Jotformの安全なオンラインフォーム
Jotformへの高い評価は、すべてのユーザーに最高のフォームセキュリティを提供する取り組みに支えられています。
Jotformはなぜセキュアなのか?
256ビットSSL
プランに関わらず、すべてのフォームはSHA256証明書を使用した256ビットSSL(Secure Socket Layer)接続で保護されています。これは業界標準の保護となります。 続きを読む
暗号化されたフォーム
フォームを簡単に暗号化し、投稿データを安全な形式で転送・保存することで、誰にも読み取られないようにします。投稿データは、ユーザーのコンピュータで高品位のRSA 2048で暗号化され、当社のサーバーに安全に転送、保存されます。 続きを読む
PCI認証
Jotformは、PCI DSS Service Provider Level 1に準拠しています。これは、クレジットカードから支払いを収集したり、クレジットカードとの統合をおこなうビジネスとして、最も高いセキュリティを達成していることになります。 続きを読む
GDPRコンプライアンス
Jotformは、EU市民から、またはEU市民に関する個人を特定できる情報を収集する企業を規制する、欧州連合の一般データ保護規則(GDPR)に準拠しています。 続きを読む
CCPAコンプライアンス
Jotformは、カリフォルニア州在住者の個人情報を本人の同意なしに販売することを禁止する、カリフォルニア州消費者プライバシー法(CCPA)などを遵守しています。 続きを読む
HIPAA対応フォーム
JotformのHIPAA機能により、医療従事者はHIPAAに準拠したフォームで患者情報を収集する事ができます。ビジネス・アソシエート契約(BAA)もご要望に応じてご利用いただく事ができます。 続きを読む
JotformがどのようにHIPAAコンプライアンスを実現したかをご紹介します。
StateRAMP
Jotform公共機関向けは、NIST Special Publication 800-53 Revision 5に記載されているように、FedRAMPとStateRAMP の両方に共通するセキュリティ管理に従って構築され、管理されています。 詳細はこちら
SOC2コンプライアンス
Jotformは、SOC2 Trust Service Principlesの5つの原則(セキュリティ、機密性、可用性、プライバシー、処理の完全性)の全てを守ることをお約束します。JotformエンタープライズはSOC 2に準拠したソリューションを提供しています。Jotformエンタープライズがお客様の組織のデータをどのように保護するか、詳しくはこちらをご覧ください。 続きを読む
FERPAコンプライアンス
当社は、教育機関と連携し、当社のフォーム、アプリ、その他の製品における学生の個人情報の取り扱いや処理について透明性を提供し、FERPAの遵守を徹底しています。 続きを読む
一般的な法的コンプライアンス
Jotformでは、個人のプライバシーやデータを保護する法律を含め、当社のビジネスやプラットフォームに適用されるすべての法律の遵守を真剣に考え、遵守を徹底するために多くの対策、実践、ポリシーを実施しています。詳しくは、このウェブページのコンプライアンスとプライバシーのリンクをご覧ください。
スパム対策
フォームで使用できるCaptcha以外にも、スパムからフォームを守るためのオプションがいくつか用意されています。例えば、1つのIPやコンピュータにつき、1回の送信しか許可しないようにしたり、特定の時間、または特定の送信回数の後で、フォームを無効にすることができます。 続きを読む
フォームプライバシー
フォームのプライバシー設定では、選択したプライバシーのレベルに応じて、データへのアクセスを制限することができます。また、フォームの複製を無効にしたり、受信内容にアクセスするためにログインを要求することもできます。(デフォルトでは、固有のURLで保護されています)
HECVAT
Jotformは、Higher Education Community Vendor Assessment Toolkit(通称HECVAT)を使用して、弊社のエンタープライズ製品を評価し、高等教育機関のパートナーのセキュリティと安全性を確保しました。もっと読む
フォームをより安全にするにはどうしたらいいですか?
