規格と認証

OutSystemsは定期的にセキュリティやコンプライアンスの実施状況を検証するため、ポリシーの遂行とデータの保護を実現できます。OutSystemsを使用すると、個別の要件にも対応が可能です。

SOC 2準拠

OutSystemsは、SOC 2に準拠しています。SOC(Service Organization Controls)レポートとは、データセキュリティ保護への取り組みに関する審査報告書です。AICPAは、その目的を次のように定義しています。

「仮想コンピューティング環境またはサービスをユーザー主体に提供し、顧客情報の機密性をセキュアな方法で維持して、必要に応じて利用可能にすることを目指すサービスとしてのソフトウェア(SaaS)またはクラウドサービス組織」

SOC 2レポートはNDAに基づいて開示されます。レポートを閲覧するには、アカウントマネージャーにお問い合わせください。

SOC 3レポートをダウンロード

ISO 27001認証およびISO 22301認証

OutSystemsは、ISO 27001認証およびISO 22301認証を取得しています。この2つの認証は、情報セキュリティ管理と事業継続管理に関する国際規格です。これらの認証を受けることで、お客様のデータとサービスを最大限に保護することができます。e.

ISO 27001は、情報セキュリティ管理に関する国際規格です。ISO 27001は、情報セキュリティ管理システム(ISMS)を正式に規定するものであり、情報セキュリティリスクの管理に関するあらゆる活動が示されています。この認証を取得することにより、セキュリティリスクの特定、セキュリティリスクを管理・排除する体制の構築、ステークホルダおよび顧客の機密データ保護における信頼の獲得、競争優位性のあるサプライヤとしての地位の確立が可能になります。

ISO 27001認証をダウンロード

ISO 22301は、ビジネスの中断を引き起こす事象への対策、潜在的なリスクの軽減、実際に発生した場合の復旧における管理システムの要件を規定しています。また、ビジネスの中断を引き起こす事業への対策、潜在的リスクの軽減、備え、実際に発生した場合の復旧において、文書化された管理システムの計画立案、構築、実装、運用、監視、レビュー、保守、継続的な改善に求められる要件を規定しています。

ISO 22301認証をダウンロード

ISO 27017認証およびISO 27018認証

OutSystemsは、ISO 27017認証およびISO 27018認証を取得しています。この2つの国際規格は、急速に普及しつつある業界向けクラウドコンピューティングのセキュリティ要件を定義するものです。

ISO 27017は、クラウドコンピューティングの情報セキュリティに関する規格です。クラウド固有の情報セキュリティ管理の実装に関する推奨事項が示されており、ISO/IEC 27002規格およびISO/IEC 27001規格を補完するガイドライン規格となっています。OutSystemsは、この認証を取得することにより、グローバルに認知されたベストプラクティスに継続的に取り組んでおり、認証済み情報管理システム内のデータと同様の安全性とセキュリティをクラウドサービスでも確保していることを実証しています。

ISO 27017認証をダウンロード

ISO 27018は、クラウド上の個人データの保護に焦点を当てた国際規格です。パブリッククラウドのPII(個人を特定できる情報)に適用すべき管理の実装が規定されています。この認証を第三者機関から取得することにより、OutSystemsは顧客データのプライバシー保護への取り組みと、同意に基づいた用途に限定してデータが使用されることを示しています。

ISO 27018認証をダウンロード

クラウドセキュリティアライアンス(CSA)

非営利組織であるクラウドセキュリティアライアンス(CSA)は、「クラウドコンピューティングのセキュリティ保護に向けたベストプラクティスの活用を推進し、クラウドコンピューティングの利用に関する啓発を行うことで、あらゆる形式のコンピューティングのセキュリティ保護を支援する」ことをミッションとしています。

クラウドコンピューティングに関するセキュリティベストプラクティスへの取り組みの一環として、OutSystemsはCSAの会員として活動しています。また、CSA STAR自己評価を行い、評価結果をWebサイトで公開しています。CSAが発表した最新のCAIQ(v3)については、こちらをご覧ください。

PCI DSS(データセキュリティ標準)SAQ A

PCI DSS SAQ Aは、カード所有者のデータの取り扱いを認証済みサードパーティにすべて外部委託している業者が満たすべき要件を示すものです。OutSystems Sentryは、外部委託の支払い処理システムと連携する、eコマースアプリケーションに適用されるPCI DSS v3.2, SAQ Aに準拠しています。

プライバシーとデータ保護

OutSystemsは、業界標準のプロセスに従って、OutSystems Cloud上のアプリケーションで格納されるデータの機密性を確保します。

  • 各ユーザーが実行するタスクに基づいて、データやアプリケーションに対するアクセス制御を細かく行っています。
  • ユーザーは、地域を選択して、データを保管している場所の法規制を遵守することができます。
  • OutSystems Cloudのサブスクリプションユーザーは、自身のツールで顧客データにいつでもアクセスできます。サブスクリプションを解約したユーザーのデータは、特定の基準とプロセスに準拠して削除されます。

サブスクリプションを解約したユーザーのデータは、特定の基準とプロセスに準拠して削除されます。

プライバシーステートメントを読む

OutSystemsにおけるGDPRへの対応

「OutSystemsには、金融、医療、防衛など、規制の厳しい業界のセキュリティ要件に対応してきた実績があります。透明性の向上とセキュリティの強化を通じて、お客様との緊密な信頼関係の構築に常に取り組んでいます」José Casinha、OutSystems CISO