Pegaトラストセンター

リソース

デジタルセキュリティポリシー

Veracodeステートメント

ペネトレーションテストの概要

事業継続計画の概要

災害復旧テストの結果

最終更新日

2023年12月2日

該当なし

2023年8月3日

2023年3月31日

2023年12月29日

評価範囲

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS

APRA

オーストラリアは、他の国と同様に、ハッキング、詐欺、国家による攻撃の増加という課題に対処するため、重要なサイバーセキュリティと規制を導入しています。他の規則と同様に、資格のある組織は、法律とそれが実際の状況でどのように適用されるかを理解できるこれらの規制を評価する必要があります。情報セキュリティ登録査定者プログラムは、民間および公的組織がサイバーセキュリティ要件を満たす能力を証明するユニークなコンプライアンスプログラムです。

CSA STAR

セキュリティ、信頼、保証、およびリスク（STAR）レジストリは、一般的なクラウドコンピューティングが提供するセキュリティとプライバシーのコントロールを文書化した、一般にアクセス可能なレジストリです。

STARは、クラウドコントロールマトリックス（CCM）に概説されている透明性、厳格な監査、基準の調和という主要原則を包含しています。このレジストリに公開することで、企業は現在および潜在的な顧客に対して、自社が遵守している規制、標準、フレームワークなどのセキュリティとコンプライアンスの姿勢を示すことができます。最終的には、複雑さを軽減し、複数の顧客アンケートに記入する必要性を軽減するのに役立ちます。

サイバーエッセンシャルズ

Cyber Essentials は、一般的なサイバー攻撃に対する運用上のセキュリティを実証するために英国で導入された、英国政府が支援し、業界がサポートする認定スキームです。

Cyber Essentials Plus

Cyber Essentials Plusは、一般的なサイバー攻撃に対する運用上のセキュリティを実証するために英国で導入された、英国政府が支援し、業界がサポートする認定スキームです。この認証は、技術的統制の独立した検証を取り入れることによって、Cyber Essentials認定の基盤の上に構築されています。

CyberGRX

CyberGRX は、サードパーティベンダーに関連するサイバーリスクへの対応を企業に支援するために設計されたサイバーセキュリティ プラットフォームを提供します。Pega は CyberGRX を活用してベンダーのリスク査定プロセスを合理化します。CyberGRX を使用すると、Pega はサードパーティ ベンダーのセキュリティ体制を評価し、起こり得るリスクを特定し、必要な軽減策に優先順位を付けることができます。

Cybervadis

Cybervadis は、企業のサードパーティ サプライヤーに関連するサイバー リスクを評価するために設計されたサイバーセキュリティ評価プラットフォームです。世界的なテクノロジー企業である Pegasystems では、サプライヤーとパートナーのサイバーセキュリティ体制を評価するために Cybervadis を採用しています。Pegasystems は、サプライヤーに関連するサイバーリスクの評価を通じて、サプライチェーンのセキュリティと回復力に関して十分な情報に基づいた意思決定を下すことができます。

Cybervadis は、データセキュリティ、インフラストラクチャセキュリティ、規制コンプライアンスなど、さまざまな要素に基づいた包括的なリスク評価を提供します。Pegasystems はこれらの評価を利用して、サプライチェーン内の潜在的な脆弱性を特定し、関連するリスクを軽減するための効果的な対策を講じます。

最終的に、Pegasystems は Cybervadis を活用することで、セキュリティ体制を強化し、リスク管理プロセスを強化し、業務のセキュリティと整合性を確保できるようになります。

ENS

Esquema Nacional de Seguridad（ENS）はスペインの国家安全保障枠組みです。これは、スペイン政府に代わって機密情報を取り扱うすべての組織に義務付けられているセキュリティ要件とガイドラインのセットです。ENSは、機密性、完全性、可用性、説明責任という原則に基づいています。これは、機密情報を不正アクセス、改ざん、漏洩から保護し、許可された目的のみに使用できるようにするためのものです。

リソース

Certificado ENS Pegasystems Limited

最終更新日

2023年11月24日

評価範囲

Pega Cloud AWS & GCP

Products

Pega Platform
Pega Customer Service Case Management Edition*
Pega Customer Service Enterprise Edition*
Pega Customer Decision Hub
Pega Sales Automation
Pega Cloud SFTP Service
予測診断クラウド

