Coupa PCIクラウドオファリング
このページは機械翻訳を使用して翻訳されています。
はじめに
Coupaビジネス支出管理(BSM)プラットフォームは、業界をリードするクラウドベースのソリューションとしてゼロから提供されます。支払カード業界データセキュリティ基準(PCI DSS)によって認定されたクレジットカードデータの完全な保護を必要とするBSM顧客向けに、Coupaはこれらのニーズをサポートする完全準拠のPCIクラウド環境を提供します。Coupaは、PCI DSSを実装および維持することで、プラットフォームでホストされている顧客のクレジットカード情報の機密性を維持するための業界のベストプラクティスに準拠しています。
Coupaの安全なクラウドインフラストラクチャは、Qualified Security Assessor(QSA)によって認定され、Coupa PCI認定を取得し、認定サービスプロバイダーのリストに掲載されました。この認証および準拠証明書(AOC)は、PCIセキュリティ基準の実装と運用の実証を通じて達成されました。
- 安全なネットワークの構築と維持
- カード会員データの保護
- 脆弱性管理プログラムの維持
- 強力なアクセス制御手段の実装
- ネットワークを定期的に監視およびテストする
- 情報セキュリティポリシーの維持
主要なユースケース
Coupaが支払カードを含む支払カード情報を保存および維持できる状況。Coupaは、個人および法人のクレジットカードデータフィードを統合して、Coupa経費内で経費品目の自動作成を容易にすることもできます。すべての場合において、CoupaはPCI DSSの指示に従って、安全な方法でクレジットカードデータを受信、保存、送信します。
Coupaカード会員データ環境
Coupaカード所有者データ環境(CDE)は、上記の金融商品ワークフローをサポートするカード所有者データを受信、保存、送信する、Coupa Cloudインフラストラクチャ内の指定された安全な地域です。Coupa CDEに接続するCoupaシステムのすべての側面が評価され、PCI評価に含まれます。
PCI DSSに従い、CoupaはすべてのCoupa CDEネットワークコンポーネント(ファイアウォール、スイッチ、ルーター、アクセスポイント、ネットワークアプライアンス、セキュリティアプライアンスなど)、サーバー(ウェブサーバー、アプリケーションサーバー、データベースサーバー、認証)にPCI要件を正常に実装しました。サーバー、メールサーバー、プロキシサーバー、ネットワークタイムプロトコル、ドメインネームサーバーなど)、内部および外部アプリケーション、仮想コンポーネント、および資格の一部として適用可能な第三者のシステム。
CoupaのCDEは米国とEUの地域にあります。
技術的保護手段
PCIクラウド内のカード会員データを保護するために、追加の技術的保護手段が導入されました。適切な関係者のみがCoupaシステムにアクセスできるようにするために、厳格なアクセス制御が行われています。Coupaプラットフォームは、転送中と保管中の両方でデータを保護します。
送信中のデータ暗号化
Coupaは転送中のデータを暗号化して、傍受されたり侵害されたりしないようにします。HTTPデータは暗号化されてから、サーバーとエンドユーザーの間でウェブブラウザ、モバイルアプリ、メール、APIコールを通じて転送されます。サーバーとCDE内のストレージ間のデータ転送も暗号化されます。ファイルデータ転送は、PGPファイル暗号化の追加オプションと一緒にSFTP(セキュアFTP)を使用します。Opportunistic TLSは、PCIクラウドでのメール通信に使用されます。追加のPCIセキュリティ対策として、TLS 1.0は無効になっています。
保存データの暗号化
一般に、Coupaは保存データを暗号化するために複数の戦略を採用しています。Coupaによって指定された特定のフィールドに入力されたクレジットカードデータは、データベースに保存される前にアプリケーションサーバー側で暗号化されます。添付ファイルは、保存される前にアプリケーションサーバー側で暗号化され、保存される前にサーバー側で暗号化されます。Coupaモバイルアプリは暗号化されて保存データを保護します。
強力な暗号化
Coupaは強力な暗号化方法を使用して、クレジットカードデータが侵害から保護されるようにします。
- 暗号化アルゴリズム: CoupaはPGPを使用してファイルを暗号化し、AES 256を使用してアプリケーションデータを暗号化します。さらに、ファイルはアマゾンウェブサービス(AWS)S3ネイティブ暗号化を使用して暗号化されます。
- キー管理:CoupaはAWSキー管理サービスを使用して暗号化キーを管理します。Coupaの各顧客には一意の暗号化キーが割り当てられています。
物理的保護手段
CoupaはAWSインフラストラクチャを使用して、金融アプリケーションの実行に必要なコンピューティング、ネットワーク、ストレージサービスを提供しています。AWSは、施設のセキュリティ、アクセス制御、不測の事態に備えて適切な管理を行っている、よく知られたプロバイダーです。さらに、Coupaは、バッジアクセス制御、ワークステーションのセキュリティ、バックアップ、ワークステーションの再利用など、自社施設にセキュリティ対策を採用しています。
管理セーフガード
Coupaはすべての安全なシステムへのアクセスを制御するビジネスポリシーと手順を実装しました。Coupaのセキュリティおよびコンプライアンス担当副社長は、これらのポリシーと手順の開発と実装を担当します。Coupaシステムへのアクセスは、信用および犯罪歴のチェックが完了した後にのみ米国の担当者に与えられます。終了手順は、アクセスが適切に終了されることを保証します。セキュリティインシデント対応および違反通知手順により、法律で義務付けられているように、すべてのインシデントが監督者、顧客、規制当局に適切に報告されます。緊急時対応計画は、災害発生時のデータの可用性を保証します。
PCIコンプライアンスレポート
現在のCoupa PCIコンプライアンス 証明書のコピーは、Coupaコンプライアンスレポートリクエストポータルからダウンロードできます。