Yellowfinには企業の指針となるWISP（Written Information Scurity Program）がありますか？

Yellowfinでは、従業員が従うべき最新のWISP（企業のセキュアな運営を定義したもの）と、SOP（標準運用手順：Standard Operating Procedures）文書を管理しています。

 

Yellowfinはどのような外部認定を受けていますか？

Yellowfinは、以下の認定を受けています。

• UK Cyber Essentials 2018 （イギリス政府にデジタルサービスを販売する場合に必要）
• UK Cyber Essentials 2019
• UK Cyber Essentials 2020
• USA Privacy Shield
• 2020年にSOC2認定取得予定

 

Yellowfinでは情報セキュリティプログラムの実施および管理を担当する責任者が特定されていますか？（例：最高情報セキュリティ責任者、マネージャ、など）

会社のセキュリティは、COO（最高執行責任者：Chief Operating Officer）の責任配下にあり、運用チームが、組織のセキュリティに関するすべての問題を管理します。

 

Yellowfinには、コンピューティングおよびネットワークインフラデバイスのセキュリティ強化ガイドラインはありますか？

YellowfinのWISPや、その他の内部文書は、外部からの影響や不正アクセスからエコシステムを強固にするためのアプローチを定義しています。Yellowfinには、定期的に外部境界をテストし、ネットワークコンポーネントとすべてのエンドポイントの脆弱性テストを実行するISO担当者がいます。ISO担当者は、業界標準のスキャンツールを使用して問題を発見し、解決または緩和のために問題の優先順位を決定します。

 

Yellowfinでは会社の境界を守るためにファイアウォールを設置していますか？

Yellowfinは、Cisco 5515-XまたはCisco 5545-Xファイアウォールを使用して、会社のすべての境界を保護しています。Yellowfinはまた、内部Cisco 5515-Xファイアウォールを使用して、企業秘密と知的財産を保護しています。

 

Yellowfinはエンドポイントを保護していますか？

Yellowfinは、Bitdefenderクラウドプロテクションを使用して、すべてのエンドポイントとサービスプラットフォームを保護しています。このテクノロジーは、Windows、Linux、およびAppleにクライアントとしてインストールされます。これは、クラウドポータルから制御およびモニターされます。Bitdefenderクラウドは、各クライアントにローカルファイアウォール、ウィルス対策、マルウェア対策、暗号化対策、ウェブ・電子メール保護、およびファイル保護を提供します。

 

Yellowfinにパスワードポリシーはありますか？

Yellowfinは、すべてのサーバと外部サービスプラットフォームで、信頼性の高いパスワードを使用しています。信頼性の高いパスワードは20文字以上を意味しますが、Yellowfinの標準は32文字です。

内部従業員SOPは、従業員が従うべきパスワードポリシーと、再利用頻度を定義しています。

 

Yellowfinには作成と承認のためのユーザーアクセスポリシーがありますか？

Yellowfinは、OKTA SSOテクノロジーを使用して、すべての企業アプリケーションに単一のアクセスポイントを提供します。従業員は1度ログインするだけで、割り当てられたウェブアクセス可能なすべてのアプリケーションを、OKTAポータルから利用できるようになります。従業員がログインすると、アクセスプラットフォームが割り当てられ、従業員がログオフすると、プラットフォームの割り当てが解除されます。

認証情報が必要なGUIアプリケーションおよび機器の場合、これらは運用チームにより発行、解除されます。

 

ITシステムリソースへのアクセスを許可する責任は誰が担いますか？

COO直属の運用チームが、ITシステムへのアクセスを担当しています。

 

Yellowfinは、HiPPA（医療保険の相互運用性と説明責任に関する法律）や、PCIなどの規格に準拠し、顧客のすべての個人情報（PII：Personal Identifiable Information）や顧客確認（KYC：Know Your Customer）データを保護していますか？

• Yellowfinは純粋なソフトウェアベンダーであり、顧客データをホストしません。顧客のISO担当者は、Yellowfin ソフトウェアのセキュアなホスティングと管理に責任を担います。
• Yellowfinは、HiPPAデータをホストしたり、アクセスしたりしません。
• Yellowfinは、クレジットカードデータをホストしたり、アクセスしたりしません。
• Yellowfinは顧客データをホストしないため、個人情報や顧客確認データを保持しません。
• Yellowfinのポリシーでは、サポート活動のために顧客データにアクセスしません。

 

YellowfinはGDPR（EU一般データ保護規則：General Data Protection Regulation）に準拠していますか？

Yellowfinは、関係者から提供された顧客情報とリード情報のみを保存します。Yellowfinは、誕生日などの個人情報を保存しません。GDPRに該当するすべての情報は、リード担当者、またはアカウント担当者により提供され、公開レベルの情報です。Yellowfinは、要請に応じて保有する個人情報をGDPR規則に準拠したすべての有効なシステムから削除し、会計や請求システムの完全性を維持するために最低限の情報のみを保持します。

Yellowfinはまた、US Privacy Shieldのメンバーでもあります。

 

ディザスターリカバリーおよびビジネス継続性プロセスおよび計画を説明してください。また、それらがどのくらいの期間実施されているかについて詳細を提示し、直近のテストのコピーを提供してください。

