Loading

セキュリティ評価に関する合意事項

公開日: Apr 22, 2025
説明
セキュリティ評価を実行するときに顧客が従う必要のある一連のガイドライン
解決策
セキュリティ評価に関する合意事項

この Salesforce セキュリティ評価に関する合意事項 (以下「合意事項」という) は、顧客から注文され、SFDC とその関連会社によってオンラインで利用可能になった製品とサービス (以下「サービス」という) だけに適用されます。この合意事項の発効日以降、Advertising Studio、Chatter、Commerce Cloud、Community Cloud、Data.com、Database.com、Datorama、Salesforce DMP、Desk.com、Einstein Analytics、ExactTarget、Force.com、Heroku、MuleSoft、Pardot、Predictive Intelligence、Sales Cloud、SalesforceIQ、Service Cloud、Site.com、Social Studio、Salesforce Quote-to-Cash、Tableau Online、WDC (と、前述に関して SFCDC によって利用可能になった関連モバイルアプリケーション) という現在のブランドのサービスにだけ、評価が実行される場合があります。

当事者は次に同意します:
 

1. セキュリティ評価を実行する権限。

この合意事項は顧客から注文され、SFDC とその関連会社によってオンラインで利用可能になった製品とサービス (以下「サービス」という) だけに適用されます。「関連会社」とは、該当法人を直接的または間接的に支配している、該当法人により支配されている、または該当法人との共同支配下にある法人を意味します。この定義の目的における「支配」とは、該当法人の議決権持分の 50% を超える直接的または間接的な所有権または支配を意味します。 

この合意事項の条件に従ってのみ、当該サービスのウェブアプリケーションのセキュリティ評価、および/またはドメイン URL の非侵入型のネットワークテスト (それぞれ以下「評価」)について、いずれも顧客のアカウントに直接接続されている場合に、SFDC は顧客に実行する権限を付与します。
 
顧客は当該顧客アカウントの保護レベルを調べるために、手動検査 (非表示の項目検査など) に応じて商用オフザシェルフを組み合わせて、および/または、この合意事項またはセキュリティ評価の関連書類で概説されているいかなるポリシーまたは手順に従った、侵入型またはパッシブの技術とソフトウェアツールを使用したペネトレーション、侵入型、および/または、分析のサービスを利用して評価を実行できます。すべての評価の結果はこの合意事項に従って準備されるレポートにだけ含まれます。SFDC は必要に応じて製品固有のテスト制限時間枠を設定する権利を保持します。

2. 制限。

a. 評価は次の制限に従います:
(i) 顧客のアカウント以外のアカウントに対してテストを実行しない (例: トラフィック送信をしない)。
(ii) リモートコード実行攻撃を受けた場合、顧客は SFDC にすぐに通知する。いかなる場合でも顧客は権限をエスカレーションしたり外部に移動させたりしない。
(iii) サーバまたはネットワーク機器に対するサービス拒否攻撃をしない。
(iv) サーバ再起動の試行をしない。
(v) ボット、ウィルス、トロイの木馬、ルートキット、または他の実行可能なものをインストールしない。
(vi) EICAR ファイルをアップロードしない。
(vii) テスト用のセールスリードの投稿をしない。
(viii) SFDC IP アドレスのテストをしない。
(ix) すべての自動テストは次の時間帯に制限されます: 太平洋標準時で金曜日 21:00 - 日曜日 23:59
(x) メジャーアップグレードまたはメンテナンスの実施時間内に、顧客のアカウントに適用されるインスタンスのテストをしない (スケジュールに関連した特定のインスタンスを確認するために、https://trust.salesforce.com/en/#systemStatus (英語) を参照してください)。
(xi) Lead Capture、サインアップ、お問い合わせ、および/または、他のフォームページのテストをしない (https://www.salesforce.com/form/contact/contactme/ 、https://developer.salesforce.com/signup?d=70130000000td6N 、https://www.salesforce.com/form/datorama/request-a-demo/ など)。
(xii) MuleSoft ランタイムのテスト時に、MuleSoft の顧客専用環境で Cloud Hub の従業員の評価のみを実行できる。顧客は従業員環境を共有された MuleSoft で従業員を監査することはできない。
 
b. 顧客は、本書に基づいてテストされる顧客のアカウントに存在するデータ以外のデータにアクセス、取得、転送、変更 (総称して「アクセス」という) しません。本書に基づいてテストされる顧客のアカウントに存在するデータ以外のデータに顧客がアクセスした場合、顧客は security@salesforce.com へのメール経由でこれをすぐに報告し、SFDC は評価を停止する権利を保持します。  
c. 顧客は SFDC の書面による事前承認なしに、この合意事項に基づいて付与された権利または義務を下請けに出したり、譲渡したり、移転したりすることはできません。顧客が評価を実行するために第三者を利用する場合、第三者は顧客に適用される義務と同等以上の守秘義務およびセキュリティ義務に従います。顧客は、第三者がこの合意事項に基づく評価に関連するすべての要件を遵守することを確認し、評価に関連するいかなる方法でも、第三者のすべての行為と不作為に第一義的かつ全面的に責任を負います。     

