本データ処理補遺(以下「本補遺」という。DPA")は、Capella Master Service Agreement、またはお客様のクラウドサービスの使用を規定するお客様とCouchbase間のその他の契約の一部を構成します(")。協定書")との間で、Couchbase, Inc.Couchbase")、および"お客様本契約における「お客様」(以下、それぞれ「お客様」という。パーティー"であり、共に"関係者").本DPAの発効日は、本契約の発効日、または別個に締結された場合は本DPAの最後の署名日(以下「署名日」という。発効日").

本DPAは、お客様によるクラウド・サービスの利用に関連する個人データの処理に関する両当事者の約束を記述するものです。本DPAにおいて定義されていない大文字の用語は、本契約において与えられた意味を有します。

本規約の最終更新日 2024年5月7日.

両当事者は以下の通り合意する:

1.定義 以下の大文字の用語は、本DPAにおいて使用される場合、以下に定める対応する意味を有する:

  1. "適用されるデータ保護法" とは、個人データに適用されるすべての世界的なプライバシーおよびデータ保護に関する法律、規制、規則、条例およびその他の政令を意味し、以下を含みます(ただし、これらに限定されません):(i)欧州データ保護法、および(ii)2018年カリフォルニア州消費者プライバシー法(カリフォルニア州民法第1798.100条等)を含む米国のすべての法律および規制。"中共")を修正、優先、または置換することができる。

  2. 顧客データ"とは、本DPAの附属書Aに詳述されているように、クラウドサービスに関連して、サービスプロバイダーまたはプロセッサー(該当する場合)としてCouchbaseがお客様に代わって処理する個人データを意味します。

  3. "EEA"とは、欧州連合(EU)加盟国にアイスランド、リヒテンシュタイン、ノルウェーを加えた国を意味する。

  4. 欧州データ保護法"とは、(i) 個人データの処理に関する自然人の保護および当該データの自由な移動に関する欧州議会および理事会の規則2016/679(一般データ保護規則)("GDPR")、(ii)電子通信分野における個人データの処理とプライバシーの保護に関する指令2002/58/EC("eプライバシー指令「)、(iii)(i)および(ii)の適用可能な国内実施、(iv) 1992年6月19日付スイス連邦データ保護法およびその条例(「スイスFDPA")、(v)英国に関しては、2018年データ保護法、およびGDPR、eプライバシー指令、または英国のEU離脱の結果としてデータとプライバシーに関連するその他の法律に取って代わるか国内法に転換する適用可能な国内法(総称して"英国データ保護法")に従うものとする。いずれの場合も、修正され、置き換えられ、または置換される可能性がある。

  5. モデル条項" とは、お客様固有の状況に応じて、以下のいずれかを意味します:(i) 欧州委員会の決定 2021/914 に従って欧州委員会が承認した処理者の標準契約条項(以下「標準契約条項」という。2021 標準契約条項")、および(ii)2022年3月21日から発効するEU委員会標準契約条項バージョンB1.0に対する英国国際データ移転補遺("英国IDTA「を参照することにより組み込まれ、本DPAの一部を構成する標準契約条項(Standard Contractual Clauses)とも呼ばれる。

  6. "個人情報"とは、特定または識別可能な自然人に関連する情報であって、適用データ保護法により「個人データ」、「個人情報」または「個人を特定できる情報」として保護されるものを意味します。

  7. "セキュリティ事件"とは、クラウドサービスの提供に関連してCouchbaseおよび/またはそのサブプロセッサによって送信、保存またはその他の方法で処理された顧客データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反を意味します。両当事者は、「セキュリティインシデント」には、失敗したログイン試行、ping、ポートスキャン、サービス拒否攻撃、およびファイアウォールまたはネットワークシステムへのその他のネットワーク攻撃を含む、お客様データのセキュリティを侵害しない失敗した試行または活動は含まれないことを認め、同意します。

