3.1 Security Risk Area - Risk Protection Requirements (including Detail Description)
3.1.1 The system Requires Defensive Mode Security Machanism (e.g. Intrusion Detection System, FireWall, etc.)
3.1.2 The system Requires Customer Data Privacy Protection (e.g. Limitted Access to Customer, Data Classification, etc.)
3.1.3 The system Requires End to End Security Process & Machanism (e.g. Geographically dispersed data centers, BCP Plan, Regular Penetration Testing, etc.)
3.1.4 The system Requires Global auditing and international compliance (e.g. ISO-27001, BS - 10012 etc.)
3.1.5 The system shall be able to encrypt and process layered security following:
3.1.1 システムは守備モードセキュリティメカニズム(例えば侵入検知システム、ファイアウォール、など)が必要です
3.1.2 システムは、顧客データのプライバシー保護(例えば顧客へのアクセス制限、データ分類など)
が必要です3.1.3 システムは、徹底したセキュリティプロセス&メカニズム(例えば地理的に分散したデータセンター、BCPプラン、レギュラー侵入テストなど)が必要です。
3.1.4 システムは、グローバル監査および国際コンプライアンス(例えばISO-27001、BS - 10012など)が必要です。
3.1.5 システムは、暗号化し、以下の階層型セキュリティを処理できなければなりません。:
3.1.1 システムが防衛用のモードシステムを要請(すなわち、侵入を探知するシステム、ファイヤーウォール、その他)。
3.1.2 システムが顧客データのプライバシーの保護を要請(すなわち、顧客、データの分類、その他への制限を伴ったアクセス)。
3.1.3 システムがエンド・トゥー・エンドのセキュリティープロセス&メカニズムを要請(すなわち、地理的に分散したデータセンター、BCP計画、定期的な貫通テスト、その他)。
3.1.4 システムがグローバルな監査及び国際的なコンプライアンス(すなわち、ISO-27001, BS-10012, その他)を要請。
3.1.5 システムが以下の層別のセキュリティーを暗号化及び処理。
3.1.5.1 Strong Authentication Required (e.g. SSO, SAML2.0, DES, 3DES, etc)
3.1.5.2 Strong Application Security Required (e.g. Multi-tenant architecture, Role-Based Permissions, etc.)
3.1.5.3 Storage Encryption Required (e.g. AES-256 bits encryption)
3.1.5.4 Backup Encryption Required (e.g. AES-256 bits encryption)
3.1.5.5 Secured Integration Required (e.g. SFTP/FTPS, SSL-128/256 bits)
3.1.5.6 Secured Transport Layer Required (e.g. HTTPS, SSL-128/256 bits)
3.1.5.7 Mobility Security Required (e.g. Does not store customer data in Mobile Devices, etc.)
3.2 Other Risk Area - Risk Protection Requirement (please clarify and explain detail description each items)
3.2.1 Risk on Data Leakage and Data Loss
3.1.5.2 強力なアプリケーションセキュリティ(例えば、マルチテナント·アーキテクチャ、ロールベースの許可)が必要です。
3.1.5.3 ストレージの暗号化(例えばAES-256ビットの暗号化)が必要です。
3.1.5.4 バックアップの暗号化(例えばAES-256ビットの暗号化)が必要です。
3.1.5.5 安全な統合(例えばSFTP/ FTPS、SSL-128/256ビット)が必要です。
3.1.5.6 安全なトランスポートレイヤー(例えば、HTTPS、SSL-128/256ビット)が必要です。
3.1.5.7 モビリティセキュリティ(例えばモバイルデバイスの顧客データを格納しないこと)が必要です。
3.2 その他のリスクエリア - リスク保護要件(明確にし、各項目を詳細に説明してください。)
3.2.1 データ漏洩やデータ損失のリスク
3.1.5.2 強度なアプリケーションのセキュリティーを要請(すまわち、多数のテナントの建築、役割に基づいた許可、その他)
3.1.5.3 保存の暗号を要請(すなわち、AES-256ビットによる暗号)
3.1.5.4 バックアップ用の暗号を要請(すなわち、AES-256ビットによる暗号)
3.1.55 安全な統合を要請(すなわち、SFTP/FTPS, SSL-128/256ビット)
3.1.5.6 安全な移動層を要請(すなわち、HTTPS, SSL-128/256ビット)