3. 評価に関連する第三者のホスティングプロバイダ。 顧客データの保存場所に第三者のホスティングプロバイダを利用するサービスに顧客の評価が関連する場合 (https://help.salesforce.com/articleView?id=Trust-and-Compliance-Documentation&type=1 からアクセスできるサービスの当該インフラストラクチャとサブプロセッサのドキュメントに記載)、顧客は第三者のホスティングプロバイダの適用要件を遵守することに同意します ((i) https://aws.amazon.com/security/penetration testing/, (ii) https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement and (iii) https://cloud.google.com/security/overview/ に記載の要件を含みますが、これに制限されるものではありません)。 

4. 評価の停止。 SFDC の 要求に応じて、顧客は SFDC 独自の判断と裁量で SFDC のサービスを中断、低下、またはその他の方法によって有害である評価をすぐに停止します。SFDC は、事業の持続可能性とサービス保護のために独自の裁量で、顧客の評価アクセスをブロック、または強制的に切断することができます。   

5. 報告。 評価が完了した後すぐに、別紙 A (「報告要件」) に記載されている情報を制限なしに含めて、顧客は評価から生成された情報を含む書面による報告を security@salesforce.com にメールで送信します。顧客はこの合意事項の条件に従ってこの報告の機密性を維持することに同意し、知る必要がある場合に限り、その従業員以外の個人または団体に報告を開示しません。顧客は報告で「高」と分類されたすべての脆弱性をすぐに報告することに同意します。      

6. 機密性。 顧客は SFDC とその顧客、クライアント、サプライヤー、およびその他の団体の技術、事業および活動に関連するすべての情報、ならびにお客様が評価を実行中に発見したすべての情報とデータを、そこから生成されるレポートを制限なしに含めて、機密性のあるものとみなして保持することに同意します (「機密情報」)。機密情報は理性的な人が機密であると考える情報も含みます。顧客は SFDC に対して信用と信頼をもって機密情報を保持し、SFDC によって書面で承認されない限り、機密情報を個人、会社、または企業に開示せず、または機密情報を自身の利益または他者の利益のために (直接的または間接的に) 使用せず、承認されている場合でも、機密情報へのアクセスと開示を SFDC が承認した従業員に「知る必要がある」場合にのみ制限することに同意します。機密情報は (i) 他者から取得した時点で制限なく受領者がすでに知っている場合、(ii) その後、独立した第三者から制限なく、この合意事項または独立した第三者の SFDC との合意事項に違反せずに取得した場合、または、(iii) 当事者の不当行為によって公に取得可能となった場合、その範囲内に限り、機密情報とみなされません。政府機関、規制局、または法律の要求に従って機密情報の開示が要求される場合、顧客は法的に許可された範囲内で、SFDC による開示への異議を許可することに関する要求への書面による事前通知を行い、法律で開示が要求されている機密情報のみを開示します。この場合、顧客は機密情報の機密性を維持し、開示を制限するための SFDC の努力に協力します。                  

7. 顧客の責任。 顧客はこの合意事項で指定された方法で評価を実行するために、適切なスキル、資格、訓練、経歴を持つ人員を用いて、適格かつ専門的な方法ですべての評価を実行します。顧客は報告の前にすべての発見結果を検証する合理的な努力をします。顧客はこの合意事項に基づく評価の実行または報告の準備中に、第三者の権利に侵害または違反しません。顧客は評価の方法に関連する情報 (アイデア、方法プロセス、または技術を制限なく含む) を SFDC に提供し、SFDC がこの合意事項で明示的に指定されている場合を除いて、制限、責任、義務なしに情報を使用する権利を有することに同意します。       

8. SFDC サービス。 SFDC の製品とサービスの生産または商業的使用は、SFDC と顧客の間の個別サブスクリプション合意事項に準拠します。この合意事項のいかなる内容も、実行された評価が SFDC のサービスとシステムが安全であることの証明または保証として構成するものとしては解釈されません。   

