アクセスコントロールのクラウドアプリケーション
技術的対策および組織的対策
1. 範囲
以下に定める技術的対策および組織的対策は、SALTOのアクセスコントロールのクラウドプラットフォームに適用し、適用するデータ処理契約において、本技術的対策および組織的対策に言及しています。
SALTOは、 いつでも通知なしで当該対策を変更し、最新の状態にする権利を留保しますが、同等かそれ以上の安全レベルを維持する場合に限ります。
2. 技術的対策および組織的対策一覧
以下で、SALTOが適用する安全対策を確認してください。
- 安全ポリシー:SALTOは、安全ポリシーおよび基準を実施し、組織全体に必須とします。安全ポリシーは、リスク曝露を軽減し、プラットフォームおよびデータの安全を維持するために必要な場合は、定期的に見直し、最新のものにします。
- 安全啓発:SALTOは、組織全体で定期的な啓 発活動を実施し、ユーザーのリスクを防止し、軽減します。
- 物理的安全:SALTOは、適切なアクセスコントロールシステム(スマートドアロックなど)を使用して、権限を有する従業員にアクセスを限定し、施設を保護します。さらに、データセンターなどの保安領域は、環境上の脅威に対する追加の保護対策を有しています。保護対策(空調、防火など)は、適切な機能を保護するために、定期的に保全措置を実施します。さらに、SALTOは、信頼できる第三者コロケーションプロバイダーを使用しますが、同プロバイダーも、物理的安全管理を組み込み、業界標準を遵守します。
- セキュリティインシデント:SALTOは、インシデント対応計画を維持しますが、これには、個人データ侵害管理を含みます。
- アクセスコントロール: SALTOは、適切なアクセスコントロールを実施して、アプリケーションおよびシステムに対するアクセスを確保しますが、これは、最小権限の原則および知る必要の原則に従い、一般に制限しているものです。すべての従業員は、固有の識別子(ユーザーID)でSALTOのシステムにアクセスします。SALTOは、従業員が退社した場合は、アクセス権を取り消します。
- ネットワークセキュリティ:SALTOは、プラットフォームおよびシステムに接続するために、暗号化した認証済みの接続を採用し、一般には、ファイアウォール、VPN、認証機構などの安全機能を使用します。
- 安全なワークステーション:SALTOは、エンドユーザーのデバイスに適切な保護を実装します。例えば、高度なマルウェア保護、ハードディスクの暗号化、適切なパッチレベルなどです。
- 設計によるプライバシーおよび安全:SALTOは、新しいシステムの採用または既存のシステムの強化の際に、設計によるプライバシーおよび安全の原則を適用します。
- 脆弱性管理:SALTOは、安全の見直しを定期的に実施し、識別した脆弱性を軽減して、プラットフォームを安全に維持できるようにします。
- 回復力:SALTOは、バックアップ計画および災害復旧計画を採用して、困難な状況に備えます。
- 保証:SALTOは、安全ポリシーおよ び基準を定期的に見直して、確実に遵守します。