3.1.5.7 移動性のセキュリティーを要請(すなわち、モバイルな装置その他において顧客データを保存しない)。
3.2 他のリスク範囲---リスクの保護を要請(各アイテムについて詳細に明記及び説明)。
3.2.1 データの漏えい及び損失のリスク
3.2.1.1 The system Requires Notification and Investigation process when situation (Data Leak/Loss) occurred
3.2.1.2 The system Requires your Obligation & Responsibility when situation (Data Leak/Loss) occurred
3.2.1.3 The system Requires your responsible for "Liquidated Damages" when situation (Data Leak/Loss) occurred
3.2.1.4 The system Requires right to terminate contract and services immediately if situation (Data Leak/Loss) occurred
3.2.2 Risk on Availability and Reliability
3.2.2.1 The system Requires alternative internet access link your system
3.2.2.2 The syetem Requires Disaster Recovery Plan or Business Continuity Pland (BCP)
3.2.1.2 事象(データの漏えい/損失)発生時においてシステムが貴方の義務及び責任を要求する。
3.2.1.3 事象(データの漏えい/損失)発生時においてシステムが「予定損害賠償金」に対する貴方の責任を要求する。
3.2.1.4 事象(データの漏えい/損失)発生時においてシステムは契約及びサービスを即座に終了する権利を有する。
3.2.2 利用及び信頼性のリスク
3.2.2.1 システムは、貴社のシステムへの別のインタネットによるアクセスのリンクを要求する。
3.2.2.2 システムは、災害復旧計画またはビジネスの継続計画(BCP)を要求する。
3.2.1.2 システムは、データの漏えい/損失が発生した時の、義務と責任の状況が必要です。
3.2.1.3 システムは、データの漏えい/損失が発生した時の、「損害賠償」に対するあなたの責任が必要です。
3.2.1.4 システムは、データの漏えい/損失が発生した場合、契約やサービスを終了する権利が必要です。
3.2.2 有効性と信頼性におけるリスク
3.2.2.1 システムは、お使いのシステムにリンクする別のインターネットアクセスが必要です。
3.2.2.2 システムは、災害復旧プランあるいはビジネス継続プラン(BCP)が必要です。
3.2.2.3 The system Requires at least 99.90% of system availability (up-time) per year
3.2.3 Risk on Portability
3.2.3.1 All data and information input to your system has owned by A/MMT both before and after processed
3.2.3.2 The system Must provides Security Audit Report regulary to A/MMT
3.2.3.3 A/MMT has right to terminate partial functions (modules) without impact to other functions (modules) at any time
3.2.3.4 The system Requires data portability features with agreed format in case of termination
3.2.3.5 The system Requires right to re-transfer back at any time with format as agreed in 3.2.3.4
4 Security Requirement
3.2.3 ポータビリティにおけるリスク
3.2.3.1 システムにインプットされたすべてのデータおよび情報は処理の前後のA/ MMTが所有します。
3.2.3.2 システムは、A / MMTに対して定期的なセキュリティ監査レポートを提供しなければなりません。
3.2.3.3 A/ MMTは、いつでも他の機能(モジュール)に影響を与えることなく、部分的な機能(モジュール)を終了する権利を持っています。
3.2.3.4 システムは、終了の場合には合意されたフォーマットを持つデータポータビリティ機能が必要です。
3.2.3.5 システムは、3.2.3.4で合意されたフォーマットを、いつでも再転送をする権利が必要です。
4 セキュリティ要件
3.2.3 ポータビリティーのリスク
3.2.3.1 貴社のシステムへの全データ及び情報のインプットは処理の前後においてA/MMTにより所有された。
3.2.3.2 システムは、A/MMTへ安全監査の報告を定期的に提供しなければならない。
3.2.3.3 A/MMTは、他の機能(モジュール)へ影響を及ぼすことなく随時一部の機能(モジュール)を終了する権利を擁する。
3.2.3.4 終了において、システムは、合意済みのフォーマットを伴ったデータのポータビリティー性を要求する。
3.2.3.5 システムは、3.2.3.4において合意されたフォーマットを伴い随時再移動する権利を擁する。
4.安全の要求