Jotformでは、フォームデータのセキュリティオプションがいくつか用意されています。このため、フォームに必要なプライバシーとセキュリティのレベルを簡単に選択することができます。
フォームの暗号化
フォームを簡単に暗号化して、投稿データを安全に保護することができます。暗号化したいフォームを選択し、アカウントを確認し、独自の暗号化パスワードを作成するだけです。これで、あなた以外の誰もデータにアクセスできなくなります。ランダムに生成されるデジタルキーを使用する代わりに、適切と思われるパスワードを作成して保存できるため、暗号化されたデータにアクセスできなくなることはありません。
フォームを暗号化する方法について、詳しくはこちらをご覧ください。
ファイルのアップロードはこの機能の対象外です。ファイルのアップロードを安全に保つ方法については、こちらをご覧ください。
フォームとデータのプライバシー設定
フォームの受信内容へのアクセスは保護されており、デフォルトでは、そのフォームを所有するアカウントへのログインが必要です。しかし、組織内の人にアクセスを許可したり、データを完全に公開したりすることができます。あなたは、あなたのフォームと受信内容に関わる完全な所有権を保有しているため、統合ウィジェットやアプリを使用する際には、あなたの許可を得てのみデータへのアクセスが許可されます。Jotformでは、あなたのデータを扱う際には、細心の注意の元、管理をおこなっています。
二要素認証(2FA)
二要素認証(2FA)機能で、Jotformアカウントのセキュリティを強化しましょう。2FAを有効にすると、パスワードの他に2つ目の認証が必要となり、アカウントの保護がさらに強化されます。この高度なセキュリティ対策でデータを保護し、不正アクセスを防止しましょう。
欧州のユーザーデータをEUのサーバーに保管
アカウント設定のデータタブから、欧州連合(EU)でのデータの保存を選択することができます。確認するをクリックすると、あなたのフォームデータはGoogleが管理する、ドイツ・フランクフルトの欧州サーバーに移動されます。転送が完了すると、ログイン時に自動的に eu.jotform.com にリダイレクトされます。データの安全性について心配する必要はありません。JotformはEUの一般データ保護規則に準拠しています。
Jotformエンタープライズでは、ジオロカライゼーションを使用することで、世界中のサーバーにフォームデータをホスティングすることができます。オーストラリアを含む多くの国でこの機能が法律で義務付けられているため、グローバルビジネスにとって非常に貴重なツールとなります。
データをバックアップ
アカウント設定のデータタブから、ワンクリックでをバックアップできます。バックアップを実行すると、フォームのHTML コード、フォーム投稿のCSVエクスポート、アップロードされたファイルを含む、ZIPファイルが作成されます。
これらのバックアップはダウンロードまたはデータベースに保存することができます。フォームのみをバックアップしたい場合は、発行オプションからzip形式でソースコードをダウンロードし、ローカルストレージに保存することも可能です。
スパム業者からフォームを守る
Jotformでは、2種類のCAPTCHAを用意しており、ボットがフォームを入力するのを困難にする一方で、フォームの回答者がかんたんに入力できるようにしています。基本的なCAPTCHAか、Googleが提供するreCAPTCHAを使用することができます。
また、個人からの投稿かどうかを分析するために、投稿プロセス内に複数のコーディングチェックを実装しています。万が一スパムが送信された場合は、24時間365日対応のサポートチームが原因を特定し、必要に応じてお客様のアカウントにクレジットを付与いたします。
スパム対策として、1つのIPアドレス、または1つのコンピュータからの送信を制限することもできます。ご希望により、両方を有効にして、より高い安全性を維持することもできます。さらに、特定の時間にフォームを無効にしたり、特定の送信数制限に達した際にフォームを無効にしたりすることもできます。
サービスレベル合意書
Jotformは99.9%というとても高い稼働率を誇っており、常にデータにアクセスすることが可能です。Jotformの稼働状況をリアルタイムで確認することができます。またJotform エンタープライズサービスは、あなたのサービスレベル契約(SLA)に記載されているエラー対応率、解決時間、稼働率を満たすことをお約束します。これらの目標が達成されない場合は、署名されたエンタープライズ契約で合意された通り、一部返金されます。
ユーザーのデータを保護するために、他にどのような対策をとっているのですか?