  8. サブプロセッサー"は、契約または本DPAに従ってクラウドサービスの提供に関する義務の履行を支援するためにCouchbaseまたはその関連会社が従事するプロセッサを意味します。サブプロセッサには、第三者またはCouchbase関連会社が含まれる場合がありますが、Couchbaseの従業員、請負業者またはコンサルタントは除外されるものとします。

  9. という用語がある。コントローラー", "プロセッサー「そして 処理"はGDPRで与えられた意味を持つものとし、"プロセス", "プロセス"と"処理済み「という用語は、それに従って解釈されるものとする。ビジネス", "サービスプロバイダ"と"売る"は、CCPAにおいて与えられた意味を有するものとする。

2.処理の役割と範囲

  1. スコープ 第2条(b)に従い、本DPAは、Couchbaseがプロセッサーまたはサービスプロバイダー(該当する場合)として、適用されるデータ保護法により保護される顧客データを処理する範囲に適用されます。

  2. 両当事者の役割 両当事者は、お客様がお客様データの関連事業者、管理者または処理者(該当する場合)であり、Couchbaseが本DPAの附属書Aにさらに記載されているように、お客様に代わってサービスプロバイダー、処理者またはサブ処理者(該当する場合)であることを認め、同意します。誤解を避けるため、両当事者は、Couchbaseがクラウドサービスに関連して収集する技術的使用データに含まれる個人データなど、その他の個人データに関して、Couchbaseが関連事業者または管理者になる可能性があることを認めます。各当事者は、適用されるデータ保護法を含む、本DPAの履行に適用され、拘束力のあるすべての法律、規則および規制を遵守します。

  3. Couchbaseによる個人情報の処理。 Couchbaseは、本DPAに記載された目的のためにのみ、およびお客様の文書化された合法的な指示に従って顧客データを処理することに同意します。両当事者は、本契約(本DPAを含む)が、顧客データの処理に関連するCouchbaseに対するお客様の完全かつ最終的な指示を定めることに同意し、これらの指示の範囲外の処理(もしあれば)は、お客様とCouchbase間の事前の書面による合意を必要とします。第2項(d) (お客様の責任)を損なうことなく、Couchbaseは、お客様からのデータ処理指示が適用データ保護法に違反していることを認識または確信した場合、適用データ保護法で禁止されていない限り、お客様に書面で通知し、お客様データの処理を一時停止することができるものとします。

  4. 顧客の責任。 お客様は、本契約に基づく、または本契約に関連する顧客データ処理の適法性に責任を負います。お客様は、(i)Couchbaseが本契約(本DPAを含む)により企図された目的のために合法的にお客様データを処理するために、適用されるデータ保護法の下で必要なすべての通知、同意、許可および権利を提供し、今後も提供し続けることを表明し、保証します;(ii)Couchbaseおよびそのサブプロセッサーへの顧客データの収集および提供に関して、顧客データに関する管理者および/または事業者として、適用されるすべてのデータ保護法を遵守していること、および(iii)処理指示が適用される法律(適用されるデータ保護法を含む)に準拠していること、およびお客様の指示に従ってCouchbaseが顧客データを処理することにより、Couchbaseが適用されるデータ保護法に違反しないことを保証すること。

  5. 集計データ。 誤解を避けるために、お客様は、Couchbaseおよびその関連会社が独自の合法的な事業目的のために匿名化、集計、および/または非特定化情報(適用されるデータ保護法により定義される)を収集および作成する権利を有することを認めます。

3.サブプロセス

  1. 承認されたサブプロセッサー。 お客様は、Couchbaseがお客様に代わってお客様データを処理するためにサブプロセッサーを雇用する可能性があることを認め、同意します。Couchbaseが現在雇用し、お客様が承認したサブプロセッサーは、Couchbaseのウェブサイト(現在は以下に掲載)に記載されています。 https://info.couchbase.com/cloud-subprocessors.html).ただし、Couchbaseが、お客様データの機密性、完全性、または可用性を保護するため、またはクラウドサービスの重大な中断を回避するために、迅速ベースで新たなサブプロセッサを雇用する必要があると合理的に判断した場合、Couchbaseは、代わりに合理的に実行可能な限り速やかにそのような通知を行います。

