コンプライアンスプログラムと認証

コンプライアンスへの取り組み

Sitecoreでは、顧客データを保護することは、クラウドベースの製品とサービスを構築、提供、サポートするための基本です。私たちは、グローバル事業全体で最高水準のセキュリティ、プライバシー、規制コンプライアンスを維持することに取り組んでいます。

このコミットメントを実証するために、Sitecoreは、国際的に認められた基準に沿った、独立した監査を受けた認証とコンプライアンスプログラムの包括的なポートフォリオを維持しています。これには、ISO/IEC 27001、SOC 2 Type IIなどのフレームワークが含まれます。認定された第三者評価者によって確認されたこれらの基準への準拠は、Sitecoreが顧客データを保護し、グローバルなクラウドベースのサービスをサポートする人材、プロセス、テクノロジーに継続的に投資していることを示しています。

お客様やパートナー様には、現在の認定資格リストをご覧いただき、各コンプライアンス プログラムの範囲、保証レベル、適用範囲を理解することをお勧めします。

 

  ISO/IEC 27001:2022 - 情報セキュリティマネジメントシステム(ISMS)

Sitecoreの情報セキュリティマネジメントシステム(ISMS)は、情報セキュリティの世界的に認められた規格であるISO/IEC 27001:2022の認証を受けています。この認定は、情報アセットを保護するための構造化されたリスクベースのアプローチを裏付けるものであり、組織全体の人員、プロセス、テクノロジーが結束してデータを保護することを保証します。 このフレームワークを通じて、Sitecoreは、クラウド環境全体で顧客データの機密性、完全性、可用性(CIA)を維持するための包括的な制御を実装および維持すると同時に、継続的な改善とグローバルなセキュリティのベストプラクティスとの整合性を実証しています。 		グローバル
 27017.webp ISO/IEC 27017:2015 – クラウドセキュリティの行動規範

クラウドセキュリティ体制を強化するために、SitecoreはISO/IEC 27017:2015に概説されているコントロールを実装しており、クラウドサービスプロバイダーとお客様に合わせたガイダンスを提供しています。これにより、当社のセキュリティ制御は、パブリッククラウド環境に関する業界のベストプラクティスと一致し、クラウドコンピューティングに固有の課題に対処できます。		 グローバル
 27017.webp ISO/IEC 27018:2019 – パブリッククラウドにおけるPIIの保護

Sitecoreは、パブリッククラウドで処理される個人を特定できる情報(PII)の保護に関する実施基準であるISO/IEC 27018:2019に準拠しています。クラウドサービスを提供することで、Sitecoreはデータ処理者として機能し、透明性、合法性、および一般データ保護規則やCCPAなどのグローバルなデータ保護法の遵守を確保するための厳格なプライバシー管理を導入しています。		 グローバル
 27017.webp CSA STAR認証 – Cloud Security Alliance Security, Trust & Assurance Registry

Sitecoreは、ISO/IEC 27001:2022とCloud Security AllianceのCloud Controls Matrix(CCM)を統合した独立した第三者認証であるCSA STAR認証を取得しています。この認定は、IDおよびアクセス管理、暗号化、脅威検出、脆弱性管理、インシデント対応などの主要ドメインにわたるSitecoreのクラウドセキュリティおよびプライバシー慣行の成熟度、透明性、有効性を検証するものです。 CSA STARと提携することで、Sitecoreは測定可能なクラウドセキュリティ保証への継続的な取り組みを示し、ダイナミックなクラウド環境でデータを保護し、運用上のレジリエンスを維持する能力について、お客様やステークホルダーに自信を持っていただけるようにしています。 		グローバル
 27017.webp PCI DSS SAQ-D – ペイメントカード業界データセキュリティ基準 (自己評価アンケート D)

Sitecoreは、PCI DSS SAQ-D要件に準拠し、該当するサービス内でのカード会員データの安全な取り扱いをサポートします。SAQ-Dは、支払いカード情報を保存、処理、または送信するエンティティ向けの最も包括的な自己評価アンケートです。

注:PCI DSS SAQ-Dは、プラットフォームDXP(MC、XP、XM、XC)およびStorefront by Four51にのみ適用されます。その他の Sitecore 製品は PCI の対象外です。 		グローバル
 27017.webp SOC 1 Type II – システムおよび組織管理 (SSAE 18)

Sitecoreは、AICPAのSSAE 18基準で定義されている内部統制の設計と運用の有効性について独立した保証を提供するSOC 1 Type II監査を受けています。 		グローバル
 27017.webp SOC 2 Type II – システムおよび組織管理 (SSAE 18)

Sitecoreは、AICPAのSSAE 18フレームワークの下で実施される定期的なSOC 2 Type II監査を受けています。これらの独立した評価により、セキュリティ、可用性、機密性などの主要領域にわたる内部統制の運用効率が検証され、お客様は実際のプロダクション環境でのデータ管理方法について安心できます。 		グローバル
 27017.webp HIPAA – 医療保険の相互運用性と説明責任に関する法律

米国の医療セクターで事業を展開する組織の場合、Sitecoreは医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠しています。当社は、保護対象医療情報(PHI / ePHI)を保護するための保護措置を導入し、Sitecoreがビジネスアソシエイトとして行動する際に、HIPAAプライバシーおよびセキュリティ規則に基づくヘルスケアのお客様のコンプライアンス義務をサポートします。 		アメリカ大陸
 27017.webp TISAX – Trusted Information Security Assessment Exchange

Sitecoreは、自動車業界のお客様向けのTISAX(Trusted Information Security Assessment Exchange)コンプライアンス要件をサポートしています。ISO/IEC 27001に基づき、TISAXは機密データと知的財産の安全な取り扱いを保証します。私たちの連携により、規制の厳しい自動車サプライチェーン全体での安全なコラボレーションが可能になります。 		ヨーロッパ
 27017.webp IRAP – 情報セキュリティ登録評価者プログラム

Sitecoreは、オーストラリア政府の情報セキュリティマニュアル(ISM)に沿った情報セキュリティ登録評価プログラム(IRAP)に基づく評価に参加しています。これにより、当社のクラウド環境は、オーストラリアの公共部門組織の機密性の高いワークロードをサポートするために必要なセキュリティ基準を満たしています。 		アジア太平洋
 27017.webp Sitecore complies with the EU-U.S. DPF, UK Extension to the EU-U.S. DPF, and Swiss-U.S. DPF were respectively developed by the U.S. Department of Commerce and the ヨーロッパan Commission, UK Government, and Swiss Federal Administration to provide U.S. organizations with reliable mechanisms for personal data transfers to the United States from the ヨーロッパan Union, United Kingdom, and Switzerland while ensuring data protection that is consistent with EU, UK, and Swiss law. For more information on this certification, please see ここは. ヨーロッパ and United States

なぜそれが重要なのか

Sitecoreのグローバルなセキュリティとコンプライアンス基準への取り組みは、航空、自動車、金融、政府、ヘルスケア、製薬、小売などの規制された業界における信頼できるソリューションパートナーとしての役割を強化しています。私たちはグローバルスタンダードに取り組んでおり、お客様が安全でパーソナライズされたデジタル体験を提供できるよう支援しています。

詳細については、Sitecore リーガルハブ DPA、SLA、FAQをご覧ください。