Yellowfinには文書化されたDRR（減災：Disaster Risk Reduction）、パンデミック、継続性計画があり、通常の事業運営に影響を与えるあらゆるシナリオに柔軟に対応できるように記載されています。

計画の最新のテストとして、COVID-19危機が挙げられます。これは、市民に屋内か自宅への避難を義務付けたものです。Yellowfinは計画を実行し、生産性を損なうことなくオフィスでの勤務から在宅勤務への透過的な移行を可能にする、在宅勤務環境を確立しました。Yellowfinの確立されたインフラとセキュリティにより、シームレスな移行が可能になりました。

 

Yellowfinには第三者によるリモートアクセスポリシーやガイドラインがありますか？

Yellowfinでは、第三者による本番システムへのアクセスを許可していません。社内の従業員が、本番および開発環境に関するすべてを管理します。

 

Yellowfinの従業員は守秘義務契約に署名する必要がありますか？

雇用開始時にすべての従業員は、無期限で知的財産を保護するNDA（秘密保持契約：No-Disclosure Agreement）に署名することを義務付けられています。これは、Yellowfinとその顧客を保護するものであり、顧客に関しては、従業員が顧客と仕事をするYellowfinの代表者として、職務の過程で入手した機密情報を開示することを防ぎます。

 

Yellowfinの従業員は犯罪歴やリファレンスのチェックを受けますか？

Yellowfinは、従業員の犯罪歴チェックを行わず、セキュリティ審査も行いません。従業員は、雇用査定の際にリファレンスチェックを受け、NDAや企業秘密、知的財産、顧客情報を保護するためのその他企業契約に署名をします。

 

Yellowfinには倫理規定がありますか？

Yellowfinには、すべての従業員に適用される倫理規定があります。これは、顧客と仕事をするうえでの正直さと平等さのすべての基準を網羅しています。

この文書は、NDAに署名する際に確認することができます。

 

Yellowfinのソフトウェアは該当するすべてのアメリカ連邦および州の要件および規制に準拠していますか？

Yellowfinのアプリケーションは、堅牢なセキュリティ管理と、あらゆる要件や規制に適合するきめ細やかな権限スキームを備えています。ビジネスとして、Yellowfinは関連するすべての規制を遵守しています。

 

Yellowfinは業界標準のバックアップ手法を実践していますか？

Yellowfinは基幹システム、データおよび情報に、3.2.1バックアップを実施しています。Yellowfinは、AzureとAWSへのバックアップを毎日オフサイトで行い、PIT損失を軽減します。

バックアップは暗号化されており、公衆回線を介した安全性を確保しています。

 

ネットワークへのサイバー障害を防止し、最終的に契約した製品やサービスを提供する能力（事業継続性）を確保するための管理体制は整っていますか？

YellowfinはAWS、インボルタデータセンター、本社、地域オフィスにまたがる多様なIT能力を保持しています。これは、高レベルの柔軟性と冗長性を提供します。Yellowfinは、Bitdefenderクラウドエンドポイントプロテクションを使用して、すべてのエンドポイントを保護しています。Yellowfinは、Cisco 55X5-Xファイアウォールを使用して、すべての外部境界や、内部IP資産を保護しています。Yellowfinは、主要な資産に3.2.1バックアップを実施しています。Yellowfinは、専任のセキュリティ担当者を採用し、定期的に内部および外部インターフイェースの脆弱性をスキャンし、その解決方法を管理しています。

 

Yellowfinはオープンソースのソフトウェアを使用していますか。また、オープンソースがセキュリティ上の欠陥を生み出していないことを確認するために、どのような対策を講じていますか？

Yellowfinは、Yellowfin コードベース内で、いくつかのオープンソースライブラリを使用しています。Yellowfinは、コピーレフトまたはプロプライエタリライセンスのないオープンソースライブラリのみを使用しています。Yellowfinは、SonarCubeやSonaTypeのような業界ツールを使用して、セキュリティの脆弱性、バグや課題、オープンソースの脆弱性やバグについて、Yellowfinのコードベースをスキャンしています。Yellowfinは、Yellowfin コードのセキュリティの検出と修正のために、専任の情報セキュリティコンサルタントを採用しています。これには、コンプライアンスを確保するためのオープンソースライセンスの管理も含まれています。

 

Yellowfinは暗号化処理にどのような鍵サイズを使用していますか？

Yellowfinは、JVMのサポートに応じて利用可能なアルゴリズムを選択します。AES、3DES、BlowFish、DESを順に試していきます。Yellowfinは、選択したアルゴリズムのデフォルトの鍵サイズを使用します。

 

Yellowfinはどのようにして製品のパスワードを保存していますか？

Yellowfinは、bCryptアルゴリズムを使用して平文パスワードをハッシュ化し、制御データベースにハッシュを保存します。またYellowfinは、ハッシュパスワードが改ざんされたり、置き換えられたりしないように、CRCやその他のアンチタンパーメカニズムを使用しています。

 

送信元と送信先間の通信にデフォルトでTLSを使用していますか？

Yellowfinの内部Tomcatインスタンスは、TLS 1.2をサポートしています。