Pegaトラストセンター

リソース

デジタルセキュリティポリシー

Veracodeステートメント

ペネトレーションテストの概要

事業継続計画の概要

災害復旧テストの結果

最終更新日（YYYY-MM-DD）

2024年12月27日

該当なし

2024年9月17日

2024年5月3日

2024年12月9日

評価範囲

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

APRA

オーストラリアプルデンシャル規制機関（APRA）は、銀行、保険会社、および年金基金の安全性、回復力、および安定性を保証するオーストラリアの慎重な規制機関です。APRAは金融機関の業務、情報セキュリティ、リスク管理を強化するために必須の基準を設定しています。APRAは、Prudential Standard 230のオペレーショナルリスク管理基準やPrudential Standard 234の情報セキュリティ基準を含むPrudential Standardを発行しています。

C5

クラウドコンピューティングコンプライアンス基準カタログ（C5）では、安全なクラウドコンピューティングのための最小要件が指定されており、主にプロフェッショナルなクラウドプロバイダー、その監査者、顧客を対象としています。

CSA STAR

セキュリティ、信頼、保証、およびリスク（STAR）レジストリは、一般的なクラウドコンピューティングが提供するセキュリティとプライバシーのコントロールを文書化した、一般にアクセス可能なレジストリです。

STARは、クラウドコントロールマトリックス（CCM）に概説されている透明性、厳格な監査、基準の調和という主要原則を包含しています。このレジストリに公開することで、企業は現在および潜在的な顧客に対して、自社が遵守している規制、標準、フレームワークなどのセキュリティとコンプライアンスの姿勢を示すことができます。最終的には、複雑さを軽減し、複数の顧客アンケートに記入する必要性を軽減するのに役立ちます。

Cyber Essentials

Cyber Essentialsは、一般的なサイバー攻撃に対する運用上のセキュリティを実証するために英国で導入された、英国政府が支援し、業界がサポートする認定スキームです。

Cyber Essentials Plus

Cyber Essentials Plusは、一般的なサイバー攻撃に対する運用上のセキュリティを実証するために英国で導入された、英国政府が支援し、業界がサポートする認定スキームです。この認証は、技術的統制の独立した検証を取り入れることによって、Cyber Essentials認定の基盤の上に構築されています。

CyberGRX

CyberGRXは、サードパーティベンダーに関連するサイバーリスクへの対応を企業に支援するために設計されたサイバーセキュリティプラットフォームを提供します。PegaはCyberGRXを活用してベンダーのリスク査定プロセスを合理化します。CyberGRXを使用すると、Pegaはサードパーティベンダーのセキュリティ体制を評価し、起こり得るリスクを特定し、必要な軽減策に優先順位を付けることができます。

Cybervadis

Cybervadisは、企業のサードパーティサプライヤーに関連するサイバーリスクを評価するために設計されたサイバーセキュリティ評価プラットフォームです。世界的なテクノロジー企業であるPegasystemsでは、サプライヤーとパートナーのサイバーセキュリティ体制を評価するためにCybervadisを採用しています。Pegasystemsは、サプライヤーに関連するサイバーリスクの評価を通じて、サプライチェーンのセキュリティと回復力に関して十分な情報に基づいた意思決定を下すことができます。

Cybervadisは、データセキュリティ、インフラストラクチャセキュリティ、規制コンプライアンスなど、さまざまな要素に基づいた包括的なリスク評価を提供します。Pegasystemsはこれらの評価を利用して、サプライチェーン内の潜在的な脆弱性を特定し、関連するリスクを軽減するための効果的な対策を講じます。

最終的に、PegasystemsはCybervadisを活用することで、セキュリティ体制を強化し、リスク管理プロセスを強化し、業務のセキュリティと整合性を確保できるようになります。

ENS

Esquema Nacional de Seguridad（ENS）はスペインの国家安全保障枠組みです。これは、スペイン政府に代わって機密情報を取り扱うすべての組織に義務付けられているセキュリティ要件とガイドラインのセットです。ENSは、機密性、完全性、可用性、説明責任という原則に基づいています。これは、機密情報を不正アクセス、改ざん、漏洩から保護し、許可された目的のみに使用できるようにするためのものです。

リソース

Certificado ENS Pegasystems Limited

最終更新日（YYYY-MM-DD）

2025年9月26日

評価範囲

Pega Cloud AWS & GCP

製品

Pega Platform
Pega Customer Service Case Management Edition*
Pega Customer Service Enterprise Edition*
Pega Customer Decision Hub
Pega Sales Automation
Pega Cloud SFTP Service
Pega Diagnostic Center