フォームセキュリティ、高可用性、高パフォーマンスに関しては、Jotformは常に適切な対策をおこなっています。Jotformはサービスの安全性を保つために最適なソリューションを提供しています。
データセンター
Jotformのサーバーは、Google CloudとAmazon Web Services (AWS)のクラウドベースのアーキテクチャで同時に存在しています。Google Cloudのデータセンターは、アイオワ(米国)とフランクフルト(ドイツ、EU)でホストされています。AWSのデータセンターは、バージニア(米国)とフランクフルト(ドイツ、EU)に位置しています。
Google Cloudサーバーは、冗長化されたアプリケーションサーバーとデータサーバーをActive/Active構成でホストしており、すべてのデータはバックアップ目的で1時間ごとにAWSサーバーにもレプリケートされています。これにより、単一プラットフォーム内の複数サーバーで得られる冗長性に加え、プラットフォームレベルの冗長性を実現しています。プライマリープラットフォーム(Google Cloud)からセカンダリープラットフォーム(AWS)に切り替える必要がある場合、このアーキテクチャによってプラットフォームレベルの障害から回復することができます。すべてのデータは地域別で保持されるため、EUのデータは常にEUゾーンに存在します。
これらの主要なクラウドプラットフォームで、Jotformをホスティングすることで、ハードウェアのライフサイクル管理、物理的セキュリティ、ネットワークインフラなどの分野でセキュリティのベストプラクティスを実施することで、さらに多くのメリットを得ることができます。弊社のサーバーは定期的にアップデートされ、パッチが適用されています。
データレジデンスセンターの所在地
Jotformエンタープライズのユーザーであれば、ローカルのクラウドデータレジデンシーセンターの物理的な場所を選択し、世界中のどの場所でもデータをホストすることができます。これは、オーストラリア、カナダ、英国、EUなどのデータプライバシー規則やロケーション要件に準拠するために特に重要です。データサーバーを自宅の近くに置くことを選択しても、利用者の近くに置くことを選択しても、セキュリティ、信頼性、およびサイトのレイテンシが向上します。データサーバーにアクセスできるのは、エンタープライズアカウントのユーザーと管理者のみです。
バックアップ方針/事業継続
プライマリー・サービス・プロバイダーのGoogle Cloudがホストする複数のサーバー間で、お客様のデータを継続的に複製します(リアルタイムでバックアップ)さらに、全てのデータは1時間ごとのスナップショットによってAWS(当社の第二のプラットフォーム)に複製されます。各スナップショットはクラウド環境に30日間保存されます。全てのデータは地域内に留まるため、EUのデータは常にEUゾーンに存在します。
シングルサインオン(SSO)
Jotformエンタープライズアカウントでは、シングルサインオン(SSO)を使用することができます。第三者によるログインは、セキュリティを高めると同時に、従業員が協力してビジネスを運営することを容易にします。複数のログイン方法から選択でき、ユーザーの行動を追跡し、アカウントのセキュリティを管理するオプションも用意されています。
Jotformエンタープライズは、SAMLユーザー認証と、Active Directory、Okta、Google、OneLoginなどの一般的なSSOソリューションをサポートしています。
Jotformエンタープライズで内部フォームを保護するため、にSSO(シングルサインオン)を使用することもできます。ユーザーは、フォームを表示する前に認証される必要があります。これにより、従業員の機密データを収集する際に、フォームを送信する人が本人であることを確認することができます。
ベストコーディングプラクティスの推奨
セキュリティを高める機能を実装するだけでなく、お客様のアカウントが安全であり続けるよう、バックエンドでもベストプラクティスを維持しています。セッションを監視してアカウントへのアクセスを適切に制限し、すべてのアカウントが隔離されるようにJotformを構築しています。
当社では、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を検出するためのセーフガードを配置しています。最も重要なことは、(すべてのユーザーのフィードバックの評価をおこなうことに加えて)潜在的なセキュリティ上の懸念事項について常にコードのチェックをおこない、問題の確認ができた場合にすぐに対処できるよう取り組んでおります。当社のプライバシーステートメントは、お客様のデータが悪用されないようにするための当社のコミットメントのレベルを公開しています。
