Smartsheetセキュリティ慣行

英語版の優越

このセキュリティ慣行の英語版以外の翻訳版は,あくまで便宜のために提供されるものです。現地の法律で禁止されていない限り,翻訳版に曖昧な部分や矛盾がある場合には,英語版の規定が優先します。

内容は,お客様がオンラインサービスを利用する際に,ご自分のデータがどのように保護され,安全が確保されているかについて知る必要があることを理解しています。本内容セキュリティ慣行は,情報セキュリティの脅威からオンラインサービスおよびお客様コンテンツの安全,完全性,および秘匿性を保護するよう策定され,内容が適用する物理的,組織的および技術的対策を含む業務慣行および安全対策について記載するものです。

1.一般条項。

1.1情報セキュリティプログラム。Smartsheetは,書面による包括的な情報セキュリティプログラムを維持するものとします。これには,ポリシー,基準書,手順書をはじめ,お客様コンテンツの処理およびセキュリティに適用される,かつサービスの提供に関連してお客様コンテンツを処理するまたは安全を確保するために使用される内容のシステムまたはネットワーク(以下”Smartsheet情報システムといいます)に適用される,基準,手段,方法,および措置を定めた関連文書が含まれます。

1.2秘密保持,トレ,ニング。Smartsheetは,Smartsheet社員に対し以下を確実に行います。(一)内容社員は,お客様コンテンツに関し,本契約の規定と実質的に同程度で守るべき秘密保持義務に拘束され,および(b)お客様コンテンツの処理に関連する適切なトレーニングを受講します。

1.3定義

  • 1.3.1”本契約“とは,お客様によるオンラ。”
  • 1.3.2”お客様“とは,注文を締結または承諾する,またはサービスの無料トライアルアクセスおよび利用を登録しかつ本契約を締結している個人または事業体を意味します。
  • 1.3.3”お客様コンテン“とは,お客様またはユーザーがオンラインでサービスにアップロードまたは送信し,かつお客様に代わって内容が処理する,あらゆるデータ,添付ファイル,テキスト,画像,レポート,個人情報,またはその他のコンテンツを意味します。
  • 1.3.4”処理“とは,自動化された方法によるか否かを問わず,お客様コンテンツについて実行する業務または一連の業務を意味し,これには収集,記録,整理,構造化,保管,修正,変更,検索,参照,使用,調整,制限,消去,破棄,または送信による開示,頒布,またはその他の方法で利用可能にすることが含まれます。
  • 1.3.5”セキュリティ侵害“とは,偶発的または違法な破壊,喪失,改ざん,不正な開示,またはお客様コンテンツへのアクセスに起因して生じたセキュリティ侵害を意味します。
  • 1.3.6”サビス“とは,サブスクリプションサービス,およびサブスクリプションサービスで使用するために内容が提供または管理するオンラインでのその他のサービスまたはアプリケーションを意味します。
  • 1.3.7”Smartsheet社員とは,お客様コンテンを処理することをSmartsheetが認めた個人を意味します。
  • 1.3.8”サブスクリプションサ,ビス“とは,内容が提供または管理するサブスクリプションベースのオンラインサービスおよびアプリケーションを意味します。
  • 就“ユザ“とは,本契約の条件に基づいてオンラインサービスにアクセスし,これを利用いただくことをお客様または別のユーザーが承認したまたは招待した個人を意味します。

2.セキュリティ管理。内容は,当社の情報セキュリティプログラムに従って,(a)内容が処理するお客様コンテンツの安全性,完全性および機密性を確保し,および(b)お客様コンテンツを既知のまたは合理的に予想される脅威または危険(お客様コンテンツの安全または完全性に対する脅威または危険,偶発的な損失,改ざん,開示,およびその他違法な形式の処理を含みます)から保護するよう策定された,適切な物理的,組織的,および技術的な管理を実施するものとします。上記を制限することなく,Smartsheetは,必要に応じて次の管理を適用します。

