PureCloudセキュリティポリシー


PureCloudセキュリティに関する利用規約

これらの「 PureCloudセキュリティ規約は」あなたにこの参照により組み込まれているPureCloud会社とのサービス利用規約の合意とのための契約上の要件を記述情報セキュリティとに関連したあなたに私たちが提供するデータ保護プロビジョニングのPureCloudあなたは私たちからライセンスを受けているサービス。これらの条件は、当社が顧客データをアクセスおよび管理できる範囲に適用されます。

1セキュリティプログラム

1.1セキュリティ基準提供されるPureCloudサービスの性質と範囲に応じてカスタマーデータを保護するように設計された、ISO 27001 規格 または 標準に具体化されている、一般に認められているシステムセキュリティ原則に従う情報セキュリティプログラムを実施し、維持します。

1.2セキュリティの認識とトレーニング当社は、採用または契約の開始時およびその後毎年、全従業員および適切な請負業者に提供される情報セキュリティおよび意識向上プログラムを開発し、維持します。啓発プログラムは電子的に配信され、合格するための最低限の要件とテストの側面が含まれています。

1.3ポリシーと手順私達は情報セキュリティプログラムを支援するために適切な方針と手順を維持します。ポリシーと手順は毎年見直され、必要に応じて更新されます。

1.4変更管理業界標準に基づく変更管理プロセスを利用して、クラウドサービス環境へのすべての変更が適切にレビュー、テスト、および承認されるようにします。

1.5データの保存とバックアップ文書化されたバックアップ手順に従って、重要なカスタマーデータのバックアップを作成します。カスタマーデータは、データセンター内の指定されたバックアップストレージメディアにのみ保存および維持されます。バックアップデータはポータブルメディアには保存されません。バックアップメディアに保存されたカスタマーデータは、不正アクセスから保護されます。

1.6ウイルス対策およびマルウェア対策業界標準のウイルス対策およびマルウェア対策ソリューションを使用して、クラウドサービス環境内のすべての非Linuxサーバーが、トロイの木馬、ウイルス、ワームなどの悪意のあるソフトウェアから適切に保護されるようにします。業界標準の手法を使用して、 PureCloud提供されるPureCloudサービスに、 PureCloudようにPureCloudされたプログラム、ルーチン、サブルーチン、またはデータ(悪意のあるソフトウェアまたは「マルウェア」、ウイルス、ワーム、トロイの木馬など)が含まれないようにしますPureCloudサービスの適切な操作、または特定のイベントの発生、時間の経過、またはアクションの実行または失敗により、 PureCloudサービスが破壊、損傷、または動作不能になります。あなたは、ライセンスキーの使用がこのセクションの違反にならないことを認めます。

1.7脆弱性とパッチ管理。当社は、当社の情報セキュリティプログラムの基準への準拠を確実にする脆弱性管理プログラムを維持します。

1.8データ破壊私たちと下請業者は、業界標準プロセスに従って、以前の顧客データを保持していた古いデータと廃棄された機器を破壊します。

1.9侵入テスト少なくとも年1回、独立した認定ベンダーと脆弱性評価およびペネトレーションテストを実施します。エンゲージメント中に識別された問題は、識別された問題のリスクレベルに見合った妥当な期間内に適切に対処されます。テスト結果のエグゼクティブサマリーのクレンジング版は、書面による要求に応じてお客様に提供され、秘密保持契約の対象となります。

2ネットワークセキュリティ

2.1ネットワーク制御業界標準に基づく効果的なネットワークセキュリティ制御を採用して、データセンター内の他の顧客環境から顧客データを確実にセグメント化および分離します。コントロールには以下が含まれますが、これらに限定されません。

(A)ファイアウォールサービス。PureCloudサービスインフラストラクチャを保護するためにファイアウォールサービスを使用しています。私たちはきめ細かい入力および出力ルールを維持し、変更は私たちの変更管理システムを通して承認されなければなりません。

(B)侵入検知システム。PureCloudサービス環境全体に侵入検知システムを実装しました。これは、ネットワークベース、ホストベース、またはこれら2つの組み合わせのいずれかです。

(C)無線ネットワークなし。PureCloudサービス環境内ではワイヤレスネットワークを使用しません。

(D)あなたとPureCloudサービス環境との間のデータ接続。TLS、VPN、および/またはMPLS回線を使用して、ブラウザ、クライアントアプリ、およびモバイルアプリからPureCloudサービスへの接続を保護します。信頼できないネットワーク(インターネットなど)を通過する接続はTLSを使用します。

(E)PureCloudサービス環境と第三者との間のデータ接続。お客様およびお客様がお客様データを受信することを承認した第三者とのお客様データの送信または交換は、安全な方法(TLS、HTTPS、SFTPなど)を使用して行われます。