  2. サブプロセッサの義務 適用されるデータ保護法で要求される範囲において、Couchbaseは以下を行います:(i) 各サブプロセッサーが提供するサービスに適用される範囲で、本DPAに基づくCouchbaseの義務と同等以上に顧客データを保護するデータ保護条件を課す書面による契約を各サブプロセッサーと締結し、(ii) 本DPAの義務の遵守、およびCouchbaseが本DPAに基づく義務に違反する原因となるサブプロセッサーの作為または不作為について、引き続き責任を負うこと。

  3. サブプロセッサーに対する異議 お客様は、上記第3条(a)に従い、Couchbaseからの通知を受領してから10暦日以内に速やかにCouchbaseに書面にて通知することで、データ保護に関連する合理的な理由に基づき、Couchbaseが新たなサブプロセッサを任命することに書面で反対することができる。当該通知は、異議申し立ての合理的な理由を説明するものとし、当事者は商業的に合理的な解決を目指し、誠意をもって当該懸念について協議するものとします。そのような解決に至らない場合、Couchbaseは、独自の裁量で、そのようなサブプロセッサを任命しないか、またはお客様が本契約の終了条項に従ってクラウドサービスの影響を受ける部分を一時停止または終了することを許可します。Couchbaseは、解約の発効日以降、当該クラウドサービスの影響を受ける部分について、前払いされた未使用料金をお客様に返金します。本第3条(c)に定める異議申し立てがない限り、お客様はCouchbaseが本DPAに記載されているサブプロセッサを使用することに同意するものとします。

4.セキュリティと監査

  1. セキュリティ対策。 Couchbaseは、その管理下にある顧客データをセキュリティインシデントから保護し、顧客データのセキュリティと機密性を保持するために、最新技術と業界のベストプラクティス、導入コスト、および処理の性質、範囲、文脈、および目的(以下、")を考慮して設計された適切な技術的および組織的なセキュリティ対策を実施し、維持するものとします。セキュリティ対策").かかるセキュリティ対策には、最低限、本DPAの付属書Bに記載されている対策が含まれます。Couchbaseは、本DPAに基づきCouchbaseにより顧客データの処理を許可された者が適切な守秘義務(契約上または法律上の義務を問わない)を負うことを保証するものとします。

  2. セキュリティ対策の更新。 お客様は、セキュリティ対策が技術的進歩および開発の対象であり、Couchbaseが随時セキュリティ対策を更新または修正する可能性があることを認めます。ただし、かかる更新および修正は、お客様が購入したクラウドサービス全体のセキュリティの低下をもたらさないことを条件とします。

  3. 顧客のセキュリティ責任。 お客様は、セキュリティ・インシデントから保護し、自己の管理下にある顧客データのセキュリティと機密性を保持するために設計された、適切な技術的および組織的セキュリティ対策を実施し、維持するものとします。お客様は、(i) クラウド サービスにアクセスするために使用されるすべてのお客様のクレデンシャルのセキュリ ティを保護すること、(ii) お客様のクラウド環境およびお客様のシステムを保護すること(かかる措置には、アクセ ス キーの定期的なローテーションおよび不正アクセスを防止するためのその他の業界標準の措置が含まれますが、こ れらに限定されません);(iii)お客様のクラウド環境またはその他のお客様が管理するシステム内のお客様の管理下にあるお客様データのバックアップおよび保護、および(iv)データセキュリティおよびプライバシーに関連するCouchbaseが提供する情報を確認し、クラウドサービスが適用データ保護法に基づくお客様の要件および法的義務を満たすかどうかについて独自の判断を下すこと。

