コンプライアンス
OutSystemsでは定期的にセキュリティやコンプライアンスの実施状況を検証しています。これにより、ポリシーの遂行とデータの保護を実現できます。
OutSystemsを使用することで、個別の要件にも対応が可能になります。
規格と認証の詳細
セキュリティとコンプライアンスの概要
OutSystemsのセキュリティおよびコンプライアンス体制の詳細については、セキュリティとコンプライアンスの概要ページをご覧ください。
SOC 2準拠
OutSystemsは、SOC 2準拠のクラウドサービスを提供します。SOC(Service Organization Controls)レポートとは、データセキュリティ保護への取り組みに関する審査報告書です。AICPAは、その目的を次のように定義しています。
「仮想コンピューティング環境またはサービスをユーザー主体に提供し、顧客情報の機密性をセキュアな方法で維持して、必要に応じて利用可能にすることを目指すサービスとしてのソフトウェア(SaaS)またはクラウドサービス組織」
SOC 2レポートはNDAに基づいて開示されます。レポートを閲覧するには、アカウントマネージャーにお問い合わせください。
品質、情報セキュリティ、事業継続性
OutSystemsのミッションはお客様のイノベーションの加速を支援することです。このミッションの実現に向けて、OutSystemsプラットフォームが常に顧客にメリットをもたらせるよう尽力しています。OutSystemsが目指しているのは、レジリエンスを向上させてあらゆる形式の情報を保護し、お客様との持続的な関係を築いて確実に成功へ導くことです。そのため、ポルトガル、日本、マレーシアにあるOutSystems Supportのオフィスに、サービススコープに含まれる品質、情報セキュリティ、事業継続性を保証するための統合管理システムを実装しました。
ISO認証
ISO 27001は、情報セキュリティ管理に関する国際規格です。ISO 27001は、情報セキュリティ管理システム(ISMS)を正式に規定するものであり、情報セキュリティリスクの管理に関するあらゆる活動が示されています。この認証を取得することにより、セキュリティリスクの特定、セキュリティリスクを管理・排除する体制の構築、ステークホルダおよび顧客の機密データ保護における信頼の獲得、競争優位性のあるサプライヤとしての地位の確立が可能になります。
ISO 27017は、クラウドコンピューティングの情報セキュリティに関する規格です。クラウド固有の情報セキュリティ管理の実装に関する推奨事項が示されており、ISO/IEC 27002規格およびISO/IEC 27001規格を補完するガイドライン規格となっています。OutSystemsは、この認証を取得することにより、グローバルに認知されたベストプラクティスに継続的に取り組んでおり、認証済み情報管理システム内のデータと同様の安全性とセキュリティをクラウドサービスでも確保していることを実証しています。
医療保険の相互運用性と説明責任に関する法律(HIPAA)
OutSystems Sentry は、HIPAAのセキュリティ要件に適合していることが証明されています。1996年に制定された米国におけるの「医療保険の相互運用性と説明責任に関する法律」(HIPAA)では、医療情報を保護することを目的に、データプライバシーおよびセキュリティに関する条項が定められています。
事業提携契約(BAA)を締結されたお客様は、保護対象の電子医療情報(ePHI)をOutSystems Sentry Cloudでセキュアに処理、保存することができます。
クラウドセキュリティアライアンス(CSA)
非営利組織であクラウドセキュリティアライアンス(CSA)は、「クラウドコンピューティングのセキュリティ保護に向けたベストプラクティスの活用を推進し、クラウドコンピューティングの利用に関する啓発を行うことで、あらゆる形式のコンピューティングのセキュリティ保護を支援する」ことをミッションとしています。
クラウドコンピューティングに関するセキュリティベストプラクティスへの取り組みの一環として、OutSystemsはCSAの会員として活動しています。また、CSA STAR自己評価tを行い、評価結果をWebサイトで公開しています。
Center for Internet Security (CIS) SecureSuite®のメンバー
CISのSecureSuiteのメンバーであるOutSystemsは、数多くの評価ツールのほか、コンプライアンスのベンチマーク機能やレポート機能にアクセスすることができます。これにより、常に最新のセキュリティ保護をプラットフォームに組み込むことが可能になります。また、CISのSecureSuiteのメンバーであることで、OutSystemsは社内のICTだけでなく、お客様のクラウドベースのシステムのコンプライアンスを追跡できるため、ベンチマークの推奨事項の変更やコンプライアンスの更新に迅速に対応し、俊敏なサイバーセキュリティ体制を構築することができます。
PCI DSS(データセキュリティ標準)SAQ A
PCI DSS SAQ Aは、カード所有者のデータの取り扱いを認証済みサードパーティにすべて外部委託している業者が満たすべき要件を示すものです。外部委託の支払い処理システムと連携するeコマースアプリケーションを開発する業者がPCI DSS v3.2, SAQ A準拠となるよう、OutSystems SentryはPCI DSS v3.2, SAQ Aに準拠した制御機能を備えています。
TISAX認証
ENX(European Network Exchange)がVDA(ドイツ自動車工業会)と協力して確立したTISAX(Trusted Information Security Assessment Exchange)は、自動車業界の情報セキュリティ評価の仕組みとして広く採用されています。TISAX審査は、定期的な適格性検査を受けた審査機関が行います。TISAXの審査結果は、一般向けの開示を意図したものではありません。
OutSystemsは情報の機密性、可用性、完全性を非常に重視しており、機密情報の保護に関して様々な措置を講じてきました。その結果として、ドイツ自動車工業会の定める情報セキュリティ評価基準(VDA ISA)を満たしています。審査(Assessment-ID AZ2NY1-1)は、独立したTISAX審査機関によってOutSystems Cloud Sentry(Scope-ID SLF9L6)を対象として行われました。審査結果は、ENXポータル(https://portal.enx.com/en-US/TISAX/tisaxassessmentresults)でご確認いただけます。
プライバシーとデータ保護
OutSystemsは、業界標準のプロセスに従って、OutSystems Cloud上のアプリケーションで格納されるデータの機密性を確保します。
- 各ユーザーが実行するタスクに基づいて、データやアプリケーションに対するアクセス制御を細かく行っています。
- ユーザーは、地域を選択して、データを保管している場所の法規制を遵守することができます。
- OutSystems Cloudのサブスクリプションユーザーは、自身のツールで顧客データにいつでもアクセスできます。サブスクリプションを解約したユーザーのデータは、特定の基準とプロセスに準拠して削除されます。
「OutSystemsには、金融、医療、防衛など、規制の厳しい業界のセキュリティ要件に対応してきた実績があります。透明性の向上とセキュリティの強化を通じて、ユーザーとの緊密な信頼関係の構築に常に取り組んでいます」
José Casinha氏
OutSystems CISO