(F)暗号化されたレコーディング。通話録音とチャットセッションを暗号化します。通話記録およびチャットセッションを保護するために使用される暗号化キーを保護するために、お客様のみが知っている一意のパスワードを実装することを選択することがあります。一時停止機能の使用など、PureCloudサービスインターフェイスを使用して、機密データを記録から除外する責任があります。

(G)暗号化保護暗号化をサポートするために業界標準の方法を使用します。

(H)ロギングとモニタリング。PureCloudサービスをお客様に提供するすべてのサーバーについて、運用上の観点からセキュリティイベントを記録します。セキュリティ上の問題または問題を示す可能性のあるイベントを監視および調査します。イベント記録は1年間保持されます。

3ユーザーアクセス制御

3.1アクセス制御適切なアクセス制御を実装して、許可されたユーザーのみがPureCloudサービス環境内の顧客データにアクセスできるようにします。

3.2あなたのユーザーアクセス。あなたはアプリケーション内のユーザーアクセス制御を管理する責任があります。ユーザーのユーザー名、役割、およびパスワードの特性(長さ、複雑さ、および有効期限)を定義します。あなたは、その管理下にあるすべてのユーザー名、パスワードおよび他のアカウント情報のセキュリティを維持するために、それ自体、そのエージェント、請負業者または従業員(すべてのユーザーを含むがこれらに限定されない)による失敗に対して全責任を負います。重大な過失、故意による行為、または不作為によってセキュリティが失効した場合を除き、あなたが承認したかどうかにかかわらず、PureCloudサービスを介したPureCloudサービスの使用およびその使用に起因するすべての料金は全責任です。

PureCloudサービスの不正使用に気付いた場合は、直ちに当社に通知します。

3.3当社のユーザーアクセスPureCloudサービス環境内の顧客データまたはお客様のシステムにアクセスするビジネス上のニーズがある従業員または請負業者ごとに個別のユーザーアカウントを作成します。当社のユーザーアカウント管理に関しては、以下のガイドラインに従います。

(A)ユーザーアカウントは、当社の管理者によって要求および承認されています。

(B)強力なパスワード管理が体系的に実施されている。

(C)90日ごとに有効期限が切れる強力なパスワードを使用して、安全なVPNを介して接続する必要があります。

(D)セッションタイムアウトは体系的に実施されます。

(E)従業員の退職または役割の移管の際にユーザーアカウントが即座に無効になり、ビジネス上のアクセスに対する有効な必要性がなくなります。

4ビジネス継続性と災害復旧

4.1中断の防止PureCloudサービスは高可用性設計で展開および構成され、PureCloudサービスは別々のデータセンターに展開されて、PureCloudサービスの最適な可用性が提供されます。PureCloudサービス環境は、当社の企業ネットワーク環境から物理的に分離されているため、企業環境関連する中断イベントがPureCloudサービスの可用性に影響を与えることはありません。

4.2事業の継続性企業環境を含む混乱が発生した場合でも、継続的な監視およびサポートサービスが継続するように設計された企業の事業継続計画を維持します。

4.3惨事復旧PureCloudサービスは、高可用性の冗長設計で展開されます。フェイルオーバーに関する特定のパラメーターを定義する必要があります。PureCloudサービスに関しては、アクティブ-アクティブ-アクティブ構成を採用しています

5セキュリティインシデントレスポンス

5.1セキュリティインシデント対応プログラム。顧客データに関連する疑わしいおよび実際のセキュリティインシデントを特定して対応するように設計された業界標準に基づいたセキュリティインシデント応答プログラムを維持します。プログラムは少なくとも年1回見直され、テストされ、そして必要ならば更新されます。「セキュリティインシデント」とは、不正使用、削除、変更、開示、またはお客様データへのアクセスをもたらす、確認されたイベントを意味します。

5.2通知セキュリティインシデントまたは適用法に基づく通知が必要なその他のセキュリティイベントが発生した場合は、36時間以内にお客様に通知し、そのようなイベントに関して必要な通知を行うことができるように合理的に協力します。法執行機関または裁判所の命令により要求されていない。

5.3通知の詳細セキュリティインシデントに関する以下の詳細をお客様に提供します。(i)セキュリティインシデントが特定され確認された日付。 (ii)セキュリティインシデントの性質と影響。 (iii)私たちが既に取った行動。 (iv)取られるべき是正措置。 (v)代替案の評価と次のステップ。

5.4継続的なコミュニケーション。セキュリティインシデントの解決に関して適切なステータスレポートを引き続き提供し、セキュリティインシデントを修正し、将来そのようなセキュリティインシデントを防止するために誠意を持って取り組んでいきます。セキュリティインシデントをさらに調査し解決するために、お客様から合理的に要請されたとおりに協力します。