  4. セキュリティ・インシデントへの対応 適用データ保護法により要求される範囲において、セキュリティインシデントを認識した場合、Couchbaseは、クラウドサービスを通じて、過度な遅延なくお客様に通知し、以下を行うものとします:(i)クラウドサービスの性質、Couchbaseが利用可能な情報、および守秘義務などの情報開示に関する制限を考慮し、適用データ保護法に基づき要求される個人情報漏えい通知に関してお客様を支援するために、お客様が合理的に要求するセキュリティインシデントに関連する情報を、判明次第、お客様に対する当該通知にタイムリーに含めること;および(ii) Couchbaseの合理的な管理範囲内で、セキュリティインシデントを封じ込め、調査し、修復するために、Couchbaseが必要かつ合理的とみなす措置を速やかに講じること。本第4条(d)に基づくCouchbaseのセキュリティインシデントの通知または対応は、Couchbaseがセキュリティインシデントに関する過失または責任を認めるものと解釈されないものとします。本契約に定める義務は、セキュリティインシデントがお客様またはその認定ユーザーに起因する範囲では適用されないものとします。

  5. セキュリティ監査。 Couchbaseは、Couchbaseが本DPAを遵守していることを確認するために必要な情報セキュリティおよび監査アンケートへの回答を含む、Couchbaseの顧客データ処理に関連するお客様からの合理的なすべての書面による情報要求に対し、書面による回答(機密ベース)を提供するものとします。上記にかかわらず、お客様は、お客様がデータ保護当局にこの情報を提供するよう明示的に要求された場合、または要求された場合、またはCouchbaseがセキュリティインシデントを経験した場合、または他の合理的に類似した根拠に基づき、このような監査権を行使することもできます。

5. 国際送金

  1. 加工場所 クラウドサービスは、ドキュメンテーションでさらに説明されるように、お客様がお客様のデータベースインスタンスが展開されるクラウド環境および地理的地域を決定できるように設計されています。お客様は、管理されたクラウドサービスを提供する一環として、CouchbaseがCouchbase、その関連会社またはそのサブプロセッサがデータ処理業務を維持する場所に顧客データを転送する可能性があることを認め、同意するものとします。Couchbaseは、かかる転送が適用されるデータ保護法および本DPAの要件に準拠して行われることを常に保証するものとします。

6.移籍のメカニズム。

  1. データ・プライバシー・フレームワーク Couchbaseは、EU-米国データプライバシーフレームワーク、EU-米国データプライバシーフレームワークの英国拡張、およびスイス-米国データプライバシーフレームワーク(以下、総称して「データプライバシーフレームワーク」)に参加し、遵守を証明します。データプライバシーフレームワークで要求されるように、Couchbaseは、(i)少なくとも、関連するデータプライバシーフレームワークの原則および補足原則(以下、「原則」)で要求されるものと同レベルのプライバシー保護をお客様データに提供し、(ii)Couchbaseが、原則を含むデータプライバシーフレームワークで要求されるものと同レベルの保護を提供する義務をもはや果たせないと判断した場合、お客様に通知し、(iii)通知後、お客様データの不正な処理を修復するために合理的かつ適切な措置を講じます。

  2. 欧州データ保護法に基づく移転。 Couchbaseが(欧州データ保護法に記載されているように)個人データの適切な保護を提供することが認められていない第三国で欧州データ保護法により保護される個人データを処理する(または処理させる)範囲、その場合、附属書C(データの移転)の条件が適用され、お客様(データ輸出者として)は、Couchbase(データ輸入者として)とモデル条項を締結したとみなされ、Couchbaseは、参照により完全に組み込まれ、本DPAの不可欠な部分を形成するモデル条項に従って、当該お客様データを遵守し、処理することに同意します。モデル条項の記述の目的上、(A) Couchbaseは「データ輸入者」であり、お客様は「データ輸出者」であることに同意するものとします(お客様自身がEEAまたは英国外に所在する事業体である可能性があることにかかわらず)、(B) 本DPAの付属書Aおよび付属書Bは、モデル条項の付属書1および付属書2に代わるものとします。いずれの当事者の意図も、また本DPAの効果も、モデル条項に規定された条項に矛盾したり制限したりするものではありません。したがって、モデル条項が本DPAのいずれかの条項と抵触する場合、および抵触する範囲においては、モデル条項が優先するものとします。モデル条項は、EEAまたは英国外に直接または転送を介して転送されない顧客データには適用されません。Couchbaseが、適用される欧州データ保護法で規定されるお客様データの移転のための代替データエクスポートソリューション(以下、「代替移転メカニズム」)を採用する場合、およびその範囲において、代替移転メカニズムが代わりに適用されるものとします(ただし、当該代替移転メカニズムが移転に適用される範囲に限る)。

