Zohoは情報セキュリティ基準を厳守していますか。
当社は、当社のセキュリティ上の目標、関係者全員に関するリスクと緩和策を考慮し、ISO標準に基づくセキュリティ管理システム(ISMS)を実施しています。当社は、ISO 27001、ISO27017、ISO27018の認証を取得することにより、各標準の遵守を実証しています。
私のデータはどこに保管されていますか?自分のアカウントとデータが置かれる場所を選ぶことができますか?
Zoho Servicesに登録している間は、お客さまのデータが保管されるデータセンターは、お客さまが選択した国に基づいて自動的に選択されます。 選択されているデータセンターは、登録フォームの国選択リストのすぐ下に表示されています。
お客さまがZohoにサインインし当社のアプリケーションを使用しているときは、ブラウザーのURLをご確認いただくか、こちらをクリックすることで、お客さまのデータが保管されているデータセンターを知ることができます。
- 1. URLが「*.zoho.com」([アスタリスク(*)]はZohoアプリケーション(crm、people、oneなど)の名称を示します)の形式の場合、お客さまのデータはアメリカのDCに保管されています。
- 2. URLが「*.zoho.eu」の形式の場合、お客さまのデータはEU(ヨーロッパ)のDCに保管されています。
- 3. URLが「*.zoho.in」の形式の場合、お客さまのデータはIN(インド)のDCに保管されています。
- 4. URLが「*.zoho.com.au」の形式の場合、お客さまのデータはAU(オーストラリア)のDCに保管されています。
- 5. URLが「*.zoho.jp」の形式の場合、お客さまのデータはJP(日本)のDCに保管されています。
Zoho従業員は、私たちのデータに対するアクセス権をもっているのですか?その場合、どのデータに対するアクセス権を有するのですか?
トラブルシューティングなど非常時の作業を行う場合、サーバーにアクセスできるのは非常に限られた人数の従業員に限定されます。さらに、データ暴露リスクを低減するためかかるアクセスは厳しくモニタリングされ、記録されます。
Zohoクラウド商品に保管されているデータは暗号化されていますか?
当社は、データの転送時と保存時の両方で、お客さまのデータを暗号化しています。保存中のデータは、業界標準のAES-256を使用して暗号化しています。公開ネットワークを介して送信されるお客さまのデータはすべて、Perfect Forward Secrecy(PFS)のトランスポート層セキュリティ(TLS)1.2/1.3を用いて暗号化し、不正な開示や変更から保護しています。Zohoの暗号化に関する詳細情報は、こちらをクリックしてください。
暗号化鍵はどのように管理しているのですか、そして顧客は自分の鍵をアップロードすることができますか?
鍵は、社内キー管理サービス(KMS)を使用して所有および維持します。現在、お客さまがご自身の鍵をアップロードする機能はありません。
Zohoクラウドサービスのパスワードの保管方法。
お客さまがZohoのサービスにアクセスするために使用するパスワードは、不可逆的な暗号化方式で保管されています。当社では、per-user-saltとともにbcryptハッシュアルゴリズムを使用しているため、当社のサインインデータベースが盗まれたとしても、パスワードをリバースエンジニアリングするには法外な費用がかかります。
Zohoクラウドサービスでは、データの分割をどのように実施していますか。
当社のフレームワークでは、お客さまにクラウドスペースを提供し維持しています。複数のお客さまのデータが論理的に相互に分離されており、当社のフレームワークではお客さまのサービスデータが他のお客さまにアクセス可能となることはありません。
Zohoは、どのようにしてDDos攻撃から保護していますか?
当社は、定評があり信頼のおける複数のDDoS機能を提供するサービスプロバイダの技術を使用し、かかる攻撃による当社サーバーの中断を防いでいます。
Zohoは、侵入テストとコードのスキャンを実施していますか。
当社では、侵入テストを自動と手動で定期的に行っています。認定された第三者のスキャンツールやコードをスキャンする社内ツールを組み合わせて使用しています。
貴社の商品の脆弱性を発見しました。どのように報告したらよいですか?
当社の商品に脆弱性を発見した場合、早急に修正できるように、当社に知らせてくだされば幸いです。当社には、責任ある情報開示ポリシーとバグ報奨金プログラムがあります。詳細については、https://bugbounty.zohocorp.com/をご覧ください。
Zohoには、インシデント対応プログラムがありますか。
当社には、インシデント対応専任チームがあり、インシデントの検出、評価、フォレンジック、コンテインメント、リカバリーなどの活動を行っています。当社がデータの管理者で、インシデントがデータ侵害につながる場合は、侵害に気づいてから72時間以内に、影響を受けるお客さまに通知します。当社がデータの処理者で、インシデントがデータ侵害につながる場合は、不当な遅延なくかかる各管理者に通知します。
全体的なインシデントの場合には、ブログ、フォーラム、ソーシャルメディアを通じてユーザーに通知します。特定の個人ユーザーまたは組織に生じたインシデントの場合には、(主要なメールアドレスへの)メールにより当事者に通知します。リクエストに応じ、5~7営業日以内に、お客さまに完全なレポートを提供します。
セキュリティインシデントの間、Zohoはどのような責任を負っているのですか。
お客さまに該当するインシデント、お客さまが行う必要のある適切な措置をお知らせします。当社は、適切な是正措置を取りそのインシデントを追跡し終了させます。必要に応じて、お客さまに該当するインシデントに関する必要なエビデンスをお客さまに提供します。根本原因解析は、リクエストに応じ、提供されます。
Zohoは、PCI DSSを遵守していますか?
