図表2 - セキュリティ・コントロール
RemotePCは、本DPAの有効期間中、以下に列挙する管理または同等の管理を実施します:
1.アクセス・コントロールデータ処理者は、権限のない者がデータ処理設備にアクセスすることを防止するために、適切な対策を実施します。これは以下によって達成される:
- 従業員および第三者へのアクセス許可
- キーカードとパス
- キーの制限
- 第三者に対する要求事項
- アクセス権限を有する者の特定
- 出入口の保護と制限
- セキュリティエリアの設定
- 建物の安全確保(セキュリティーアラームシステムなど)
2.データへのアクセス管理データ処理者は、データ処理システムを使用する権利を有する者が、それぞれのアクセス許可/権限によってカバーされる範囲内および範囲内でのみ、お客様の個人データにアクセスすることを約束します。
- ワークステーションのロック
- ユーザー認証の要件
- 守秘義務
- データメディアの破壊を制御する
- プログラムの開発とリリースのプロセス
3.ユーザーの管理データ処理者は、そのデータ処理システムが、保存データおよびデータ媒体の無許可の読 み取り、コピー、変更、除去を含む無許可の者によって使用されることを防止するために、適 切な手段を講じるものとします。これは以下によって達成される:
- アクセス許可要件
- イベントとアクティビティのログ
- 専用ワークステーションおよび/またはユーザー
- 正規人員の認証
- 処理者が適切と判断した場合の暗号化の使用
- データ・メディアの持ち出しを管理する
- データメディアが置かれている場所の安全確保
- 認証要件には、強力なパスワードの要件とパスワードの定期的な変更が含まれる。
- 60日以内の非アクティブアカウントの無効化。
- セッションが 15 分以上アイドル状態の場合、端末またはセッションを再度アクティ ブにするには、ユーザーの再認証が必要です。
- リモートアクセスの認証要件。