2.1ファ▪▪アウォ▪▪ル。内容は,インターネット経由でアクセス可能なデータを保護するためにファイアウォールをインストールし,維持します。

2.2更新。内容は,内容情報システムを最新のアップグレード,アップデート,バグ修正,新バージョン,およびその他の変更に対応した最新状態に保つためのプログラムおよびルーチンを維持します。

2.3マルウェア対策。内容は,マルウェア対策ソフトウェアを実装および使用し,かつこれを最新状態に保ちます。内容は、マルウェア対策ソフトウェアを使用して、すべてのウイルス、スパイウェア、および検出されたまたは合理的に検出されるべきその他の悪意あるコードによる脅威を低減します。

2.4テスト。内容は,セキュリティシステム,プロセス,および管理事項を定期的にテストし,本セキュリティ慣行の要件を満たしていることを確認します。

2.5アクセス制御。内容は,以下を遵守しつつ,内容情報システムが処理するお客様コンテンツの安全を確保します。

  • 2.5.1内容は,内容情報システムにアクセスできる内容社員に一意のIDを割り当てます。
  • 2.5.2内容は,内容情報システムへのアクセスを,本契約で許可されている特定の義務を遂行するために必要な内容社員のみに制限します。
  • 2.5.3内容は,内容情報システムにアクセスできる内容社員およびサービスのリストを定期的に(少なくとも90日に1回)確認し,アクセスが不要になったアカウントを削除します。
  • 2.5.4内容は,メーカー提供の初期値をいかなるオペレーティングシステム,ソフトウェア,または内容情報システムにおいてもそのシステムパスワードとして使用せず,ベストプラクティス(以下で説明)と同等またはそれ以上の強度のシステム強制の”強力なパスワード”の使用を必須とし,およびすべてのパスワードおよびアクセス認証を秘密に保ち,内容社員間で共有させません。
  • 2.5.5 Smartsheetの本番環境パスワ,ドは,最低限次のとおりとします。(1) 8文字以上,(2)過去に使用したパスワード,ユーザーのログイン名,または一般的な名称と一致しない,(3)アカウント侵害が疑われる,または推測される場合は必ず変更する,および(4)定期的に変更する。
  • 2.5.6内容は,間違ったパスワード入力が特定の期間に所定の回数を超えて試行された場合,お客様コンテンツを処理するアカウントを無効化し,そのアカウントを強制的にロックします。
  • 2.5.7内容は,内容情報システムにアクセスできる内容社員が使用するすべてのアカウントおよびユーザー認証のログデータを維持し,悪意ある動作または不正アクセスの兆候がないか定期的にアクセスログを確認します。

2.6ポリシ。内容は,内容社員を対象に,ログポリシー違反を検知する方法を含め本セキュリティ慣行に定める基準を満たす,適切な情報セキュリティポシリー,秘密保持ポリシー,および利用規約ポリシーを維持し,実施します。

2.7開発。Smartsheet情報システムは,開発環境およびテスト環境からそれぞれ隔絶されます。

2.8削除。内容は,少なくとも米国国立標準技術研究所(国家标准与技术研究院(NIST))のSP 800 - 88リビジョン1の推奨事項(または業界で広く使用されている後継規格)に準拠した手順を使用して,媒体を廃棄する前にお客様コンテンツを回復不能なものにします。

2.9暗号化。内容は,承認されたアルゴリズム,鍵長要件,およびNISTの推奨事項を含め,その時点で最新の業界標準と一致するかそれ以上の水準の鍵管理プロセスを義務付ける暗号化標準を適用し,SANS研究所,NIST,または中心网络安全(CIS)の推奨事項を含め,その時点で最新の業界標準の手法に一致する要塞化要件および構成要件を適用します。内容は,これらの標準に従いオンラインサービス内で保存されているお客様コンテンツを暗号化し,お客様コンテンツの転送では,オンラインサービスへの暗号化された接続のみを許可します。

2.10リモ,トアクセス。内容は,当社の保護された全社環境または本番環境の外部から行われる内容情報システムへの,または内容の全社または開発ワークステーションネットワークへのアクセスには,VPNや多要素認証などの適切な接続制御が確実に要求されるものとします。

