ABCDEFGHIJKLMNOPQRSTUVWX
1
No.種別サービスレベル項目規定内容測定単位設定
2
アプリケーション運用
3
1可用性サービス時間サービスを提供する時間帯(設備 やネットワーク等の点検/保守のための計画停止時間の記述を含む)時間帯24時間365日。(計画停止を除く)
4
2計画停止予定通知定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述を含む)有無【有】
遅くとも1週間前までにサービス内(チャット)およびメール、またはWebサイトで通知。
5
3サービス提供終了時の事前通知サービス提供を終了する場合の事前連絡確認(事前通知のタイミング/方法の記述を含む)有無【有】
サービス終了1ヶ月前までにサービス内(チャット)およびメール、またはWebサイトで通知します。
6
4突然のサービス提供停止に対する対処プログラムや、システム環境の各種設定データの預託等の措置の有無有無【無】
現時点でサービス提供停止の予定はなく、プログラムやデータの預託等措置についても未定。
7
5サービス稼働率サービスを利用できる確率((計画サービス時間-停止時間)÷計画サービス時間)稼働率 (%)【無】
非公開
8
6ディザスタリカバリ災害発生時のシステム復旧/サポート体制有無【有】
AWSのap-northeast-1 (東京リージョン)を利用しており、複数のデータセンターで冗長構成をとっている。
9
7重大障害時の代替手段早期復旧が不可能な場合の代替措置有無【有】
データを日次でバックアップし、複数のデータセンターに保管。
また、システム構成はコード化して管理しており、迅速な復旧が可能。
10
8代替措置で提供するデータ形式代替措置で提供されるデータ形式の定義を記述有無
(ファイル形式)		【有】
万が一に備えてお客様自身で各種データをファイル出力し、保管することが可能。
11
9アップグレード方針バージョンアップ/変更管理/ パッチ管理の方針有無【有】
軽微な機能追加・改善は随時実施。影響が予見される大幅なバージョンアップを行う場合は、事前にサービス内(チャット)もしくはメールで通知。
システムで利用しているOS、ミドルウェア等に関する脆弱性情報を、定期的に収集実施。また、システムで利用しているコンポーネントに対する脆弱性パッチが公開された場合は、テスト環境での検証を経た後、速やかに適用実施。
12
10信頼性平均復旧時間(MTTR)障害発生から修理完了までの平均時間(修理時間の和÷故障回数)時間【無】
非公開
13
11目標復旧時間(RTO)障害発生後のサービス提供の再開に関して設定された目標時間時間【無】
非公開
14
12障害発生件数1年間に発生した障害件数/ 1年間に発生した対応に長時間(1 日以上)要した障害件数【無】
非公開
15
13システム監視基準システム監視基準(監視内容/監視・通知基準)の設定に基づく監視有無【有】
死活監視、パフォーマンス監視、エラー監視を実施。
16
14障害通知プロセス障害発生時の連絡プロセス(通知先/方法/経路)有無【有】
障害発生時は速やかに弊社担当者に通知され、対応を実施。
お客様に大きな影響を与える障害(データの消失、長時間のシステム停止等)が発生した場合は、障害発見後、原則として1時間以内(営業時間外に発生した障害の場合は翌営業開始時間から1時間以内)に一定の権限を有しているユーザに対してサービス内(チャット)およびメールで通知。
17
15障害通知時間異常検出後に指定された連絡先に通知するまでの時間時間弊社担当者への通知は数分以内に行われます。
お客様への影響が大きい障害に関しては、障害発見後、原則として1時間以内(営業時間外に発生した障害の場合は翌営業開始時間から1時間以内)に一定の権限を有しているユーザに対してサービス内(チャット)およびメールで通知。
18
16障害監視間隔障害インシデントを収集/集計する時間間隔時間 (分)常時監視。
19
17サービス提供状況の報告方法/間隔サービス提供状況を報告する方法/時間間隔時間必要に応じてサービス内・Webサイトでの通知、またはお客様担当者へのメール送信によって実施。
20
18ログの取得利用者に提供可能なログの種類 (アクセスログ、操作ログ、エラーログ等)有無【有】
アクセスログの提供が可能
21
19性能応答時間処理の応答時間時間 (秒)非公開
22
20遅延処理の応答時間の遅延継続時間時間 (分)非公開
23
21バッチ処理時間バッチ処理(一括処理)の応答時間時間 (分)非公開
24
22拡張性カスタマイズ性カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報有無【無】
機能・デザインの個別カスタマイズには非対応。
25
23外部接続性既存システムや他のクラウド・コ ンピューティング・サービス等の外部のシステムとの接続仕様 (API、開発言語等)有無【無】
外部接続を目的としたAPIは非提供。
26
24同時接続利用者数オンラインの利用者が同時に接続してサービスを利用可能なユーザ数有無 (制約条件)【無】
同時接続利用者数の制限なし。
27
25提供リソースの上限ディスク容量の上限/ページビューの上限処理能力【無】
現時点での提供リソースの制限はなし。
28
サポート
29
26サポートサービス提供時間帯(障害対応)障害対応時の問合せ受付業務を実施する時間帯時間帯平日9:30~18:30
※年末年始、祝日は除く
※お問い合わせフォームは24時間365日受付
なお、お客様に大きな影響を与えるセキュリティインシデント(データの消失、長時間のシステム停止等)が発生した場合は、インシデント発見後、原則として1時間以内(営業時間外に発生した障害の場合は翌営業開始時間から1時間以内)に一定の権限を有しているユーザに対してサービス内(チャット)およびメールにて通知。
30
