Heroku のセキュリティ、プライバシー、コンプライアンス
この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。
最終更新日 2020年03月02日(月)
Table of Contents
Heroku でミッションクリティカルなアプリケーションをビルドして運用する場合、お客様は会社や顧客に関する重要な機密データを Salesforce に委任しています。当社にとって、お客様のデータのプライバシーの保護より重要なものはありません。信頼が当社の最も重要な価値であるのはそのためです。
共有責任モデル
お客様のデータを安全な状態に維持するにはチームが必要です。Heroku アプリケーションは、Heroku の担当者のチームによって運用される一連のシステムに保存され、実行されます。これらのシステムを最適なセキュリティが得られるように設計すること、およびこれらのシステムに当社のチームがアクセスして運用する方法に関する効果的な習慣とプロセスを実装して適用することは Salesforce の責任です。Salesforce はまた、ベンダーを監査してそのセキュリティ制御を検証すること、およびベンダーサービスの使用が当社のセキュリティ標準を確実に満たすようにすることにも責任を負っています。Salesforce は定期的に監査を実行しており、当社のシステムとプロセスのセキュリティを検証するための認定を維持しています。
Heroku のお客様は、お客様のアプリを安全な状態に維持するチームの一員です。アプリケーションで強力なセキュリティ対策を実装し、Heroku アカウントおよびリソースへのアクセスを適切に管理する責任は、お客様側にあります。Heroku は、この責任の遂行に役立つ多くのセキュリティ機能を提供しています。
監査と認定
Heroku は定期的に監査を実行しており、お客様からの信頼をさらに強化し、Heroku のお客様がプラットフォーム上に認定されたアプリケーションをビルドできるようにするためのいくつかの認定を維持しています。監査と認定の詳細な一覧は、Heroku Enterprise マスターサブスクリプション契約の一部である Heroku の Security Privacy and Architecture (“SPARC”) のドキュメントに保持されています。これらには以下のものが含まれます。
PCI
Salesforce は、Heroku Enterprise の一部として提供される Heroku Shield Service を対象とした PCI レベル 1 のサービスプロバイダーとしてコンプライアンス証明書を取得しています。Heroku の PCI 認定に関する詳細情報をご希望の場合は、Heroku のサポートページ にアクセスしてください。
HIPAA
Heroku で US HIPAA に準拠する医療アプリケーションをビルドすることを希望するお客様は、HIPAA コンプライアンスに必要なマスターサブスクリプション契約への事業提携契約について Heroku 営業チームに問い合わせることができます。
GDPR
EU の一般データ保護規則が Heroku 上のアプリにどのように関連するかについての詳細は、GDPR に関する Dev Center の記事を参照してください。
ISO 27001、27017、および 27018 認定
Salesforce は、ISO 27002 に続くセキュリティ管理のベストプラクティスと包括的なセキュリティ制御を指定する、広範に認識され、国際的に受け入れられているこの一連の情報セキュリティ標準に対して認定されています。また、これらの認定には、個人を特定できる情報 (PII) を保護するためのクラウドに固有の情報セキュリティも含まれています。詳細は、サポートチケットを記録してください。
SOC 1、2、および 3 認証レポート
Salesforce には、外部監査人によって SOC1、2、および 3 レポートが発行されています。SOC1 Type II は、IT 全般統制と、お客様の財務報告に関連する Heroku Platform によって処理されるお客様のデータの可用性、機密性、セキュリティに関する統制の独立した調査です。SOC2 Type 2 は使用が制限されたレポートであり、プレゼンテーションの公平性と、Heroku Platform によって処理されるお客様のデータのセキュリティ、可用性、機密性に関連する統制の設計の適合性の独立した調査です。汎用の SOC3 レポートは、プレゼンテーションの公平性と、Heroku Platform によって処理されるお客様のデータのセキュリティ、可用性、機密性に関連する統制の設計の適合性の独立した調査です。詳細は、サポートチケットを記録してください。
Heroku のセキュリティ機能
Heroku には、アプリケーションを安全な状態に維持するために役立ついくつかの基本的な機能と高度な機能があります。
基本的な機能
Heroku は、個人用およびチームアカウントで次のような基本的なセキュリティ機能を提供します。
- アカウントレベルの 2 要素認証 (無料の層でも使用可能)
- TLS/SSL および Automated Certificate Management 経由のトランスポートセキュリティ
- ユーザーとアプリケーションでの Team および基本的なロールベースのアクセス
- Postgres の論理および物理バックアップとロールバック (無料の層でも使用可能)
高度な機能
Enterprise および Premium 層のユーザーは、次のような追加機能を使用できます。
- Heroku Enterprise でのより改良されたアクセス制御とロール
- 組織の SAML ID プロバイダーと統合されたシングルサインオン (SSO)
- Standard、Premium、Private、Shield プランでの Postgres の保存時の暗号化
- Salesforce データの Heroku Connect を経由した Heroku Postgres への安全なトランスポート
- Private Spaces で実行されているアプリでのソース IP に基づいたネットワークレベルの分離とアクセス制御
- Private Spaces で実行されているアプリケーションとデータベースの地理的な分離
- Shield Private Spaces での分離された、領域で適用されるログ収集
- Shield Private Spaces で HTTPS リクエストを受信する Heroku アプリでのより厳密な TLS 要件
- Shield Private Spaces で対話型 heroku run セッションを実行している場合のキーストロークロギング
詳細情報
Heroku Enterprise のお客様は、最適なセキュリティ対策の実装方法や、Heroku でのアプリケーションデプロイの管理方法に関するガイダンスを提供できる Customer Solutions Architects チームにご連絡ください。