3.第三者の使用。

3.1一般条項。本契約に基づき内容が起用する第三者は,本セキュリティ慣行で適用および要求される安全水準と実質的に類似した安全水準を(最低でも)維持するものとします。

3.2デ,タホスティング。内容は,内容がお客様コンテンツを処理するために起用する第三者のホスティングプロバイダー(以下”サビスとしてのンフラストラクチャ“または”IaaSといいます)が,次の要件を満たすよう確実にします。

  • 3.2.1之上基本要件。内容は,IaaSプロバイダーが,少なくとも(a)本セキュリティ慣行第1.2条の定めに従い適切な物理的セキュリティおよびアクセス制御を維持し,(b)専門的なHVACおよび環境制御を使用し,(c)専門的なネットワークまたは配線環境を使用し,(d)専門的な火災検知機能または消火機能を使用し,および(e)包括的な事業継続計画を維持するよう確実にします。
  • 3.2.2年次監査、評価。年次で個別リスク評価および独立監査を実施します。この評価および監査のレポ,トは,Smartsheetに提出されます。また,法律で義務付けられる場合は,お客様に提供されます。ただし,内容は,IaaSのセキュリティ慣行に関係のないすべての商業的および秘密情報または規定を削除する場合があります。さらに内容は,重要なIaaSの年次レビューおよび評価を実施して,少なくともセキュリティ対策が本セキュリティ慣行の要件を満たしていることを検証するものとします。
  • 3.2.3拡張要件。高可用性の冗長(N + 1)データセンターの要件および機能を整備して,複数のコンポーネントがそれぞれ少なくとも1つの独立したバックアップコンポーネントを備えることにより,システム障害が発生した場合でもシステム機能が許容可能な稼働水準で継続するようにします。

4.システムの可用性。内容は,災害発生後にサブスクリプションサービスの可用性を回復するように設計された災害復旧プログラムを維持します(または,第三者が管理するシステムについては,当該第三者に維持させることを確実にします)。災害復旧プログラムには,少なくとも次の要素が含まれます。(一)喪失または破損したデータを復旧させる目的でお客様コンテンツの保存用コピーを定期的にプログラム(ユーザーの指示ではなく)で作成する手順の定期的検証,(b)内容の重要な情報システムをすべて記載し,少なくとも年次で更新される棚卸一覧,(c)災害復旧プログラムの年次の見直しおよび更新,および(d)災害復旧手順および当該手順に記載されるサービスの復旧可能性を検証することを目的とした災害復旧プログラムの年次テスト。

5.セキュリティ侵害。

5.1手順

  • 5.1.1内容は,セキュリティ侵害の検知について認識した場合,不当な遅滞なく書面でお客様に通知します。
  • 5.1.2内容は,内容のセキュリティインシデントポリシーおよび手順(以下”侵害管理といいます)に従い,セキュリティ侵害を調査し,必要に応じて低減または是正を行います。
  • 5.1.3内容の法的義務に従い,内容は,インシデントの性質,開示された特定の情報(わかっている場合),関連する低減策または是正策を含め,侵害管理の結果内容に入手可能となる情報(以下”侵害情報“といいます)をお客様に提供し,セキュリティ侵害の結果生じる,適用法に基づくお客様の義務をお客様が遵守できるようにします。
  • 5.1.4お客様がインシデント情報に加えてセキュリティ侵害に関連する情報を必要とする場合は,お客様の費用負担および書面での要求により,お客様が自ら追加情報にアクセスできない範囲において,内容は,当該追加情報の収集および獲得を図るお客様の要求に従い,合理的な協力を提供します。

