データセキュリティ
クラウドベースのサービスにおけるプライバシーと構成
  PDFをダウンロード
はじめに:クラウドにつながるすべての道

世界は現在、ほとんどすべての業界で技術破壊の波に支えており、そして、そのすべての中心では、世界が現在使用している既存のテクノロジースタックを置き換えるクラウド統合ソリューションがあります。このクラウドコンピューティングとスマートなモビリティ期間の変換と革新は、様々な方向から高速で進んでおり、これまで以上に発生し続いています。クラウドのビジネスと環境では、組織がクラウドソリューションを導入しても思考したり、反映したり、調整したりする時間がないための生存率を維持するには、事前に戦略を立て、顧客関与に真剣に取組み、必要があります。ミレニアムの初めに、テクノロジー企業は10年を惜しみませんでしたが、今は変化の速度はわずか数ヶ月に短縮されています。クラウド・ソリューションのグロバル価値は3.5兆ドルを超えると推定されており、技術企業は技術移転に伴う脆弱性や脅威の累乗によるセキュリティ問題の巨大な障害に挑戦されています。そのため、クラウドプロバイダーは、ビジネスの継続性を保証するために、セキュリティ問題が正確かつ適切に解決されていることを確認するための実行可能な戦略が必要です。
TimeTec は、世界中の様々な業界向けのセキュリティと人員管理のためのクラウドベースのソリューションを提供してきた有名なグローバルブランドです。クラウドベースシステム開発社であるTimeTecは、顧客の信頼とブランドへの信頼につながることを維持するために、次のすべての要件を主要目的で満たしました。


クラウド開発社が提供しなければならない19つのコアセキュリティの懸念

顧客の信頼は、クラウドビジネスを構成し維持する上で最も重要で、プロバイダーは提供されているサービスを通じて顧客から受け取ったデータを含み、すべてのソリューションにわたって顧客のデータ保護を担う強力なセキュリティとプライバシープログラムを提供することによって、クラウドビジネスの達成と維持に専念する必要があります。
  1. 構成とデータ分離
クラウド内で運営され、提供されるサービスは、顧客データのアクセスが会社によって割り当てられた承認に基づいてのみ表示されることができるマルチテナント構成に属していなければなりません。ロール特権に基づいて情報にアクセスすることができるユニークな従業員識別を通じて、効果的な論理データ分離を提供します。データ分離は、異なる機能、すなわちテストおよび生産のための別々の環境を提供することによって実行しなければなりません。
  2.処理制御
これにより、顧客に指示があったときにのみデータが処理され、処理活動のチェーン全体を通じてデータを処理し、実装された措置の遵守が監査の対象となることが保証されます。
  3.監査と認証
少なくとも年に一度、提供されたすべてのサービスは、インフラストラクチャの脆弱性の評価とアプリのセキュリティの評価を含む社内の人により、セキュリティの評価を経なければなりません。
  4.セキュリティログ
オペレーティングシステムを含むオファードサービス、それぞれのアプリケーションシステムログ機能へのログ情報またはその中央システムログサーバー(ネットワークシステム用)に提供する際に使用されるすべてのシステムは、セキュリティレビューと分析を可能にするために保管され、システムログとアプリケーションログは最低60日間保管します。
  5.セキュリティ制御
インターネットブラウザまたはモバイルアプリを通じて提供されているサービスには、構成可能な様々なセキュリティ機能が必要です。これらの制御は、次の項目が含まれますが、これらに限られません。
 
•  活動のもとを個人に調べ戻すことができるように、一意のユーザー名標としてのユーザーID。
•  reCaptchaコントロールを使用して、複数で連続している失敗したログイン試行後にアクセスを試みる。
•  一時の無活動後にユーザーのセッションを中止します。
•  パスワードの長さを制御します。
•  パスワードの複雑さの要件に合わせます。
  6.セキュリティ方針と手順
オファリングされたサービスは、セキュリティを強化するために、以下のポリシーおよび手順に沿って運用する必要があります。
 
