3.1 Security Risk Area - Risk Protection Requirements (including Detail Description)
3.1.1 The system Requires Defensive Mode Security Machanism (e.g. Intrusion Detection System, FireWall, etc.)
3.1.2 The system Requires Customer Data Privacy Protection (e.g. Limitted Access to Customer, Data Classification, etc.)
3.1.3 The system Requires End to End Security Process & Machanism (e.g. Geographically dispersed data centers, BCP Plan, Regular Penetration Testing, etc.)
3.1.4 The system Requires Global auditing and international compliance (e.g. ISO-27001, BS - 10012 etc.)
3.1.5 The system shall be able to encrypt and process layered security following:
3.1 セキュリティリスクエリア - (詳細説明を含む)リスク保護の要件
3.1.1 システムは守備モードセキュリティメカニズム(例えば侵入検知システム、ファイアウォール、など)が必要です
3.1.2 システムは、顧客データのプライバシー保護(例えば顧客へのアクセス制限、データ分類など)
が必要です3.1.3 システムは、徹底したセキュリティプロセス&メカニズム(例えば地理的に分散したデータセンター、BCPプラン、レギュラー侵入テストなど)が必要です。
3.1.4 システムは、グローバル監査および国際コンプライアンス(例えばISO-27001、BS - 10012など)が必要です。
3.1.5 システムは、暗号化し、以下の階層型セキュリティを処理できなければなりません。:
3.1.5.1 Strong Authentication Required (e.g. SSO, SAML2.0, DES, 3DES, etc)
3.1.5.2 Strong Application Security Required (e.g. Multi-tenant architecture, Role-Based Permissions, etc.)
3.1.5.3 Storage Encryption Required (e.g. AES-256 bits encryption)
3.1.5.4 Backup Encryption Required (e.g. AES-256 bits encryption)
3.1.5.5 Secured Integration Required (e.g. SFTP/FTPS, SSL-128/256 bits)
3.1.5.6 Secured Transport Layer Required (e.g. HTTPS, SSL-128/256 bits)
3.1.5.7 Mobility Security Required (e.g. Does not store customer data in Mobile Devices, etc.)
3.2 Other Risk Area - Risk Protection Requirement (please clarify and explain detail description each items)
3.2.1 Risk on Data Leakage and Data Loss
3.1.5.1 強力な認証(例えばSSO、SAML2.0、DES、3DESなど)が必要です。
3.1.5.2 強力なアプリケーションセキュリティ(例えば、マルチテナント·アーキテクチャ、ロールベースの許可)が必要です。
3.1.5.3 ストレージの暗号化(例えばAES-256ビットの暗号化)が必要です。
3.1.5.4 バックアップの暗号化(例えばAES-256ビットの暗号化)が必要です。
3.1.5.5 安全な統合(例えばSFTP/ FTPS、SSL-128/256ビット)が必要です。
3.1.5.6 安全なトランスポートレイヤー(例えば、HTTPS、SSL-128/256ビット)が必要です。
3.1.5.7 モビリティセキュリティ(例えばモバイルデバイスの顧客データを格納しないこと)が必要です。
3.2 その他のリスクエリア - リスク保護要件(明確にし、各項目を詳細に説明してください。)
3.2.1 データ漏洩やデータ損失のリスク
3.2.1.1 The system Requires Notification and Investigation process when situation (Data Leak/Loss) occurred
3.2.1.2 The system Requires your Obligation & Responsibility when situation (Data Leak/Loss) occurred
3.2.1.3 The system Requires your responsible for "Liquidated Damages" when situation (Data Leak/Loss) occurred
3.2.1.4 The system Requires right to terminate contract and services immediately if situation (Data Leak/Loss) occurred
3.2.2 Risk on Availability and Reliability
3.2.2.1 The system Requires alternative internet access link your system
3.2.2.2 The syetem Requires Disaster Recovery Plan or Business Continuity Pland (BCP)
3.2.11事象(データの漏えい/損失)発生時においてシステムが通知及び調査の過程を要求する。
3.2.1.2 事象(データの漏えい/損失)発生時においてシステムが貴方の義務及び責任を要求する。
3.2.1.3 事象(データの漏えい/損失)発生時においてシステムが「予定損害賠償金」に対する貴方の責任を要求する。
3.2.1.4 事象(データの漏えい/損失)発生時においてシステムは契約及びサービスを即座に終了する権利を有する。
3.2.2 利用及び信頼性のリスク
3.2.2.1 システムは、貴社のシステムへの別のインタネットによるアクセスのリンクを要求する。
3.2.2.2 システムは、災害復旧計画またはビジネスの継続計画(BCP)を要求する。
3.2.2.3 The system Requires at least 99.90% of system availability (up-time) per year
3.2.3 Risk on Portability
3.2.3.1 All data and information input to your system has owned by A/MMT both before and after processed
3.2.3.2 The system Must provides Security Audit Report regulary to A/MMT
3.2.3.3 A/MMT has right to terminate partial functions (modules) without impact to other functions (modules) at any time
3.2.3.4 The system Requires data portability features with agreed format in case of termination
3.2.3.5 The system Requires right to re-transfer back at any time with format as agreed in 3.2.3.4
4 Security Requirement
3.2.2.3 システムは、年間でシステムの有効性(アップタイム)の少なくとも99.90パーセントが必要です。
3.2.3 ポータビリティにおけるリスク
3.2.3.1 システムにインプットされたすべてのデータおよび情報は処理の前後のA/ MMTが所有します。
3.2.3.2 システムは、A / MMTに対して定期的なセキュリティ監査レポートを提供しなければなりません。
3.2.3.3 A/ MMTは、いつでも他の機能(モジュール)に影響を与えることなく、部分的な機能(モジュール)を終了する権利を持っています。
3.2.3.4 システムは、終了の場合には合意されたフォーマットを持つデータポータビリティ機能が必要です。
3.2.3.5 システムは、3.2.3.4で合意されたフォーマットを、いつでも再転送をする権利が必要です。
4 セキュリティ要件