開発されたコードは、ステージングシステム上でのテスト実行など、一定の手順を経て初めてプロダクション環境にデプロイされます。当社の継続的なデプロイメントシステムと開発プロセスにより、必要に応じて迅速にシステムを更新し、パッチを適用することができます。
セキュリティ監査
PCIスキャンは、一般に公開されているインターフェイスのあらゆる種類の脆弱性を検出するために定期的に行われます。また、四半期ごとに内部および外部のASV(Approved Scanning Vendor)によるPCI検査を実施しています。これらのPCIスキャンに加えて、Jotformでは定期的にペンテストを実施しています。
また、脆弱性を報告してくれた外部の方に報酬を支払うバグバウンティプログラムを実施しており、これにより脆弱性に対してすばやく対応することができます。バグバウンティプログラムに報告された問題は、可能な限り最短時間で最優先に修正がおこなわれます。
ネットワークセキュリティ
CloudFlareが提供する外部ルーティングレイヤーにより、潜在的なDDoS(サービスの停止)攻撃を処理し、管理するための基本的なフィルタリングを提供しています。セキュリティスキャンは、監査/VA/PTの章で説明されているように定期的に実行されます。当社のサーバーは、管理に必要な最低限のアクセスしか許可しないように設定されています。
不要なユーザー、プロトコル、ポートはすべて無効化され、監視されています。当社の従業員は、秘密鍵を使用した2048ビットの暗号化された接続を使用して、仮想プライベートネットワークを介してのみサーバーにアクセスすることができます。サードパーティのセキュリティサービスに加えて、経験豊富な開発運用チームがシステム全体の不審な動作を継続的に監視しています。
アカウントの安全性
すべてのアカウント情報は、転送時に自動的に暗号化されます。フォームや送信内容へのアクセス権はあなただけにあります。Jotformエンタープライズのアカウントには複数のユーザーを追加できます。
カスタマイズ可能なセキュリティオプション
どのような業種であっても、Jotformはお客様のニーズに合った完璧なセキュリティ管理のお手伝いをいたします。エンタープライズユーザーであれば、専用サーバーに特定のセキュリティ設定の有効化、無効化、追加を簡単にリクエストすることができます!詳しくはエンタープライズチームにお問い合わせください。
質問と回答
フォームのセキュリティに関する質問
-
フォームにセキュリティ機能はありますか?
はい。フォームは保護された256ビットのSSL(Secure Sockets Layer)接続で保存されます。フォームを暗号化すると、投稿はカスタムパスワードで保護されます。さらに、"フォームをさらに安全にするには?" のセクションで説明したように、プライバシーとスパムの保護をさらに有効にすることができます。
-
暗号化されたフォームデータをすべて保存していますか?暗号化されたフォームに対して通知メールを送信していますか?
フォームの暗号化をご希望の場合、投稿データは暗号化されて転送、保存されます。これらのフォームの通知メールは暗号化されていないため、投稿データは含まれません。
-
御社のシステムを使用した場合、私のデータは転送中も保管中も保護されますか?
はい。フォームを暗号化すると、投稿データは弊社のサーバーに送信される間、256ビットSSL暗号化通信により暗号化されます。弊社サーバーに到着後、SSLは復号化され、お客様のデータは暗号化されて弊社サーバーに保存されます。暗号化パスワードをお持ちの方のみが、お客様のフォームデータにアクセスすることができます。
-
検索エンジンは私のフォームデータをインデックス化できますか?
Jotformでは、検索エンジンがフォーム送信をインデックス化することはありません。また、ユーザーは自分のアカウント内にてフォーム送信へのアクセスを制限し、一般ユーザーがフォームの送信をできないようにすることもできます。
データセキュリティに関する質問
-
アップロードしたファイルはどのように保存されますか?
フォームにアップロードされたファイルには、非常に複雑なURLが割り振られます。このURLを持つ人だけが、これらのファイルをダウンロードすることができます。しかし、ファイルアップロードのセキュリティを強化したい場合は、アクセスを制限することができます。例えば、ファイルをダウンロードするためには、同じブラウザで Jotformアカウントにログインしている必要があります。この機能については、こちらをご覧ください。
-
あなたの会社では、クレジットカードの取引や情報を扱っていますか?また、PCI DSSには準拠していますか?
