セキュリティ
Alibaba Cloudは様々なセキュリティホワイトペーパーを公開しています。
Alibaba Cloud 各サービスのセキュリティやSLA、コンプライアンスに対するアプローチは、このホワイトペーパーから確認することが可能です。
Alibaba Cloud Security White Paper https://files.alicdn.com/tpsservice/20ed00f6beff86467929d855ca6684f7.pdf?spm=a2c63.p38356.879954.3.4f665922qjlaBg&file=20ed00f6beff86467929d855ca6684f7.pdf
このホワイトペーパーは、Alibaba Cloudのクラウドサービスに対するセキュリティシステム、Alibaba Cloud社員のセキュリティ意識からデータセンターの物理的・技術的なセキュリティ機能、中国本土以外の様々な国向けのサービスに対するセキュリティ責任などを紹介しています。
Alibaba Cloudは、セキュリティ、プライバシー、コンプライアンスについての保証を提供するために、国際的に認められた監査機関による第三者監査を毎年定期的に受けていきます。
Alibaba Cloudがサポートしている第三者認証は、以下の通りです。(他にも色々ありますが、代表的なものだけ)
ISO 270001
ISO 27001は、国際的に幅広く認知されているセキュリティ標準規格であり、ISO27002のベストプラクティスガイダンスに従い、セキュリティ管理のベストプラクティスとセキュリティ制御を規定したセキュリティ管理標準規格です。
Alibaba Cloudは、Alibaba Cloudを提供するお客様、サービス、技術、データセンターに対して、ISO 27001 の認証を取得しています。
その他、Alibaba Cloudは、ISO 27017、ISO 27018、ISO 9001、ISO 20000、ISO 22301、ISO 27701なども取得しています。
PCI DSS v3.0
PCI DSSは、クレジットカード番号やCVV2コードなどのペイメントカード情報の安全性を評価する、カード決済業界の重要なセキュリティ基準です。クレジットカード番号やCVV2コードなどのペイメントカードデータのセキュリティを評価するカード決済業界の重要なセキュリティ基準です。また、アカウントやパスワードの アカウントやパスワードの転送や保存のセキュリティにも焦点を当てています。アリババクラウドは、中国のクラウドサービスプロバイダーとして初めて 中国で初めてPCI DSS認証に合格したクラウドサービスプロバイダーです。
AICPA SOC
SOC(Service Organization Controls:サービス組織の統制)は、AICPA(米国公認会計士協会)のASB(監査基準審議会)によって定められたSSAE(保証業務基準)によるサービスに関する内部統制報告書です。この報告書は、ユーザーが外注サービスに関連するリスクを評価し、対処するために必要な貴重な情報を提供します。委託されたサービスに関連するリスクを評価し、対処するために必要な貴重な情報を提供します。
Alibaba Cloudは SOC1 / SOC2 / SOC3 を理解し、対処しています。
C5
Alibaba CloudはC5規格に適合しており、制御とセキュリティにおいて最高レベルのコンプライアンスを適用するというコミットメントを示しています。C5規格は、ドイツ市場のベンチマークとしてだけでなく、ヨーロッパ全体の機関のベンチマークとしても機能しています。この認証により認証を受けることで、ドイツのお客様は、現地の厳しい要件に準拠するために行われた作業を活用し、Alibaba Cloudのサービスを利用して安全なワークロードを実行することができます。C5は、プロフェッショナルなクラウドサービスプロバイダーとその監査人および顧客を対象としています。クラウドサービスプロバイダーが準拠しなければならない、または定義された最低基準を満たさなければならない17の明確な管理要件があります。C5は、ドイツの公共部門と連携する際に必要なアセスメントであり、民間部門での採用も増えています。
MTCS
Alibaba Cloudは、シンガポールの認証機関であるCertification Internationalから、3段階ある認証レベルのうち最高位の「MTCS(Multi-Tier Cloud Security)T3」認証を取得しました。MTCS規格は、シンガポールのInfocomm Development Authority of Singapore(IDA)が主導し、SPRING Singaporeが立ち上げたものです。
NESA/ISR
National Electronic Security Authority(NESA)は、UAEの重要な情報インフラを保護し、国家のサイバーセキュリティを向上させることを任務とする政府機関です。
Alibaba Cloudは、NESAが重要セクターの政府機関向けに作成した一連の基準を満たし、ガイダンスに従っており、P1レベルのコンプライアンスについて適格なサードパーティの独立監査人による監査を受けました。
ドバイ政府が策定した「ドバイ政府情報セキュリティ規則(ISR)」は、様々な統制からなる複数の情報セキュリティ領域を包含しており、ISO 27001規格と類似しています。また、ISRには、ドバイ政府の特定の要件を反映した特徴的な項目も含まれています。Alibaba Cloudは、ISRの要件に準拠しているかどうかについて、資格のある第三者の独立監査人による監査を受けました。
SEC Rule-17a
Alibaba Cloudは、米証券取引委員会(SEC)の規則17a-4(f)および米金融庁(FINRA)の規則4511によって公布されたブローカーディーラーのメディア要件に準拠するOSSの能力に関連する評価を取得しています。これらの規制要件は、米国以外の多くの国で、製品の金融支援能力の測定の一部として広く採用されているため、この評価により、Alibaba Cloudは世界中の金融業界のより多くの顧客にサービスを提供することができます。
HIPAA/HITECH
Alibaba Cloudは、様々なお客様のために、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠してビジネスアソシエイト契約(BAA)を完全にサポートしています。
HIPAA に関してより詳しいことはこちらのホワイトペーパーを参考に頂ければ幸いです。
https://files.alicdn.com/tpsservice/ed492ff176c48b0a0beda7728c19c0d7.pdf
GDPR
Alibaba CloudはEUのGDPR(General Data Protection Regulation:一般データ保護規則)に準した様々な資格を取得しています。
Alibaba Cloudは、EUクラウド行動規範の創設メンバーおよび総会のメンバーとして、GDPR第40条の要件に従ってEUクラウドサービスの行動規範の策定に積極的に関わっています。Alibaba Cloudは、EUのデータ保護機関と建設的な協力関係を築き、コードの起草中にGDPRに対する期待と将来のガイダンスが十分に考慮されるようにしています。
そのため、Alibaba Cloudは、クラウドコンピューティング業界における透明性の向上をサポートし、クラウドサービスプロバイダーがデータ保護の問題にどのように対処するかをクラウドの顧客が理解できるようにしつつ、Alibaba Cloudのエコシステム全体で高水準のデータ保護を維持し、テクノロジー産業の発展に貢献することを約束しています。