サーバーセキュリティに関するよくある質問

Deconetworkには、データ盗難、スパム、サイトハイジャック、データ破損、サービス拒否攻撃などのセキュリティ上の脆弱性に対してサーバーを保護するための広範なセキュリティ対策が用意されています。 Deconetworkは業界標準とベストプラクティスに従って、サーバーをセキュリティリスクから保護することができます。

このページでは、DecoNetworkのサーバーセキュリティ対策に関するよくある質問への回答を提供します。

セキュリティ基準への準拠

質問：DecoNetwork PCIは準拠していますか？

回答：DecoNetworkはレベル1のPCI DSSに準拠しています。 このコンプライアンスは、DecoNetworkが提供するすべてのオンラインストアに適用されます。

PCI DSSは、お客様のクレジットカード情報を保護するための標準です。詳細については、PCI Compliance Guideのウェブサイトを参照してください。(英語のみ)

質問：DecoNetworkの現在のPCI DSS準拠ステータスを確認するにはどうすればよいですか？

回答：無料のオンラインPCIコンプライアンステストツールを使用してDecoNetworkストアに対してPCIテストを実行できます。 ブラウザで「無料のPCIコンプライアンステストツール」を検索してツールを見つけてください。

質問：どのようなプロトコルがDecoNetworkアプリケーションをサポートしていますか？

回答：DecoNetworkは、HTTP（Hyper Text Transfer Protocol Secure）トランスポートプロトコルを介して、構造化データの交換用に設計されたXMLベースのプロトコルであるSOAPをサポートしています。

質問：DecoNetworkはどのようにサーバーを保護しますか？

回答：私たちは、最も洗練されたサイバー攻撃からデータを保護するために多くのことを行います。 以下は、当社のサーバーセキュリティプラクティスの一部です。

• DDoS保護：DDoS（Distributed Denial of Service）攻撃から保護するために、サードパーティのDDoS保護および移行サービス（DOSarrest）を採用しています。 すべてのトラフィックはDOSarrestネットワーク経由でルーティングされます。
• SSH鍵認証：SSH鍵は、DecoNetworkサーバを不正アクセスから保護するために使用されます。 SSHキーは、システム管理者に強力な認証を提供し、インターネット上で暗号化されたデータ通信を保護します。
• セキュリティで保護されたデータセンター：DecoNetworkのサーバーは、不正アクセスや環境の脅威から保護するために、複数のセキュリティコントロールを備えた安全性の高い第三者データセンターに配置されています。

質問：DecoNetworkはどのように脅威を監視していますか？

回答：DecoNetworkは、悪意のある脅威や侵入の試みを監視するために、さまざまなツールを使用しています。 我々はOSSEC、ホストベースの侵入検知システム（HIDS）、および潜在的なセキュリティとシステムの問題を通知する監視ソリューションZabbixを実行します。 また、www.cvedetails.comに登録して、実行しているすべてのソフトウェアの既知の脆弱性を通知します。

アプリケーションレベルのセキュリティ

質問：DecoNetworkアプリケーションはパブリッククラウド、プライベートクラウドまたはオンプレミスインストールとして利用できますか？

回答：DecoNetworkアプリケーションはパブリッククラウドサービスです。

質問：パスワードはどのように保護されていますか？

回答：DecoNetworkのアカウントパスワードは、一方向のハッシュ暗号を使って安全に保存されています。 これは、パスワードがクリアテキストで送信または保存されないことを意味します。

質問：ユーザーアカウントはどのように管理されていますか？

回答：DecoNetwork購読のユーザーアカウントは管理されています。 DecoNetworkアカウントのバックエンドには、さまざまな権限を持つ多数のユーザーを追加できます。 追加できるユーザーアカウントの数は、購読しているプランによって異なります。

物理的なセキュリティ

質問：DecoNetworkのサーバーはどこにありますか？

回答：当社のサーバーは、米国内の最上位の第三者データセンターにあります。 主なアプリケーションはテキサスのServerBeachで管理されています。 CorelDRAWベクトルエンジンを含む当社のサービスのいくつかの要素は、AWSで管理されています。

質問：物理的な設備はどのように確保されていますか？

回答：これは、当社のサーバープロバイダーであるServerBeachとAWSによって行われます。

ServerBeachとAWSの両方のデータセンターには、物理的な設備を保護するためのアクセス制御と環境保護の組み合わせがあります。

権限のないアクセスに対するServerBeachの保護手段は次のとおりです。

• データセンター全体のビデオ監視監視
• 周辺フェンスおよびパスカード保護ゲート
• セキュリティを強化するためのバイオメトリック（サムスキャン）ロック
• 最先端のシングルエントリー・マント・ラップ

