インフォテクノスコンサルティング株式会社（以下、当社）は、Rosic Cloud Serviceの導入コンサルティング業務、サービスの提供、サポートをクラウドサービスとして提供をしています。
お客様に安心して高品質なサービスを提供するため、当社はクラウドサービスのご提供にあたり、クラウド環境におけるリスクの特定及び解決に努めるためのマネジメントシステムを整備します。
このマネジメントシステムが有効的かつ安定的に機能するよう、以下のクラウドセキュリティ基本方針を定め、関連部署全ての社員がこれを正しく理解し、定められたルールを遵守すると同時に継続的に改善します

1. クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項

クラウドサービスの設計及び実装に適用する情報セキュリティ要求事項を定め、サービス設計及び実装を行います。

2. 内部関係者からのリスク

クラウドサービスに対してリスクアセスメントを実施します。また、リスクアセスメントで特定されたリスクに対し、適切な管理策を実施します。

3. お客様データの隔離

お客様毎に独立した領域を提供し、領域外へアクセスする事はできません。

4. 内部関係者による、お客様の資産へのアクセス

サービス提供において必要とする作業を除き、お客様資産へのアクセスは行いません。
アクセスを行う内部関係者は特定し、必要最低限の人員にします。

5. アクセス制御手順

クラウドサービスに対し、適切な認証方式を整備します。

6. 変更管理におけるお客様への通知

クラウドサービスの変更に関する通知は、サービスサイト上へ掲載します。

7. 仮想化セキュリティ

クラウドサービス上にある情報の機密性、完全性、可用性を維持いたします。

8. お客様データへのアクセス及び保護

クラウドサービス上に保存されるお客様の情報（クラウドサービス派生データを含む）及び関連資産を、適切に管理します。

9. お客様のアカウントのライフサイクル管理

お客様のアカウントは、当社が設定する管理者を除き、お客様の責任により作成・管理いただきます。

10. 違反の通知、並びに調査及びフォレンジックを支援するための情報共有指針

お客様に影響のある情報セキュリティ違反が発生した際は通知します。また、違反内容等の調査は当社にて実施し、必要に応じて結果を報告します。

11. 外部クラウドサービスの利用

外部クラウドサービスを利用する場合は、情報へのアクセスとセキュリティ保護、マルチテナント環境管理、ユーザの利用環境、特権的アクセス、地理的所在地による制約を考慮し、当社が求めるセキュリティレベルを満たすプロバイダーを選定しております。

本方針ならびに確立したクラウドセキュリティマネジメントシステムの規定や手順を遵守し業務を遂行します。

2024年11月30日
インフォテクノスコンサルティング株式会社
代表取締役　勝又　愛仁

版数：1
作成日:2024年11月1日
承認日:2024年11月10日