Zoho Servicesでは、以下がPCI DSSに準拠しています。すべてのZoho Finance Plus商品、つまりZoho Books、Zoho Invoice、Zoho Inventory、Zoho Subscription、Zoho Expense、Zoho Checkout、Zoho Commerce。また、お客さまがZohoのサブスクリプションを購入するときに使用するPaymentsサービスもPCIに準拠しています。
その他のZohoサービスでは、お客さまのクレジットカード情報を送信したり保存したりすることはありません。
Zohoの顧客として、自分のデータを保護するために追加できるセキュリティオプションは何ですか。
お客さまが利用できる追加セキュリティ機能は、以下のとおりです。
- 多要素認証
- 設定可能なパスワードポリシー
- IPの制限
- 役割ベースのアクセス管理
- カスタム項目の暗号化
- 入出金監査
顧客がZohoのサービスを中止した場合に、どれぐらいの期間、データが保持されますか?
当社は、お客さまがZoho Servicesの利用を選択している限り、お客さまのアカウント内のデータを保持します。Zohoのユーザーアカウントを終了すると、お客さまのデータは、6か月ごとに行われる次のクリーンアップにおいてアクティブなデータベースから削除されます。アクティブなデータベースから削除されたデータは、3か月後にバックアップから削除されます。
Zohoの事業継続性および障害復旧プランとは?
当社には、サポートとインフラの管理など当社の主要なオペレーションに関する事業継続計画があります。冗長については、プライマリデータセンター(DC)のデータがセカンダリに複製されます。プライマリDCに不具合が生じた場合、セカンダリDCが役目を引き継ぎ最小のロスタイム、またはロスタイムなしに速やかに運用を継続させます。
データバックアップポリシーとは?
当社では、完全バックアップを週に一度、増分バックアップを毎日行っています。データセンターのバックアップデータは元データと同じ場所に保存され、保存データの暗号化が行われます。さらに、バックアップの復元と検証も毎週行っています。バックアップされたデータにはすべて、3か月の保持期間が適用されます。特定のお客さまからリクエストがあった場合は、バックアップからデータを復元し、お客さまがご利用できるようにします。
顧客データにアクセスする際に、どのような管理策を実施していますか?
当社では、技術アクセス管理と社内ポリシーにより、従業員が恣意的にユーザーデータにアクセスすることを禁じています。データ暴露リスクを低減するため、最小権限と役割ベースの許可の原則に従っています。実稼働環境へのアクセスは、規則の厳しいセキュリティ強化された端末で別のネットワークを経由して行い、中央ディレクトリで管理され、強力なパスワード、2段階認証、パスフレーズ保護されたSSH鍵を組み合わせて認証されています。
SLA可用性保証とは?
SLA可用性保証は、月間稼働率99.9%です。当社には、インフラストラクチャーからISPまでさまざまなレベルで実装されている冗長性があります。プライマリデータセンターからのデータはセカンダリで複製され、常にZohoアプリの読み込み限定バージョンだけが、セカンダリデータセンターから提供されます。
リスク評価プロセスとは?リスク評価を実施する頻度は?
当社は、適切な管理策を実施することでリスクを認識、分析、緩和するリスク評価ポリシーと手順を有しています。当社の環境にて発生した主な変更にはすべて、リスク評価を実施しています。全体的なリスクは、一年に一度レビューしアップデートしています。
従業員の身元調査ポリシーとは?
各従業員には、身元調査のプロセスを実施します。当社は評判の良い外部機関に依頼し、当社の代わりにこの調査を実施してもらっています。これは、犯罪歴の有無、以前の雇用歴(ある場合)、そして学歴を確認するために行っています。この調査が完了するまで、その従業員にはユーザーにリスクを与える可能性のあるタスクを割り当てません。
Zohoは、自社の基準への準拠を示すために、どのような認証を受けているのですか。
当社は、ISO27001、ISO27017、ISO27018の認証を取得しています。また、Zohoはセキュリティ、機密性、処理の完全性、可用性、プライバシーにおいてSOC 2 Type IIに準拠しています。これらのISOおよびSOC監査はすべての重要かつ不可欠な管理策を対象とし、毎年実施されています。
法執行を目的としたデータの共有はありますか?
当社は、お客さまのプライバシーを最重要事項に掲げています。法執行機関からの要請を受けた場合、当社はかかる要請をレビューし、有効で拘束力のある命令を得るための適切な法的手続きに従っているかどうかを確認します。行き過ぎまたはその他不適切な要求には異議を唱えます。法律で禁止されている場合を除き、当社は顧客データを開示する前にお客さまに通知し、お客さまが開示からの保護を求めることができるようにしています。
お客さまと弊社の契約関係には、本文書の英語版が適用されます。本文書はお客さまの利便性の向上を目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版についてはこちらをご覧ください。