*VoiceAI、デジタルメッセージング/ウェブメッセージング、およびCo-Browseを使用していない場合に適用される査定ステータス

FedRAMP

FedRAMP（Federal Risk and Authorization Management Program：連邦リスク認可管理プログラム）は、クラウドサービス提供のためのセキュリティ認可に標準化されたアプローチを提供します。

フランスHDS

Hébergeurs de Données de Santé (HDS) 認定は、フランスの法律で管理され、予防、診断、その他の医療サービスを提供するために収集された個人健康データをホストするクラウドサービスプロバイダーなどのエンティティに必要です。HDS規則は、フランス保健省の下、フランスにおける電子ベースのヘルスケアソリューションの推進を担当するASIP SANTÉによって発行されました。

HITRUST

データ保護の専門家と協力して開発された HITRUST CSF は、関連する規制と標準を単一の包括的なセキュリティとプライバシーの枠組みに合理化しています。HITRUST Risk-based, 2-year (r2) Validated Assessment は、組織が業界で定義され、受け入れられている情報セキュリティ要件を満たし、それを上回ることにより、サイバーリスクの管理に成功していることを示すハイレベルな検証として世界的に認められています。HITRUST r2 Validated Assessment + Certificationは、管理要件の包括性、品質レビューの深さ、監視の一貫性から、情報保護保証のゴールドスタンダードとみなされています。

IL4

国防総省情報システム局（DISA）は、国防総省クラウドコンピューティングセキュリティ要件ガイド（DoD CC SRG）を発表しました。このガイドでは、国防総省がクラウドコンピューティングを活用するためのセキュリティモデルと要件、およびクラウドベースのソリューションを使用するために必要なセキュリティ管理と要件の概要を説明しています。IL4情報には、管理された未分類の情報（CUI）、非CUI情報、非重要任務情報、および非国家安全保障システムが含まれます。

IRAP

Infosec Registered Assessors Program（IRAP）は、事業体が高品質のセキュリティ評価サービスを利用できるようにするものです。

ISMAP

ISMAP （Information System Security Management and Assessment Program）は、クラウドサービスプロバイダー (CSP) のセキュリティを評価する日本政府のプログラムです。

ISO 22301

国際標準化機構によって発行された ISO 22301 は、組織が予期しない破壊的なインシデントを防止、準備、対応、回復できるように設計されています。そのために、この規格は、効果的な事業継続マネジメントシステムを構築し、管理するための実践的な枠組みを提供しています。ISO22301は、広範囲にわたる潜在的な脅威や混乱から組織を守ることを目的としています。

業務上の混乱を迅速に克服し、継続的かつ効果的なサービスを提供できることを利害関係者に示す必要がある場合、この規格はあなたの組織に適している可能性があります。

ISO 27001

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）の要件を提供する規格として広く知られていますが、ISO/IEC 27000ファミリーには10以上の規格があります。これらの規格を使用することで、あらゆる種類の組織が、財務情報、知的財産、従業員情報、第三者から委託された情報などの資産のセキュリティを管理できるようになります。

ISO 27017

ISO 27017は、クラウドサービスの情報セキュリティ管理に関するガイダンスを提供する国際規格です。これらの管理はISO 27002のガイダンスを補足するもので、Pega CloudのISO 27001認定に含まれています。プロバイダーの責任、情報共有、人的セキュリティ、コンプライアンスなどにおける効果的な対策をアドバイスすることで、クラウドセキュリティの課題解決を支援します。

ISO 27018

ISO 27018は、クラウド上で個人を特定できる情報（PII）を保護するためのガイドラインを提供する規格です。これらのガイドラインはISO 27002のガイダンスを補足するもので、Pega CloudのISO 27001認定に含まれています。

PCI/DSS

Payment Card Industry Data Security Standard（PCI DSS）は、クレジットカード情報の受け入れ、処理、保管、送信を行うすべての企業が安全な環境を維持できるように設計された一連のセキュリティ基準です。

