このページは機械翻訳され、お客様の便宜のためにのみ提供されるものであり、元の英語版と厳密に対応していない可能性があります。記載された用語、条件、表現の意味は、英語における定義および解釈に従うものとします。英語版と翻訳版の間に相違や矛盾がある場合は、英語版が優先されます。
2021年6月16日発効
本情報セキュリティ補遺(以下「補遺」といいます)は、Cloudflareが本サービスの一部として維持するセキュリティ要件(以下「セキュリティ要件」といいます)の概要を示すものであり、Cloudflareとお客様との間で締結されるエンタープライズサブスクリプション利用規約(以下「本契約」といいます)に組み込まれるものです。 本補遺で定義なしに使用される大文字の用語は、本契約で与えられた意味を持つ。
1.1 Cloudflareは、(i)包括的な書面による情報セキュリティプログラムを実施し、維持し、(ii)必要に応じて、定期的に、または本サービスの提供に重大な変更があった場合に、当該プログラムを更新し、見直し、(iii)当該プログラムが、(x)適用される法令および適用される業界標準(ISO/IEC 27001:2013、PCI DSS、SOC 2 Type IIを含む)に準拠し、(y)本補遺契約に準拠する適切な管理的、論理的、技術的、物理的セーフガードを含み、(z)以下の目的を達成するために合理的に設計されていることを保証します:
(A) 顧客データのセキュリティおよび機密性、完全性、可用性を確保すること;
(B) 顧客データのセキュリティおよび完全性に対する脅威または危険から保護するため。
(C) 顧客データへの不正アクセス、不正取得、不正破壊、不正紛失、不正削除、不正開示、不正改ざん、不正使用を防止するため。
1.2 本契約(そのほかの添付書類、展示物、または別表を含む)と本補遺との間に矛盾がある場合は、本補遺の規定が優先される。
2.1Cloudflare は、アクセス・認証管理、資産管理、変更管理、暗号化、セキュリ ティ・プライバシー事故対応、ソフトウェア開発ライフサイクル、第三者リスク管理方針 を含むが、これらに限定されない情報セキュリティに対応する方針を、少なくとも年 1 回見直す。
2.2Cloudflare は、Cloudflare の従業員に対し、入社時およびその後毎年、セキュリ ティ意識に関する研修を実施する。 トレーニングは定期的に更新され、データやシステム保護の責任、新たな脅威や傾向など、セキュリティのトピックに関する該当する情報が含まれる。
3.1Cloudflare は、本契約に従って権限を付与されたCloudflare の人員および第三者(以下、総称して「認定ユー ザー」といいます)のみが顧客データにアクセスすることを許可します。 許可されたCloudflare従業員および許可された第三者は、本契約および本補遺に基づき許可された場合に限り、顧客データを使用します。
3.2 Cloudflareは、業界標準に従ってユーザーの認証および認可を行います。
3.3 正規ユーザは、顧客データにアクセスするために、共有または一般的な識別クレデンシャルを 使用しないものとします。
3.4 Cloudflareは、認定ユーザーに対し、顧客データが存在するシステムへのアクセスに二要素認証を使用することを要求します。
3.5 Cloudflareは、顧客データが存在するCloudflareのネットワークにアクセスするために使用されるすべての識別クレデンシ ャルの集中リポジトリを維持します。
3.6 Cloudflareは、顧客データへのアクセスが不要となった認定ユーザーからのアクセスを取り消します。
3.7Cloudflare は、必要に応じて、認定ユーザーのアクセス権を定期的に見直し、取り消します。
3.8 Cloudflareのネットワークリソース、プラットフォーム、デバイス、サーバー、ワークステーション、アプリケーションおよびデバイスに対する認証は、デフォルトパスワードでは許可されません。
3.9 Cloudflareは、Cloudflareのネットワークへの外部ネットワーク接続が安全であることを保証します。
3.10 Cloudflareは、デバイスまたはシステムを本番稼動させる前に、デフォルトのサーバーパスワードを変更します。
3.11 一定期間非アクティブであったワークステーションは、自動的にロックされる。
4.1 Cloudflareは、最小128ビットのAES暗号化および1024ビットの暗号鍵長により、静止時、転送時、および使用時に顧客データを暗号化します。
4.2 Cloudflareは、顧客データにアクセス、送信、または保存するCloudflareのすべてのシステムにおいて、静止状態にある顧客データのフルディスク暗号化を適用し、維持します。
4.3 対称暗号化キーおよび非対称プライベー トキーは、輸送中および保管中に暗号化され、不正アクセ スから保護され、保護される。 暗号化キーの管理とローテーションの手順を文書化する。 暗号化された鍵へのアクセスは、鍵の管理者に制限される。 Cloudflareは、顧客データを暗号化するために使用される暗号化キーを生成、保存、管理するために、業界標準に従います。
4.4 Cloudflareは、安全なデータ廃棄手順を維持します。これには、安全な消去コマンドの使用、デガウジング、および「クリプトシュレッディング」が含まれますが、これらに限定されません。