6データセンターの保護

6.1データセンターデータセンターのスペースについては、サードパーティのXZCXまたは 参加者のプロバイダと契約します。データセンタープロバイダーと関連サービスは、それらが引き続き当社のニーズとお客様のニーズを満たしていることを確認するために毎年見直されます。各データセンタープロバイダは、それぞれの独立したビジネスモデルに基づいて認証を維持しています。お客様のPureCloudサービスに関連するデータセンターのセキュリティおよびコンプライアンスの証明書および/または認証レポートは書面による要求に応じて提供され、実行するために追加の秘密保持契約が必要となる場合があります。

6.2物理的セキュリティ各データセンターは、以下の最低限の物理的セキュリティ要件を備えた安全で堅牢な施設内に収容されています。(a)保護され監視された進入地点。 (b)施設内の監視カメラ。 (c)身元確認を伴うオンサイトアクセス検証。 (d)当社が承認したアクセスリストに記載されている人のみにアクセスすること。 (e)オンサイトネットワークオペレーションセンターは24時間365日体制で配置されています。

6.3環境管理各データセンターは、冗長外部電源、冗長無停電電源装置、予備発電機電源、および冗長温度および湿度制御を提供するように装備されています。

7 PureCloudサービスの利用

7.1あなたは、PureCloudサービスを以下のいずれかの目的で使用することはできず、また他者に許可することも許可もしません。(i)適用法に違反すること。 (ii)悪意のあるコードを送信すること。 (iii)911または何らかの緊急サービスを送信する(またはそのような使用をサポートまたは提供するように再構成する)こと。 (iv)PureCloudサービスまたはその中に含まれるサードパーティーの or 参加者データの完全性または性能を妨げる、不当に負担をかける、または中断させること(v)システムまたはネットワークへの不正アクセスを試みること。 (vi)PureCloudサービスを再販、ライセンス、貸与またはリースを含めてユーザー以外の第三者に提供すること。

7.2あなたは、ユーザーによる禁止された使用を防止および/または阻止するために、商業的に合理的な範囲で努力します。

7.3カスタマーは、そのアカウントID、パスワード、ウイルス対策およびファイアウォールの保護、そしてPureCloudサービスとの接続性に関して、合理的かつ適切な管理上、物理上、および技術上のセキュリティレベルを維持します。

7.4あなたはすべてのVoIPサービス回線にわたって厳格なセキュリティを維持するものとします。あなたは、私たちがあなたに911または他の緊急サービスに到達する能力を提供しないことを認め、あなたはPureCloudサービスが使用される場所にいる可能性のある個人、その他の緊急ダイヤル

7.5 PureCloudサービスを使用して個人データを送信または処理する場合は、利用可能なセキュリティ機能を使用することによってのみすべての個人データが取得され使用されるようにします。

7.6レコーディング私たちとあなたの間で、あなたはレコーディングの使用がもっぱらあなたの裁量と管理の範囲内にあることを認めます。上記を制限することなく:(i)適用されるすべての法律に準拠するように記録を実行する方法と方法を決定し、それに応じてサービスを指示することについて、お客様は単独の責任を負うものとします。 (ii)お客様は、記録が診断、品質保証、記録保管、および/またはサポート目的でのみ行われること、およびいかなる場合でも、必要とされる目的および/またはすべての適用法に準拠する目的で行われることを保証します。(a)適用されるすべての法律で許可または要求されている場合を除き、記録に銀行口座番号、クレジットカード番号、認証コード、社会保障番号、または個人データが意図的に含まれないようにします。または(v)記録が常に暗号化されている。PureCloudサービスの一部として、記録が暗号化されている範囲、または暗号化が選択可能な範囲で、あなたはそのような暗号化を選択するものとします。あなたは、PureCloudサービス内の記録暗号化機能を変更、無効化、または回避してはならず、そうでなければ、それが暗号化機能に従ってPureCloudサービスを使用することを保証するものとします。

8業界固有の認証

当社のセキュリティおよび運用管理は、業界標準の慣行に基づいており、以下の表に示されたガイドラインを満たすことが認定されています。それにもかかわらず、あなたはあなたのビジネスに必要なあらゆる業界特有の認証を達成し維持することに対して単独で責任があります。

クラウドサービス PCI SOC 2タイプII ISO 27001 ISO 27018 HIPAA SIG FULL SIG LITE プライバシーシールド
PureCloud はい はい はい はい はい はい はい