SOC 1

米国公認会計士協会(AICPA)のサービス組織統制(SOC)報告書は、データの検索、保存、処理、転送に関連する統制環境について保証を与えるものです。報告書は、IT全般統制と顧客データの可用性、機密性、セキュリティに関する統制をカバーしています。SOC 1報告書は、主に顧客の財務報告に関連する統制を検証するものです。

SOC 2、タイプ2

米国公認会計士協会(AICPA)のサービス組織統制(SOC)報告書は、データの検索、保存、処理、転送に関連する統制環境について保証を与えるものです。報告書は、IT全般統制と顧客データの可用性、機密性、セキュリティに関する統制をカバーしています。SOC 2報告書は、顧客データのセキュリティ、可用性、機密性に関する統制をカバーしています。

TISAX

TISAXは、企業の情報セキュリティに関する評価と交換の仕組みであり、参加者間で評価結果を認識することができます。

顧客からの機密情報を処理したり、自社のサプライヤーの情報セキュリティを評価したりする場合、TISAXは取り組みの軽減をサポートします。

カリフォルニア州消費者プライバシー法/カリフォルニア州プライバシー権法

カリフォルニア州消費者プライバシー法（CCPA）は、2018年6月28日に法律として制定されました。CCPAは、カリフォルニア州の消費者に一定レベルのプライバシー権を保障しようとするものである。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用法を遵守するための独自の戦略を設定できるように設計されています。

2020年11月3日、カリフォルニア州プライバシー権法（「CPRA」）が成立しました。CPRAはCCPAを改正し、消費者のプライバシー保護を追加しています。CPRAの条項の大部分は、2022年1月を参照しつつ、2023年1月1日に施行されます。

FDA

食品医薬品局 CFR Title 21。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用法を遵守するための独自の戦略を設定できるように設計されています。

GDPR

一般データ保護規則は、EUおよび欧州経済領域におけるデータ保護とプライバシーに関するEU法の規則です。GDPRは、EUプライバシー法および人権法、特に欧州連合基本権憲章第8条の重要な構成要素です。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用される法律を遵守するための独自の戦略を設定できるように設計されています。

HIPAA

The Health Insurance Portability and Accountability Act of 1996 (HIPAA)は連邦法で、患者の同意や知識なしに機密性の高い患者の健康情報が開示されないように保護するための国家基準の策定を義務付けています。米国保健社会福祉省（HHS）は、HIPAAの要件を実施するためにHIPAAプライバシー規則を発行しました。HIPAAセキュリティルールは、プライバシールールの対象となる情報のサブセットを保護するものです。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用法を遵守するための独自の戦略を設定できるように設計されています。

データプライバシーフレームワーク

EU-米国データプライバシーフレームワーク（以下「EU-米国間DPF」）、EU-米国間DPFの英国拡張、およびスイス-米国間データプライバシーフレームワーク（以下「スイス-米国間DPF」）は、それぞれ米国による大西洋横断貿易の促進のために策定したものです。商務省、欧州委員会、英国政府、スイス連邦政府は、EU、英国、スイスの法律に準拠したデータ保護を確保しながら、欧州連合/欧州経済地域、英国（およびジブラルタル）、スイスから米国への個人データ転送のための信頼できるメカニズムを米国の組織に提供します。
 
EU-米国DPF原則（補足原則および原則の付属書Iを含む）の最終期限は、EUと米国の協定に関する欧州委員会の適格性決定の発効日である2023年7月10日です。証明しています。この妥当性決定により、EU法に合致した参加組織へのEU個人データの移転が可能になります。

2023年7月17日付で、EU-米国DPFの英国拡張に準拠することを自己証明することを希望する米国の適格組織は、自己証明することができます。ただし、EU-米国DPFの英国拡張のデータブリッジを実施する妥当性規制が発効する日までに、EU-米国DPFの英国拡張に依拠して英国およびジブラルタルから個人データを受領することはできません。このデータブリッジにより、英国およびジブラルタルの個人データを英国法に合致した参加組織に移転することが可能になります。

データプライバシーフレームワークプログラムの詳細、および当社がデータプライバシーフレームワークをどのように遵守しているかについては、プライバシーおよびセキュリティに関するこちらのページをご覧ください。当社のデータプライバシーフレームワークに関する通知および当社の参加については、https://www.dataprivacyframework.gov/s/ をご覧ください。