セキュリティポリシー
このセキュリティ ポリシーでは、Digital CoC が、eCoC の準備、検証、署名、および納品段階の調整全体にわたって、運用上の機密性の高いメーカー情報の保護にどのように取り組むかについて説明します。
このページには、Digital CoC の公安ガバナンスに関する声明が記載されています。これは、署名済みのセキュリティ付録、サービス レベル契約、顧客固有のセキュリティ文書、または契約上の約束に代わるものではありません。
1. はじめに
Digital CoC は、車両情報、承認参照、XML ファイル、VECTO ファイル、署名の準備、プロセス記録、アップロードされたドキュメントを含む、メーカーの eCoC プログラムをサポートするように設計されています。このセキュリティ ポリシーの目的は、プラットフォームを導くセキュリティ原則と責任の境界を説明することです。
2. セキュリティ原則
Digital CoC は、機密性、完全性、可用性、説明責任、最小権限、プロセスの可視性をサポートすることを目的としたセキュリティ慣行を適用します。セキュリティは、個別の後付けとしてではなく、準備プロセス、検証プロセス、署名プロセス、および配信段階の調整全体を通じて考慮されます。
3. 保護される情報の種類
プラットフォームは、メーカーが制御する eCoC 操作に必要な情報を保護する場合があります。処理される正確な情報は、顧客の構成、プロセスの範囲、合意された統合によって異なります。
- 車両情報と承認に関するリファレンス
- XML ファイル、VECTO ファイル、および eCoC 関連レコード
- プロセス情報、アカウント情報、ユーザー活動記録
- アップロードされた文書と運用準備記録
- ERP システム、API 接続、または顧客が承認したソースからの統合関連情報
4. アクセス管理
アクセス管理は、制御されたアクセス許可、アカウント セキュリティ、ロールベースのアクセス、運用監視に基づいています。顧客の管理者と許可されたユーザーは、適切なアクセスを許可し、資格情報を保護し、アクセスが不要になった場合は削除する責任を負います。
5. セキュリティ管理
Digital CoC は、プラットフォームのコンテキストに適した高レベルのセキュリティ制御を使用します。これらには、認証制御、アクセス制御、監視、運用上の安全対策、安全な開発慣行が含まれる場合があります。このポリシーでは、詳細なインフラストラクチャ アーキテクチャや機密性の高い実装の詳細は開示されません。
6. プラットフォームの運用
プラットフォームの運用は、セキュリティ レビューの実践、監視の理念、運用の監視、およびインシデントの認識によってサポートされています。運用記録とプロセス活動は、説明責任をサポートし、必要に応じてレビューすることを目的としています。
7. サードパーティの依存関係
Digital CoC は、顧客の構成に応じて、クラウド プロバイダー、インフラストラクチャ プロバイダー、eIDAS プロバイダー、統合パートナー、ERP システム、API 接続、またはその他のサードパーティ サービスに依存する場合があります。 Digital CoC は、独立したサードパーティのシステム、決定、機能停止ではなく、独自のサービスと合意された制御に対して責任を負います。
8. インシデント管理
潜在的なセキュリティ インシデントは、イベントに応じた検出、評価、対応、および通信手順を通じて処理されます。コミュニケーションのタイミング、範囲、形式は、インシデントの性質、法的要件、契約上の義務、および技術的な実現可能性に依存する場合があります。このポリシーでは、別途書面で合意しない限り、応答時間の保証は行われません。
9. お客様の責任
お客様は、アカウントのセキュリティ、資格情報の保護、内部ユーザー権限、データの正確性、プラットフォームの合法的使用について引き続き責任を負います。また、お客様は、承認の受諾、XML の受諾、EUCARIS の受諾、NAP の受諾、および法規制への準拠についても引き続き責任を負います。
10. 制限事項
Digital CoC は、中断のない可用性、絶対的なセキュリティ、すべてのインシデントの防止、またはすべてのサードパーティ攻撃の防止を保証するものではありません。セキュリティ対策は商業的に合理的な取り組みに基づいており、該当する契約で定義されている責任の境界、除外、制限が適用されます。
11. 継続的な改善
セキュリティ慣行、プラットフォームの保護手段、プロセス制御は、プロセス、テクノロジー、顧客要件、リスク条件の変化に応じて時間の経過とともに進化する可能性があります。保護、信頼性、保守性、または運用の明確性を向上させるために変更が導入される場合があります。
12. 連絡先情報
秘密の質問は info@digitalcoc.eu に送信できます。契約上の通知、セキュリティアンケート、監査要求、または顧客固有のセキュリティ通信には、該当する契約で定義されている追加の正式なチャネルが必要になる場合があります。
プラットフォームのセキュリティについて質問がありますか?
組織に関するセキュリティ ガバナンス、アクセス管理、運用データ保護に関する質問については、Digital CoC にお問い合わせください。
Digital CoC