9監査

当社の合理的な機密性とを条件として情報セキュリティポリシー、ユーザーまたは資格の三相手あなたが選択したが、1回以下年、権利を有するものとし、30(30)日間の書面による通知をもって、当社のコンプライアンスのセキュリティ評価を行うためにこれらのPureCloudセキュリティ条件の条件を使用して、お客様が当社がコンプライアンスに準拠していないという合理的な信念を持っていることを証明した場合。通常の営業時間中は、あなたやあなたの認可代表がこれらに準拠するために実装当社の方針および慣行検査することができるPureCloud含まれるセキュリティ用語、 サイトあなたは、そのような権利が含まれてはならないことに同意することを提供し、訪問して合理的なサポートマニュアルの見直しを右オンにサイトの点検や当社のサードの監査相手ホスティング施設や設備。そのような評価が、カスタマーに対する機密保持の義務を侵害したり、当社の知的財産を明らかにしたりしてはならない。本条に従って行われる評価は、当社の事業の通常の行為を妨げないものとします。当社は、かかる評価に商業的に合理的な方法で協力し、かかる評価に関連して発生した当社の合理的な費用についてお客様に請求する権利を留保します。

10プライバシー

当社は、当社の管理下にある顧客データを尊重および保護するために設計されたプライバシープログラムを開発し、維持します。 PureCloudプライバシーポリシー

11顧客データ

11.1 Genesysとあなたの間で、あなたはカスタマーデータの所有権とすべての知的財産権を保持し、アクセスするための非独占的、譲渡不可能、ロイヤリティフリーのライセンスを私達に与えます本サービスを提供するため、および本契約に基づく当社の義務を履行するために必要に応じて、カスタマーデータを作成、処理、保存、送信、およびその他の方法で利用すること。

11.2あなたは、本契約に基づく本サービスおよび当社のその他の義務を実行するために、カスタマーデータがカスタマーおよびカスタマーの所在する国の外に転送または保存されることに同意するものとします。

11.3カスタマーは、本契約に従って、当社がカスタマーデータを収集、アクセス、処理、保存、送信、およびその他の方法で使用するために必要なすべての同意を得たことを表明および保証します。

カスタマーは、カスタマーデータに関して、完全性、品質、合法性、およびその他すべての同様の側面に関するすべての要件を遵守するものとします。当社は、カスタマーデータを閲覧、監視または監視することは義務付けられていません。当社は、カスタマーデータの合法性、正確性または完全性を確認または決定するいかなる義務も明確に否認します。

11.4当社は、当社の管理下にあるカスタマーデータを尊重し保護するように設計されたプライバシープログラムを開発し、維持します。私達はいかなるカスタマーデータも賃貸または売却しません。

11.5当社は、に関連するデータや情報を使用することができパフォーマンス 、操作やクラウドサービスの利用、ベンチマークを実行するために研究開発を実行し、他の同様の活動を行うために、統計的な分析を作成します(「サービスの改善」)。お客様またはお客様を特定できる形式で、お客様データをサービス改善に組み込むことはありません。Genesysは、お客様による別段の同意がない限り、サービスの改善を実行する前に、業界標準技術を使用して顧客データを匿名化します。顧客データは、常にこれらのPureCloudセキュリティ規約に記載されているセキュリティ管理の対象となります。サービスプロバイダーは、サービス改善におけるすべての知的財産権を保持し、それらを一般に公開する場合があります。

12定義

これらのPureCloudセキュリティ規約の目的のために、以下の定義された用語は以下に記載された意味を有するものとします。

顧客データ:クラウドサービスを通じてお客様またはお客様のユーザーが送信した、お客様の専有情報およびお客様に関する情報(個人データを含む)。顧客データには、9で定義されているサービス改善は含まれません。

データセンター:PureCloudサービス環境を収容するデータセンター

業界標準:Genesysのポリシーと手順に反映されているように、一般に受け入れられているクラウド情報セキュリティ実践。

個人データ: 適用されるプライバシー法により保護されているお客様に関連する情報。

PureCloudサービス: クラウドサービス環境でお客様に提供される当社独自のPureCloudサービス。

PureCloudサービス環境:PureCloudサービスを提供するために使用されるデータセンター内の機器、サーバー、ソフトウェアを含むGenesys制御のインフラストラクチャ。

ユーザー:(i)はあなたによって認可され、供給された個々のユーザーあなたに代わってクラウドサービスにアクセスするためにあなたによって識別およびパスワード(複数可)。

日付 改訂
2019年08月13日 更新されたポリシー。
2019年08月07日 新しいISO認証については、セクション8の表を更新しました。
2019年07月22日 更新されたポリシー。新しい定義セクションが追加されました。
2019年03月20日 改訂履歴テーブルを追加しました。
2019年02月21日 更新されたポリシー。