はじめに

　本セキュリティホワイトペーパーは、intra-mart Procurement Cloudのセキュリティに関して、利用規約を補足する文書です。利用者は、利用規約とあわせて本文書に従いサービスを利用する必要があります。利用規約またはプライバシーポリシーの内容と本文書内容との間に相違がある場合は、本文書の内容が優先するものとします。

利用者との責任分界点

株式会社NTTデータイントラマート（以下「当社」と表記）の責任
　当社は、以下のセキュリティ対策を実施します。

　・当社が提供するサービスのセキュリティ対策
　・上記サービスの提供に利用するミドルウェア、OS、その他インフラのセキュリティ対策

利用者の責任
　利用者は、以下のセキュリティおよびプライバシー保護の対策を実施する必要があります

　・各利用者に付与されたパスワードの適切な管理
　・アカウントの適切な管理（登録、削除、権限設定、組織管理者設定など）
　・登録された情報の適切な管理

データ保管場所

当社は日本の法人であり、本社所在地は東京都です。サービスの開発、運用はすべて日本国内で行っています。
当社のサービスは、Amazon Web Services(AWS)を利用して構築しており、システムが保管するデータおよびそのバックアップデータは、いずれもAWSの管理するデータセンターに保管されています。
メール送信など一部の処理に海外のリージョンを利用することはありますが、利用者からお預かりしたデータは、AWS東京リージョンに保管されます。
また、AWSとの契約においては準拠法を日本法とする契約を結んでいます。

データの削除

利用者のサービス利用終了後にデータの削除を行います。

　・契約利用者（バイヤー）のデータは、契約終了後、日程を協議の上、原則1ヶ月以内に削除
　・電子帳簿保存法の対象となるデータは、当社が定める期間、当社が定める方法により参照可能
　・未契約利用者（トライアル利用、サプライヤー）のデータは、日程を協議の上、原則一カ月以内に削除

利用者登録、招待

利用者は、新規登録もしくは招待を受けた際に、アカウントを作成できます。
契約企業担当者の招待権限を持つ利用者は、新たな利用者を招待（社内利用者、サプライヤー等）できます。
未契約企業担当者（サプライヤー）の招待権限を持つ利用者は、新たな利用者を招待（社内利用者のみ）できます。

アクセス権の管理

企業担当者等は自社内の一般ユーザーの権限を設定できます。

パスワードの配布

利用者がアカウントを登録する際に自身のパスワードを設定できます。

アカウント保護

パスワード設定時に短いパスワードや推測されやすいパスワードが登録できないようパスワード強度のチェックを行っております。

暗号化の状況

データベースに保管される利用者の各種情報は、暗号化され適切なアクセス権のもとで保管されます。

変更管理

利用者への影響があるサービスの変更や、サービス停止を伴うメンテナンスについての情報は、intra-mart Procurement Cloud内のお知らせにて通知します。

手順書の提供

サービス利用開始後に各種マニュアルを利用できます。

ログの提供

監査ログ機能により操作の履歴をご覧いただけます。システムログについては提供しておりません。

ログのクロックに関する情報

ログの時間は、AWSが提供するNTPサービスと同期しています。

脆弱性管理に関する状況

当社が提供するサービスの開発チームは、利用するOS、ミドルウェア等に関する脆弱性情報を、定期的に収集しています。
当社が提供するサービスで利用しているライブラリ、コンポーネントに対する脆弱性パッチが公開された場合は、速やかに適用します。
半年に1回程度の間隔で脆弱性診断を利用しております。

開発におけるセキュリティ情報

コードレビュー実施などにより、基本的な脆弱性への対応ができているかなどの確認を行っています。
サーバーにインストールされているライブラリ群について、バージョンが古い、脆弱性が発見されたなどのチェックを行っています。

インシデント発生時の対応

お客様に大きな影響を与えるセキュリティインシデント（データの消失、長時間のシステム停止等）が発生した場合は、インシデント発生から2営業日以内を目標に、intra-mart Procurement Cloud内のお知らせに情報を掲載します。また対象利用者への説明、4営業日以内の対処およびサービス安定化を行います。

改訂履歴

• 2023年6月Ver1.0作成