Foxpass コンプライアンス
ISO/IEC 27001、SOC2、GDPR、CCPAに準拠。HIPAA、PCI、FERPAの要件にも対応しています。
Splashtop傘下のFoxpassは、情報セキュリティとプライバシーにおいて最高水準の基準を遵守しています。
当社のソリューションは、Splashtopの認証済み情報セキュリティマネジメントシステム(ISMS)および監査済みの統制フレームワークのもとで開発・運用されており、さまざまな業界のお客様が自社のコンプライアンス要件を満たせるよう支援します。
認証取得: ISO/IEC 27001:2022 | SOC 2 Type 2
準拠: GDPR | CCPA
お客様の以下への準拠をサポート: ISO/IEC 27001 | SOC 2 | GDPR | AU Privacy Act (APPs) | CCPA | HIPAA | PCI DSS | FERPA
Foxpassのソリューションは、こうした規制フレームワークやゼロトラスト・セキュリティ原則に準拠したIDおよびアクセス制御、ネットワークセグメンテーション、SSHキーと特権アクセス管理、詳細なログ記録、暗号化による保護対策の導入を支援します。
ISO/IEC 27001:2022
Splashtopは、情報セキュリティマネジメントシステム(ISMS)の世界的に最も主要な規格であるISO/IEC 27001:2022の認証を取得しています。この認証は、Splashtop およびそのISMSの下で運用されるすべてのFoxpassサービスが、人、プロセス、テクノロジーを対象とする包括的で、独立した監査を受けたセキュリティプログラムを維持していることを証明するものです。
認証範囲: Foxpass Cloud RADIUS、PKI、Cloud LDAP、SSH Key Managementを含むSaaSサービスの開発、保守、運用。
ISO 27001の2022年版アップデートでは、クラウドサービスのセキュリティ、脅威インテリジェンス、プライバシー・バイ・デザイン、運用レジリエンス、サードパーティのリスク管理がより重視されています。
FoxpassがISO 27001準拠をどのように支援するか:
Foxpassは、ISO/IEC 27001 Annex Aの要件、特にIDおよびアクセス管理(A.9)、特権アクセス管理、ネットワークセキュリティ、イベントログに関連する管理策に沿った導入と維持を組織が行えるよう支援します。ユーザー認証の自動化、最小権限の徹底、集中管理された監査証跡の維持により、Foxpass は継続的なISMSコンプライアンス対応と監査準備をシンプルにします。
SOC 2 コンプライアンス
Splashtopは、セキュリティ、可用性、機密性に関するAICPA Trustサービス基準に基づいて独立監査人によって検証されたSOC 2 Type 2コンプライアンスを達成しています。Foxpassの顧客は、データ保護とサービスの信頼性に関して同じ厳格に管理された環境の恩恵を受けることができます。
公開されているSOC 3レポートを参照可能です。
他のSOC 2に関するドキュメントは、NDAおよびリクエストに応じてご利用いただけます。
FoxpassがSOC 2コンプライアンスをサポートする方法:
Foxpassは、特にアクセス制御(CC6.x)とシステム運用(CC7.x)に対応する主要なSOC 2信頼サービス基準をお客様が満たせるよう支援します。Foxpassは、集中認証、詳細なアクセスログ、証明書ベースの検証を通じて、お客様が独自のSOC 2監査で効果的なアクセス管理と監視を実証できるようにします。
CSA STARコンプライアンス
Splashtopは、CSA STAR レベル 1準拠を取得しており、クラウドセキュリティの卓越性に対する当社の取り組みを明確に示しています。CSA Cloud Control Matrix(CCM)およびCAIQに照らし合わせた徹底した自己評価を完了することで、最高水準の透明性を維持しているため、お客様のデータが常に保護されていることを信頼していただけます。CSA STARレジストリで公開されている評価は、こちらでご確認いただけます。
GDPR(一般データ保護規則)
FoxpassとSplashtopは、データ管理者およびデータ処理者として、EU GDPRの原則と義務に準拠しています。
当社では、設計段階からのデータ保護(データプロテクション・バイ・デザイン)の慣行を実践し、個人データの収集は顧客へのサービス提供に必要なものに限定し、転送中および保存中のすべてのデータを強力な暗号化を使用して保護します。
当社はサブプロセッサーとデータ処理契約(DPA)を締結し、個人データへのアクセス、修正、削除に関する顧客のリクエストに対応します。
当社は、専門のサードパーティー会社の協力を得て、GDPRへの対応状況を正式に見直し、追加のプロセスを導入し、GDPR関連のすべての問い合わせやタスクを社内外で処理するための適切なコミュニケーションチャネルを設置しました。
詳細については、Splashtopプライバシーポリシーおよび企業データ処理契約をご覧ください。
FoxpassがGDPRコンプライアンスをサポートする方法
Foxpassは、データアクセス、認証、セキュリティに関する主要な技術的および組織的制御を可能にすることで、組織がEU一般データ保護規則 (GDPR) へのコンプライアンスを強化できるよう支援します。
具体的には、Foxpassは次の方法でGDPR要件をサポートします。
アイデンティティおよびロールベースのアクセス制御の実施(第5条および第32条)
許可されたユーザーと管理対象デバイスのみが、個人データを保存または処理するシステムにアクセスできるようにします。設計によるデータ保護(第25条)
クラウド型IDプロバイダー(Entra ID、Okta、Google Workspace)とシームレスに統合し、最小権限アクセスと安全なネットワークセグメンテーションを適用して、データ漏洩のリスクを軽減します。詳細なログ記録と監査可能性の提供(第30条)
