シリコンバレーにルーツを持つCentricは、企業にとって信頼を置けるソフトウェアパートナーがいかに重要かをよく理解しており、お客様のデータを保護して、コンプライアンス要件を満たすことを、最優先に取り組んでいます。CentricのWebアプリケーションは、セキュリティ by デザインという手法で開発されています。
セキュリティの専門家で構成されたチームや、安全なホスティング環境を用意し、ISO 27001標準に準拠することで、安定性と信頼性が高く、コンプライアンスに対応したソリューションをご用意しています。実際にCentricは、この点で高い評価を受けています
ホスティングパートナーなど社外のサプライヤ管理から、開発のためのベストプラクティス、セキュリティに特化したチームまで、セキュリティフレームワークに沿って、国際的な基準を上回るよう設計されたアプローチを行っています。
Centric Softwareのシステムや技術インフラは、業界認定を受けた世界有数のデータセンターでホスティングされています。データセンターでは、24時間365日の監視、監視カメラ、訪問者の記録、入室制限など、安全性の高いデータ管理施設に求められる物理的なセキュリティ管理が行われています。
クラウドサービスプロバイダーの詳細については、こちらをご覧ください。
Amazonウェブサービス | Microsoft Azure | Azure|Googleクラウドプラットフォーム | Centric データセンター
Centric Softwareは、適切な承認を受けた人物のみが、システムとシステムが保管されている施設や設備にアクセスできるよう設計されたポリシー、手順、ロジカルコントロールを導入しています。
次のことを守ります:
Centric Softwareは採用時にバックグラウンドのスクリーニングを行います(関連する法律で許可または奨励されている範囲において)。さらに、全社員に情報セキュリティポリシーを(全社員はこれに対し承認義務があります)、新入社員には秘密保持契約への署名を義務付けるとともに、プライバシーとセキュリティに関するトレーニングを継続的に行っています。
Centric Softwareには、アプリケーション、クラウド、ネットワーク、システムのセキュリティに特化したデータプライバシー&セキュリティ専門チームがあります。このチームは、社内のセキュリティポリシーと基準を満たすための情報セキュリティマネジメントシステム(ISMS)の維持管理に責任を持っています。
Centric Softwareは、サーバー、ワークステーション、ネットワーク機器、アプリケーションのセキュリティ脆弱性を定期的にスキャン、特定、修正することを含め、脆弱性管理プログラムを記録し、運用しています。テスト環境と実稼働環境を含むすべてのネットワークを、信頼できるサードパーティベンダーを利用して定期的にスキャンしています。重要なパッチは優先的にサーバーに適用し、その他のパッチも状況に応じて適用しています。
また、定期的に内部および外部からの侵入テストを実施し、重大度に応じた改善を行っています。
転送中の暗号化: Centric Softwareは、すべてのシステムおよびサービス間の通信に安全な暗号化方式を使用しています。
保存時の暗号化: Centric Softwareは、業界標準の暗号化アルゴリズムと強度を使って、保存されているすべてのデータを保護しています。
バックアップの暗号化: すべてのバックアップは標準で暗号化されています。
開発チームは、OWASP Top 10を中心とした安全なコーディング技術とベストプラクティスを採用しています。開発者は、入社時および毎年、安全なWebアプリケーション開発のための公式トレーニングを受講しています。
開発環境、テスト環境、実稼働環境は分離されています。すべての変更はピアレビューを受け、パフォーマンス、監査、フォレンジックの目的で、運用環境に展開する前にログを記録します。
Centric Softwareは、世界で高く認められた情報セキュリティフレームワークに沿ったガバナンス・リスク管理・コンプライアンスを実践しており、SOC 3認証を取得して、GDPRにも準拠しています。
また、ISO27001のフレームワークに則った社内の情報セキュリティマネジメントシステム(ISMS)を使用することで、情報セキュリティのビジネスプロセスを定型化し、向上しています。
Centric Softwareは、少なくとも年1回のペースで情報セキュリティポリシーを整備し、定期的なレビューと更新を行います。社員はポリシーを認識し、職務に応じた定期的なトレーニングを受ける義務があります。トレーニングは、Centric Softwareに適用されるすべての仕様と規制を遵守するよう設計されています。
Centric Softwareは、情報および資産の識別、分類、保持、廃棄を含む資産管理ポリシーを整備しています。会社支給のデバイスには、ハードディスクの完全な暗号化、最新のアンチウイルスソフトウェア、エンドポイント侵入防止・検知システムが装備されています。社内およびプロダクションネットワークへのアクセスが許可されているのは、会社支給のデバイスのみです。
Centric Softwareは、初動対応、調査、お客様や個人への通知(必要があれば)、公開コミュニケーション、修復を含むセキュリティ事故対応プロセスを整備しています。このプロセスは定期的に見直され、2年に1度テストを受けます。
最善の努力を尽くしても、インターネット上の送信方法および電子的な保存方法は100%安全とは言い切れず、絶対的な安全性を保証することはできません。しかし、Centric Softwareがセキュリティ侵害を検知した場合は、法律またはその他の要求に従って、影響を受けるユーザーに通知し、適切な保護措置を講じます。当社の違反通知手続きは、適用される国レベルの法律、州法、連邦法および規制に基づいた義務に適合しています。
バックアップは暗号化し、機密性と完全性を保持するためにセカンダリ環境に保管されています。Centric Softwareは、復旧時間目標(RTO)と復旧地点目標(RPO)を満たすために、ダウンタイムとデータ損失を最小限に抑えるバックアップ戦略を採用しています。事業継続計画(BCP)は定期的にテストして更新され、災害発生時の対策として効果を発揮しています。
アプリケーションとインフラストラクチャシステムのログ情報は、集中管理されたログリポジトリに保存し、トラブルシューティングやセキュリティのレビュー、権限を与えられたCentric Softwareの担当者による分析に利用します。ログは規制要件に従って保存されます。
Centric Softwareは、すべてのソフトウェアのリリースに際して、以下のようなセキュリティ上のリリース基準を採用しています。
Centric PLM
