Genesys Cloudセキュリティポリシー
Genesys Cloud Serviceセキュリティ条件
本「Genesysクラウドセキュリティ条件」は、本参照により、お客様のGenesysクラウドサービス契約条件契約に組み込まれ、お客様が当社からライセンスを取得したGenesysクラウドサービスの提供に関連して当社がお客様に提供する情報セキュリティおよびデータ保護に関する契約上の要件を説明します。これらの条件は、当社が顧客データをアクセスおよび管理できる範囲に適用されます。
1セキュリティプログラム
1.1セキュリティ基準当社は、提供するGenesysクラウドサービスの性質および範囲に適切な顧客データを保護するために設計されたISO 27001規格に具体化されている、一般に受け入れられているシステムセキュリティ原則に従った情報セキュリティプログラムを実施し、今後も維持します。
1.2セキュリティの認識とトレーニング当社は、採用または契約の開始時およびその後毎年、全従業員および適切な請負業者に提供される情報セキュリティおよび意識向上プログラムを開発し、維持します。啓発プログラムは電子的に配信され、合格するための最低限の要件とテストの側面が含まれています。
1.3ポリシーと手順私達は情報セキュリティプログラムを支援するために適切な方針と手順を維持します。ポリシーと手順は毎年見直され、必要に応じて更新されます。
1.4変更管理業界標準に基づく変更管理プロセスを利用して、クラウドサービス環境へのすべての変更が適切にレビュー、テスト、および承認されるようにします。
1.5データの保存とバックアップ文書化されたバックアップ手順に従って、重要なカスタマーデータのバックアップを作成します。カスタマーデータは、データセンター内の指定されたバックアップストレージメディアにのみ保存および維持されます。バックアップデータはポータブルメディアには保存されません。バックアップメディアに保存されたカスタマーデータは、不正アクセスから保護されます。
1.6ウイルス対策およびマルウェア対策業界標準のウイルス対策およびマルウェア対策ソリューションを使用して、クラウドサービス環境内のすべての非Linuxサーバーが、トロイの木馬、ウイルス、ワームなどの悪意のあるソフトウェアから適切に保護されるようにします。当社は、お客様に提供されたGenesysクラウドサービスにプログラムが含まれていないことを確認するために、業界標準のプラクティスを使用します。 ルーチン、 サブルーチン、 またはデータ(悪意のあるソフトウェアまたは「マルウェア」、 ウイルス、 ワーム、 およびトロイの木馬など)、Genesys Cloud Servicesの適切な運用を妨害するために設計されたもの、 または、 特定の事象が発生した場合、 時間の経過、 行動を起こす、または起こさないこと Genesys Cloud Servicesが破壊され、 損傷または作動不能あなたは、ライセンスキーの使用がこのセクションの違反にならないことを認めます。
1.7脆弱性とパッチ管理。当社は、当社の情報セキュリティプログラムの基準への準拠を確実にする脆弱性管理プログラムを維持します。
1.8データ破壊私たちと下請業者は、業界標準プロセスに従って、以前の顧客データを保持していた古いデータと廃棄された機器を破壊します。
1.9侵入テスト少なくとも年1回、独立した認定ベンダーと脆弱性評価およびペネトレーションテストを実施します。エンゲージメント中に識別された問題は、識別された問題のリスクレベルに見合った妥当な期間内に適切に対処されます。テスト結果のエグゼクティブサマリーのクレンジング版は、書面による要求に応じてお客様に提供され、秘密保持契約の対象となります。
2ネットワークセキュリティ
2.1ネットワーク制御業界標準に基づく効果的なネットワークセキュリティ制御を採用して、データセンター内の他の顧客環境から顧客データを確実にセグメント化および分離します。コントロールには以下が含まれますが、これらに限定されません。
(A)ファイアウォールサービス。当社は、Genesys Cloud Servicesインフラストラクチャを保護するためにファイアウォールサービスを使用します。私たちはきめ細かい入力および出力ルールを維持し、変更は私たちの変更管理システムを通して承認されなければなりません。