  3. 追加の編入要件。 適用されるデータ保護法により、本DPAに規定されるお客様データの移転を許可するためにさらなる措置が必要とされる場合(2021年標準契約条項またはUK IDTAを別文書として締結または再締結すること、および/または追加のクロスボーダー移転条項を締結することを含みますが、これらに限定されません、)および/または本DPAの移転メカニズムが適用データ保護法の下で修正、置き換え、廃止またはその他の方法で終了した場合、お客様とCouchbaseは、適用データ保護法に準拠した移転を可能にするために合理的に必要なすべての措置を取るために誠実に協力することに同意します。さらに、適用データ保護法の下で必要とされる範囲で、Couchbaseは、お客様がデータ保護影響評価または監督当局との事前協議を実施できるように、本契約に基づく個人データの処理に関する合理的に要求された情報を提供します。

7.顧客データの削除

  1. クラウド・サービスは、クラウド・サービスの機能と一致する方法で、お客様が期間中にお客様データを削除または取得するために使用できるコントロールをお客様に提供します。

  2. お客様は、本契約により、本契約の終了もしくは満了時、または本契約に基づくクラウドサービスの終了もしくは停止時に、Couchbaseが所有または管理するすべてのお客様データ(コピーを含む)を本契約に従って削除する権限をCouchbaseに付与します。

8.個人の権利と協力

  1. データ主体の要求 クラウド・サービスは、クラウド・サービスに適用されるあらゆる文書に記載されているとおり、お客様が顧客データの取得、修正、削除または制限のために使用できる、セキュリティ機能および機能を含む多数のコントロールをお客様に提供します。第4条(a)を損なうことなく、お客様は、データ主体からの要求への対応に関連する義務を含む、適用データ保護法に基づく義務に関連する支援を行うための技術的および組織的措置として、これらの管理を使用することができます。お客様がクラウドサービス内の関連するお客様データに独自にアクセスできない範囲において、Couchbaseは、処理の性質を考慮し、本契約に基づくお客様データの処理に関連する個人または適用されるデータ保護当局からの要求に対応するために、お客様を支援する合理的な協力を提供するものとします。お客様を特定するそのような要求がCouchbaseに直接なされた場合、Couchbaseは、法的に強制されない限り、お客様の事前の許可なく、そのような通信に直接応答しないものとします。Couchbaseがこのような要求に応答する必要がある場合、法的に禁止されていない限り、Couchbaseは速やかにお客様に通知し、要求のコピーを提供するものとします。

  2. 召喚令状と裁判所命令。 法執行機関がCouchbaseに(例えば、召喚状または裁判所命令を通じて)顧客データの要求を送付した場合、Couchbaseは、Couchbaseが法的に禁止されていない限り、お客様が保護命令またはその他の適切な救済を求めることができるように、要求の合理的な通知をお客様に行うものとします。