9. 補償。 顧客は、(i) 評価に関連するこの合意事項の条件に遵守し、(ii) 評価の実行時に SFDC の指示に従い、(iii) SFDC の要求に応じて評価を停止することを、顧客 (または顧客の代理として実行する第三者) が怠ったことに起因するあらゆる種類のすべての判決、コスト、裁定、損失、費用 (合理的な弁護士費用を含む)、および責任から、SFDC に補償します。    

10. SFDC セキュリティチーム。 評価の結果に関して顧客が質問をする場合、顧客は別紙 A(「リソース」) に記載されているリソースをまず参照します。顧客の質問に対する回答または説明がリソースに含まれていない場合、顧客は security@salesforce.com にメールを送信することで支援を要求することができます。メールには、別紙 A(「報告要件」) に記載されている情報を制限なく含めて、評価から生成された情報を含む書面によるレポートが含まれます。いかなる場合でも、SFDC サービスに関連して使用するために顧客が開発したアプリケーションまたはカスタムコードについて、SFDC は顧客にフィードバックを提供しません。顧客は、SFDC が顧客の評価から生成される報告、またはそれ関する質問についてコメントする義務がないこと、ならびに上記に規定されている、または他の質問に対する SFDC の回答は SFDC の単独の裁量によるものであり、顧客は評価に関する報告と結果の解釈について単独の責任を負うことを承認し、同意します。           

11. 準拠法。 この合意事項はカリフォルニア州内の実体法に基づいて解釈され、実施されます。この合意事項に関連する紛争については、カリフォルニア州サンフランシスコ郡に所在する州裁判所および連邦裁判所が専属的管轄権を有し、各当事者はこれらの裁判所の専属的管轄権に同意します。この合意事項における規定が無効、違法、または実施不可能になった場合、残りの規定は損なわれることなく続行されます。    

12. 衡平法上の救済。 この合意事項に含まれる約束または合意のいずれかへの違反は、SFDC に法律上の適切な救済がない、取り返しのつかない、かつ継続的な損害を生じさせ、SFDC は差し止めによる救済、および/または特定の履行に関する判決、および適切なその他の救済 (適切である場合は金銭賠償を含む) を受ける権利を有します。   

13. 合意の期間。 この合意事項は、当事者間で主なサービスに関する合意が満了する、またはこの合意事項の適用日から 60 日以内に当事者間で主なサービスに関する合意が存在しない場合、最初の合意期間の完了をもって満了します。満了によって、この合意事項における顧客の権限は消滅します。第 5 項から第 13 項はこの合意事項が終了しても存続します。    

14. 第三者への利益の無供与。 この合意事項は、この合意事項における当事者および各承継人、ならびに許可された譲受人の唯一かつ排他的な利益のためにあります。当事者は第三者受益者または他の付随的受益者の創出を意図せず、この合意事項のいかなる点でも、明示的または暗示的に、この合意事項における、またはこれを理由としたいかなる性質の法的または衡平な権利、利益または救済は意図されず、または与えられません。
 
別紙 A
 
報告要件
 
1. 「報告」とは、テクニカルスタッフを対象とした、ペネトレーションテストで発見された脆弱性に関する次の情報を詳細に記載した発見セクションを含む報告をいいます:
 
a. すべての発見の概要と発見の関連重要度レベル。
 
b. 発見を記載した詳細評価報告。

c. 脆弱性を再現する方法の明確な表明。

d. 当該 HTTP リクエスト/レスポンスの提供。

e. この事例が発見であるとされる理由についての注釈
 
独自、および/または商用の脆弱性スキャンツールの使用は、上記に記載されている形式の概要に追加して文書化され、生の結果とされます。整理された発見の概要が欠けた、生データだけでは報告として受け入れられません。  
 
リソース
 
2. 脆弱性の発見を検証するために次のリソースを利用できます。
 
a. https://www.salesforce.com/company/disclosure/#

b. https://help.salesforce.com/articleView?id=000320207&type=1&mode=1

c. https://help.salesforce.com/articleView?id=Salesforce-Platform-Security-FAQs&type=1&language=en_US

d. https://help.salesforce.com/s/

e. https://developer.salesforce.com/page/Secure_Coding_Guidelines

f. https://blog.heroku.com/security_bug_bounty

g. http://developer.pardot.com/

h. https://trailhead.salesforce.com/ja/content/learn/modules/security-principles/prevent-crosssite-scripting-and-injection-attacks

i. https://developer.salesforce.com/docs/atlas.en-us.secure_coding_guide.meta/secure_coding_guide/secure_coding_sql_injection.htm

j. https://help.salesforce.com/articleView?id=admin_sessions.htm

k. https://developer.salesforce.com/devcenter/security

l. https://developer.salesforce.com/developer-centers/security
ナレッジ記事番号

000392845

 
読み込み中
Salesforce Help | Article