(B)侵入検知システム。Genesys Cloud Services環境全体に侵入検知システムを導入しました。これは、ネットワークベース、ホストベース、またはこれら2つの組み合わせのいずれかです。
(C)無線ネットワークなし。Genesys Cloud Services環境内ではワイヤレスネットワークは使用しません。
(D) お客様とGenesysクラウドサービス環境間のデータ接続。当社は、TLS、VPNおよび/またはMPLS回線を使用して、ブラウザ、クライアントアプリ、およびモバイルアプリとGenesys Cloud Servicesとの間の接続を保護します。信頼できないネットワーク(インターネットなど)を通過する接続はTLSを使用します。
(E)Genesys Cloud Services Environmentと第三者との間のデータ接続。お客様およびお客様がお客様データを受信することを承認した第三者とのお客様データの送信または交換は、安全な方法(TLS、HTTPS、SFTPなど)を使用して行われます。
(F)暗号化されたレコーディング。通話録音とチャットセッションを暗号化します。通話記録およびチャットセッションを保護するために使用される暗号化キーを保護するために、お客様のみが知っている一意のパスワードを実装することを選択することがあります。お客様には、一時停止機能の使用など、Genesys Cloud Servicesインターフェイスを介して、機密データを記録から除外する責任があります。
(G)暗号化保護暗号化をサポートするために業界標準の方法を使用します。
(H)ロギングとモニタリング。当社は、お客様にGenesysクラウドサービスを提供するすべてのサーバーについて、運用の観点からセキュリティイベントを記録します。セキュリティ上の問題または問題を示す可能性のあるイベントを監視および調査します。イベント記録は1年間保持されます。
3ユーザーアクセス制御
3.1アクセス制御当社は、Genesys Cloud Services環境内の顧客データへのアクセスを許可されたユーザーのみに限定するため、適切なアクセス制御を実施します。
3.2あなたのユーザーアクセス。あなたはアプリケーション内のユーザーアクセス制御を管理する責任があります。ユーザーのユーザー名、役割、およびパスワードの特性(長さ、複雑さ、および有効期限)を定義します。あなたは、その管理下にあるすべてのユーザー名、パスワードおよび他のアカウント情報のセキュリティを維持するために、それ自体、そのエージェント、請負業者または従業員(すべてのユーザーを含むがこれらに限定されない)による失敗に対して全責任を負います。当社の重大な過失または意図的な行為もしくは不作為に起因するセキュリティの失効を除き、お客様は、お客様のユーザー名およびパスワードによるGenesysクラウドサービスのすべての使用、およびかかる使用に起因するすべての料金について、全面的に責任を負います。
貴社は、Genesysクラウドサービスの不正使用に気付いた場合、直ちに当社に通知するものとします。
3.3当社のユーザーアクセス当社は、Genesysクラウドサービス環境内で顧客データまたはお客様のシステムにアクセスする業務上の必要性がある当社の従業員または請負業者ごとに、個別のユーザーアカウントを作成します。当社のユーザーアカウント管理に関しては、以下のガイドラインに従います。
(A)ユーザーアカウントは、当社の管理者によって要求および承認されています。
(B)強力なパスワード管理が体系的に実施されている。
(C)90日ごとに有効期限が切れる強力なパスワードを使用して、安全なVPNを介して接続する必要があります。
(D)セッションタイムアウトは体系的に実施されます。
(E)従業員の退職または役割の移管の際にユーザーアカウントが即座に無効になり、ビジネス上のアクセスに対する有効な必要性がなくなります。
4ビジネス継続性と災害復旧
4.1中断の防止Genesys Cloud Servicesは高可用性設計で導入および構成され、Genesys Cloud ServicesはGenesys Cloud Servicesの最適な可用性を提供するために別々のデータセンターに導入されます。Genesysクラウドサービス環境は、当社の企業ネットワーク環境と物理的に分離されているため、企業環境に関わる混乱事象がGenesysクラウドサービスの可用性に影響を与えません。