9.管轄区域固有の条件

  1. カリフォルニア州 顧客データがCCPAの対象となる範囲において、両当事者は、お客様が事業者であり、本契約(本DPAを含む)およびCCPAの下で許可されるように、または書面で別途合意された目的のために顧客データを処理するために、Couchbaseをサービスプロバイダー(CCPAの下で定義される)として任命することに同意します(以下、総称して「」)。許可された目的").お客様とCouchbaseは以下の事項に同意します:(i)Couchbaseは、許可された目的以外の目的で個人情報を保持、使用、または開示しないこと、(ii)顧客データはCouchbaseに販売されておらず、Couchbaseは個人情報を「販売」しないこと(CCPAによって定義される);(iii) Couchbaseは、お客様とCouchbase間の直接的なビジネス関係以外の個人情報を保持、使用、または開示しないこと、および(iv) CCPAで許可されている場合を除き、Couchbaseが別の情報源から受け取った個人情報(CCPAで定義)とお客様データを組み合わせること。両当事者は、Couchbaseがクラウドサービスを提供する過程で個人情報を非特定化または集約することに同意します。Couchbaseは、本第9条(a)に定める制限を理解し、遵守することを証明します。Couchbaseは、CCPAのサービスプロバイダとして、本第9条(a)の義務を遵守できなくなったと判断した場合、お客様に通知します。

10.責任の制限

  1. 契約、不法行為(過失を含む)またはその他の責任理論に基づくか否かを問わず、本DPA(モデル条項を含む)に起因または関連する各当事者およびそのすべての関連会社の責任は、合算して、本契約における責任の制限および排除に従うものとし、ある当事者の責任に関する規定における言及は、本契約および本DPAの下で、および本DPAに関連して、当該当事者およびそのすべての関連会社の責任の合算を意味します。

  2. 適用されるデータ保護法により、お客様の関連会社が本DPAに基づき、自ら直接Couchbaseに対して権利を行使または救済を求めることが要求される場合を除き、当事者は、(i)本契約の契約当事者であるお客様の事業体のみが、その関連会社を代表して、本DPAに基づき、お客様の関連会社が有する可能性のある権利を行使または救済を求めるものとし、(ii)本契約の契約当事者であるお客様は、本DPAに基づき、そのような権利を各関連会社に対して個別に行使するのではなく、その関連会社すべてに対して合わせて行使することに同意するものとします。

11.その他

  1. 本DPAと本契約との間に抵触がある場合、当事者は、本DPAの条項が優先することに同意するものとします。ただし、標準契約条項と本DPAのその他の条項との間に抵触がある場合、およびその限りにおいて、標準契約条項が適用される処理に関しては、標準契約条項の規定が優先するものとします。さらに、本DPAと当事者間で締結された業務提携契約(以下「業務提携契約」という。BAA「)、PHI(当該BAAで定義される)に関しては、BAAの規定が優先される。

  2. 両当事者は、本DPAに起因または関連するあらゆる紛争について、あらゆる種類の法的手続を開始する前に、またその前提条件として、誠意をもって解決を試みることに合意する。本第11条(b)に従った一切の交渉は機密事項であり、適用される証拠規則上、妥協および和解交渉として扱われる。

  3. 本DPAによる変更を除き、本契約に変更はなく、完全な効力を有します。

  4. 本DPAは、それぞれを原本とみなし、すべてを合わせて1通の文書を構成する、副本として締結することができる。

  5. 本DPAのいずれかの条項または一部の条項が無効、違法または執行不能となった場合、当該条項は削除されたものとみなされますが、本DPAのその他の条項の有効性および執行可能性には影響しないものとします。

  6. 本DPAは、欧州データ保護法により別段の定めがない限り、本契約の準拠法および裁判管轄の規定に準拠し、これに従って解釈されるものとします。

 

付録A
データ処理

 

本付属書Aは、DPAの一部を構成し、該当する場合、Couchbaseが管理者または処理者としてお客様に代わって処理者またはサブ処理者としてお客様データに対して実行する処理について説明します。
顧客データ
期間
本DPAに基づくデータ処理の期間は、本契約の条項に従って本契約が終了するまでと、本契約の終了から本契約の条項(本DPAを含む)に従ってCouchbaseが個人データを削除するまでの期間を加えた期間とします。

データのカテゴリー
処理される個人データは、以下のカテゴリーに分類されます(具体的にご記入ください):

