OutSystemsのセキュリティ

OutSystemsでは、ユーザーがアプリケーションと顧客データがどのように保護されているのかを知る権利があると信じています。
OutSystemsのアプローチには、業界のベストプラクティスと常に進化し続けているセキュリティ脅威に関して15年以上の経験から学んだ事項が含まれています。

OutSystemsは金融、ヘルスケア、防衛などの高いコンプライアンスを要求している業界で高いセキュリティニーズに対応できている実績があります。透明化とセキュリティ管理を向上することによって、顧客との信頼関係を強化する方法を常に模索しています。」José Casinha, OutSystems CISO

セキュリティ

アプリケーションセキュリティ

OutSystemsで開発されたWebとモバイルアプリケーションは、OWASPが検知したトップセキュリティ脅威から標準で保護されています。OutSystemsのローコードアプローチはセキュアなアプリケーションの開発を次の方法で加速化しています:

  • 各プラットフォームのアップグレードは最新のセキュリティ機能を全てのアプリケーションに自動的に組み込む。
  • 事前に開発されたコンポーネントはデータの暗号化、アイデンティティ管理システムとの統合などのセキュリティ関連タスクを簡素化できる。
  • ロールベースアクセスによって、アプリケーションの変更やデプロイメントは適切なチームメンバーのみが行える。
  • 静的なコード分析ツールによって、各リリースにおいて、生成されたコードの脆弱性のアセスメントを行う。

アプリケーションセキュリティの詳細を見る。

インフラストラクチャーセキュリティ

OutSystems Cloudを活用してアプリケーションの開発と起動を行うときに、次を含む最高のセキュリティに頼ることができます:

  • 全ての顧客に対して専用の仮想プライベートクラウド(VPC)インフラストラクチャーを提供し、オンプレミスシステムへのアクセスをVPN経由でセキュアに実現。そして、カスタマイズされたSSL/TLS証明書のアップロードを簡単に実現。
  • アップデートとパッチによる、オペレーティングシステムとアプリケーションサーバーのプロアクティブなアップデート。顧客へのセキュリティ関連の問題の通知を含む。
  • 顧客のアプリケーションのペネトレーションテストと脆弱性スキャニングサポート。

インフラストラクチャーセキュリティの詳細を見る。

セキュリティオペレーション

OutSystemsは専用のCSIRT(computer security incident response team)を提供し、セキュリティ管理を24/7で行い、業界で信頼性の高いソースをプロアクティブに監視して、新しいセキュリティの脆弱性を調査しています。
コピーライト問題、スパム、などのインシデントを報告するには、csirt@outsystems.comまでメールでご連絡ください。
インシデント以外の連絡は、support@outsystems.comまでメールでご連絡ください。
インシデント以外のトピックに関しては、outsystems.com/supportをご参照ください。
OutSystems CSIRT RFC 2350プロフィール:https://www.outsystems.com/trust/csirt/
OutSystemsは強力なオペレーティングプロセスを提供しています:

  • 社員と契約社員の正式な雇用プロセスにはバックグランドチェックが含まれます。
  • 計画からデプロイメントまでソフトウェアの全ライフサイクルにセキュリティ要件が組み込まれています。
  • アクセス管理、パッチ管理、変更管理、イベント管理、インシデントハンドリング。
  • 総合的なビジネス継続戦略により、災害などの際に組織の重要な機能を保護する。

セキュリティオペレーションの詳細を見る。

Forum of Incident Response and Security Teams(FIRST)

FIRSTは、インシデント対応のリーダーとして世界中で認識されている優れた組織です。コンピューターのセキュリティインシデントは地区、時間、またはインターネットの世界的な境界線などに関係なく起きるので、OutSystems CSIRTはグローバルの組織であるFIRSTのメンバーとして活動しています。ベストプラクティスやツールへのアクセス、そして信頼されたメンバーチームとの会話によって、セキュリティインシデントにより効率的な対応を実現できています。

コンプライアンスとデータプライバシー

SOC 2 コンプライアンス

OutSystemsはSOC 2コンプライアンスに対応しています。SOC(Service Organization Controls)レポートによって、OutSystemsのデータセキュリティに関するコミットメントが明確になっています。AICPAは目的を次のように定義しています:

「Software-as-a-Service(SaaS)または Cloud Service Organizationが仮想化されたコンピューター環境またはサービスをユーザー企業に提供し、サービス組織が顧客情報の機密性を安全な方法で実現し、必要に応じて情報を提供することを顧客企業に伝える」

OutSystemsのSOC 2レポートはNDAを結んだ顧客に提供しています。担当営業にお問い合わせください。

SOC3レポートのダウンロード

ISO 27001およびISO 22301証明書

OutSystemsはISO 27001およびISO 22301のコンプライアンス標準に対応しています。これらは情報セキュリティ管理とビジネス継続管理に関する世界的な標準です。この標準に対応することによって、データとサービスが可能な限りの最大限の保護が実現されていることを保証します。

ISO 27001は情報セキュリティ管理の世界的な標準です。ISO 27001は正式に情報セキュリティリスク管理に関する活動群であるInformation Security Management System(ISMS)を特定します。この標準を導入することによって、組織はセキュリティリスクを検知し、それらのリスクを管理または無効化するためのコントロールを導入でき、関係者と顧客が機密データが保護されているという信頼を得ることができ、そして新しいビジネスを獲得するための優先サプライヤー地位を達成することが可能となります。

ISO 27001 証明書をダウンロードする

ISO 22301は壊滅的なインシデントに対する保護の管理システム、その可能性を低減させる、そしてその後にビジネスが回復できるための管理システムの要件を特定しています。ISO 22301はそのようなインシデントに対して、計画、設立、導入、運用、監視、レビュー、運営、そして継続的に向上するためのドキュメント化された管理システムの要件を特定しています。

ISO 22301 証明書をダウンロードする

Cloud Security Alliance(CSA)

Cloud Security Alliance (CSA)は、「クラウドコンピューティングにおいて安全なセキュリティを実現するためのベストプラクティスの促進を行い、その他のコンピューティング形式のセキュリティを実現するためにクラウドコンピューティングの利用に関して教育を提供する」をミッションとした非営利団体です。

クラウドコンピューティングにおけるセキュリティのベストプラクティスへのコミットメントの一部として、OutSystemsはCSAのメンバーです。さらに、OutSystemsはCSA STAR Self-Assessmentを完了し、CSAのウェブサイトに結果を公表しています。これはCSAがリリースした最新のCAIQ(v3)です

PCI Data Security Standard SAQ A

PCI DSS SAQ Aはカード利用者のデータ機能を認証されたサードパーティーに完全にアウトソーシングしている商店の要件に対応するために開発されました。OutSystems Sentry は、外部のペイメント処理を統合したeコマースアプリケーション向けのPCI DSS v3.2, SAQ Aに対応しています。

データセンターコンプライアンス

OutSystems Cloudの物理的なインフラストラクチャーは、Amazon Web Service(AWS)のセキュアで認証されたデータセンターでホスティングされています。

  • AWSデータセンターはオペレーションと物理的なセキュリティのために複数のレイヤーを維持しており、データの整合性と安全性を確保しています。
  • AWSデータセンターはISO 27001、SOC 1/SSAE 16/ISAE 3402、SOC 2、SOC 3、FedRAMP、FIPS 140-2など、複数のセキュリティコンプライアンス標準に対応しています。
  • OutSystems on Azureでは、Microsoft Azureのセキュリティと信頼性を活用できます。または、自社の安全なデータセンターでOutSystemsを稼働することもできます。

データセンターのセキュリティとコンプライアンスの詳細はこちら

プライバシーとデータ保護

OutSystemsは業界標準のプロセスを適用し、OutSystems Cloudでホストしているアプリケーションのデータ機密性を保護しています。

  • データとアプリケーションへの社員のアクセスを行うタスクによって細かく管理しています。
  • 各国の規則などに対応できるように、顧客はどのリージョンにデータをホストするか選択できます。
  • OutSystems Cloudの契約期間中であれば、自分のツールを使っていつでも自分の顧客データにアクセスできます。もしOutSystems Cloudの契約が終了してしまった場合、設立された標準とプロセスに沿ってOutSystemsがどのように顧客データを削除するかが決まっています。

プライバシーとデータ保護の詳細はこちら

プライバシーステートメントを読む

OutSystemsとGDPR