*VoiceAI、デジタルメッセージング/ウェブメッセージング、およびCo-Browseを使用していない場合に適用される査定ステータス

FedRAMP

FedRAMP（Federal Risk and Authorization Management Program：連邦リスク認可管理プログラム）は、クラウドサービス提供のためのセキュリティ認可に標準化されたアプローチを提供します。

フランスHDS

Hébergeurs de Données de Santé (HDS) 認定は、フランスの法律で管理され、予防、診断、その他の医療サービスを提供するために収集された個人健康データをホストするクラウドサービスプロバイダーなどのエンティティに必要です。HDS規則は、フランス保健省の下、フランスにおける電子ベースのヘルスケアソリューションの推進を担当するASIP SANTÉによって発行されました。

HITRUST

データ保護の専門家と協力して開発されたHITRUST CSFは、関連する規制と標準を単一の包括的なセキュリティとプライバシーの枠組みに合理化しています。HITRUST Risk-based, 2-year (r2) Validated Assessmentは、組織が業界で定義され、受け入れられている情報セキュリティ要件を満たし、それを上回ることにより、サイバーリスクの管理に成功していることを示すハイレベルな検証として世界的に認められています。HITRUST r2 Validated Assessment + Certificationは、管理要件の包括性、品質レビューの深さ、監視の一貫性から、情報保護保証のゴールドスタンダードとみなされています。 PegaのHITRUST評価＋認定は、HIPAA違反通知、HIPAAプライバシールール、HIPAAセキュリティルールなど、すべてのHIPAAコンプライアンス要因をカバーしています。

IL4

国防総省情報システム局（DISA）は、国防総省クラウドコンピューティングセキュリティ要件ガイド（DoD CC SRG）を発表しました。このガイドでは、国防総省がクラウドコンピューティングを活用するためのセキュリティモデルと要件、およびクラウドベースのソリューションを使用するために必要なセキュリティ管理と要件の概要を説明しています。IL4情報には、管理された未分類の情報（CUI）、非CUI情報、非重要任務情報、および非国家安全保障システムが含まれます。

IRAP

Infosec Registered Assessors Program（IRAP）は、事業体が高品質のセキュリティ評価サービスを利用できるようにするものです。

ISMAP

ISMAP （Information System Security Management and Assessment Program）は、クラウドサービスプロバイダー (CSP) のセキュリティを評価する日本政府のプログラムです。

ISO 22301

国際標準化機構によって発行されたISO 22301は、組織が予期しない破壊的なインシデントを防止、準備、対応、回復できるように設計されています。そのために、この規格は、効果的な事業継続マネジメントシステム（BCMS）を構築し、管理するための実践的な枠組みを提供しています。ISO 22301は、広範囲にわたる潜在的な脅威や混乱から組織を守ることを目的としています。認定の範囲は、Pega CloudをサポートするBCMSに限定され、重要なPega Cloud Servicesの導入、保守、モニタリングに直接関与する組織、システム、人、施設が含まれます。

業務上の混乱を迅速に克服し、継続的かつ効果的なサービスを提供できることを利害関係者に示す必要がある場合、この規格はあなたの組織に適している可能性があります。

ISO 27001

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）の要件を提供する規格として広く知られていますが、ISO/IEC 27000ファミリーには10以上の規格があります。これらの規格を使用することで、あらゆる種類の組織が、財務情報、知的財産、従業員情報、第三者から委託された情報などの資産のセキュリティを管理できるようになります。

ISO 27017

ISO 27017は、クラウドサービスの情報セキュリティ管理に関するガイダンスを提供する国際規格です。これらの管理はISO 27002のガイダンスを補足するもので、Pega CloudのISO 27001認定に含まれています。プロバイダーの責任、情報共有、人的セキュリティ、コンプライアンスなどにおける効果的な対策をアドバイスすることで、クラウドセキュリティの課題解決を支援します。

ISO 27018

ISO 27018は、クラウド上で個人を特定できる情報（PII）を保護するためのガイドラインを提供する規格です。これらのガイドラインはISO 27002のガイダンスを補足するもので、Pega CloudのISO 27001認定に含まれています。

ISO 42001

ISO 42001は、人工インテリジェンス（AI）の責任ある管理に関する最初の国際規格です。AI管理システム（AIMS）を確立し、実装し、維持し、継続的に改善するためのフレームワークを提供します。倫理的かつ透明性が高く、リスクを認識したAIプラクティスへのコミットメントを示しています。

ISO 9001

ISO 9001は、組織がソフトウェア関連プロセスを計画、提供、監視、改善する方法に焦点を当てた、ソフトウェアサービスに適用される品質管理システムの国際規格です。一貫したサービスの提供、明確な要件管理、リスクベースの思考、顧客満足度、ソフトウェア開発、保守、サポート、プロジェクト管理における継続的な改善が強調されています。

