クラウドセキュリティポリシー

株式会社コードタクト（以下「当社」といいます。）は、クラウドサービスの提供に必要なセキュリティ水準を維持向上させるため、ISMSで定める情報セキュリティポリシーに加え、以下のクラウドセキュリティポリシーを策定し、取り組みを実施します。

1. クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項

お客さまからの情報セキュリティ要求事項及び、当社の情報セキュリティに関わる方針を適用し、クラウドサービスの設計及び実装を行います。

2. 認可された内部関係者からのリスク

情報セキュリティリスクアセスメントで特定されたクラウドサービスに関連するリスクに対し管理策を実施します。内部関係者には、ルールを遵守するように教育を行います。

3. マルチテナント及びクラウドサービスカスタマの隔離

クラウドサービスを複数のお客さまが利用する場合は、お客さまごとに論理的に隔離し提供します。

4. 当社の従業員によるお客さまの情報資産へのアクセス及び保護

当社の利用規約に記載しているサービス提供内容の履行に必要な場合を除き、お客さまの事前許可なくお客さまの情報資産にアクセスすることはありません。

5. 管理上のアクセス制御手順

クラウドサービスへの管理上のアクセスにおいては、統合認証基盤による一元的なポリシー管理および、ロールベースアクセスコントロール、多要素認証を採用します。

6. お客さまへの変更通知

お客さまに重大な影響のあるサービス内容の変更に関しては、当社ウェブサイトへの掲載等により、適宜、お客さまに通知します。

7. 仮想化セキュリティ

仮想化基盤上にサービスを構成する場合、仮想化環境特有のセキュリティリスクに関してリスク管理を行います。

8. お客さまの情報資産へのアクセス及び保護

当社クラウドサービス上のお客様の情報資産は、物理的、技術的に安全であることを当社が検証したデータセンターまたはIaaS / PaaSサービスシステム上に、適切なアクセス管理のもとで保管します。

9. お客様アカウントのライフサイクル管理

当社クラウドサービスでは、お客様の管理者のアカウント情報は、サービス開始時に登録され、当社が別途決定する保管期間の経過後削除します。管理者を除く利用者アカウント情報の登録・変更・削除は、利用規約に基づき、お客さまの責任において管理していただきます。

10. 違反の通知、調査及びフォレンジックに関する情報共有

当社は、本利用規約または個別規程で定められた範囲に基づき、自らの管理範囲で発生したインシデントについて速やかに通知します。お客様側の管理範囲で発生したインシデント調査に必要なログ等の情報提供は、原則として当該クラウドサービスが標準機能として提供する情報に限ります。