5.2失敗に終わった試み。失敗に終わった攻撃または侵入は,本第5条“失敗に終わった攻撃または侵入“におけるセキュリティ侵害ではありません。“失敗に終わった攻撃または侵入“は,お客様コンテンツへの不正なまたは違法なアクセスをもたらすものではありません。この事例として,平やファイアウォールまたはエッジサーバーを攻撃するその他のブロードキャスト攻撃,ポートスキャン,ログオン試行の失敗,サービス拒否攻撃,パケットスニッフィング(またはIPアドレスまたはTCPヘッダー,UDPヘッダーを超えるアクセスをもたらさないトラフィックデータへのその他の不正アクセス),または類似のインシデントが含まれる場合がありますが,これらに限定されません。

5.3お客様またはユ,ザ,の関与。お客様の構成設定の結果生じるお客様コンテンツへの不正なまたは違法なアクセス,ユーザーのログイン認証の侵害,またはお客様またはユーザーによるお客様コンテンツの意図的なまたは不注意による共有または開示は,セキュリティ侵害ではありません。

5.4通知。もしセキュリティ侵害が生じ,これについて通知が行われる場合は,内容が選択した合理的な手段(電子メールを含む)により,1名または複数名のお客様のSysAdminユーザーに通知されるものとします。お客様は,オンラ。

5.5免責事項。本第5条におけるセキュリティ侵害について報告または対応する内容の義務は,セキュリティ侵害に関する内容の過失または責任を内容が認めるものではありません。

6.監査および報告。

6.1監視。内容は,さまざまな監査,リスク評価,およびその他の監視活動を実施することにより,継続的に情報セキュリティプログラムの有効性を監視して,セキュリティ対策とセキュリティ管理の有効性を確保します。

6.2監査レポ,ト。内容は,外部監査人を使用して,サブスクリプションサービスを含め特定のサービスのセキュリティ対策とセキュリティ管理の適切性を検証します。この監査は,(a)前回の測定期間終了後の測定期間全体に関するテストが含まれ,(b) AICPA SOC2基準,またはAICPA SOC2と実質的に同等のその他の代替基準に従って実施され,(c)内容の選択および費用による独立した第三者のセキュリティ専門家によって実施され,および(d)内容の秘密情報となるSOC2レポート(以下”監査レポ,トといいます)が作成されます。監査レポ,トは、本契約または相互に合意した秘密保持契約の秘密保持義務に服することを条件として、書面による要求に応じて年に1回を上限としてお客様に提供されます。疑義を避けるために明記すると、各監査レポートでは、その監査レポートが発行された時点で存在していたサービスの記載に限られ、その後にリリースされたサービスについては、監査レポートの対象となる場合には、次回の年次監査の監査レポートに記載されます。

6.3侵入テスト。内容は,外部のセキュリティ専門家を使用して,サブスクリプションサービスを含む特定のオンラインサービスの侵入テストを実施します。このテストは(一)少なくとも年次で実施され,(b)内容の選択および費用による独立した第三者のセキュリティ専門家によって実施され,および(c)内容の秘密情報となる侵入テストレポートが作成されます。侵入テストレポートは,本契約または相互に合意した秘密保持契約の秘密保持義務に服することを条件として,書面による要求に応じて年に1回を上限としてお客様に提供されます。

6.4お客様側の監査。お客様が適用法を遵守するための情報を,監査レポートおよび侵入レポートの他にも法的に必要とする場合は,お客様の費用負担および書面での要求により,お客様が自ら追加情報にアクセスできない範囲において,内容は,内容によるお客様コンテンツの処理に関してお客様が実施する第三者監査人による必須監査(以下”お客様側の監査といいます)にいて,これを許可し,協力を行います。ただし,以下が条件となります。

  • 6.4.1.お客様側の監査の監査人,監査予定日,および予定範囲を記載した合理的な事前通知を内容に提供すること。
  • 6.4.2 Smartsheetがお客様への通知によって当該監査人を承認すること。この承認は,不当に差し控えないこととする。
  • 6.4.3お客様側の監査の実施中,内容の敷地建物,設備,または業務に危害,傷害,または混乱を引き起こさないようにお客様および監査人が行動すること。
  • 6.4.4.お客様は,監督当局によって別途要求されない限り,お客様側の監査を各暦年で1回のみ実施すること

最終更新日:2021年10月5日