データ輸入者は、データ輸入者の従業員がアクセスできる本サービス上にデータ輸出者から提出される個人データ(以下「個人データ」といいます。)の安全を確保するための様々なポリシー、基準及び手順を設けたうえで実施しており、当該ポリシー、基準及び手順を、随時、業界標準に合わせてアップデートしています。以下は、署名日時点でデータ輸入者が導入している主要な技術的及び組織的な安全措置の説明です。
1. 一般的なセキュリティ手順
1.1 データ輸入者は、以下の目的のための情報セキュリティプログラムを確立し、維持する責任を負うものとします。(i)個人データの安全性及び完全性を保護すること。(ii)個人データの安全性及び完全性に対して予想される脅威及び危険から保護すること。(iii)個人データへの不正アクセス及びその不正利用から保護すること。(iv)本ポリシーで定めるとおり、個人データが適切に処分されることを確保すること。(v)データ輸入者のすべての従業員及び下請先が(もしある場合)、上記のすべてを遵守することを確保すること。データ輸入者は、情報セキュリティプログラムについて責任を負う個人を指名するものとします。当該個人は、コンピューターのセキュリティに関するデータ輸出者からの合理的な問い合わせに対応し、本ポリシーで説明するとおり、違反又はインシデントが起きた場合にデータ輸出者が指定する連絡先に通知する責任を負うものとします。
1.2 データ輸入者は、すべての人員及び必要な委託先に対し、雇用時及び/又は個人データに関する作業を行うよう選任された時から実務上合理的に可能な限り速やかに、正式なプライバシー及びセキュリティ啓発研修を実施し、以降毎年再認証するものとします。この研修及び以降の毎年の再認証手続が完了していることを確認するため、データ輸入者は、セキュリティ啓発研修に関する書面を保持するものとします。
1.3 個人データの盗難、不正利用又は開示が実際に発生した場合、データ輸入者は、直ちに、原因を調査し、是正し、その結果を修正するよう、一切の合理的な努力を開始するものとします。当該事象を確認してから 3 営業日以内に、データ輸入者は、データ輸出者に対し、これを通知し、合理的に要請された場合には追加の情報及び支援を提供するものとします。データ輸出者から要請された場合、データ輸出者に対し、是正行為及び発見された問題が解決されることの合理的な約束がなされるものとします。
1.4 データ輸入者は、インターネット又はセキュリティ対策が施されていないネットワークを通じて暗号化されていない個人データを送信しないものとし、業務上の必要性がある場合で、かつ、携帯コンピューター端末が業界標準の暗号化ソフトウェアによって保護されている場合を除き、ラップトップコンピューター、USB ドライブ又はポータブルデータ端末等の携帯コンピューター端末上に個人データを保存しないものとします。データ輸入者は、業界標準のプロトコルを使用して、公衆ネットワークを通じて本サービスの内外に送信される個人データを暗号化するものとします。本サービスとデータ輸出者のインターフェース間で送信されるすべての個人データは、TLS 1.2 以上を使用して暗号化されています。
2. ネットワーク及び通信のセキュリティ
2.1 データ輸入者によるデータ輸出者のコンピューターシステム及び/又はネットワークへのすべての接続並びに接続の試みは、データ輸出者のセキュリティゲートウェイ/ファイアウォールを通じてのみ、データ輸出者が承認したセキュリティ手順を踏んでのみなされるものとします。
2.2 データ輸入者は、以下を含む、データ保護のための技術的及び組織的な措置を維持するものとします。(i)悪意のある接続の試みから防御し、スパムメール、ウィルス及び不正な侵入を阻止するためのローカル機器ファイアウォール、ディスク暗号化、並びに、ウィルス及びマルウェアに対する防御が活用されます。
3. 個人データ取扱い手順
3.1 紙面上の個人データの処分は、個人データの取扱い又はアクセスが行われるデータ輸入者の場所(以下「データ輸出者作業エリア」といいます。)内のシュレッダー又は安全なシュレッド用ごみ箱を含め、安全な態様によって行われるものとします。シュレッド作業は、処分若しくはデータ輸出者作業エリア外への持ち出し前にデータ輸出者作業エリア内で、又は、データ輸入者と契約している信頼できる第三者によってオフサイトで行われなければならないものとします。
3.2 情報の消去及び電子的保存媒体の破棄。個人データを含むすべての電子的保存媒体(但し、データ輸出者に対してサービスを提供する明確な目的のためにポータブル媒体上に存在する暗号化された個人データは除きます。)は、データ輸出者作業エリアから出る前に、媒体のサニタイジングに関する NIST SP800-88 ガイドライン等のフォレンジック業界標準に準拠した態様で、物理的な破棄又は処分のために消去又は消磁されなければならないものとします。データ輸入者は、基盤レベルのリソースにおいてデータの消去及び破棄の根拠を示す商業上合理的な書面を保管するものとします。この証拠は、データ輸出者が要請した場合には確認できる状態にしておかなければならないものとします。
3.3 データ輸入者は、許可された者のみが個人データにアクセスできるようにするため、以下を含む、許可及び認証に関する技術及び手順を維持するものとします。(i)知る必要のある者であるかという基準に基づいてアクセス権を与えること。(ii)許可され、又はシステムへのアクセス許可を付与、変更若しくは取消すことができる従業員の記録を確認し、保存すること。(iii)複雑さ、長さ及び有効期間に関する条件を満たすパスワードを使用した、パーソナライズされた個別のアクセスアカウントを要求すること。(iv)誤って使用され、又は切り離して回復された場合には解読不能となる態様でパスワードを保存すること。(v)個人データを含むシステムへのすべてのアクセスセッションの暗号化、ロギング及び監査を行うこと。(vi)パスワードによって保護されたスクリーンセーバー、セッションの時間切れ等、コンピューターが放置された場合の安全な管理方法について従業員に指示すること。
3.4 データ輸入者は、他の顧客のデータを含む他のデータから個人データを分離するための論理制御を維持するものとします。
3.5 データ輸入者は、以下を含む、異なる目的に応じた個人データの別個の処理に対応する措置を維持するものとします。(i)データ輸出者に対し、顧客間における論理的な区別及びセキュリティ原則の分離を実現する、独自のアプリケーションレベルのセキュリティ領域を提供すること。(ii)テスト又は開発用の環境をライブ又はプロダクション環境から分離すること。
