Analyst using pen to point to data on computer screen

Merrill Corporation

セキュリティ

DatasiteOneは、増強された文書セキュリティ用にIRM(インフォメーション・ライツ・マネジメント)管理を提供してくれますか。

はい。統合IRM技術により、プロジェクト管理者は、ダウンロードされた文書(Microsoft OfficeおよびPDFファイル)に対して、役割ごとにアクセス権を取り消せます。ウォータマークを付けられるプロジェクトの場合、その他の種類のファイルは、ウォータマーク付きのPDFの形でダウンロードされます。

プロジェクトのディスクレーマーを追加できますか。

はい。DatasiteOneのプロジェクト管理者は、標準のプロジェクトディスクレーマーを使うか、特定の用途のために標準ディスクレーマーをカスタマイズすることができます。頻度設定には初回ログインまたは毎回のログインなどがあります。

Merrill DatasiteOne内では、どのようにしてすべての機密文書のセキュリティが確実に保たれるのですか?

マルチテナント型クラウド対応アプリケーションとして、Merrill DatasiteOneはクラウドセキュリティにおける最新のベストプラクティスを採用しています。

  • ユーザー情報、アプリケーションデータおよびログは個々に保存・維持されます
  • パスワードは暗号学的ハッシュアルゴリズムで処理されます
  • お客様から提供されたファイルはAES 256ビットの暗号化を使用して暗号化された状態で保存され、事前定義されたスケジュールに従いバックアップされます
  • 送信中のデータは256ビットSSL暗号化により保護されます
  • イベントはリアルタイムでキャプチャー、分析され、アクションが実行されます
  • お客様のファイルにはリクエストベースでのみアクセスでき、文書化されたアクセスレビューと変更管理プロセスによりサポートされます
  • プロジェクトが完了すると、プロジェクトファイルは30日後に消去されます

一般データ保護規則(GDPR)のもとで、DatasiteOneはどのようにリスクを軽減しますか。

Merrill はすでに、現行のデータ保護条例95/46/ECに準拠しており、2018年5月25日のGDPR発効の際は、準拠の継続に必要な措置を先取りして実施しました。Merrillのワーキンググループは、Merrillのデータ保護方針を定期的に点検し、維持し、改善します。

  • MerrillはISO/IEC 27001認証を取得-Merrillのプロセスは、Merrillが処理するすべてのデータの機密性、セキュリティ、整合性の保持に必要なグローバルスタンダードに基づき監査されます。
  • Merrillのプラットフォーム (Merrill DataSite、Merrill DatasiteOne)は、ユーザーのアクセスレベル選定など、クライアントがアップロード済みデータを管理できるようにします。Merrillが簡便な方法を提供し、クライアントは常にデータのコントロールに専念できます。
  • Merrillは、EU域内でデータのローカライゼーションを維持するクライアントサポートおよびホスティングのための施設に投資しています。
  • Merrillの米国法人は、国際的業務処理が必要なクライアント向けにプライバシーシールド認定を取得しています。
  • Merrillは定期的にプライバシー影響評価を行うとともに、データプライバシー義務に関する研修を実施しています。これは個人情報に関して、確実にベストプラクティスが適用され、業界を主導するソリューションが実施されるようにするためです。

Merrill Corporationでは、プロジェクトデータはどのように保護されますか?

最高セキュリティ責任者を筆頭とする専任のセキュリティ組織によりMerrill全社にわたって認識の統一が促され、詳細なリスクマネジメントおよび強力なガバナンスが実現します。 セキュリティ対策には以下が含まれます:

  • Merrillの全製品は2008年以降ISO 27001認証を取得しています
  • Merrill DatasiteOneはSSAE 16 SOC 2 Type II認証を取得済みです
  • 当社のインフラストラクチャプロバイダーはISO 27001、SSAE 16 SOC 2 Type IIに準拠しFedRAMP認証を取得しています
  • Merrill社員は法的に許可される場合、薬物、資格、前職に関する審査を含む身元調査の対象です
  • Merrillの全スタッフは、セキュリティや行動規範に関する知識や秘密保持契約を含む年1回の必須セキュリティトレーニングの対象です
  • セキュリティインシデント対応計画は年に1回検査されます。これには社内外通知、エスカレーション手順、コミュニケーション基準が含まれます
  • 災害復旧計画は、自らが課した期間および品質目標を準拠していることを確実にするため、所定の間隔で検査されます