Cloud Security Policy | TimeTec
クラウドセキュリティポリシー
 
アカデミー
TimeTecは、セキュリティ上の問題に重大な注意を払って、すべての報告された脆弱性を調査します。このページには、当社のクラウドサービスの面で潜在的な脆弱性に対処するためのTimeTecのプラクティスについて説明します。
ISO 27001

ISO 27001 は、ISO 27002 のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスと包括的なセキュリティ制御を規定したセキュリティ管理標準です。この認証の基礎は強固なセキュリティプログラムの開発と実装であり、これには、TimeTec がどのようにしてセキュリティを全体的で包括的な方法で永続的に管理するかを定義する、情報セキュリティ管理システム (ISMS) の開発と実装が含まれます。このように広く認められている国際セキュリティ標準では、次のことが指定されています。
体系的に考慮し、会社の脅威と脆弱性の影響を取って、私たちの情報セキュリティ上のリスクを評価します。
   
一連の総合的な情報セキュリティ制御や他の形式のリスク管理を設計および実装し、企業およびアーキテクチャーのセキュリティリスクに対処する。
   
包括的な管理プロセスを採用し、継続的に情報セキュリティ制御が情報セキュリティのニーズを満たすようにする。


当社は、2018年3月8日にISO / IEC情報セキュリティ管理システム(ISMS)を取得しました。
侵入テスト

TimeTecは、外部のCyber​​-Securityスペシャリストと協力し、TimeTec Cloud Systemの実際のセキュリティとコンプライアンスの問題に焦点を当てた侵入テスト( Web アプリケーションモバイルアプリケーション用のBlack Box&White Box)を実施しています。
ペネトレーションテスト、またはペンテスト、安全に脆弱性を悪用しようとすることで、ITインフラストラクチャのセキュリティを評価する試みです。これらの脆弱性は、オペレーティングシステム、サービスおよびアプリケーションの欠陥、不適切な構成、または危険なエンドユーザーの行動で存在することができます。このような評価はまた、セキュリティポリシーに守備のメカニズムの有効性、ならびに、エンドユーザーの遵守を検証するのに有用です。侵入テストは防御が十分であった、とその防御(もしあれば)テストが敗北した場合、システムが、攻撃に対して脆弱であるかどうかを判断するのに役立ちます。

当社は、脆弱性管理を改善するためのソリューションに向けて、侵入テストを毎年実施しています。最適なレベルのセキュリティを維持するために、特定されたすべての脆弱性を軽減することをお約束します。これらのテストの結果は極秘であり、テストレポートを入手するためのあらゆる要求は私達提出されなければなりませ 。 NDAへの署名を伴う報告の発表は厳密に私たちの裁量に任されています。

 Download NDA
使用TimeTecでの2要素認証(2FA)

セキュリティを強化するため、我々はあなたがあなたのTimeTecアカウントを保護するために2要素認証(2FA)を設定することをお勧めします。それが承認された認証デバイスから固有の認証コードを入力するユーザーを必要とするため2FAは、余分なセキュリティを追加します。あなたのTimeTecアカウントのセキュリティレベルを強化するためにGoogle認証 - ユーザーの皆様の心の安らぎを提供するために努力し、私たちは有名なサードパーティのプロバイダと連携します。アカウントのパスワードに加えて、Googleの認証システムモバイルアプリによって生成されたコード - にサインインすると、2つのことが必要になりますので、この2要素認証機能は、間違いなくセキュリティが向上します。
あなたは2FAに関する質問を持っている-に行くhttp://www.timetecta.com/2step
HTTPS:

私たちのTimeTecクラウドプラットフォームの中と外のすべての通信はHTTPSを介して行われます。 「(HTTPS)セキュアハイパーテキスト転送プロトコルは、インターネット上で、特に広い展開とコンピュータネットワークを介して安全な通信のための通信プロトコルです。」
アマゾンAWS:

すべてのデータを確保するための努力で、我々は、サーバーやクラウドコンピューティング、アマゾンAWSのPaaSで最高の名前の一つ、「サービスとしてのプラットフォーム」を使用している安全に保管されています。厳密に言えば、我々は次のセキュリティサービスと私たちのデータを保護します。
TimeTecは、ISO 27001およびPCI DSS L1認定されているAWSサービスを利用します。