環境要因に対するServerBeachの安全対策には、

• 信頼性の高い電力インフラストラクチャにより、入力電力の中断から瞬時に保護されます
• 過熱を防ぎ、停電の可能性を減らすための高度な冷却水冷却システム
• 堅牢な火災検知および抑制システム

承認されていないアクセスに対するAWSの保護手段は次のとおりです。

• 無記名施設の場所
• 24時間365日の訓練を受けた警備員
• 記録保管、録画、保管、施設へのすべての物理的アクセスのレビュー
• 物理アクセスのマルチファクタ認証

環境要因に対するAWSの安全対策には、

• 自動火災探知および抑制装置
• 停電時にバックアップ電源を提供する無停電電源装置（UPS）
• 過熱を防止し、停電の可能性を低減するための気候および温度制御

データセキュリティ

質問：DecoNetworkはどのような情報を収集しますか？

回答：DecoNetworkは、個人識別情報（PII）を含む情報をDecoNetworkウェブサイトのコンテキスト内でのみ収集します。 私たちは顧客のメール、名前、電話、ログイン、住所を収集します。 IPアドレスは、ログイン監査ログと注文に格納されます。 クレジットカードの詳細は保存されません。

この情報は、主に取引処理のために収集されます。 また、顧客サービスの改善とサービス効率の改善に役立ちます。

質問：DecoNetworkは自分の情報をどのように保護しますか？

回答：DecoNetworkは、Secure Sockets Layer（SSL）テクノロジを使用して、安全な接続で情報を送信します。 顧客のPPIは、DecoNetworkアプリケーションによって保護され、許可されたユーザーによるアクセスのみを許可します。

質問：DecoNetworkが収集するデータにアクセスするためのメカニズムはありますか？

回答：アプリケーションプログラミングインターフェイスであるシンプルオブジェクトアクセスプロトコル（SOAP）APIを使用して、注文情報にアクセスできます。 CSVエクスポート方法を使用して顧客の詳細にアクセスできます。

質問：DecoNetworkはデータをどのように保護しますか？

回答：DecoNetworkは、あなたのデータが常に安全で、プライベートで利用可能であることを保証するために、次の安全対策を講じています。

• データ暗号化：DecoNetworkへのすべてのデータ伝送は、業界標準のデータ暗号化 - RSA暗号化プロトコルを使用するPKCS＃1 SHA-256を使用して暗号化されます。
• SSL認証：SSL（Secure Socket Layer）証明書は、ビジネスのアイデンティティを認証し、転送中のデータを暗号化するために使用されます。
• 安全な通信：すべての機密情報とバックエンド管理は、HTTPS（Hyper Text Transfer Protocol Secure）トランスポートプロトコルを介して送信されます。
• 通常のバックアップ：データのリカバリをサポートするために、データベースの増分/フルスナップショットは1日に複数回取り込まれます。 バックアップに関する問題は自動的に通知されます。

質問：問題が発生した場合、データを復元するDecoNetworkの手順は何ですか？

回答：手順は問題によって異なります。 システムの完全データベース復元が必要な場合があります。これには、システムをオフラインにするか、ダウンタイムを伴う場合もあれば、部分的なデータベース復元が必要な場合もあります。

セキュリティログ

質問：DecoNetworkはセキュリティログを実行しますか？

回答：はい、DecoNetworkはセキュリティのレビューとログの分析を可能にして問題を診断するためにシステムアクティビティを記録します。

Deconetworkアプリケーションは、主要機能の内部監査ログを保持します。 詳細Deconetworkアプリケーション要求ログは30日間保存されます。

ビジネスハブは、オーダーに関連するすべての主要イベントのオーダーセントリックイベントログを保持します。

ホストベースの侵入検知システム（HIDS）であるOSSECは、すべてのサーバーシステムログを分析するために使用され、ルールがトリガされたときにDeconetwork管理者に通知します。

質問：どのようにログにアクセスできますか？

回答：ビジネスハブイベントと変更ログは、ビジネスハブ内で利用できます。 他のログはDeconetworkでのみ利用できます。

質問：私たちのシステム間のやりとりを監視し、問題を私たちに警告しますか？

回答：あなたのシステムと私たちの間のやりとりは監視しません。

システムがDeconetworkによって提供されるエンドポイントに依存する場合、そのエンドポイントを監視するのはお客様の責任です。 システムの問題が発生する前に、社内の技術スタッフに事前に通知するために、内部的に多くのシステムとそのメトリックを監視しています。 私たちは、ウェブサイトのパフォーマンス監視ツールであるPingDomを使用して、外部の視点からシステムを監視します。