PCI/DSS

Payment Card Industry Data Security Standard（PCI DSS）は、クレジットカード情報の受け入れ、処理、保管、送信を行うすべての企業が安全な環境を維持できるように設計された一連のセキュリティ基準です。

SOC 1

米国公認会計士協会(AICPA)のサービス組織統制(SOC)報告書は、データの検索、保存、処理、転送に関連する統制環境について保証を与えるものです。報告書は、IT全般統制と顧客データの可用性、機密性、セキュリティに関する統制をカバーしています。SOC 1報告書は、主に顧客の財務報告に関連する統制を検証するものです。

SOC 2、タイプ2

米国公認会計士協会(AICPA)のサービス組織統制(SOC)報告書は、データの検索、保存、処理、転送に関連する統制環境について保証を与えるものです。報告書は、IT全般統制と顧客データの可用性、機密性、セキュリティに関する統制をカバーしています。SOC 2報告書は、顧客データのセキュリティ、可用性、機密性に関する統制をカバーしています。

TISAX

TISAXは、企業の情報セキュリティに関する評価と交換の仕組みであり、参加者間で評価結果を認識することができます。

顧客からの機密情報を処理したり、自社のサプライヤーの情報セキュリティを評価したりする場合、TISAXは取り組みの軽減をサポートします。

カリフォルニア州消費者プライバシー法/カリフォルニア州プライバシー権法

カリフォルニア州消費者プライバシー法（CCPA）は、2018年6月28日に法律として制定されました。CCPAは、カリフォルニア州の消費者に一定レベルのプライバシー権を保障しようとするものである。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用法を遵守するための独自の戦略を設定できるように設計されています。

2020年11月3日、カリフォルニア州プライバシー権法（「CPRA」）が成立しました。CPRAはCCPAを改正し、消費者のプライバシー保護を追加しています。CPRAの条項の大部分は、2023年1月1日に施行され、2022年1月まで遡って適用されます。

FDA

食品医薬品局CFR Title 21。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用法を遵守するための独自の戦略を設定できるように設計されています。

GDPR

一般データ保護規則は、EUおよび欧州経済領域におけるデータ保護とプライバシーに関するEU法の規則です。GDPRは、EUプライバシー法および人権法、特に欧州連合基本権憲章第8条の重要な構成要素です。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用される法律を遵守するための独自の戦略を設定できるように設計されています。

HIPAA

The Health Insurance Portability and Accountability Act of 1996 (HIPAA)は連邦法で、患者の同意や知識なしに機密性の高い患者の健康情報が開示されないように保護するための国家基準の策定を義務付けています。米国保健社会福祉省（HHS）は、HIPAAの要件を実施するためにHIPAAプライバシー規則を発行しました。HIPAAセキュリティルールは、プライバシールールの対象となる情報のサブセットを保護するものです。適用される法律の遵守は共有すべき責任です。Pegaは、お客様が法律を遵守できるように、関連するセキュリティ管理、ガイダンス、および機能機能を提供します。Pegaは、お客様が適用法を遵守するための独自の戦略を設定できるように設計されています。

データプライバシーフレームワーク

EU-U.S.データプライバシーフレームワーク（EU-U.S.データプライバシーフレームワークの英国拡張版）、およびスイス-米国間データプライバシーフレームワーク（スイス-米国間データプライバシーフレームワーク）はそれぞれ、米国商務省と欧州委員会、英国政府、およびスイス連邦政府によって、大西洋を越えた商取引を促進するために策定された。これは、EU、英国、およびスイスの法律と整合性のあるデータ保護を確保しながら、欧州連合／欧州経済領域、英国（およびジブラルタル）、およびスイスから米国への個人データ移転のための信頼できるメカニズムを米国の組織に提供するものです。
 
補足原則および同原則の付属文書Iを含むEU-米国DPF原則の発効日は、EU-米国DPFに関する欧州委員会の妥当性決定の発効日である2023年7月10日です。この妥当性決定により、EU法に合致した参加組織へのEU個人データの移転が可能になります。

2023年7月17日付で、EU-米国DPFの英国延長に準拠することを自己証明することを望む米国の適格組織は、自己証明することができます。しかし、EU-米国DPFの英国延長のためのデータブリッジを実施する妥当性規制が発効する日までに、EU-米国DPFの英国延長に依存して英国およびジブラルタルから個人データを受け取ることはできません。このデータブリッジにより、英国およびジブラルタルの個人データを英国法に合致した参加組織に移転することが可能になります。

データプライバシーフレームワークプログラムの詳細、および当社がデータプライバシーフレームワークをどのように遵守しているかについては、プライバシーおよびセキュリティに関するこちらのページをご覧ください。当社のデータプライバシーフレームワークに関する通知および当社の参加については、https://www.dataprivacyframework.gov/s/をご覧ください。