27サービス提供時間帯(一般問合せ)一般問合せ時の問合せ受付業務を実施する時間帯時間帯平日9:30~18:30
※年末年始、祝日は除く
※お問い合わせフォームは24時間365日受付
31
データ管理
32
28データ管理バックアップの方法バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法有無/内容【有】
データベースに保管される、お客様の各種情報は、日次でバックアップを取得。
※セキュリティホワイトペーパの[5. バックアップについて]もご参照ください。
https://guide.herp.cloud/security
33
29バックアップデータを取得するタイ ミング(RPO)バックアップデータをとり、データを保証する時点時間日次で深夜にバックアップ取得。
34
30バックアップデータの保存期間データをバックアップした媒体を保管する期限時間バックアップは、35日間保管。
35
31データ消去の要件サービス解約後の、データ消去の 実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、 およびデータ移行など、利用者に所有権のあるデータの消去方法有無【有】
サービス解約後180日以内にデータを削除。必要に応じてサービス解約前に各種データをファイル出力が可能。
36
32バックアップ世代数保証する世代数世代数バックアップは、35世代分保管。
37
33データ保護のための暗号化要件データを保護するにあたり、暗号化要件の有無有無【有】
データベースに保管される情報は各社共通の鍵で保存時にストレージ層で暗号化され、適切なアクセス権のもとで保管。但し、パスワードは、不可逆暗号化(ハッシュ化)された状態で、データベースに保管される。
お客様の端末と、システムとの間のインターネット通信は、SSL/TLS通信によって暗号化。なお、対応している SSL/TLS は、TLS1.2 以降。
38
34マルチテナントストレージにおける キー管理要件マルチテナントストレージのキー管理要件の有無、内容有無/内容【有】
テナントIDによってデータを論理的に分離し、管理。
39
35データ漏えい・破壊時の補償/保険データ漏えい・破壊時の補償/保険の有無有無【無】
損害賠償保険への加入なし
40
36解約時のデータポータビリティ解約時、元データが完全な形で迅 速に返却される、もしくは責任を持ってデータを消去する体制を整えており、外部への漏えいの懸念のない状態が構築できていること有無/内容【有】
サービス解約後180日以内にデータを削除。必要に応じてサービス解約前に各種データをファイル出力が可能。
41
37預託データの整合性検証作業データの整合性を検証する手法が 実装され、検証報告の確認作業が行われていること有無【有】
お客様からお預かりしたデータの整合性は保たれるような設計を行っている。
42
38入力データ形式の制限機能入力データ形式の制限機能の有無有無【有】
入力項目の要件に合わせて形式や長さのチェックを行っている。
43
セキュリティ
44
39セキュリティ公的認証取得の要件JIPDECやJQA等で認定している情報 処理管理に関する公的認証 (ISMS、プライバシーマーク等) が取得されていること有無【有】
以下の認証を取得。
・ISMS認証(ISO27001、認証番号 IS 721526)
・ISMSクラウドセキュリティ認証(ISO27017、認証番号 CLOUD 751305)
45
40アプリケーションに関する第三者評価不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていること有無/実施状況【有】
年一回以上、不定期で外部診断会社による脆弱性診断を実施。
46
41情報取扱い環境提供者側でのデータ取扱環境が適切に確保されていること有無【有】
データへのアクセスは業務上必要な一部のスタッフのみに制限。
47
42通信の暗号化レベルシステムとやりとりされる通信の暗号化強度有無【有】
TLSv1.2にて通信を暗号化。
48
43会計監査報告書における情報セキュ リティ関連事項の確認会計監査報告書における情報セ キュリティ関連事項の監査時に、 担当者へ以下の資料を提供する旨 「最新のSAS70Type2監査報告書」 「最新の18号監査報告書」有無【無】
実施なし。
49
44マルチテナント下でのセキュリティ 対策異なる利用企業間の情報隔離、障害等の影響の局所化有無【有】
テナントIDによってデータを論理的に分離し、管理。
50
45情報取扱者の制限利用者のデータにアクセスできる利用者が限定されていること 利用者組織にて規定しているアクセス制限と同様な制約が実現できていること有無/設定状況【有】
データへのアクセスは業務上必要な一部のスタッフのみに制限。
51
46セキュリティインシデント発生時の トレーサビリティIDの付与単位、IDをログ検索に利用できるか、ログの保存期間は適切な期間が確保されており、利用 者の必要に応じて、受容可能に期間内に提供されるか設定状況ユーザーIDは個人ごとに発行して管理している。
アクセスログは5年間保存。
52
47ウイルススキャンウイルススキャンの頻度頻度業務で利用するPCではウィルススキャンを有効化し、随時チェックを実施。
53
48二次記憶媒体の安全性対策バックアップメディア等では、常に暗号化した状態で保管していること、 廃棄の際にはデータの完全な抹消を実施し、また検証していること、USBポートを無効化しデータの吸い出しの制限等の対策を講じていること有無【有】
二次記憶媒体の利用を禁止している。
54
49データの外部保存方針データ保存地の各種法制度の下に おけるデータ取扱い及び利用に関 する制約条件を把握しているか把握状況【有】
把握している。
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100