Adyenのセキュリティ
Adyenは、ご本人の個人データの保護に尽力しており、そのための措置を効果的に実施しています。権限のない者又は当事者がご本人のデータにアクセスできないようにするために、Adyenは、Adyenが処理するご本人に関する情報を保護するための技術的及び組織的安全管理措置を幅広く講じています。これらには、次に掲げるものが含まれます。
1.セキュリティプログラム、ポリシー及びスタッフ
Adyenは、リスクを特定し、適切な管理を実施するために、情報セキュリティプログラムを維持しています。本プログラムは、継続的な有効性と正確性を確保するために定期的に見直されます。Adyenには、セキュリティの監視、維持及び継続的な改善を担当する専任の情報セキュリティチームがあります。また、Adyenには、関連する規制を遵守するために不可欠な適切かつ効果的な情報セキュリティポリシーと手順があります。
2.監査と認証
Adyenは、規制及びポリシーの目的を達成するために、セキュリティ及びコンプライアンス管理について独立した検証を受けています。Adyenの現在の情報セキュリティの第三者による独立した監査には以下などがあります。
支払いカード
情報データセキュリティスタンダード(PCI-DSS)
PCI DSSは、消費者の支払カード情報を保護するための「最低限のセキュリティ基準」を確立するための情報セキュリティとビジネスのベストプラクティスのガイドラインです。Adyenは、Adyenの製品と決済プラットフォームについてPCI-DSSの認証を受けるために、少なくとも年に一回第三者監査を受けています。
システム
及び
組織管理2(SOC 2)タイプ2
SOC 2は、米国公認会計士協会(AICPA)の既存の信託サービス基準(TSC)の監査基準委員会に基づくレポートです。このレポートの目的は、セキュリティ、可用性、機密性及びプライバシーに関連するAdyenの情報システムを評価することです。Adyenは、システム設計の適合性とAdyenの統制の運用の有効性について報告するために、少なくとも年に一回第三者監査を受けています。
3.アクセス制御と特権管理
Adyenの生産システムの管理アクセスは、承認された担当者に制限されています。Adyenに採用されると、承認された担当者には一意のIDと資格情報が割り当てられます。承認された担当者の雇用が終了した場合、又はそのような資格情報の漏えいが疑われる場合、管理アクセスは取り消されます。アクセス権とそのレベルは、従業者の職務と役割に基づき設定されており、アクセス特権が定義された責任と一致するように、「最小特権の原則」と「Need to Knowの原則(知る必要がある者のみに知らせる)」というセキュリティの概念に基づいています。
4.データの暗号化
Adyenは、データを暗号化し、インターネットを介してAdyenのユーザインターフェース又はAPI(TLS又は同種の技術を使用)を利用して送信します。
5.セキュリティ監視とインシデント対応
Adyenには、Adyenのシステム又はデータの機密性、完全性若しくは可用性に影響を与える可能性のあるセキュリティ事象に対するインシデント管理プロセスがあります。このプロセスには、Adyenが関係者に通知するための応答時間が定められています。このプロセスでは、通知、エスカレーション、緩和(ミティゲーション)及び文書化に関する一連の行動及び手順を定めています。インシデント対応プログラムには、24時間年中無休の集中監視システムやセキュリティインシデントに対応するためのオンコールスタッフなどがあります。
6.物理的セキュリティ(物理的安全管理措置)
Adyenのデータセンターなどの物理的な場所では、セキュリティ・チェックポイント、バッジ(又は生体)認証、訪問者による署名の必須化、ビデオ監視(監視カメラ)等の不正な物理的アクセスを防止するための統制が施されています。
7.ネットワーク管理とセキュリティ
Adyenは、個々のコンポーネントの障害による影響を軽減するための十分な帯域幅と冗長なネットワークインフラストラクチャによってサポートされた業界標準の安全なネットワークアーキテクチャを堅持しております。Adyenのセキュリティチームは、既知の一般的な不正なネットワークアクティビティから防御するために業界標準のユーティリティを活用し、脆弱性のセキュリティアドバイザリリストを監視し、定期的な外部脆弱性スキャンと監査を実施しています。
8.開発プロセスにおけるセキュリティ
Adyenの製品及びAdyenの決済プラットフォームは、業界が定めるセキュリティ及びプライバシー慣行を念頭に置いて設計、開発されています。Adyenは、正規の開発原則に基づき、セキュアソフトウェア開発ライフサイクル(SSDLC)と呼ばれる文書化された製品開発ライフサイクルを維持しています。