4. セキュリティテスト
本契約に基づく本サービスの履行中、データ輸入者は、自らの費用負担で少なくとも年 1 回、外部の業者(以下「テスト業者」といいます。)を起用して、個人データを含む及び/又は保存するデータ輸入者のシステムに関する侵入及び脆弱性テスト(以下「セキュリティテスト」といいます。)を実施するものとします。
当該セキュリティテストの目的は、悪意ある行為に対してデータ輸出者の資産を危険にさらすこととなる、個人データを含む及び/又は保存するデータ輸入者のシステムのアプリケーション又は基盤の設計上及び/又は機能上の問題を発見することにあるものとします。セキュリティテストでは、アプリケーション、ネットワーク外周又はその他の基盤要素の弱点に加え、悪意ある者によって悪用され得る、個人データを含む及び/又は保存するデータ輸入者のシステムに関する手順又は技術的な対抗策の弱点について精査するものとします。
セキュリティテストでは、少なくとも以下のセキュリティの脆弱性を特定するものとします。無効又はサニタイズされていない入力データ。破綻した、又は過剰なアクセス管理。破綻した認証及びセッション管理。クロスサイトスクリプティング(XSS)の欠陥。バッファーあふれ。インジェクションの欠陥。不適切なエラーの取扱い。安全でないストレージ。典型的なサービス妨害脆弱性。安全でない、又は一貫性のない設定管理。TLSの不適切な使用。暗号化の適切な利用。アンチウィルス信頼性及びテスト。
セキュリティテストが実施された後合理的な期間内に、データ輸入者は、データ輸出者から要請があった場合には、当該セキュリティテストにおいて発見された重大なセキュリティ上の問題で修正されていないものについて、データ輸出者に対し、書面で通知するものとします。あるセキュリティテストで重大なセキュリティ上の問題が発見された限りにおいて、データ輸入者は、事後的に、自己の費用負担で、テスト業者を起用し、特定されたセキュリティ上の問題が解決されるよう追加的なセキュリティソフトを実施するものとします。要請があった場合、当該テストの結果は、スクリーンシェアを通じてデータ輸出者に提供されるものとします。
5. セキュリティ監査
データ輸入者及び(必要に応じて)すべての下請業者は、少なくとも年に 1 回、データ輸出者に対して本サービスを提供するために利用されるすべてのシステム及び/又は施設を対象とする SSAE18(又はそれ以上の)監査を実施するものとし、データ輸出者から書面による要請があった場合、データ輸出者に対して速やかに当該監査の結果を提供するものとします。当該監査結果を確認した後、データ輸出者が本サービスに関してセキュリティ上の問題が存在すると合理的に判断した場合、データ輸出者は、データ輸入者に対して書面で通知するものとし、データ輸入者は、速やかに協議し、商業上可能な場合には、特定された問題に対処するものとします。残った問題については、書面化し、追跡し、データ輸入者及びデータ輸出者が合意した時期に対処するものとします。
6. 災害復旧
データ輸入者は、業界のベストプラクティスに合致し、又はこれを超える適切な事業継続プログラム及び IT 災害復旧/技術弾力性プログラムを維持し、定期的に見直し又はテストを行うものとします。
7. データ保持及び消去
お客様の Xactly との本契約の期間中、Xactly は、本サービス上に 7 年を超えて保存されたお客様データを順次消去又はその他破棄できるものとします。前文の定めに従って消去された場合、お客様データは復元できません。お客様データのバックアップは、お客様の責任で行うものとします。
最終更新日:2022年6月3日
Xactly Security Policy
Data Importer maintains and enforces various policies, standards and processes designed to secure personal data submitted by Data Exporter to the Services (hereinafter “Personal Data”) to which Data Importer employees are provided access, and updates such policies, standards and processes from time to time consistent with industry standards. Following is a description of some of the core technical and organizational security measures implemented by Data Importer as of the date of signature:
1. General Security Procedures
1.1 Data Importer shall be responsible for establishing and maintaining an information security program that is designed to: (i) protect the security and confidentiality of Personal Data; (ii) protect against anticipated threats or hazards to the security or integrity of the Personal Data; (iii) protect against unauthorized access to or use of the Personal Data; (iv) ensure the proper disposal of Personal Data, as further defined herein; and, (v) ensure that all employees and subcontractors of Data Importer, if any, comply with all of the foregoing. Data Importer shall designate an individual to be responsible for the information security program. Such individual shall respond to Data Exporter reasonable inquiries regarding computer security and to be responsible for notifying Data Exporter-designated contact(s) if a breach or an incident occurs, as further described herein.