JotformはPCI DSSに準拠しており、Payment Credit Industry Data Security Standard (PCI DSS) Service Provider Level Iを取得しています。これは、クレジットカードから支払いを収集し、クレジットカードと統合するビジネスとして、最高のセキュリティ達成度となっています。つまり、ほとんどの決済はプロセッサー独自のページで処理されますが、PayPal Pro、Authorize.Net、Worldpay US(ワールドペイ)、PayJunctionについては、クレジットカード情報は当社のPCIサーバー上で処理され、一切保存されません。
-
Jotformのセキュリティ(HTTPS/暗号化)規格は何ですか?
デフォルトでは、JotformはHTTPS向けのSHA256/RSA暗号化に加えて、TLSv1.2接続規格を使用しています。フォーム送信の暗号化には、2048ビットのRSAキーを使用しています。
-
クロスサイトスクリプティング(XSS)やSQLインジェクションを防ぐには?
Jotformは、このような脆弱性を防ぐためにベストプラクティスを適用し、潜在的なセキュリティ上の問題がないか、常にコードを精査しています。さらに、ユーザーからのフィードバックやバグバウンティプログラムの報告を、可能な限り最短時間で確認しています。
-
悪質な攻撃に対するセキュリティ対策として、何を使用していますか?
スパム、フィッシング、DDOS攻撃対策にはCloudFlareを、侵入検知とサーバー監視にはOSSECを使用しています。
-
Jotformのデータベースに収集された情報にアクセスできるのは誰ですか?
Jotformのサーバーは、ネットワークと認証レベルによってアクセスが制限されています。ネットワークレベルでは、限られた数のVPNエントリーポイントのみが許可され、それ以外の接続要求はファイアウォールによって完全にブロックされます。認証レベルでは、開発オペレーションチームとCTOおよびCEOのみが、これらのサーバーにアクセスするための権限を持っています。
-
内部または外部の脆弱性評価や侵入テストを実施していますか?
内部および外部のPCIスキャンに加え、Jotformでは定期的にペンテストが実施されています。また、外部からの脆弱性報告による報奨金制度もあります。詳しくはこちらから「セキュリティ監査」をご覧ください。
-
パスワードの複雑性に関するポリシーはありますか?
パスワードの複雑さに関するポリシーはありません。パスワードはsaltとSHA-256で暗号化されています。
-
あなたの会社には、侵入検知ポリシーがありますか?
Jotformでは、アプリケーションサーバーにホスト侵入検知システム(HIDS)を、開発オフィスにネットワーク侵入検知システム(NIDS)を使用しています。さらに、PCI要件に従ってPCI侵入検知ポリシーが適用されます。
-
Jotformでは従業員に対してどのようなデューデリジェンスが行われていますか?
Jotformのすべての社員は、採用時に厳格な審査を通過しなければなりません。また、全ての社員は秘密保持契約書(NDA)に署名し、これに従うものとします。
データセンターに関する質問
-
データセンターではどのようなデータセキュリティ対策を行っていますか?データセキュリティ、データの機密性、データの安全な送信に関連する証明書はありますか?データセンターはSOC 2に準拠していますか?
当社のサーバーをホストするすべてのデータセンターは、最高のセキュリティ基準を満たしています。当社の主要プラットフォームはGoogle Cloudで、SSAE16/ISAE 3402 Type II、SOC 1、SOC 2、SOC 3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS v3.2に準拠しています。また、HIPAAへの準拠も可能です。Google Cloudのコンプライアンスに関する詳細は、https://cloud.google.com/security/complianceをご覧ください。
JotformのセカンダリープラットフォームであるAmazon Web Services(AWS)は、SOC1、SOC2、SOC3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS Level 1、HIPAAに準拠しています。AWSのコンプライアンスに関する詳細は、 https://aws.amazon.com/compliance/ からご覧いただけます。Jotformのデータセンターのセキュリティについて、さらに詳しい情報が必要な場合は、こちらのリクエストフォームにご記入ください。
-
データセンターはどこにありますか?社内サーバーはありますか?
Jotformでは、データセンターのホスティングに関して、Google CloudまたはAWSを使用しており、社内に自社のサーバーを保持していません。現在のクラウドホスティング拠点の一覧については、データセンターのセクションをご覧ください。
-
システムにセキュリティ上の欠陥がないかテストしていますか?
はい、当社のシステムは、外部および内部の脅威に対して定期的にテストされています。