会員と学習者のデータ保護に全力を尽くす
お客様のデータのセキュリティ、機密性、プライバシー、完全性、可用性を維持することは、私たちのチームにとって非常に重要です。会員と学習者を第一に考えるという継続的なコミットメントの一環として、パーチメントは強固で透明性の高い情報セキュリティおよびコンプライアンスプログラムを構築しています。
コンプライアンス
フレームワーク
羊皮紙の情報セキュリティ管理システムは、業界のベストプラクティスであるNIST CSF、PCI DSSに基づいています。これらのフレームワークを通して、会員と学習者は、羊皮紙との協力が信頼でき、一貫性があり、安全な体験であることを信頼することができます。
SOC2タイプII
- 羊皮紙は毎年、第三者による SOC2 Type II 監査を受けている。 AICPA は、顧客が様々なレベルで保護されていることを保証する。SOC2 Type II の監査範囲は、以下のすべてをカバーしている。 羊皮紙製品セキュリティ、機密性、可用性、処理の完全性、プライバシーの5つのトラストサービス基準をすべて網羅しています。
PCI
- Payment Card Industry Data Security Standard(PCI DSS)は、PCI Security Standards Council(PCIセキュリティ基準評議会)が管理する独自の情報セキュリティ基準です。PCI DSSは、顧客のペイメントカード情報を保護するための「最低限のセキュリティ基準」を確立するために、PCIセキュリティ基準評議会によって採用された一連のネットワークセキュリティおよびビジネスベストプラクティスガイドラインです。PCI DSSはカードブランドによって義務付けられており、Payment Card Industry Security Standards Councilによって管理されている。
- 羊皮紙はレベル1のサービスプロバイダーとしてPCI DSSに準拠しています。クレジットカードのデータを安全に取り扱うため、羊皮紙は Chase と提携し、安全で信頼性の高い支払いプロセスを提供しています。羊皮紙はカード会員データを直接保存、処理、送信することはありません。羊皮紙は、資格のあるセキュリティ評価者による、現行の PCI DSS 要件に対する準拠性評価を毎年受けています。ご要望に応じて、準拠証明書のコピーをご提供いたします。
フェルパ
- The Family Educational Rights and Privacy Act (FERPA) は1974年に制定された連邦法で、学生の教育記録のプライバシーを保護するものです。羊皮紙は、FERPAで保護された記録へのすべての要求とアクセスを、安全かつ遵守した方法で取り扱い、必要に応じて常に同意を求め、不正な開示を防ぎます。
アクセシビリティ VPAT 508 コンプライアンス
- 羊皮紙は サービスを利用しやすくすることを約束する アクセシビリティ基準を満たし、またはそれを超えることで、障がいのある個人へのサービスを提供します。私たちは羊皮紙サービスのデザインと開発において、ウェブコンテンツアクセシビリティガイドライン(WCAG)2.0レベルAAガイドラインへの準拠を目標としています。これらのガイドラインに準拠することで、羊皮紙はよりアクセシブルで誰にとっても使いやすいものとなります。私たちはこの基準への準拠を維持するため、羊皮紙のサービスを定期的に強化し、テストしています。
- 自主製品アクセシビリティ・テンプレートは、プロバイダーが特定の製品のアクセシビリティを自己開示するために使用する文書です。ご要望があれば、製品固有のVPATのコピーをご提供いたします。
プライバシー
私たちは、学習者と会員のプライバシーに深くコミットし、私たちのすべての活動においてプライバシー・バイ・デザインを採用しています。透明性は信頼を築くものであり、プライバシー権および 利用規約について、すべての利用者に通知することを強く信じています。プライバシーに関するご質問やご不明な点がございましたら、Privacy@parchment.comまでご連絡ください。
GDPRとCCPA
羊皮紙はコンプライアンスを念頭に個人情報を取り扱っています。当社のプラットフォームは一般データ保護規則(GDPR)に準拠し、カリフォルニア州消費者プライバシー法(CCPA)の基準を満たしています。羊皮紙のプライバシーポリシー、データ保護補遺、および指定スーパープロセッサーをご参照ください。プライバシーに関する権利の行使を希望される場合は、Privacy@parchment.comまでご連絡ください。
セキュリティ管理
空室状況と信頼性
Parchment のシステムは Amazon Web Services(SOC1、SOC2、SOC3 認定)上でホストされており、複数のアベイラビリティゾーンで展開されています。会員と学習者コミュニティに信頼できる稼働時間と信頼性を提供しています。
脆弱性管理
システム、アプリケーション、サービスにおける技術的脆弱性を積極的に特定し、是正するための正式な脆弱性管理プログラム。脆弱性の疑いがある場合は、脆弱性開示ページからご連絡ください。
ネットワークと伝送保護
羊皮紙は、ネットワーク通信の機密性と完全性を保護するために、適切な技術的ソリューションを導入します。ネットワークトラフィックと予想されるデータフローのベースラインを作成し、異常な動作とみなされるアクティビティを特定します。羊皮紙は、GuardDuty、CloudTrail、Security Hub、Inspector、およびエンタープライズSIEMを含むAWSセキュリティツールを活用しています。
監査、ログ、監視
Parchment は AWS Well-Architected フレームワークを活用し、すべての Parchment 製品向けに安全、高パフォーマンス、回復力、効率的なインフラを構築しています。セキュリティ対策の有効性を保証し、潜在的なセキュリティイベントを検出するため、AWS 環境とアプリケーション全体で監査、ロギング、監視が有効になっています。
ソフトウェア開発
セキュリティは、OWASPのトレーニング、プロセス、コードレビュー、脆弱性スキャンなど、ソフトウェア開発のエンドツーエンドのプロセス全体で考慮されている。
リスク管理とインシデント対応
リスク管理は社内外を問わず継続的に行われている。当社は、リスク評価の実施に積極的なアプローチをとっている。潜在的なセキュリティリスクや事象は継続的に評価され、見直される。正式なインシデント対応計画が策定され、テストされている。
データ保護
データの完全性と機密性は、転送中および静止中のデータの広範な暗号化と、役割ベースのアクセス制御によって得られる。
セキュリティ評価
パーチメントはベンダー管理とデューデリジェンスの重要性を理解しています。当社の情報セキュリティチームは、お客様のセキュリティに関するご質問や評価に対してタイムリーな回答を提供することで、お客様のお役に立ちたいと考えています。パーチメントでは、弊社との提携をご検討の際に、お客様のご要望にお応えするための合理的なプロセスをご用意しています。ベンダーのリスクマネジメントプロセスがEDUCAUSE HECVAT に基づいている場合、事前に記入済みの質問票を共有することができます。ベンダーのリスクマネジメントプロセスが第三者監査人の証明書や報告書に基づいている場合、パーチメントは当社の PCI コンプライアンス証明書や SOC2 Type II 報告書のコピーを喜んで提供いたします。このプロセスを開始するには、地域営業担当者またはアカウントエグゼクティブにご連絡いただくか、ヘルプセンターのチケットをご送信ください。