clear about the processes we have in place to protect the security, integrity and compliance of our systems and your data is fundamentally important to us. In this section, you can find out more about the various policies we follow and the security measures we take to secure our platform and your data.
セキュリティポリシー
Centric Softwareは、少なくとも年1回のペースで情報セキュリティポリシーを整備し、定期的なレビューと更新を行います。社員はポリシーを認識し、職務に応じた定期的なトレーニングを受ける義務があります。トレーニングは、Centric Softwareに適用されるすべての仕様と規制を遵守するよう設計されています。
資産管理
Centric Softwareは、情報および資産の識別、分類、保持、廃棄を含む資産管理ポリシーを整備しています。会社支給のデバイスには、ハードディスクの完全な暗号化、最新のアンチウイルスソフトウェア、エンドポイント侵入防止・検知システムが装備されています。社内およびプロダクションネットワークへのアクセスが許可されているのは、会社支給のデバイスのみです。
危機管理
Centric Softwareは、初動対応、調査、お客様や個人への通知(必要があれば)、公開コミュニケーション、修復を含むセキュリティ事故対応プロセスを整備しています。このプロセスは定期的に見直され、2年に1度テストを受けます。
情報漏えいの警告
最善の努力を尽くしても、インターネット上の送信方法および電子的な保存方法は100%安全とは言い切れず、絶対的な安全性を保証することはできません。しかし、Centric Softwareがセキュリティ侵害を検知した場合は、法律またはその他の要求に従って、影響を受けるユーザーに通知し、適切な保護措置を講じます。当社の違反通知手続きは、適用される国レベルの法律、州法、連邦法および規制に基づいた義務に適合しています。
事業継続マネジメント
バックアップは暗号化し、機密性と完全性を保持するためにセカンダリ環境に保管されています。Centric Softwareは、復旧時間目標(RTO)と復旧地点目標(RPO)を満たすために、ダウンタイムとデータ損失を最小限に抑えるバックアップ戦略を採用しています。事業継続計画(BCP)は定期的にテストして更新され、災害発生時の対策として効果を発揮しています。
ログの記録とモニタリング
アプリケーションとインフラストラクチャシステムのログ情報は、集中管理されたログリポジトリに保存し、トラブルシューティングやセキュリティのレビュー、権限を与えられたCentric Softwareの担当者による分析に利用します。ログは規制要件に従って保存されます。
アプリケーションの安全なリリース基準
Centric Softwareは、すべてのソフトウェアのリリースに際して、以下のようなセキュリティ上のリリース基準を採用しています。
公開されている脆弱性や未対応のバージョンについて、あらゆるコードライブラリの依存性チェックを実施
静的アプリケーションセキュリティテスト(SAST) で、テスト担当者が基本的なフレームワーク、設計、および実装にアクセスし、アプリケーション内部からテストを実施
動的アプリケーションセキュリティテスト(DAST) では、アプリケーションが構築されている技術やフレームワークについて全く知識のない担当者がテストを行い、アプリケーションは外部からテストを実施
開発チームのシニアメンバーがピアコードレビューを行い、社内標準が満たされていることを確認
アプリケーションやホストされているプラットフォームに重大、高、中程度の脆弱性が存在しないことを確認するための外部ペネトレーションテストを実施
適用される基準を満たし、データプライバシーおよび保護に関する法律の遵守を確認するための規制遵守チェックを実施
よくあるご質問
セキュリティやコンプライアンスに関するご質問は、お問い合わせページのフォームからご連絡ください。法的なお問い合わせは legal@centricsoftware.com までご連絡ください。
Centric Softwareのソリューションをご利用中のお客様は、製品やサービスに関する問題についてサポートポータルを利用してご報告下さい。疑わしい脆弱性を個人的に共有したいセキュリティ研究者の方は、Centric Softwareのセキュリティチームのメールアドレス security@centricsoftware.comに直接ご連絡ください。報告の価値を高め、当社のチームが疑わしい脆弱性を評価するためのサポートとなるよう、報告には詳細な説明や、認識されたリスク、対象となる範囲、そのレベル、POC、および補足資料が含まれていることが望ましいです。