•  ユーザーのパスワードは、暗号化されたハッシュ形式を使用して保持され、暗号化されずに送信されません。
•  日付、時間、実行されたURLまたはエンティティIDの操作、実行された操作(閲覧、編集など)およびソースIPアドレスを含むユーザーアクセスログエントリが維持されます。顧客またはISPがNAT(ネットワークアドレス変換)またはPAT(ポートアドレス変換)を使用する場合は、送信元IPアドレスが使用できない場合があります。
•  ログは、改ざんを防止するため、安全な集中ホストに保存されます。
•  パスワードは記録されません。
  7.侵入検知
提供されたサービスは、そのタスクに割り当てられた開発者または第三者によるネットワークベースの侵入検知メカニズムを使用して、不正侵入を監視する必要があります。ユーザのウェブブラウザ(例えば、デバイスタイプ、画面解像度、時間帯、オペレーティングシステムバージョン、ブラウザのタイプとバージョン、システムフォント、インストールされたブラウザプラグイン、可能なMIMEタイプなど)によって収集されたデータは、不正な認証を防止し、提供サービスが適切に機能することを保証するためのセキュリティ目的です。
  8.事件管理
プロバイダは、セキュリティ事件管理の方針と手順を維持する必要があり、影響を受けた顧客に、開発者または法的に認められている範囲で認識されたエージェントによって、それぞれの顧客データの不正な開示が過度に遅れることなく通知します。
  9.ユーザー認証
インターネットブラウザー、モバイルアプリまたはAPIを介したオファードサービスへのすべてのアクセスには、送信中にHTTPS経由で暗号化された有効なユーザーIDとパスワードの組み合わせが必要です。認証が成功した後、セッションの状態を保存および追跡するために、ランダムなセッションIDが生成され、ユーザーのブラウザに保存されます。
  10.物理的なセキュリティ
サービスを提供するための使用される製造データセンターが外部サービスによって処理される場合、以下のようなセキュリティプロセスの詳細を入手してください:AWS Security Whitepaper.pdf
  11.信頼性とバックアップ
すべてのネットワーク構成、ロードバランサ、ウェブサーバーとアプリケーションサーバーは、冗長構成で構成されています。対象となるサービスに提出されたすべての顧客データは、ポイント・イン・タイムの回復機能で自動バックアップされたプライマリデータベースサーバに保存されます。 すべてのDaily AMIバックアップは、少なくとも2日間で保持され、毎週AMIバックアップは少なくとも1ヶ月間で保持されます。
  12.災害復興
オファードサービスの運用システムは、重要なデータやサービスのバックアップを提供する多層的な災害復興計画によって保護されなければなりません。可能な限り、短時間でビジネスクリティカルなシステムをオンラインに戻すための包括的な復旧プロセスシステムが存在します。データベース、セキュリティ、システム管理、ネットワーク構成とデータの復旧処理は、サービスの中断後にプロセスを利用可能にするための人員のロードマップを提供します。
  13.ウイルス
オファリングされたサービスは、顧客が提供サービスにアップロードした添付ファイルやその他のデータに含まれる可能性のあるウイルスをスキャンしません。アップロードされた添付ファイルは、提供サービスでは実行されないため、ウイルスを含むことにより、オンラインで提供されるサービスに損害を与えることはありません。
  14.データ暗号化
提供サービスは、128ビットTLS証明書と2048ビットRSA公開鍵を含め、お客様のネットワークと対象となるサービスとの間の伝送中に顧客データと通信を保護するために、業界で認められた暗号化製品を使用する必要があります。
  15.顧客データの返却
オファードサービスに提出された顧客データは、要求に応じてお客様に返却します。
  16.顧客データの削除
オファードサービスの終了後、顧客はオファードサービスに提出した顧客データの削除を要求することができ、この処理は適用される法的要件の対象となります。オファードサービスのインフラストラクチャに保存された顧客データは、それに応じて削除されます。
  17.機密データ
重要:以下の種類の機密データはOfferedServicesに提出することはできません。金融情報(クレジットカードやデビットカード番号、関連するセキュリティコードやパスワード、銀行口座番号など)。個人の身体的または精神的健康に関する情報。ヘルスケアの提供または支払いに関する情報。明確にするために、前述の制限事項は、金融資格を確認し、顧客からの支払いを収集する目的で開発者に提供される財務情報には適用されません。
  18.分析
開発者は、セキュリティの目的でオファードサービスの使用状況を追跡し分析し、オファードサービスの使用におけるオファードサービスとユーザー経験の両方を向上させることができます。

開発者は、そのような追跡、分析と改善において、開発者を支援する目的で、匿名の使用データをそのサービスプロバイダと共有することができます。さらに、開発者は、通常の事業運営の過程で、そのような匿名の使用データを集計することができます;例えば、私たちはサービスの一般的な使用に関する傾向を示すために、情報を公に共有することができます。

  19.他のサービスとの統合または相互運用
開発者のオファードサービスは、開発者または第三者が提供する他のサービスと統合または相互運用することができます。開発者は、ユーザーがこのドキュメントの範囲外である製品について学び、コミュニティに参加し、第三者のアプリに接続し、パイロット、テスト、評価に参加できる多くのプラットフォームと機能を提供することもできます。そのようなプラットフォームや機能に参加するユーザーとの通信は、プライバシーステートメントに関する声明と一貫していなければなりません。さらに、開発者は、オファードサービスに関するトランザクション情報を提供するために、ユーザーに連絡することができます;例えば、アカウントマネージャーまたはシステム生成の電子メールメッセージを介して送信されます。開発者は、顧客とユーザーに、そのようなメッセージの受信を無効にするか、または受信を禁止する機能を提案する必要があります。
TimeTecのクラウドベースソリューションのチェックアウトをXXXへ
www.timeteccloud.com