お客様(以下「お客様」または「マーチャント」という)がSHOPLINE(以下「当社」または「SHOPLINE」という)ソフトウェア・アズ・ア・サービス・プラットフォーム(以下「プラットフォーム」という)を使用する場合、責任共有モデルと、どのセキュリティ・タスクがSHOPLINEによって処理され、どのタスクがお客様によって処理されているかを理解することが重要です。
セキュリティとコンプライアンスは、SHOPLINEとマーチャントの責任共有です。以下の責任共有チャートに示すように、SHOPLINEは、プラットフォーム自体と、プラットフォームをマーチャントに提供するために使用される関連インフラ(ソフトウェア、ネットワーク、サービス、物理的な施設を含む)のセキュリティを担当します。同時に、マーチャントはプラットフォームの構成方法、プラットフォームに保存されているデータのセキュリティ、およびプラットフォームにアクセスするために使用されるユーザーアカウント、デバイス、およびサードパーティのソフトウェアまたはアプリケーションのセキュリティについて責任を負います。
以下に、SHOPLINEとマーチャントのセキュリティ責任について詳述します。
上記のとおり、SHOPLINEはプラットフォーム自体およびプラットフォーム提供に使用される関連インフラ(ソフトウェア、ネットワーク、サービス、物理的な施設を含む)のセキュリティを担当します。
マーチャントは、プラットフォームの構成方法、プラットフォームに保存されているデータのセキュリティ、およびプラットフォームにアクセスするために使用されるユーザーアカウント、デバイス、およびサードパーティのソフトウェアまたはアプリケーションのセキュリティについて責任を負います。これについては、以下で詳述します。
マーチャントは、適用されるすべての法律および規制およびSHOPLINEの利用規約に従い、アカウント内に保存されている情報およびデータを管理する単独の責任を負います。これには、プラットフォームにアクセスするためのパスワードを慎重に管理し、不意または不正な開示を防ぐ措置を講じ、データの定期的なバックアップを行うことが含まれます。
マーチャントは、オンラインストア(以下、マーチャントストアという)をプラットフォーム上に展開する責任があるため、その展開に関連するセキュリティ構成および管理タスクにも責任を負います。マーチャントは、マーチャントストア(アクセスコントロールおよびログレビューを含む)、マーチャントがプラットフォームにインストールしたサードパーティのアプリケーションソフトウェアまたはユーティリティ(以下「サードパーティプラグイン」という)の管理及びそのサードパーティプラグインのセキュリティ構成に責任を持ちます。
マーチャントは、MailchimpやSmartPushなどの抽象化されたサービスの管理を担当します。SHOPLINEは、マーチャントがこれらの抽象化されたサービスを使用したことに対して一切の責任を負いません。したがって、マーチャントがセキュリティ責任をマーチャントと抽象化されたサービスプロバイダーの間でどのように共有するか、および抽象化されたサービスプロバイダーが第三者と共有するマーチャントデータを理解することが重要です。マーチャントは、抽象化されたサービスプロバイダーによってアクセスできるデータ(エンド・コンシューマ・データを含む)を管理し、抽象化されたサービスプロバイダーによってアクセスできる資産を分類し、そのようなデータと資産に適切な権限を適用する単独の責任を負います。
ITセキュリティコントロール-IT環境を運用する責任がSHOPLINEとマーチャントの間で共有されるのと同様に、適切なITセキュリティコントロールを実装する責任もSHOPLINEとマーチャントの間で共有されます。SHOPLINEは、プラットフォームを提供するために使用されるインフラ(ソフトウェア、ネットワーク、サービス、物理的な施設を含む)のコントロールを実装する責任がありますが、マーチャントはプラットフォーム上のデータの保存を含むプラットフォームの使用に関連するコントロールを実装する責任があります。以下は、SHOPLINE、マーチャント、および/またはその両方によって管理されるコントロールの例です。
継承コントロール-マーチャントがSHOPLINEから完全に継承するコントロールです。例としては、次のように
物理的および環境的コントロール
パッチ管理
共有コントロール-SHOPLINEとマーチャントの両方によって管理されるコントロールです。共有コントロールでは、SHOPLINEはプラットフォームを提供するために使用されるインフラ(ソフトウェア、ネットワーク、サービス、物理施設を含む)に対するコントロールの実装を担当しますが、マーチャントはプラットフォーム上のデータの保存を含むプラットフォームの使用に関連するコントロールの実装する責任を負います。以下はその例です:
構成管理-SHOPLINEは、プラットフォームのインフラデバイス、オペレーティングシステム、データベース、アプリケーションの構成を維持します。マーチャントは、マーチャントストア、サードパーティプラグイン、および抽象化されたサービスの構成に責任を持ちます。
認識とトレーニング- SHOPLINEとマーチャントは、それぞれ自社の従業員をプラットフォームの使用に関連してトレーニングする責任があります。
マーチャントコントロール-マーチャント単独の責任であるコントロールです。
