以下の最小限のセキュリティ対策は、Genesys環境全体と、Genesysクラウド認証プログラム(HIPAA、ISO27001、ISO27018、PCI、SOC2など)の範囲外のサービスにおいてGenesysが管理するデータのセキュリティ管理の基本水準を反映するものです。 サブプロセッサーは、その管理下に置かれたデータについて、それぞれ管理、監査、認証を実施する。

Genesysの最小限のセキュリティコントロール

本付録は、お客様による Genesys サービスの利用に一般的に適用される最低限のセキュリティ要件について説明するものです。 特定のサービスまたはモジュールに関する追加の制御は、該当する使用許諾契約または基本契約に記載されています。 技術水準、導入コスト、処理の性質、範囲、文脈及び目的、並びに自然人の権利及び自由に対する様々な可能性及び重大性のリスクを考慮し、処理者は、リスクに見合ったレベルのセキュリティを確保するために適切な技術的及び組織的措置を導入するものとします。 したがって、プロセッサーは、本付録にさらに記載されているように、プロセッサーが保有する、またはプロセッサーによって処理されるお客様の個人データを不正アクセス、改ざん、開示、または破壊から保護するために設計された必要な合理的技術、組織、およびセキュリティ措置を使用するものとします。

1. セキュリティプログラム

Genesys は、提供するサービスの性質および範囲に適切な形でお客様データを保護するよう設計された、SOC-2 規格に具現化された一般に認められたシステム・セキュリティ原則に従う情報セキュリティ・プログラムを実施し、維持するものとします。 情報セキュリティプログラムには、少なくとも次の要素が含まれます:

a. セキュリティ啓発・教育

ジェネシスは、雇用時または契約開始時、およびその後毎年、従業員および適切な請負業者に提供される情報セキュリティおよび意識向上プログラムを実施し、維持する予定です。 啓発プログラムは電子的に配信され、合格するための最低限の要件とテストの側面が含まれています。 さらに、開発スタッフにはセキュアなコード開発トレーニングも用意されています。

b. 方針と手順

Genesys は、情報セキュリティプログラムをサポートするためのポリシーと手順を維持します。 このような方針と手続きは毎年見直され、必要に応じて更新されます。

c. マルウェア対策

Genesys は、Genesys サービス内で実行されるアプリケーションにいかなるプログラム、ルーチン、サブルーチンまたはデータ(悪意のあるソフトウェアまたは「マルウェア」、ウイルス、ワーム、トロイの木馬を含む)が含まれないよう、業界標準の慣行を使用しています。

2. ネットワークセキュリティ

Genesys は、お客様のデータを確実に保護するために、業界標準に基づく効果的なネットワーク・セキュリティー・コントロールを採用します。

3. ユーザーアクセス制御

Genesys は、許可されたユーザのみがお客様データにアクセスできるよう、適切なアクセス制御を実施します。

4. 事業継続・災害復旧

ジェネシスは、企業環境に関わる破壊的事象が発生した場合に、継続的な監視およびサポートサービスが継続されるように設計された企業事業継続計画を維持します。

5. セキュリティインシデント対応

Genesys は、お客様データに関わるセキュリティ・インシデントの疑いや発生を特定し、対応するために設計された、業界標準に基づくセキュリティ・インシデント対応プログラムを維持します。 プログラムは少なくとも年1回見直され、テストされ、そして必要ならば更新されます。 「セキュリティインシデント」とは、不正使用、削除、変更、開示、またはお客様データへのアクセスをもたらす、確認されたイベントを意味します。

日付 リビジョン
2022年8月9日 記事が作成されました。