個人データの移行に関するセキュリティ
Shopifyでは、お客様の個人データを安全に保護するための技術的および組織的な対策など、包括的な情報セキュリティプログラムを導入しています。また、セキュリティ対策を定期的に審査し、その内容を独自の裁量で更新する場合があります。
このページでは、Shopifyの情報セキュリティプログラムに含まれるいくつかの安全対策の概要を説明します。この詳細は「Shopifyの安全性」を参照してください。
アクセス制御
Shopifyにおいて、お客様の個人データには、サービスの維持と提供に必要な場合にのみ、承認された担当者のみがアクセスできます。Shopifyでは、ファイアウォールおよびその他の技術の使用や認証制御など、アクセス権限の管理を目的としたアクセス制御とポリシーを導入しています。
セキュリティ評価
Shopifyは、脆弱性評価およびペネトレーションテストプログラムを導入することで、サービスに関して判明した問題を調査および追跡し、必要に応じて解決する責任を果たしています。
アプリケーションのセキュリティ
Shopifyでは、アプリケーションのセキュリティに関する脅威からサービスを保護するためのアプリケーションセキュリティプログラムを導入しています。
変更管理
Shopifyでは、既存のサービスリソースに対する変更内容を記録、テスト、承認したり、変更管理ツールや導入ツールで変更内容の詳細を文書化したりする管理体制を導入しています。また、変更管理の基準に沿ってすべての変更箇所をテストし、その後に本番環境に反映させるようにしています。
データの整合性
Shopifyは適宜、サービス内でデータを送信、保管、処理する際にデータの整合性を保つための制御を維持しています。
利用可能な地域
Shopifyでは、サービスにおいて障害の影響を最小限に抑えるため、必要に応じた冗長性を採用しています。また、Shopifyのサービスは、不具合を想定してそれに対処するよう設計されており、不具合からの復旧が必要な場合に、お客様データのトラフィックを不具合の影響を受けた領域から移動させるための適切なプロセスを導入しています。
ビジネスの継続性と障害からの復旧
Shopifyでは、マーチャントに対するサービスの提供を阻害するイベントや、サービスに重大な支障を及ぼす可能性のあるイベントを特定し、それに対処し、その障害から復旧するための処理と手順など、ビジネスにおいて重要度の高い機能の継続性を保つためのリスク管理プログラムを導入しています。
インシデント管理
Shopifyでは、セキュリティやサービス稼働状況に関して、マーチャントがインシデントを報告する、質問する、潜在的な問題について情報を提供するためのドキュメントを用意しています。
また、サービスのセキュリティに関する潜在的な脅威を検出、軽減、調査し、それに対応するためのインシデント対応プランを導入しています。
物理的なセキュリティ
Shopifyでは、サービスを保護するために必要に応じて以下を行います。
- サービスに対する物理的な不正アクセス、サービスへのダメージや妨害を防ぐために合理的な対策を実施する
- 適切な制御デバイスを使用し、サービスへの物理的なアクセスを、承認された担当者が正当かつ必要な業務を実施するためにアクセスする場合のみに限定する
- これらの基準への準拠を検証するために定期的な審査を実行する