4.2事業の継続性企業環境を含む混乱が発生した場合でも、継続的な監視およびサポートサービスが継続するように設計された企業の事業継続計画を維持します。
4.3惨事復旧Genesys Cloud Servicesは、高可用性の冗長設計で導入されます。フェイルオーバーに関する特定のパラメーターを定義する必要があります。Genesys Cloud Serviceについては、
5セキュリティインシデントレスポンス
5.1セキュリティインシデント対応プログラム。顧客データに関連する疑わしいおよび実際のセキュリティインシデントを特定して対応するように設計された業界標準に基づいたセキュリティインシデント応答プログラムを維持します。プログラムは少なくとも年1回見直され、テストされ、そして必要ならば更新されます。「セキュリティインシデント」とは、不正使用、削除、変更、開示、またはお客様データへのアクセスをもたらす、確認されたイベントを意味します。
5.2通知セキュリティインシデントまたは適用法に基づく通知が必要なその他のセキュリティイベントが発生した場合は、36時間以内にお客様に通知し、そのようなイベントに関して必要な通知を行うことができるように合理的に協力します。法執行機関または裁判所の命令により要求されていない。
5.3通知の詳細セキュリティインシデントに関する以下の詳細をお客様に提供します。(i)セキュリティインシデントが特定され確認された日付。 (ii)セキュリティインシデントの性質と影響。 (iii)私たちが既に取った行動。 (iv)取られるべき是正措置。 (v)代替案の評価と次のステップ。
5.4継続的なコミュニケーション。セキュリティインシデントの解決に関して適切なステータスレポートを引き続き提供し、セキュリティインシデントを修正し、将来そのようなセキュリティインシデントを防止するために誠意を持って取り組んでいきます。セキュリティインシデントをさらに調査し解決するために、お客様から合理的に要請されたとおりに協力します。
6データセンターの保護
6.1データセンターデータセンターのスペースについては、サードパーティのXZCXまたは 参加者のプロバイダと契約します。データセンタープロバイダーと関連サービスは、それらが引き続き当社のニーズとお客様のニーズを満たしていることを確認するために毎年見直されます。各データセンタープロバイダは、それぞれの独立したビジネスモデルに基づいて認証を維持しています。お客様のGenesysクラウドサービスに関連するデータセンターのセキュリティおよびコンプライアンスの証明および/または証明報告書は、書面による要請に応じて提供され、追加の機密保持契約の履行が必要な場合があります。
6.2物理的セキュリティ各データセンターは、以下の最低限の物理的セキュリティ要件を備えた安全で堅牢な施設内に収容されています。(a)保護され監視された進入地点。 (b)施設内の監視カメラ。 (c)身元確認を伴うオンサイトアクセス検証。 (d)当社が承認したアクセスリストに記載されている人のみにアクセスすること。 (e)オンサイトネットワークオペレーションセンターは24時間365日体制で配置されています。
6.3環境管理各データセンターは、冗長外部電源、冗長無停電電源装置、予備発電機電源、および冗長温度および湿度制御を提供するように装備されています。
7 Genesysクラウドサービスの使用
7.1 お客様は、以下のいずれかの目的でGenesysクラウドサービスを利用せず、また他者に使用を許可または許可しません。(i) 適用法に違反すること; (ii)悪意のあるコードを送信するため; (iii) 911または緊急サービスを送信する(またはそのような使用をサポートまたは提供するように再構成する); (iv)Genesysクラウドサービスまたはそこに含まれる第三者のデータの完全性または性能を妨害、不当に負担、または妨害する; (v) システムまたはネットワークへの不正アクセスを試みること; (vi) Genesysクラウドサービスを、再販、ライセンス、貸与またはリースを含む、ユーザー以外の第三者に提供すること。
7.2あなたは、ユーザーによる禁止された使用を防止および/または阻止するために、商業的に合理的な範囲で努力します。
7.3 貴社は、アカウントID、パスワード、ウイルス対策およびファイアウォール保護、およびGenesysクラウドサービスとの接続に関して、合理的で適切な管理上、物理的、および技術的なセキュリティレベルを維持します。
7.4あなたはすべてのVoIPサービス回線にわたって厳格なセキュリティを維持するものとします。お客様は、当社がお客様に911またはその他の緊急サービスへのアクセスを提供しないこと、またお客様は、Genesysクラウドサービスが使用される場所に立ち会っている可能性がある個人、またはGenesysクラウドサービスを使用する個人に、911またはその他の緊急ダイヤルが利用できないことを通知することに同意します。
7.5 Genesysクラウドサービスが個人データの送信または処理に使用される場合、お客様は、利用可能なセキュリティ機能の使用のみを通じて、すべての個人データが取得および使用されていることを確認するものとします。
7.6レコーディング私たちとあなたの間で、あなたはレコーディングの使用がもっぱらあなたの裁量と管理の範囲内にあることを認めます。上記を制限することなく:(i)適用されるすべての法律に準拠するように記録を実行する方法と方法を決定し、それに応じてサービスを指示することについて、お客様は単独の責任を負うものとします。 (ii)お客様は、記録が診断、品質保証、記録保管、および/またはサポート目的でのみ行われること、およびいかなる場合でも、必要とされる目的および/またはすべての適用法に準拠する目的で行われることを保証します。(a)適用されるすべての法律で許可または要求されている場合を除き、記録に銀行口座番号、クレジットカード番号、認証コード、社会保障番号、または個人データが意図的に含まれないようにします。または(v)記録が常に暗号化されている。記録が暗号化されている範囲で、またはGenesysクラウドサービスの一部としてユーザーが暗号化を選択可能な場合、ユーザーはかかる暗号化を選択するものとします。お客様は、Genesysクラウドサービス内の記録の暗号化機能を変更、無効化、または回避してはならず、それ以外の場合、暗号化機能に従ってGenesysクラウドサービスを使用することを保証するものとします。
8業界固有の認証
当社のセキュリティおよび運用管理は、業界標準の慣行に基づいており、以下の表に示されたガイドラインを満たすことが認定されています。それにもかかわらず、あなたはあなたのビジネスに必要なあらゆる業界特有の認証を達成し維持することに対して単独で責任があります。
| クラウドサービス | PCI | SOC 2タイプII | ISO 27001 | ISO 27018 | HIPAA | SIG FULL | SIG LITE | プライバシーシールド |
|---|---|---|---|---|---|---|---|---|
| Genesysクラウド | はい | はい | はい | はい | はい | はい | はい |
9監査
当社の合理的な機密保持および情報セキュリティ方針に従い、お客様またはお客様が選択した適格な第三者は、1年に1回を超えない頻度で、かつ30日前までに書面で通知することにより、お客様が当社の本Genesysクラウドセキュリティ条件の遵守状況のセキュリティ評価を実施する権利を有するものとします。ただし、お客様が当社が遵守していないと合理的に確信していることを実証していることを条件とします。通常の営業時間中、お客様またはお客様の権限を与えられた代表者は、Genesysクラウドセキュリティ条件を遵守するために実施される当社の方針および慣行を検査する場合があります。これには、サイト訪問および合理的な裏付け文書のレビューが含まれる場合があります。ただし、かかる権利には、当社の第三者ホスティング施設および機器のオンサイト点検または監査の権利が含まれないことに同意するものとします。そのような評価が、カスタマーに対する機密保持の義務を侵害したり、当社の知的財産を明らかにしたりしてはならない。本条に従って行われる評価は、当社の事業の通常の行為を妨げないものとします。当社は、かかる評価に商業的に合理的な方法で協力し、かかる評価に関連して発生した当社の合理的な費用についてお客様に請求する権利を留保します。
10プライバシー
当社は、当社の管理下にある顧客データを尊重し保護することを目的としたプライバシープログラムを策定し、これを維持します。これは、 Genesys Cloudのプライバシーポリシー.