1.2 Data Importer shall conduct formal privacy and security awareness training for all personnel andrequired contractors as soon as reasonably practicable after the time of hiring and/or prior to being appointed to work on Personal Data and annually recertified thereafter. Documentation of security awareness training shall be retained by Data Importer, confirming that this training and subsequent annualrecertification process have been completed.
1.3 In the event of any actual theft, unauthorized use or disclosure of any Personal Data, Data Importer shall immediately commence all reasonable efforts to investigate and correct the causes and remediate the results thereof. Within 3 business day following confirmation of any such event, provide Data Exporter notice thereof, and such further information and assistance as may be reasonably requested. Upon Data Exporter request, remediation actions and reasonable assurance of resolution of discovered issues shall be provided to Data Exporter.
1.4 Data Importer shall not transmit any unencrypted Personal Data over the internet or any unsecured network, and shall not store any Personal Data on any mobile computing device, such as a laptop computer,USB drive or portable data device, except where there is a business necessity and then only if the mobile computing device is protected by industry-standard encryption software. Data Importer shall encrypt Personal Data in transit into and out of the Services over public networks using industry standard protocols. All Personal data in transit between the Services and Data Exporter’s interface is encrypted using TLS 1.2or better. Personal Data is also encrypted at rest.
2. Network and Communications Security
2.1 All Data Importer connectivity to Data Exporter computing systems and/or networks and all attempts at same shall be only through Data Exporter’s security gateways/firewalls and only through Data Exporter-approved security procedures.
2.2 Data Importer shall maintain technical and organizational measures for data protection including: (i) local device firewall, disk encryption, virus and malware protection will be utilized to protect against malicious connection attempts, to block spam, virus and unauthorized intrusions;
3. Personal Data Handling Procedures
3.1 Disposal of Personal Data on paper shall be done in a secure manner, to include shredders or secure shredding bins within Data Importer space from which Personal Data is handled or accessed (“Data Exporter Work Area”). Shredding must take place within the Data Exporter Work Area before disposal or transit outside of the Data Exporter Work Area or be performed offsite by a reputable third party under contract with Data Importer.
