WalkMeのセキュリティコンプライアンス
概要
WalkMeはデジタルアダプションプラットフォームのパイオニアであり、セキュリティとコンプライアンスの業界標準をリードしています。 WalkMeは顧客へのサービス提供においてGDPRとCCPAを順守しています。
WalkMeのプライバシーポリシー、コンプライアンス基準、認証の詳細については、以下の内容をご覧ください。
セキュリティ
以下は、WalkMeセキュリティ、プライバシー、アーキテクチャホワイトペーパーのドキュメントです。 これは、WalkMeが発行した情報ドキュメントで、WalkMeのセキュリティ、プライバシー、アーキテクチャを紹介しています。
WalkMeホワイトペーパー – セキュリティ、プライバシー、アーキテクチャ
以下は、WalkMe DAPソリューション概要ホワイトペーパーのドキュメントです。 これはWalkMeによる情報提供用ドキュメントで、ソリューション機能の促進、強調のために発行されたものです。
WalkMeホワイトペーパー - DAPソリューションの概要
プライバシー
WalkMeでは顧客にWalkMeのサービスを提供する際、データプロセッサとしてGDPRを、またサービスプロバイダーとしてCCPAを順守しており、データ処理補足契約(DPA)も実行することができます。 さらに、サービスと契約に組み込まれているプライバシーとセキュリティの堅牢な保護を提供することで、顧客によるGDPRおよびCCPAのコンプライアンスプロセスを支援することに尽力しています。
デフォルトでは、WalkMeはセキュリティ上の理由からログ内のIPアドレス以外の個人を特定可能な情報(PII)、エンドユーザーのおおよその位置情報(所在する国と市)、WalkMeシステムの継続的な運用のためにマスクされたIPアドレスを収集することはありません。また、収集されたメタデータを匿名のランダムGUIDに割り当てます。 さらに、WalkMeはブラウザ、OS、ページのURL、タイトルなどの環境プロパティを収集して転送します。
「医療保険の相互運用性と説明責任に関する法律」(HIPAA)および「経済的および臨床的健全性のための医療情報技術(HITECH)に関する法律」は、電子的に保護されるヘルスケア情報のプライバシーとセキュリティに関する国の基準を定めています。
EU-U.S. DPF、UK Extension to the EU-U.S. DPF、Swiss-U.S. DPFはそれぞれ、米国商務省と欧州委員会、英国政府、スイス連邦政府により策定され、EU、英国、スイスの法律と整合性のあるデータ保護を確保しつつ、EU、英国、スイスから米国への個人データ移転の信頼できるメカニズムを米国の組織に提供することを目的としています。
認証
WalkMeは国際標準化機構から情報セキュリティに関する認証を受けました(ISO 27001:2013)。 監査では製品、インフラ、組織的な側面からWalkMeの情報セキュリティ管理システムが評価され、WalkMeでは機密情報資産の機密性、完全性、可用性を確保するために必要な情報セキュリティコントロールが行われていることが確認されました。
ISO/IEC 27701: 2019は、ISO/IEC 27001へのプライバシー拡張機能です。 デザイン目標は、プライバシー情報管理システム(PIMS)を設定、実装、維持、継続的に改善するために、既存の情報セキュリティ管理システム(ISMS)に追加要件を加えて強化することです。 この規格は、個人を特定できる情報(PII)管理者およびPII取扱担当者が、個人のプライバシー権に対するリスクを低減するためにプライバシー管理を行う枠組みを示しています。
ISO 27017では、クラウドコンピュータの情報セキュリティに関するガイダンスを提供しており、ISO 27002およびISO 27001によるガイダンスを補完する形でクラウドサービスの情報セキュリティコントロールの実装を推奨しています。 この標準では、クラウドサービスプロバイダー向けに追加的な情報セキュリティ管理の実装のためのガイダンスが提供されています。 WalkMeのISO 27017:2015ガイダンスに関する証明書では、世界的に認められたベストプラクティスと一致する継続的なコミットメントの存在が示されており、WalkMeがクラウドサービス向けに非常に精密なコントロールシステムを有していることが確認されています。