11顧客データ
11.1 Genesysとあなたの間で、あなたはカスタマーデータの所有権とすべての知的財産権を保持し、アクセスするための非独占的、譲渡不可能、ロイヤリティフリーのライセンスを私達に与えます本サービスを提供するため、および本契約に基づく当社の義務を履行するために必要に応じて、カスタマーデータを作成、処理、保存、送信、およびその他の方法で利用すること。
11.2あなたは、本契約に基づく本サービスおよび当社のその他の義務を実行するために、カスタマーデータがカスタマーおよびカスタマーの所在する国の外に転送または保存されることに同意するものとします。
11.3カスタマーは、本契約に従って、当社がカスタマーデータを収集、アクセス、処理、保存、送信、およびその他の方法で使用するために必要なすべての同意を得たことを表明および保証します。
カスタマーは、カスタマーデータに関して、完全性、品質、合法性、およびその他すべての同様の側面に関するすべての要件を遵守するものとします。当社は、カスタマーデータを閲覧、監視または監視することは義務付けられていません。当社は、カスタマーデータの合法性、正確性または完全性を確認または決定するいかなる義務も明確に否認します。
11.4当社は、当社の管理下にあるカスタマーデータを尊重し保護するように設計されたプライバシープログラムを開発し、維持します。私達はいかなるカスタマーデータも賃貸または売却しません。
11.5当社は、に関連するデータや情報を使用することができパフォーマンス 、操作やクラウドサービスの利用、ベンチマークを実行するために研究開発を実行し、他の同様の活動を行うために、統計的な分析を作成します(「サービスの改善」)。お客様またはお客様を特定できる形式で、お客様データをサービス改善に組み込むことはありません。Genesysは、お客様が別途同意しない限り、サービス改善を実施する前に、顧客データを匿名化するために業界標準の技術を使用します。 顧客データは、常に、本Genesys Cloudセキュリティ条件に規定されたセキュリティ管理の対象となります。サービスプロバイダーは、サービス改善におけるすべての知的財産権を保持し、それらを一般に公開する場合があります。
12定義
本Genesys Cloud Security Termsにおいて、以下の定義用語は、以下に定める意味を有するものとします。
顧客データ:クラウドサービスを通じてお客様またはお客様のユーザーが送信した、お客様の専有情報およびお客様に関する情報(個人データを含む)。顧客データには、9で定義されているサービス改善は含まれません。
データセンター:Genesys Cloud Services環境を収容するデータセンター.
業界標準:Genesysのポリシーと手順に反映されているように、一般に受け入れられているクラウド情報セキュリティ実践。
個人データ: 適用されるプライバシー法により保護されているお客様に関連する情報。
Genesysクラウドサービス: 当社独自のGenesysクラウドサービスは、クラウドサービス環境でお客様に提供されます。
Genesysクラウドサービス環境: Genesys Cloud Servicesの提供に使用されるデータセンター内の機器、サーバー、ソフトウェアを含むGenesysが管理するインフラストラクチャ。
ユーザー:(i)はあなたによって認可され、供給された個々のユーザーあなたに代わってクラウドサービスにアクセスするためにあなたによって識別およびパスワード(複数可)。
| 日付 | リビジョン |
|---|---|
| 2019年08月13日 | 更新されたポリシー。 |
| 2019年08月07日 | 新しいISO認証については、セクション8の表を更新しました。 |
| 2019年07月22日 | 更新されたポリシー。新しい定義セクションが追加されました。 |
| 2019年03月20日 | 改訂履歴テーブルを追加しました。 |
| 2019年02月21日 | 更新されたポリシー。 |
