Heroku のセキュリティ、プライバシー、コンプライアンス
この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。
最終更新日 2022年01月18日(火)
Table of Contents
Heroku でミッションクリティカルなアプリケーションをビルドして運用する場合、お客様は会社や顧客に関する重要な機密データを Salesforce に委任しています。当社にとって、お客様のデータのプライバシーの保護より重要なものはありません。信頼が当社の最も重要な価値であるのはそのためです。
共有責任モデル
世界中の開発者が機密データを Heroku に委任しており、Salesforce にとって、このデータを信頼して保護することよりも重要な任務はありません。一方で、お客様のデータの保護は、Salesforce とお客様の間で共有される責任でもあります。
Salesforce の責任は、最適なセキュリティのためにシステムを設計することです。これは、当社のチームが Heroku のサービスにアクセスし、運用する方法を制御する効果的なプラクティスとプロセスを実装、実践することを意味します。Heroku のサービスと重要なベンダーの第三者機関による監査を定期的に主催し、当社のシステムとプロセスのセキュリティを検証するための認定を維持することも Salesforce の責任です。
Heroku のお客様は、お客様のアプリを安全な状態に維持するチームの一員です。アプリケーションで強力なセキュリティ対策を実装し、Heroku アカウントおよびリソースへのアクセスを適切に管理する責任は、お客様側にあります。Heroku では、この責任の遂行に役立つ多くのセキュリティ機能を提供しています。
監査と認定
特定の製品がどの認定を受けているかを確認するには、認定の範囲の表を参照してください。
Heroku は定期的に監査を実行しており、お客様からの信頼をさらに強化し、Heroku のお客様がプラットフォーム上に認定されたアプリケーションをビルドできるようにするためのいくつかの認定を維持しています。監査と認定の詳細な一覧は、Heroku Enterprise マスターサブスクリプション契約の一部である Heroku の Security Privacy and Architecture (“SPARC”) のドキュメントに保持されています。コンプライアンスに関するリソースは Salesforce Trust Web サイト (Salesforce Services のログインが必要) で公開されており、ここからチケットを登録して入手することもできます。これらには以下のものが含まれます。
PCI
Salesforce は、Heroku Enterprise の一部として提供される Heroku Shield Service を対象とした PCI レベル 1 のサービスプロバイダーとしてコンプライアンス証明書を取得しています。 お客様は、Heroku の PCI 準拠製品の詳細について、Heroku 営業チームに問い合わせることができます。
HIPAA
Heroku で US HIPAA に準拠する医療アプリケーションをビルドすることを希望するお客様は、HIPAA コンプライアンスに必要なマスターサブスクリプション契約への事業提携契約について Heroku 営業チームに問い合わせることができます。
GDPR
EU の一般データ保護規則が Heroku 上のアプリにどのように関連するかについての詳細は、GDPR に関する Dev Center の記事を参照してください。
ISO 27001、27017、および 27018 認定
Salesforce は、ISO 27002 に続くセキュリティ管理のベストプラクティスと包括的なセキュリティ制御を指定する、広範に認識され、国際的に受け入れられているこの一連の情報セキュリティ標準に対して認定されています。また、これらの認定には、個人を特定できる情報 (PII) を保護するためのクラウドに固有の情報セキュリティも含まれています。
SOC 1、2、および 3 認証レポート
Salesforce には、外部監査人によって SOC1、2、および 3 レポートが発行されています。SOC1 Type II は、IT 全般統制と、お客様の財務報告に関連する Heroku Platform によって処理されるお客様のデータの可用性、機密性、セキュリティに関する統制の独立した調査です。SOC2 Type 2 は使用が制限されたレポートであり、プレゼンテーションの公平性と、Heroku Platform によって処理されるお客様のデータのセキュリティ、可用性、機密性に関連する統制の設計の適合性の独立した調査です。汎用の SOC3 レポートは、プレゼンテーションの公平性と、Heroku Platform によって処理されるお客様のデータのセキュリティ、可用性、機密性に関連する統制の設計の適合性の独立した調査です。
Heroku のセキュリティ機能
Heroku には、お客様による設定が可能で、アプリケーションを安全な状態に維持するために役立ついくつかの機能があります。 これらの機能についての詳細は、Heroku のセキュリティとコンプライアンスに関するリソースと機能の記事を参照してください。