ISO 27018はクラウドサービスでの個人データの保護に着目した標準です。 ISOの情報セキュリティ標準27002に基づいて、パブリッククラウドサービスによる個人を特定可能な情報(PII)に適用可能なISO 27002のコントロールに関する実装ガイダンスを提供しています。 また、既存のISO 27002のコントロールセットでは対応されていないパブリッククラウドサービスのPII保護要件への対応を目的とする追加のコントロールおよびガイダンスのセットが提供されています。 WalkMeのお客様は自身のデータが保存されている場所を把握することができます。
顧客データは明示的な承認なしにマーケティングまたは広告に使用されません。
ISO 27799は、組織的な情報セキュリティに関する標準およびISO/IEC 27002健康情報学的情報のコントロールに関する選択、実装、管理を含む情報セキュリティ管理のベストプラクティスに関するガイドラインを提供しており、同標準と対をなしています。
WalkMeはISO/IEC 27032サイバーセキュリティに関するガイドラインによる認証を受けています。 ISO/IEC 27032:2012は、サイバーセキュリティの状態を改善するためのガイダンスを提供しており、そのアクティビティ固有の側面および情報セキュリティ、ネットワークセキュリティ、インターネットセキュリティ、重要情報インフラ保護(CIIP)ドメインへの依存関係について説明しています。
WalkMeは、悪意を持って汚染された製品や偽造品の軽減(サプライチェーンセキュリティ管理)に対して認定されたISO / IEC 20243:2018(O-TTPS)です。 ISO/IEC 20243:2018は、ISO / IEC 20243-1:2018のOpen Trusted Technology Provider(O-TTPS)標準要件を満たすために、WalkMe LTDのデジタルアダプションプラットフォームサプライチェーンセキュリティ管理に適用されます。 この範囲は組織全体に適用され、ソフトウェア、構成、実装、およびサービスのプロビジョニングで構成され、世界中の連邦政府、州、地元および商業顧客に製品、サービス、ソリューションを提供できます。
また、WalkMeはクラウドセキュリティアライアンス(CSA)からSTAR認証を獲得しました。 STAR認証とは、CSAとBSIが共同開発し、国際的に認められたクラウドセキュリティ認証プログラムで、ソフトウェアベンダー向けに包括的かつ厳密なクラウドセキュリティ要件を規定しています。
WalkMeは、WalkMeがWCAG 2.1 AAに基づくウェブサイトアクセシビリティに関するADAおよびセクション508要件に準拠していると述べるUserWayからアクセシビリティに関するコンプライアンス声明を受け取りました。
レポート
WalkMeは、サービス組織コントロール(SOC)2 タイプ2の監査を完了しました。これはセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する最も厳格な国際基準の1つです。 SOC2 タイプ2レポートへのWalkMeのコミットメントは継続されており、定期的な監査が行われています。 NDAでのみ利用できます。
SOC3 タイプ2(一般レポート)では、WalkMeがAICPAによる監査が可能なトラストサービスの原則(セキュリティ、可用性、処理の完全性、機密性、プライバシー)を達成していることが示されています。レポートは事前のNDAなしに無料で入手できます。
WalkMeのデジタルアダプションプラットフォームは、データ保護、IDの確認、サービスセキュリティ、ビジネスプラクティス、法的保護に関する包括的な要件を満たすことで、Skyhigh CloudTrust™の最高レーティングであるEnterprise-Ready™を授与されました。
このホワイトペーパーでは、GxPのコンテキストでWalkMeの製品を使用するためのガイダンスを提供しています。コンテンツはWalkMeの医薬品・医療デバイス関連の顧客および検証済みのGxPシステムでWalkMe製品を使用しているソフトウェアパートナーと共同で開発されました。
顧客向けのAWSパートナーネットワークでは、トップクラスのAPNパートナーを簡単に見つけることができます。
- AWSの顧客向けパートナーシップでは、開発タスクに関する優先順位が付与されます。
- AWS上に構築または統合された顧客ソリューションの構築およびデプロイに関して豊富な経験を収集しています。
- AWSの顧客向けに適正にアーキテクトされたソリューションを提供しています。
- AWSのトレーニング・認証済みエキスパートによる強力な作業環境を開発、保持しています。
このレポートは、次のアクセシビリティ標準/ガイドラインへの適合度をカバーしています: