Security
デモ
お問合せ

“「データの安全を最大限に確保することが私たちの第一の使命です」”

マーク・ゴールディン (コーナーストーンCTO)

3,000万人以上のお客様にコーナーストーン を信頼いただいております。

この事実は決して軽視できません。私たちにとって、セキュリティ、プライバシー、信頼性は、最も重要なものです。セキュリティとコンプライアンスに対するお客様の要望を真剣に受け止め、世界中の多様な業界固有の要件に対応することで、当社のソリューションをお客様に安心してご利用いただけるよう、取り組みを進めております。

包括的なセキュリティとコンプライアンス

コーナーストーンは、最高レベルのコンプライアンスと稼働時間を実現するために、最新のマルチテナント、マルチデータベースアーキテクチャを採用し、厳しい基準を設けています。セキュリティと拡張性を確保するため、データはお客様ごとに分離しました。さらにインフラは、最高度に厳しい国際基準による監査や認定を受けています。コーナーストーンが対応している主な監査報告、フレームワーク、認定には次のものが含まれます。

  • ISO/IEC 27001:2013
  • ISO/IEC 27018:2014
  • SSAE16 SOC 1 Type II
  • SOC 2 Type II
  • ISAE 3402 Type II
  • Privacy Shield
  • CSA STAR
  • FDA 21 CFR Part 11
  • PCI DSS
  • FedRAMP
  • Skyhigh Enterprise Ready

Trustwave

データセキュリティにプロアクティブに対応

コーナーストーンは、TrustwaveのTrusted Commerce™プログラムを利用して、主要なクレジットカード会社、決済代行事業者、加盟店に義務づけられるPCI DSS(ペイメント業界データセキュリティ基準)への準拠状況を確認しています。Trustwaveの認定を受けることで、お客様のクレジットカード情報や身元情報が安全に守られていることを示しています。

ISO/IEC 27001:2013

情報資産の安全を守るための標準

コーナーストーンの統合タレントマネジメントシステムは、お客様のデータを保護する安全な環境作りへの継続的な取り組みが評価され、ISO/IEC 27001:2013認証を受けています。

ISO 27001の認証は第三者の独立機関によって行われ、監査では情報セキュリティ管理システム(ISMS)の設置、運用、管理、継続的な改善が評価されます。認証を維持するには、継続的な改善などを含め監査人による準拠チェックを毎年受けなければなりません。ISO 27001は世界で最も広く認知された情報セキュリティ管理基準認証です。今日、多くの企業がクラウド事業者に対して、サービス契約でISO認証の取得と維持を求めています。

ISO/IEC 27018:2014

パブリッククラウドの個人情報保護の実施基準を遵守

ISO 27001認証の監査人は、コーナーストーンが提出したISO/IEC 27018への適用性の申告書を審査し、コーナーストーンの統合タレントマネジメントシステムの対象サービスが基準を満たしていることを確認しました。ISO/IEC 27018は、パブリッククラウド内の個人情報(PII:Personally Identifiable Information)の保護基準を規定するものです。この認証を受けることで、コーナーストーンは堅固なプライバシーポリシーと実施手順を定め、高い基準を満たしていることを示しています。お客様はご自身のPIIの状況(保存先など)を確認でき、明示的な同意なしにPIIをマーケティングや広告に使用することを禁止できます。こうした管理体制は毎年監査され、コーナーストーンの統合タレントマネジメントシステムが基準を満たしていることが確認されます。

AICPA SOC: SSAE16 SOC 1 Type II/SOC 2 Type II、ISAE 3402 Type II

セキュリティとデータプライバシーを守るフレームワーク

コーナーストーンの統合タレントマネジメントシステムを対象としてIT全般統制システムとその設計の安定性そして運用の有効性をまとめた報告書が、第三者機関によって作成されました。コーナーストーンは、SSAE 16とSOC 2の統制目標の達成に取り組み、毎年監査を受けています。SSAE 16とSOC 2の監査基準を満たすことにより、お客様の内部統制に関連する可能性のある運用プロセスが定期的に監査を受けていることを示しています。

SSAE16 SOC 1 Type II、ISAE 3402 Type II

SSAE(保証業務基準書)第16号AT801とISAE(国際保証業務基準)に準じた報告書が作成されました。この報告書は、ご要望に応じてお客様に提供しています。

SOC 2 Type II

AICPA TSPセクション100に定められた、受託会社におけるセキュリティ、可用性、処理の完全性、機密性、プライバシーの原則と基準に準じた報告書が作成されました。この報告書は、ご要望に応じてお客様に提供しています。

PCI DSS

安全なクレジットカード処理環境を確保

コーナーストーンは、PCI DSS(ペイメントカード業界データセキュリティ基準)のレベル4 SAQ Dに準拠しています。PCI DSSは、クレジットカード情報を処理、保存、転送する企業が安全な環境を維持していることを保証するための要件を定めたものです。その中では、安全なネットワーク環境の構築と維持、カード所有者データの保護、情報セキュリティポリシーの整備などが取り上げられています。

CSA STAR

クラウドのセキュリティ保証を規定する強力なプログラム

CSA STAR(クラウドセキュリティアライアンスのセキュリティ・信頼性・保証登録)は、クラウドでのセキュリティ保証を規定する業界最強のプログラムです。コーナーストーンは、セキュリティに対する取り組みを自己評価したCSA CAIQ報告書を作成し、お客様に提供しています。この報告書を参照することで、コーナーストーンの具体的なセキュリティ慣行を確認していただけます。コーナーストーンでは年間を通して、独立機関を利用し、一般的なセキュリティ統制事項の多くを自主的に監査しています。