包括的なアクセスログを維持して、説明責任をサポートし、合法かつ安全なデータ処理を実証します。転送中のデータ保護(第32条)
証明書ベースの暗号化認証方法(EAP-TLS、LDAPS、HTTPS)を使用して、個人データの傍受を防ぎます。コンプライアンス証跡の簡素化:
IT チームとセキュリティチームが、内部監査や規制当局のレビュー中にアクセス制御とセキュリティ対策を実証できるようにします。
オーストラリア個人情報保護法およびオーストラリアプライバシー原則(APPs)
オーストラリアの1988年プライバシー法(Cth)およびオーストラリア・プライバシー原則(APPs)は、組織による個人情報の収集、使用、保護の方法を規定しています。Foxpassは、強固な技術的および組織的な保護対策を提供することで、こうした義務に関するコンプライアンス強化を支援します。
Foxpassは、以下の方法でAPPに準拠したコンプライアンスに貢献します:
付録1 – 個人情報の管理
詳細な認証ログとアクセスログにより、透明性の高いアクセスガバナンスを実現します
個人情報へのアクセス制御を求める組織のポリシーに対応
APP 6 – 個人情報の利用または開示
個人情報を扱うシステムへの最小権限とIDベースのアクセスを強制します
認証済みのユーザーとデバイスのみが接続できるようにし、不正な情報開示を防ぎます
APP 11 – 個人情報のセキュリティ
Foxpass は、以下を含む APP 11 に準拠したセキュリティ対策を可能にします。証明書ベースの認証(EAP-TLS)
暗号化されたディレクトリアクセス(LDAPS)
特権アクセス管理とSSHキー管理
動的なVLANベースのネットワークセグメンテーション
包括的で改ざん不可能な監査ログ
APP 12 – 個人情報へのアクセス
個人情報にアクセスするスタッフのセキュアな本人確認を確保
セキュアな管理者アクセスのワークフローに対応
CCPA(カリフォルニア州消費者プライバシー法)
CCPAに基づき、カリフォルニア州の居住者は、個人情報へのアクセス、削除、または個人情報の販売や共有のオプトアウトを要求することができます。
Splashtop(ひいてはFoxpass)は、透明性のあるプライバシー慣行を維持し、プライバシーポリシーに概説されているように、これらの権利を行使するためのメカニズムを提供します。
HIPAA(医療保険の携行性と責任に関する法律)
Splashtop と Foxpass は HIPAA における Business Associate ではなく、患者記録も処理しませんが、Foxpass は以下の方法でお客様の HIPAA Security Rule 準拠の取り組みをサポートします。
ネットワークおよびサーバーアクセスに対して、IDベースおよび証明書ベースの認証を強制
ePHIを保護するため、MFAと転送中の暗号化に対応
SSHキーと特権アクセスを管理し、認可された管理者のみが重要なシステムにアクセスできるようにする
アクセス制御を一元化し、詳細な監査ログを維持
動的VLAN割り当てによってネットワークセグメンテーションを簡素化し、許可されたユーザーと信頼できるデバイスだけが機密性の高いシステムにアクセスできるようにします
これらの管理機能は、HIPAAで求められる技術的保護措置の一部を構成し、アクセス管理、認証、監査に関する要件への準拠を支援します。
PCI DSS(ペイメントカード業界データセキュリティ基準)
ペイメントカード業界データセキュリティ基準(PCI DSS)は、カード所有者のデータを保護し、支払い情報を処理または送信するネットワークをセキュリティで保護するための厳格な要件を規定しています。
Foxpassはカード所有者データを保存または処理しませんが、カード所有者データ環境(CDE)を保護するために必要なIDおよびアクセス制御、監査ログ、ネットワークセグメンテーション機能を提供することで、PCI DSSコンプライアンスをサポートします。
組織はFoxpassを次の目的で使用します。
支払いデータを処理するシステムへの最小権限のIDベースのアクセスを実施
SSHキーと特権アクセス管理を使用して管理者アクセスを制限および監視
PCI DSSの制御検証のための認証イベントのログ記録と監査
RADIUSベースのVLANポリシーを使用してネットワークをセグメント化し、CDEを一般ユーザートラフィックから分離
Splashtopは、安全なトランザクション処理のためにPCI DSS準拠の支払いプロバイダーとのみ提携し、すべてのカードデータがPCI要件に従って処理されるようにしています。
FERPA(家族教育権利とプライバシー法)
FERPAは、学生の教育記録にある個人情報(PII)を不正な開示から保護します。
Foxpassは、IDおよび証明書ベースの認証を通じてネットワークとシステムへのアクセスを保護し、教育機関がFERPAコンプライアンスをサポートできるよう支援します。Foxpassは、認証されたユーザーと管理対象デバイスのみがキャンパスのWi-Fi、サーバー、システムにアクセスできるようにすることで、学生と教育機関の機密データの保護を強化します。
Foxpassは学生の記録にアクセスしたり保存したりすることはなく、暗号化とプライバシーに関する業界のベストプラクティスに従います。
SplashtopとFERPAの詳細はこちら:Hoja informativa sobre FERPA de Splashtop
セキュリティと技術管理
Foxpassは、Splashtopの安全なCloudインフラストラクチャに支えられ、次のことを組み込んでいます。
エンドツーエンドの暗号化とTLS 1.2+の適用
継続的な監視と独立した脆弱性評価
グローバル冗長性により99.9%以上の稼働率
コンプライアンス証拠のための包括的な監査ログ
詳細については、Splashtopのセキュリティ概要および技術的および組織的対策(TOMs)をご覧ください。
コンプライアンスに関するドキュメント、アンケート、セキュリティに関するお問い合わせは、sales@splashtop.comまでご連絡いただくか、+1.408.886.7177にお電話ください。