• Amazon Webサービスの弾性計算クラウド(EC2)
• Amazon Webサービスシンプルなストレージサービス(S3)
• Amazon Webサービスのリレーショナルデータベースサービス(RDS)
• Amazon Webサービスの弾性負荷分散(ELB)
• Amazon Webサービスのアイデンティティおよびアクセス管理(IAM)
• Amazon Webサービス弾性ブロックストレージ(EBS)
• Amazon Webサービスの簡単なメールサービス(SES)
• Amazon WebサービスCloudFrontを
• Amazon Webサービスのルート53
• Amazon WebサービスCloudWatchの+アマゾンシンプルな通知サービス(SNS)
• Amazon WebサービスVPC
• Amazon Webサービスシールド標準は、DDoS攻撃を防御します
脆弱性レポート

脆弱性の疑いの報告
あなたはTimeTecリソースが不審な活動のために使用されている疑いがある場合、あなたは私達にそれを報告することができ、ここで。我々は効果的にあなたのレポートに対応できるよう、私たちは脆弱性の性質および重症度を理解するうえで有用であろう任意の支持材を提供してください。

あなたは、このプロセスのようにTimeTecと共有するすべての情報はTimeTecチーム内の機密保持され、あなたの許可を得ることなく第三者と共有されることはありません。

TimeTecが提出されたレポートを確認します、我々は、レポートの受信を確認、あなたに応答し、プロセスの次のステップを概説します。
TimeTecによる評価
TimeTecは、レポートを受信すると、報告された脆弱性を検証していきます。追加情報は、問題を検証したりシミュレートするために必要とされる場合、TimeTecはそれを取得するために動作します。初期調査が完了すると、結果は解像度と公開のための計画と一緒にあなたに配信されます。
TimeTec評価プロセスに関する注意すること:
1. サードパーティ製品-脆弱性がサードパーティの製品に影響を与えることが判明した場合、TimeTecが当事者に通知します。私たちはあなたと第三者との間でコーディネートしていきます。あなたのアイデンティティはあなたの許可なしに第三者に開示することはありません。
   
2. 非脆弱性の確認-問題を検証することができない、またはTimeTec製品に欠陥があることが判明していない場合、私たちはあなたと情報を共有します。
   
  TimeTecは、我々が調査および/またはあなたの報告されたセキュリティ上の問題を軽減するようにあなたが私たちの進捗状況の通知を維持したいと考えています。あなたは報告された脆弱性の受領を確認し、24時間以内にあなたの最初の接触に非自動応答を受信します。あなたは、少なくとも毎に5営業日弊社からの進行状況の更新を受信します。
公示
該当する場合は、TimeTecはあなたと検証の脆弱性の公開通知を調整します。私たちは、それぞれの公開の開示を同時に掲載することを好むだろう。

お客様を保護するために、TimeTecは、我々が研究しているまでは、公共の場での潜在的な脆弱性に関する情報を投稿したり、共有しないようにご協力を要求に応答し、必要に応じて報告された脆弱性と知らさ顧客を取り上げました。

また、丁重に掲示または当社の顧客に属するデータを共有控えるようにあなたからお願いします。有効な報告された脆弱性に対処することがかなり長いプロセスであり、それは、脆弱性の深刻度および影響を受けるシステムによって異なります。
セキュリティ問題の報告

あなたはセキュリティ研究者だとあなたがTimeTecのサービスのいずれかにセキュリティ上の問題を発見したと思われる場合のために、調査結果をメールしてくださいsecurity@timeteccloud.com
あなたはセキュリティ上の脆弱性を報告していない場合、我々はあなたのメッセージに応答できません。以下はあなたの問題を解決することがあります。
 
 1. 、未知の不審または不正な購入、注文、またはクレジットカード決済、疑わしいパスワードの変更については、アカウントの変更、または潜在的な詐欺は、お問い合わせくださいsales@timeteccloud.comを
   
 2. 他のTimeTecの問題については、お問い合わせくださいsupport@timeteccloud.comを