Liferayトラストセンター/セキュリティコンプライアンス
ライフレイは、見込み顧客やお客様にとって、ビジネスニーズに対して安全でコンプライアンスに準拠したデジタルソリューションを見つけることがいかに重要であるかを理解しています。また、単なるベンダーではなく、お客様にとって信頼できるパートナーであることをお約束します。
当社は、お客様からお預かりした貴重な情報を安全に保護し、適用されるデータ保護法に従って取り扱うことに注力しています。FOSSコミュニティの一員として、IPとFOSSライセンスに関してベストプラクティスを適用します。また、誠実に事業を行い、最終的にはお客様や地域社会との強固な関係を築くことを信条としています。
本トラストセンターでは、各お客様のデューデリジェンスプロセスを支援し、セキュリティ及びコンプライアンスに対する当社の取り組みを実証するために設計された包括的なリソースコレクションを提供します
当社は、お客様からお預かりした貴重な情報を安全に保護し、適用されるデータ保護法に従って取り扱うことに注力しています。FOSSコミュニティの一員として、IPとFOSSライセンスに関してベストプラクティスを適用します。また、誠実に事業を行い、最終的にはお客様や地域社会との強固な関係を築くことを信条としています。
本トラストセンターでは、各お客様のデューデリジェンスプロセスを支援し、セキュリティ及びコンプライアンスに対する当社の取り組みを実証するために設計された包括的なリソースコレクションを提供します
セキュリティコンプライアンス
2019年以降、当社はセキュリティ、プライバシー、コンプライアンス管理について独立した検証を受けており、お客様が規制やポリシーの目標を達成できるよう支援し、以下の認定を受けています。
ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018
SOC 2 Type 2
HIPAA
CSA Star Level 1及び2であり、Cloud Security Alliance Starプログラムの一部です。
スペインのEsquema Nacional de Seguridad(ENS)
情報セキュリティマネジメントシステム
事業継続と災害復旧
- 事業継続
事業継続計画(BCP)は、不測の事態による事業の中断に備え、Liferayが事業を継続するためのロードマップを提供するものです。BCPには、災害が発生した場合の復旧戦略や、危機発生時のコミュニケーション・ワークフローが含まれます。Liferayは、さまざまなシナリオに対応し、中断の影響を最小限に抑える準備が整っています。
- インシデント対応
Liferayのインシデント対応ポリシーは、Liferayに影響を与える可能性のあるセキュリティインシデントの管理とコミュニケーションに一貫したアプローチが適用されることを保証します。
本ポリシーは、セキュリティインシデントへの対応を成功裏に管理するための一般原則を示したものです。
- 災害復旧
災害復旧ポリシーは、災害やその他の破壊的なインシデントが発生した場合に、LiferayがどのようにITインフラ、サービス、データを復旧させるかを定義するものです。
ポリシーと企業セキュリティ
- 是正措置
ISMSの改善は、特定された不適合を是正する是正処置によって実現されます。不適合とは、組織の ISMS ポリシーまたは手順で指定された要件を満たさないことを指します。是正措置ポリシーでは、是正措置の開始、実施、記録保持に関連する活動、および情報資産のリスク露出を最小限に抑えるために ISMS 要件内で必要な変更を管理する方法について説明します。
- 内部監査
Liferayの内部監査方針には、監査プログラムの作成、監査人の選定、個別監査の実施、報告など、内部監査に関するすべての活動が記載されています。さらに、Liferayのデータ処理のセキュリティを確保するための技術的・組織的措置の有効性を定期的にテスト、評価、評価するプロセスもポリシーに定義されています。
- リスク管理
リスクマネジメントポリシーは、Liferayにおける情報リスクの評価と処理の方法論を定義し、リスクの許容レベルを定義します。
アセット管理
- データ保持
データ保持ポリシーは、クライアントアカウントが有効である間の顧客データの保持ガイドラインと、Liferayサービスのアカウント終了後の削除プロセスを定義します。本ポリシーは、管理されるLiferayクラウドサービスによって保存されるお客様データの取り扱いに適用されます。顧客データには、あらゆる非公開情報が含まれます。
- 文書と記録の管理
文書・記録管理方針は、情報セキュリティマネジメントシステム(ISMS)内で使用される方針・記録の作成、承認、配布、使用、更新に関する管理を確実にするものです。
- 情報分類
情報分類ポリシーは、Liferay ISMSのコンテキスト内の情報が適切なレベルでラベル付けされ、分類され、保護されることを保証します。
- アクセス制御
Liferayのアクセス制御ポリシーは、アクセスに関するビジネス要件とセキュリティ要件に基づいて、様々なシステム、機器、設備、情報へのアクセスルールを定義します。アクセス制御の概念は、情報セキュリティの基本的な3つの要素すべてに関わります。情報へのアクセスを制限し、情報を使用する正当な業務上の理由がある職員のみにアクセスを許可することを保証することにより、機密性と完全性を保持するための重要な要素です。アクセス制御はまた、合法的な「知る必要」のある人員にアクセスを制限し、情報を操作または処理するユーザー権限を制限することによって、「可用性」にも直接影響します。
物理的セキュリティ
- 物理的・環境的セキュリティ
物理的・環境的セキュリティポリシーは、Liferayの情報資源が物理的な改ざん、損傷、盗難、またはLiferay資産への物理的な不正アクセスを防止する物理的なセキュリティ対策によって保護されていることを保証するものです。
人事セキュリティ
- 採用、異動、解雇
雇用、異動、解雇に関する方針は、人事、システムアクセス、プロジェクト責任の取り扱いに関して、従業員を雇用、昇進、解雇する際に従うべき一般的なプロセスを定義しています。
- トレーニングと意識向上
Liferayのトレーニングと意識向上に関するポリシーでは、Liferayの従業員と請負業者がセキュリティのベストプラクティスについて適切なトレーニングを受けることを求めています。
システムとソフトウェアのセキュリティ
- 暗号化
Liferayの暗号化ポリシーは、情報の機密性、完全性、可用性、否認防止を保護するために、暗号化と暗号キーの使用に関するルールを定義します。暗号化とは、通常の読み取り可能なテキスト(「平文」)を、暗号キーとして知られるユニークな秘密の値を使用するアルゴリズム(「暗号」)に通すことで、ランダムまたは読み取り不可能なテキスト(「暗号文」)に変換するプロセスです。
- ITセキュリティ
ITセキュリティポリシーは、デバイス、ソフトウェアアプリケーション、クラウドベースのサービス、ネットワークの使用に関する明確なルールを定義します。
- 安全な開発
セキュア開発ポリシーは、Liferayソフトウェアとシステムのセキュアな取得、開発、保守のための基本ルールを定義しています。
- サプライヤーセキュリティ
サプライヤーセキュリティポリシーは、Liferayの情報セキュリティマネジメントシステムにおいて外部の利害関係者とみなされるサプライヤーやパートナーとの関係についてのルールを定義するものです。
- バックアップ要件
Liferayのバックアップポリシーは、Liferayシステムを復元する必要がある場合に、Liferayデータのバックアップが利用可能で正確であることを保証するためのガイドラインを定義しています。
- 脆弱性とパッチ管理
Liferayの脆弱性・パッチ管理ポリシーは、情報セキュリティの脆弱性の管理、Liferayシステムのセキュリティ関連パッチの通知、テスト、インストールに関する要件を定義しています。