4.5 顧客データは、Cloudflareの他の顧客のデータから論理的に分離されます。
5.1 Cloudflareは、顧客データへの不正アクセスを防止するために、境界およびネットワークセキュリティ管理を設置、設定、維持します。
5.2 Cloudflareは、顧客データを含むエンドポイント、ネットワークデバイス、およびサーバーシステムにおけるアクセスの試行および成功、不正な変更、およびその他の侵害の指標を含むセキュリティイベントに対して、継続的な監視およびロギング、ならびに関連する警告を行います。 すべてのログは、不正なアクセスや改ざんから保護されます。
5.3 Cloudflareは、業界のベストプラクティスに基づき、ネットワークデバイスのセキュリティおよびハードニング基準を実装し 、維持します。
5.4 Cloudflareは、文書化された変更管理手順に従います。
クラウドフレアは、有害なコードが配信されないように、またベストプラクティスが遵守されるように、オープンウェブアプリセキュリティプロジェクト(OWASP)トップ10(https://www.owasp.org/)で開発されたものなど、セキュアソフトウェア開発ライフサイクルのセキュアコーディングプラクティスに従います。 コーディング慣行には、(i)開発、テスト、本番の各環境の分離、(ii)定期的なセキュリティコードレビュー、(iii)顧客データを保存、処理、または送信するすべてのCloudflareソフトウェアおよび/またはアプリケーションのスキャン、(iv)非本番環境(開発またはテストなど)で使用される非本番データ、難読化データ、または非識別化データのみの使用が含まれます。
7.1 Cloudflareは、(i)顧客データにアクセスするCloudflareの第三者が少なくとも本補遺に定める要件と同程度に制限されたデータセキュリティ要件に拘束されることを保証するための情報セキュリティ契約の維持、および(ii)顧客データにアクセスする第三者が本補遺に定める要件を遵守していることの監視および監査を含む、第三者リスク管理プログラムを維持します。
7.2 リスク管理は、リスクに見合った特定された発見事項のCloudflare による是正と、完了の証拠を含む。
7.3Cloudflare は、リスクアセスメントを実施し、その結果に対応するための役割と責任を定めたリスクアセスメ ントプログラムを維持する。 Cloudflare は、事業運営と情報技術を保護する統制の設計を検証するために、定期的なリスク評価を実施する。
8.1 Cloudflareは、ネットワーク及びアプリケーションレベルの定期的な脆弱性スキャンを実施し、業界標準(例. PCI DSS)。
8.2 少なくとも毎年1回、Cloudflare 、独立した第三者セキュリティ会社にネットワーク及びWeb アプリケーションの侵入テストを実施させる。 ご要望に応じて、Cloudflareは侵入テストの結果の概要を提供します。
8.3 Cloudflareは、Cloudflareが管理するソフトウェアおよびアプリケーション、アプライアンス、オペレーティングシステムに対し、セキュリティパッチおよびシステムアップデートを業界標準(例えば、以下同様)に従って適用します。 PCI DSS)。
Cloudflare は、文書化され運用される事業継続および災害復旧(「BC&DR」)プログラムを維持する。 Cloudflare は、少なくとも年1回、BC&DR プログラムを実施し、更新する。
10.1Cloudflare は、文書化されたデータ漏洩対策および対応プランを維持し、毎年更新する。
10.2 Cloudflareが、顧客データに関する不正アクセス、取得、開示、または使用(以下、「データ漏洩」)をもたらすセキュリティ違反を発見した場合、またはその通知を受けた場合、Cloudflareは、その費用負担において、速やかに以下を行います:(i) データ漏洩を過度な遅延なくお客様に通知し、(ii) データ漏洩を調査し、(iii) データ漏洩の影響を軽減し、(iv) 事故後の評価を実施し、かかる評価の結果をお客様に報告します。
11.1 Cloudflareは、少なくとも年1回、独立した評価機関と契約し、(i)コンプライアンス評価を実施し、(A) Service Organization Control (SOC 2 Type II)または(B)その他の業界で認められた同様の独立したコンプライアンス評価の下で完全な証明、レビューまたは報告書を提供します。
11.2 請求があれば、CloudflareはCloudflareの最新のSOC 2 Type II報告書の写しを提供します。
11.3Cloudflare は、Cloudflareの従業員または第三者による顧客データの不正使用または 不正アクセスの可能性に関する合理的な調査において、顧客に協力するものとします。 Cloudflareは、該当する調査結果および関連する修復プラン についてお客様と協議することに同意します。
本規約またはCloudflareに関するその他のご質問については、ご遠慮なくお問い合わせください:
+1 (650) 319-8930
Cloudflare, Inc.
101 Townsend St,
San Francisco, CA 94107
米国