Coupa PCIクラウドオファリング

はじめに

Coupaビジネス支出管理（BSM）プラットフォームは、業界をリードするクラウドベースのソリューションとしてゼロから提供されます。支払カード業界データセキュリティ基準（PCI DSS）によって認定されたクレジットカードデータの完全な保護を必要とするBSM顧客向けに、Coupaはこれらのニーズをサポートする完全準拠のPCIクラウド環境を提供します。Coupaは、PCI DSSを実装および維持することで、プラットフォームでホストされている顧客のクレジットカード情報の機密性を維持するための業界のベストプラクティスに準拠しています。 

Coupaの安全なクラウドインフラストラクチャは、Qualified Security Assessor（QSA）によって認定され、Coupa PCI認定を取得し、認定サービスプロバイダーのリストに掲載されました。この認証および準拠証明書（AOC）は、PCIセキュリティ基準の実装と運用の実証を通じて達成されました。

• 安全なネットワークの構築と維持
• カード会員データの保護
• 脆弱性管理プログラムの維持
• 強力なアクセス制御手段の実装
• ネットワークを定期的に監視およびテストする
• 情報セキュリティポリシーの維持

主要なユースケース

Coupaが支払カードを含む支払カード情報を保存および維持できる状況。Coupaは、個人および法人のクレジットカードデータフィードを統合して、Coupa経費内で経費品目の自動作成を容易にすることもできます。すべての場合において、CoupaはPCI DSSの指示に従って、安全な方法でクレジットカードデータを受信、保存、送信します。

Coupaカード会員データ環境

Coupaカード所有者データ環境（CDE）は、上記の金融商品ワークフローをサポートするカード所有者データを受信、保存、送信する、Coupa Cloudインフラストラクチャ内の指定された安全な地域です。Coupa CDEに接続するCoupaシステムのすべての側面が評価され、PCI評価に含まれます。  

PCI DSSに従い、CoupaはすべてのCoupa CDEネットワークコンポーネント（ファイアウォール、スイッチ、ルーター、アクセスポイント、ネットワークアプライアンス、セキュリティアプライアンスなど）、サーバー（ウェブサーバー、アプリケーションサーバー、データベースサーバー、認証）にPCI要件を正常に実装しました。サーバー、メールサーバー、プロキシサーバー、ネットワークタイムプロトコル、ドメインネームサーバーなど）、内部および外部アプリケーション、仮想コンポーネント、および資格の一部として適用可能な第三者のシステム。

CoupaのCDEは米国とEUの地域にあります。

技術的保護手段

PCIクラウド内のカード会員データを保護するために、追加の技術的保護手段が導入されました。適切な関係者のみがCoupaシステムにアクセスできるようにするために、厳格なアクセス制御が行われています。Coupaプラットフォームは、転送中と保管中の両方でデータを保護します。

物理的保護手段

CoupaはAWSインフラストラクチャを使用して、金融アプリケーションの実行に必要なコンピューティング、ネットワーク、ストレージサービスを提供しています。AWSは、施設のセキュリティ、アクセス制御、不測の事態に備えて適切な管理を行っている、よく知られたプロバイダーです。さらに、Coupaは、バッジアクセス制御、ワークステーションのセキュリティ、バックアップ、ワークステーションの再利用など、自社施設にセキュリティ対策を採用しています。

管理セーフガード

Coupaはすべての安全なシステムへのアクセスを制御するビジネスポリシーと手順を実装しました。Coupaのセキュリティおよびコンプライアンス担当副社長は、これらのポリシーと手順の開発と実装を担当します。Coupaシステムへのアクセスは、信用および犯罪歴のチェックが完了した後にのみ米国の担当者に与えられます。終了手順は、アクセスが適切に終了されることを保証します。セキュリティインシデント対応および違反通知手順により、法律で義務付けられているように、すべてのインシデントが監督者、顧客、規制当局に適切に報告されます。緊急時対応計画は、災害発生時のデータの可用性を保証します。

PCIコンプライアンスレポート

現在のCoupa PCIコンプライアンス 証明書のコピーは、Coupaコンプライアンスレポートリクエストポータルからダウンロードできます。