当社のデータプライバシーとセキュリティに対する取り組み

ご質問やご不明な点がございましたら、security@cdata.co.jp までお問い合わせください。

• 企業ポリシー
• 純粋なソフトウェア - 仲介不要
• 転送プロトコルと認証メカニズム
• 診断とトラブルシューティング
• ライセンシングテレメトリ
• CData Arc サーバーを使用したOAuth フロー
• EU データ保護
• 責任ある脆弱性の開示
• HIPAA コンプライアンス

企業ポリシー

CData Arc は、すべての従業員が従うべき内部セキュリティポリシーを維持しています。当社のポリシーは少なくとも年に一度見直され、以下のトピックのカバレッジが含まれています。

• セキュアなアプリケーション開発 - すべての開発者は、当社のセキュアなコーディング要件への準拠を検証するために、公式のトレーニングプログラムを受けています。このポリシーでは、ピアレビュー、静的コード分析、Microsoft Secure Coding ガイドラインなどの業界標準のベストプラクティスへの準拠、およびOWASP の上位10 の脆弱性を考慮するプログラムを定義します。
• 物理的なセキュリティ - オフィスへのアクセスは制限され、本番システムへのアクセスはさらに許可されたスタッフのみに制限されます。
• リモートアクセス - CData Arc で管理されているシステムへのリモートアクセスには多要素認証の使用が必要で、セッションの管理とロギングに関する厳密な要件に従います。

純粋なソフトウェア - 仲介なし

CData Arc アプリケーションは、通常のデータ転送で、サーバーとやり取りすることはありません。このアプリケーションは、データソースサーバーとの直接接続を確立し、データトラフィックは、データソースのAPI およびSLA によって確立されるセキュアな方法で、ネットワーク、インターネット、およびデータソースサービスを経由して流れます。

当社のアプリケーションはファイアウォール、プロキシなどの設定をサポートしており、顧客はセキュリティポリシーに準拠した方法でこれらの設定を使用することが期待されます。

転送プロトコルと認証メカニズム

ほとんどのサービスは、複数の形式での認証を提供し、複数の通信プロトコルをサポートします。これらのプロトコルがネゴシエート（TLS 暗号スイートネゴシエーション）されるとき、サービスで許可されている最もセキュアなプロトコルが常に選択されます。たとえば、TLS1.1 とTLS1.2 をサポートし、可能な限り最も安全な暗号スイートを備えた最新のセキュアなプロトコルを使用して接続が確立されるようにします。

通常は、アプリケーションをより広く使用できるように、あらゆる形式の認証をサポートします。セキュリティポリシーに沿った優先認証メカニズムを選択するかどうかは、顧客の判断に委ねられています。

診断とトラブルシューティング

このアプリケーションは、診断情報をサーバーに送信しません。場合によっては、クライアントとサービスの間の交換を確認して、アプリケーションの機能をトラブルシューティングすることが有効です。これは、設定可能なログファイルを使用して行います。

• ログファイルは、必要な情報量だけを含めるように、設定可能な詳細レベルで書き込むことができます。
• サポートチームは、必要に応じてログファイルを表示する許可を常に求めます。その場合、常に最小限の情報を要求します。
• 認証情報やセキュリティトークンなどの機密情報が、ドライバーによってログファイルに書き込まれないようにします。
• ログファイルはプレーンテキストであるため、お客様にはこれらのファイルを渡す前に確認することをお勧めします。ほとんどの組織は、送信されるデータについて内部チェックを行っており、これらのポリシーに準拠しています。

ライセンシングテレメトリ

CData Arc はライセンス準拠のために使用統計をGoogle Analytics に送信します。これは、アプリケーションの機能にはまったく影響しません。

たとえば、リクエストがブロックされたときにも、アプリケーションは機能し続けます。アプリケーションの使用量が、ライセンスされたサーバーとコアを超えていることを検出した場合にも、アプリケーションは引き続き機能します。

時々、顧客がライセンスされているよりも多くのサーバーにアプリケーションを誤ってインストールすることがあります。ライセンシングテレメトリは、コンプライアンス（不要な展開のアンインストールや追加のマシンのライセンス）を実現するためのやり取りを開始する手段としてのみ使用されます。

CData Arc サーバーを使用したOAuth フロー

OAuth 認証に依存するCData Arc コネクタの中には、oauth.arcesb.com を使用してOAuth トークンをドライバーに中継するものがあります。リレーされたトークンはTLS を介して暗号化され、プレーンテキストとして表示されないようにエンコードされるため、リクエストがCData Arc サーバーに記録されたり保存されたりすることはありません。

これは、完全にユーザーによって構成可能であり、組み込みのCData Arc OAuth アプリケーションの認証情報を使用する場合にのみ適用されます。

EU データ保護

CData Arc はユーザーの組織およびネットワーク環境にインストールされているため、我々は顧客データにアクセスできません。したがって、当社は、欧州連合の一般データ保護規則（EU/2016/679）（GDPR）またはプライバシー法に基づく 「プロセッサー」 とはみなされません。

責任ある脆弱性の開示

どんなに努力しても、我々が気付かない脆弱性があるかもしれません。セキュリティ上の脆弱性にお気づきの場合、security@cdata.co.jp までお知らせください。以下の点について詳しくお聞かせください。

• 製品の名前とバージョン
• 脆弱性を再現するために必要な手順の詳細な説明

ご指摘を受けた場合、2 営業日以内に対応し、脆弱性の解決に向けた進捗状況を定期的にお知らせします。

HIPAA コンプライアンス

HIPAA のセキュリティ規則でCData Arc は、Protected Health Information（PHI）のHIPAA 要件に準拠し、HIPAA の要求の対象となる顧客（通常はHIPAA の対象となるエンティティ）とBusiness Associate Agreement（BAA）に署名します。CData Arc はHIPAA 規則の対象となるエンティティではなく、HIPAA 自体が対象となるエンティティ（つまり、HHS による規制の対象となるエンティティ）に適用されるため、「HIPAA 準拠」にすることはできません。CData Arc は、お客様の環境で動作するソフトウェアを提供しますが、CData Arc サーバーとは通信しません。これは、PHI トラバースがCData Arc で認識されないことを意味します。CData Arc ソフトウェアによって行われるすべての転送は、業界のベストプラクティス（現在はTLS 1.2+）を使用して暗号化されます。HIPAA を遵守するためにCData Arc ソフトウェアをどのように使用するかについて評価する責任が、お客様にあります。