FDA 21 CFR Part 11

学習システムで電子記録要件に対応

コーナーストーンは、米国食品医薬品局(FDA)の連邦規則(CFR)第21条第11章で定められた統制要件に準拠し、ライフサイエンス業界のお客様がこれらの規則に対応するうえで求められる手順要件や技術要件を満たしています。

コーナーストーンでは、規則への準拠を示すため、ソフトウェアの開発方法とSaaS内での該当レコードの管理方法を対象に、検証ライフサイクルレコードと関連手順の中で適用される要件を文書化しました。この文書には、規制要件、記録方法を定める関連プレディケートルールのほか、コーナーストーンがライフサイエンス業界のお客様に代わって遵守すべき技術要件と手順要件が記載されています。この文書は、ご要望に応じてお客様に提供しています。

 

先進的なデータ保護とデータプライバシ

コーナーストーンは、データ保護とデータプライバシーにかかわる法規制の遵守を非常に重視しています。お客様の人事部、法務部、データ保護担当部署と密接に協力して、データ保護に関する法規制の遵守を徹底しています。すでに多くのお客様との間でEUモデル契約条項を定め、EU-US Privacy Shieldの認定も取得しました。

グローバルなITセキュリティ、プライバシー、コンプライアンス担当チーム

コーナーストーンでは、継続的にデータ保護のプロセスを改善しています。世界最高レベルのITセキュリティ、プライバシー、コンプライアンスチームが専属で開発と管理を行っており、インフラには常に最新の技術が採用されます。チームは高度なスキルを備えており、すべてのチームメンバーが多種のセキュリティまたはコンプライアンス認定資格を取得しています。お客様のデータの安全と機密は、万全な体制で守られているのです。

保存先の把握

データの地理的な保存先を把握することは、データプライバシーとコンプライアンスを守るうえで重要です。コーナーストーンでは、お客様が保存データと保存先をいつでも確認できます。また、データの保存先として北米または欧州の特定の場所を指定することもできます。その場合は、バックアップデータも同じ場所に保存されます。

アクセス制御と物理セキュリティ

コーナーストーンのインフラは、米国と欧州に2カ所ずつ、計4カ所に分散された、セキュアなデータセンターで運用されています。どのデータセンターも24時間体制でセキュリティ管理され、監視カメラ、動作感知器、警報器が作動し、アクセスは適切な資格を持つ人のみに制限されています。サーバーは堅牢なサーバールームに設置され、入室するにはハンドスキャナーによる生体認証が求められる仕組みです。コーナーストーン担当者以外の人が出入りするときは、常に監視人が付き添います。

アプリケーションのセキュリティ

コーナーストーンの統合タレントマネジメントシステムでは、セキュリティを確保するために、転送データはすべて256ビットTLSで暗号化されます。コーナーストーンアプリケーションにアクセスするには、ユーザー名とパスワードが求められます。シングルサインオン(SSO)も利用可能で、その場合はクライアント認証が要求されます。権限と役割に基づくアクセス制御によって、ユーザーが見られるのは許可されたデータのみです。

ネットワークの保護

本稼働システムはDMZ内に設置され、ファイアウォール、ポートフィルタリング、ネットワークアドレス変換によってインフラのセキュリティが確保されています。複数の負荷分散装置が稼働しているため、ネットワークのパフォーマンスも確保されます。社内ファイアウォールによって、アプリケーション層とデータベース層のトラフィックを分離しています。外部のセキュリティ会社がネットワークの監視を担い、不正使用や機器の故障が疑われるときには警告します。

バックアップ

コーナーストーンでは、毎日お客様のデータベースのフルバックアップを行っています。バックアップは、AES-256で暗号化したうえで、テープに書き込まれます。トランザクションデータのバックアップは、1時間ごとに別の稼働ディスクに送信しています。バックアップテープは1週間ごとに、鍵の付いたケースで遠隔地に運び、安全な保管庫で保管する仕組みです。

災害対策

それぞれのディザスタリカバリデータセンターでは、災害対策テストを年2回実施しています。コーナーストーンは、大規模災害が発生した場合、リカバリポイント目標(RPO)1時間以下で24時間以内に復旧できる体制を整えています。直近のデータをすばやくリカバリできるように、7日分のバックアップをローカルのSANディスクに保存しています。

コーナーストーンはプライバシーとセキュリティで広範囲にわたる評価と認定を受けています。

Privacy Shield

EUが定める厳しい個人データ保護法に準拠

EU-US Privacy Shieldは、欧州と米国間のデータ転送の新たな枠組みであり、従来のSafe Harborに代わるものです。コーナーストーンは、EU市民の個人情報の保護を目的とした厳しい義務を履行するとともに、米国商務省(DOC)と連邦取引委員会(FTC)が定めた厳しい監視基準と実施基準を遵守しています。Privacy Shieldフレームワークは、EUと米国間の商取引で個人情報を転送する際のEUデータ保護要件の準拠手順として、欧州委員会(EC)によって承認されたものです。Privacy Shieldに参加するコーナーストーンは、EUデータ保護条例のもとでEU外に個人情報を転送するための要件である、「十分な水準」のプライバシー保護を達成していると認められています。

Skyhigh Enterprise Ready

クラウドサービスのデータセキュリティ要件に対応

コーナーストーンの統合タレントマネジメントシステムは、Skyhigh Enterprise-Readyプログラムで定められた、データ保護、身元確認、サービスセキュリティ、商慣行、法的保護の要件をすべて満たし、Skyhigh Cloud Trust™ Enterprise Ready評価を受けています。このプログラムでは、クラウドセキュリティアライアンス(CSA)と共同で策定された詳細な条件に基づいて、クラウドサービスの現行のセキュリティ能力が広い範囲で公平に審査されます。