DORA に関するよくある質問
Sitecoreがお客様のDORAコンプライアンス義務の達成をどのようにサポートしているかをご覧ください
2 所要時間
DORAとは?
EU デジタル オペレーショナル レジリエンス規則および関連する規制技術基準 (DORA) は、金融機関および情報通信テクノロジー (ICT) サービス プロバイダーを含む重要なサードパーティ サービス プロバイダーのオペレーショナル レジリエンスを強化することを目的とした EU の規制です。インシデント レポート、リスク管理、および運用継続性の要件を確立します。
DORA は Sitecore に適用されますか?
金融機関はDORA規制の対象となります。Sitecoreは、クラウドサービス(SaaSおよびホスティング)を提供するICTサービスプロバイダーとして、DORAに直接適用されませんが、金融機関のお客様がICTサービスに適用されるDORAに基づくコンプライアンス義務を果たすことを全面的にサポートします。
Sitecoreは、お客様がDORAの義務を果たすためにどのように支援していますか?
Sitecoreは、以下の点で金融機関のお客様を支援します。
- サービスの回復力と可用性を確保するための堅牢なセキュリティ対策を提供します。
- セキュリティインシデント通知を含む、インシデント管理のための明確なドキュメントとサポートを提供します。
- 必要に応じて、DORA 要件に対応する特定の契約条件または補遺を組み込むこと。
具体的な詳細は、Sitecoreのクラウド製品に関するDORA補遺(アカウントエグゼクティブを通じて入手可能)に記載されています。
Sitecoreは、標準のDPAでDORA特定の条件を提供していますか?
はい、Sitecore の標準ですデータ処理契約(DPA)DORA およびデータ処理場所に特定のインシデント対応規制協力に関する用語が含まれています。
SitecoreはDORAのインシデント通知要件にどのように対処していますか?
Sitecoreは、インシデントの検出、対応、コミュニケーションに関する業界のベストプラクティスに従っています。当社は、DORA の下で適用される可能性のある厳格なインシデント通知タイムライン (24 時間など) を認識し、お客様がコンプライアンス義務を果たすのを支援するために、既存のセキュリティ慣行を適応させています。具体的な詳細は、Sitecoreのクラウド製品に関するDORA補遺(アカウントエグゼクティブを通じて入手可能)に記載されています。
Sitecoreではどのようなオペレーショナルレジリエンス対策を実施していますか?
Sitecoreは、次のような包括的なセキュリティプログラムを実装しています。
- 定期的なリスク評価と監査。
- ビジネス継続性とディザスター リカバリー計画。
- 潜在的な脅威を迅速に検出して対処するためのシステムの監視と警告。
- ISO 27001やSOC 2など、世界的に認められたセキュリティ基準への準拠については、以下のリストをご覧ください。認定はこちら。
Sitecoreは「下請け業者」をどのように定義し、これはDORAにどのように適用されますか?
Sitecoreのクラウドサービスのコンテクストでは、当社は「下請け業者」を当社のサブプロセッサーと連携させると考えています。これらは、製品ごとにリストされているサードパーティのエンティティです。Sitecoreのオンラインサブプロセッサーリストは、クラウドサービスを提供するために、Sitecoreに代わって顧客データ(つまり、クラウドサービスの使用を通じてお客様がSitecoreに提供したデータ)を処理します。特定の詳細については、Sitecoreのクラウド製品に関するDORA補遺をご覧ください。
Sitecoreは、お客様のDORA報告義務をサポートできますか?
はい、Sitecoreは、Sitecoreのクラウド製品に関するDORA補遺に記載されているように、お客様のDORA報告義務をサポートするために、セキュリティインシデントと運用上の回復力に関する関連する情報を提供できます。ただし、お客様は、規制当局にレポートを提出するなど、DORA へのコンプライアンスを確保する責任を引き続き負います。
Sitecoreのセキュリティとレジリエンスに対するアプローチは、DORAの目標とどのように一致していますか?
Sitecoreは、セキュリティ、継続性、顧客コラボレーションへの取り組みにより、DORAの中核となる目標である運用上のレジリエンスと効果的なインシデント管理との整合性を確保しています。私たちのプライバシーとセキュリティのページはこちら 詳細については、こちらをご覧ください。
Sitecoreがお客様のDORA義務の遵守をサポートするための契約上の手段は何ですか?
DORA では、ICT 契約に追加の契約要件を含める必要があります。Sitecoreのクラウド製品はICTサービスです。したがって、Sitecoreのクラウド製品に関するDORA補遺には、第28条から第30条に規定されている特定のDORA契約要件が含まれており、これにより、お客様のDORA契約上の義務の遵守が保証されます。DORA補遺は、お客様のアカウントエグゼクティブを通じて署名することができます。
DORA に基づく Sitecore のオンプレミス ソフトウェアのライセンスはどうなりますか?
Sitecoreのオンプレミスソフトウェアは、その性質上「サービス」ではなく、特定の知的財産権を使用するためのライセンスです。当社のオンプレミスソフトウェアがお客様のITチーム環境にインストールされると、Sitecoreはお客様のITチーム環境でソフトウェアまたはソフトウェアによって処理されるデータを管理できなくなります。これは、Sitecoreポータルからアクセスし、ITチーム環境へのアクセスを必要としないSitecoreのサポートに関しても同様です。したがって、DORAのコンテクストでは、それはICTアセットであり、ICTサービスではありません。したがって、第 28 条から第 30 条に規定されている DORA の契約要件は、オンプレミス ソフトウェアには適用されません。それどころか、第3条第7項に従って、金融機関は、ICT管理フレームワークを確立し、不正使用や不正アクセスなどから生じるさまざまなリスクからオンプレミスソフトウェアを保護する際に、オンプレミスソフトウェアを考慮に入れる必要があります。
Sitecoreは、金融機関が第3条(7)およびオンプレミスソフトウェアに関するDORA補遺を遵守するための施設を提供し、金融機関のお客様が義務を果たすのを支援します。オンプレミス ソフトウェアの DORA 補遺は、アカウント エグゼクティブを通じて署名できるようになります。
お客様がSitecoreからクラウド製品とオンプレミスソフトウェアの両方を購入した場合はどうなりますか?
クラウド製品の DORA 補遺と、署名用のオンプレミス ソフトウェアの DORA 補遺の両方が提供されます。
SitecoreとDORAのコンプライアンスの詳細については、どこに問い合わせればよいですか?
特定の質問がある場合、または追加のサポートが必要な場合は、アカウントエグゼクティブにお問い合わせください。