3.2 Erasure of Information and Destruction of Electronic Storage Media. All electronic storage media containing Personal Data must be wiped or degaussed for physical destruction or disposal, in a manner meeting forensic industry standards such as the NIST SP800-88 Guidelines for Media Sanitization, prior to departing Data Exporter Work Area(s), with the exception of encrypted Personal Data residing on portablemedia for the express purpose of providing service to the Data Exporter. Data Importer shall maintain commercially reasonable documented evidence of data erasure and destruction for infrastructure level resources. This evidence must be available for review at the request of Data Exporter.
3.3 Data Importer shall maintain authorization and authentication technologies and processes to ensure that only authorized persons access Personal Data, including: (i) granting access rights on the basis of the need-to-knowprinciple; (ii) reviewing and maintaining records of employees who have been authorized or who can grant, alter or cancel authorized access to systems; (iii) requiring personalized, individual access accounts to use passwords that meet complexity, length and duration requirements; (iv) storing passwords in a manner that makes them undecipherable if used incorrectly or recovered in isolation; (v) encrypting, logging and auditing all access sessions to systems containing Personal Data; and (vi) instructing employees on safe administration methods when computers may be unattended such as use of password protected screen savers and session time limits.
3.4 Data Importer shall maintain logical controls to segregate Personal Data from other data, including the data of other customers.
3.5 Data Importer shall maintain measures to provide for separate processing of Personal Data for different purposes including: (i) provisioning Data Exporter within its own application-level security domain, which creates logical separation and isolation of security principles between customers; and (ii)isolating test or development environments from live or production environments.
4. Security Testing
During the performance of Services under the Agreement, Data Importer shall engage, at its own expenseand at least one time per year, a third-party vendor (“Testing Company”) to perform penetration and vulnerability testing (“Security Tests”) with respect to Data Importer’s systems containing and/or storing Personal Data.
The objective of such Security Tests shall be to identify design and/or functionality issues in applications orinfrastructure of the Data Importer systems containing and/or storing Personal Data, which could expose Data Exporter’s assets to risks from malicious activities. Security Tests shall probe for weaknesses in applications, network perimeters or other infrastructure elements as well as weaknesses in process or technical countermeasures relating to the Data Importer systems containing and/or storing Personal Datathat could be exploited by a malicious party.
Security Tests shall identify, at a minimum, the following security vulnerabilities: invalidated or un- sanitized input; broken or excessive access controls; broken authentication and session management; cross- site scripting (XSS) flaws; buffer overflows; injection flaws; improper error handling; insecure storage; common denial of service vulnerabilities; insecure or inconsistent configuration management; improper use of TLS; proper use of encryption; and anti-virus reliability and testing.
Within a reasonable period after the Security Test has been performed, Data Importer shall, upon Data Exporter’s request, notify Data Exporter in writing of any critical security issues that were revealed during such Security Test which have not been remediated. To the extent that critical security issues were revealed during a particular Security Test, Data Importer shall subsequently engage, at its own expense, the Testing Company to perform an additional Security Test to ensure resolution of identified security issues. Results thereof shall be made available to the Data Exporter through a screenshare upon request.
5. Security Audit
Data Importer, and all subcontracted entities (as appropriate) shall conduct at least annually an SSAE 18 (or higher) audit covering all systems and/or facilities utilized to provide the Service to the Data Exporter, and will furnish to Data Exporter the results thereof promptly following Data Exporter’s written request. If, after reviewing such audit results, Data Exporter reasonably determines that security issues exist relating to the Service, Data Exporter will notify Data Importer, in writing, and Data Importer will promptly discuss and where commercially feasible, address the identified issues. Any remaining issues shall be documented, tracked and addressed at such time as agreed upon by both Data Importer and the Data Exporter.
6. Disaster Recovery
Data Importer will maintain an appropriate Business Continuity Program and IT Disaster Recovery/ Technical Resiliency Program(s) which are regularly reviewed or tested, and which meet or exceed industry best practices.
7. Data Retention and Deletion
During the term of Customer's Agreement with Xactly, Xactly may delete or otherwise destroy Customer Data that has been stored in the Service for more than seven (7) years on a rolling basis. Once deleted as set forth in the preceding sentence, Customer Data cannot be restored. It is otherwise Customer’s responsibility to back-up Customer Data.
Revised June 3rd, 2022