情報セキュリティ基本方針

株式会社ワックドットコム(以下、「当社」)は、事業活動を正常かつ円滑に行う上で、情報セキュリティの確保は重要課題のひとつであると考え、当社の情報資産を保護する指針として、情報セキュリティ基本方針を策定し、これを以下の通り実施し推進します。

【情報セキュリティ基本方針】
1.情報資産の保護
　当社は、情報資産の機密性、完全性及び可用性を確実に保護するために、組織的、技術的に適切な対策を講じます。
2.法令等の遵守
　当社は、情報セキュリティに関する法令、規則等を遵守します。
3.教育、研修の実施
　当社は、経営者、従業員が、情報資産の重要性を十分に認識するように、必要な教育、研修を実施します。
4.継続的な改善
　当社は、本“情報セキュリティ基本方針”および関連する諸規則、管理体制の評価と見直しを定期的に行い、情報セキュリティの継続的な改善を図ります。

クラウドサービス情報セキュリティポリシー

クラウドサービス情報セキュリティのための方針群

• 当社はお客さまの情報セキュリティ要求事項を満たすため、クラウドサービスの運営に適用する情報セキュリティに関する法令、 国が定める指針その他の情報セキュリティ要求事項を基に、当社にて確立した本方針を適用し、クラウドサービスの設計及び実装を行います。
• 定期的なリスクアセスメントにて特定された内部関係者からのリスクに対し、管理策を定め実施します。
• 隔離・仮想化されたマルチテナント環境を利用し、クラウドコンピューティング環境を論理的に隔離し、セキュリティの確保を行います。
• 本サービスの運営にあたり、お客さまデータは、本サービス利用規約に定める場合を除き、お客さまの同意なく操作、編集、開示を行いません。
• 本サービスのアクセス制御手順の採用においては、安全性の評価されている技術を採用します。
• お客さまの変更通知・サービスに関する仕様変更等については、当社の定める利用規約に基づき、情報を提供します。
• 仮想化環境において生じる脅威から仮想化基盤環境を守り、仮想マシンの要塞化などにより、仮想化セキュリティの確保を行います。
• お客さまのアカウントは、当社が定める利用申込書ならびに各種申請書の内容に基づき作成、管理します。
• 違反の通知、並びに調査及びフォレンジックを支援するための情報共有を実施します。通知・連絡の手段は当社の定める利用規約にて定義します。

情報セキュリティインシデント対応方針

当社サービスにおいて発生した情報セキュリティインシデントについての対応方針は下記の通り。

• 当社がインシデント管理を行う領域
  ①各種管理画面
  ②WEBアプリケーション
  ③保存データ（設定情報、各種ログデータ、ユーザコンテンツ）
  ④ミドルウェア／OS
• 契約ユーザーがインシデント管理を行う領域
  ①パスワード管理
  ②サービスの設定内容
  ③インターネット環境
  ④当社サービスにアップロードするユーザコンテンツ
• 当社がインシデント情報を通知する条件
  → 契約ユーザもしくはエンドユーザに悪影響を及ぼす場合
• 当社が開示する内容
  → インシデント対応の状況や注意喚起など
• 当社からのインシデント通知方法
  → 当社ホームページの掲載やメールによる個別通知など
• 当社のインシデント通知目標時間（第一報）
  → 72時間
• 契約ユーザもしくは外部関係者から当社へのインシデント通知方法
  → お問い合わせ窓口（メール・電話）