1.1. 情報セキュリティプログラム。 コイドラは、以下を含む包括的な書面による情報セキュリティ プログラムを維持するものとします。 ポリシー, 規格, 手続き、およびその処理とセキュリティを管理する関連文書 Customer Data およびSaaSの提供に関連して顧客データを処理または保護するために使用されるKoidraシステム（「コイドラ情報システム”）。 本契約に従ってKoidraと契約した下請け業者は、これらのセキュリティ慣行で適用および要求されるのと実質的に同様のレベルのセキュリティを（少なくとも）維持するものとします。

1.2. セキュリティ管理。 情報セキュリティ プログラムに従って、Koidra は以下を目的として設計された適切な物理的、組織的、および技術的管理を実装するものとします。 (a) コイドラにアクセス、収集、使用、保管、または送信される顧客データのセキュリティ、完全性、および機密性を確保するものとします。 ; (b) 顧客データを、そのセキュリティ、完全性、偶発的な損失、改ざん、開示、その他の違法な処理形態に対する既知のまたは合理的に予想される脅威や危険から保護します。

コイドラは、災害復旧を維持します (または、その下請け業者が管理するシステムに関しては、その下請け業者が維持することを保証します) (「DR」）災害後にサブスクリプション サービスの可用性を回復するように設計されたプログラム。 このような DR プログラムには、少なくとも次の要素が含まれます。(a) 紛失または破損したデータを回復する目的で顧客データの保存コピーを定期的かつプログラム的に作成するための手順の日常的な検証。 (b) すべての重要なコイドラ情報システムをリストしたインベントリ。少なくとも毎年更新されます。 (c) DR プログラムの年次見直しと更新。 (d) DR 手順とそこに詳述されているサービスの回復可能性を検証するために設計された DR プログラムの年次テスト。

3.1. 手順。 コイドラ情報システムによって処理された顧客データへの不正または違法なアクセスが確認されたことをコイドラが認識した場合（「セキュリティインシデント」）、Koidra は直ちに次のことを行います。(a) セキュリティ インシデントを顧客に通知します。 (b) 影響を軽減し、セキュリティ インシデントから生じる損害を最小限に抑えるための合理的な措置を講じます。

3.2. 失敗した試み。 失敗した攻撃または侵入は、本第 3 条の対象となるセキュリティ インシデントではありません。「失敗した攻撃または侵入」とは、顧客データへの不正または違法なアクセスをもたらさないものであり、ping およびその他のブロードキャスト攻撃が含まれる場合がありますが、これに限定されません。ファイアウォールまたはエッジ サーバー、ポート スキャン、ログオン試行の失敗、サービス拒否攻撃、パケット スニッフィング (または、IP アドレスや TCP/UDP ヘッダーを超えたアクセスをもたらさないトラフィック データへのその他の不正アクセス)、または同様のインシデントが含まれます。

3.3. ユーザーの関与。 ユーザーのログイン資格情報の漏洩、またはユーザーによる意図的または不注意による顧客データの開示に起因する顧客データへの不正または違法なアクセスは、セキュリティ インシデントではありません。

3.4 。 通知。 セキュリティ インシデントの通知は、電子メールを含む、Koidra が選択した合理的な手段によって、お客様の XNUMX 人以上の SysAdmin ユーザーに配信されます。 お客様は、オンライン サービスにおいて常に正確な連絡先情報を維持する単独の責任を負います。

3.5.免責事項。 このセクション 3 に基づくセキュリティ インシデントの報告または対応というコイドラの義務は、セキュリティ インシデントに関するコイドラの過失または責任をコイドラが承認するものではありません。

最終更新日：月25、2021