  • 顧客コンテンツまたはサポートコンテンツ内の個人データ:クラウドサービスにより、またはクラウドサービスを通じて、お客様または認定ユーザーのために提供されたコンテンツまたはデータに含まれる個人データ。

特別カテゴリーのデータ(適切な場合)
両当事者は、本契約に基づき、いかなる特別カテゴリーのデータも処理することを意図していません。

データ対象者
処理される個人データは、以下のデータ対象者のカテゴリーに属します(具体的にご記入ください):

  • データ主体には、認定ユーザーを含む、お客様によって、またはお客様の指示により、クラウドサービスを通じてCouchbaseにデータが提供される個人が含まれます。データ主体には、お客様の顧客、従業員、サプライヤー、およびエンドユーザーが含まれる場合があります。

加工作業
個人情報は以下の基本的な処理活動の対象となります(具体的にご記入ください):

  • 本契約に従ってクラウドサービスを提供するための処理;

  • 本契約の履行に必要な処理を行うこと;

  • お客様がクラウドサービスを使用する際に開始した処理。

  • 本契約の条件に合致する、お客様から提供されたその他の合理的な指示(電子メールまたはサポートチケットなど)に従うための処理。

頻度
個人データは継続的に転送される可能性があります。

 

アネックスB
セキュリティ対策

 

本付属書は、Couchbaseのセキュリティ対策について説明します。お客様は、クラウドサービスが責任共有モデルに従って運営されていることを認め、特に、お客様がお客様コンテンツ(お客様の管理下でお客様の環境内に保存されたまま)のセキュリティを保護するなどの特定の措置を講じることを要求します。Couchbaseがクラウドサービスに関連してお客様に代わってお客様データを処理する場合、およびその範囲において、Couchbaseは以下のセキュリティ対策を実施および維持するものとします:

データ暗号化対策

  • すべての顧客データは、TLS 1.2(またはそれ以上)を使用して転送時に暗号化され、AES-256暗号化を使用して静止時に暗号化されます。

  • 従業員のノートパソコンは、フルディスクAES-256暗号化を使用して暗号化されています。

  • すべてのクレデンシャルは、TLS 1.2(またはそれ以上)を使用して転送時に暗号化され、静止時に暗号化されます。

  • 暗号化キーは年単位でローテーションされ、顧客が選択したクラウド・サービス・プロバイダーが保管・管理する。

可用性と回復可能性の対策

  • Couchbaseは、クラウドサービスの可用性を合理的に確保するように設計された災害復旧および事業継続計画および手順を維持します。

  • Couchbaseによって設定されたサービス復旧時間の目標とデータ復旧ポイントの目標を達成するために、Capellaのコントロールプレーン災害復旧計画は、毎年テストされ、見直され、必要に応じて更新されます。

  • Couchbase Capellaは、Amazon (AWS)、Microsoft (Azure)、Google (GCP)(該当する場合)など、業界で認められたパブリッククラウドサービスプロバイダーが運営する地理的に分散されたデータセンターで展開されます。

  • 冗長性は、Couchbase Capellaの提供をサポートするシステムインフラに組み込まれています。プライマリシステムに障害が発生した場合、別のアベイラビリティゾーンにある冗長インフラがその代わりとなるように構成されています。

  • バックアップはクラウドインフラ内の管理された環境に保存される。バックアップデータへの論理的なアクセスは適切な担当者に制限され、高可用性ストレージに保存される。

  • 年に一度、バックアップのリストアテストが実施され、運用担当者がスナップショットからバックアップをリストアし、インシデント発生時にデータを復旧できることを確認する。

組織のセキュリティ対策

  • Couchbaseは、Couchbase Capella提供と情報システムの機密性、完全性、可用性を保護し、データと情報システムに対するセキュリティ管理の有効性を確保するために、正式な情報セキュリティ管理システム(ISMS)を確立しています。

  • Couchbaseは、適切な技術的および手続き的な保護制御が選択され、実装されるに基づいて、機密性のレベルにデータを分類するための定義された方法論を持っています。

  • 従業員は、贈収賄・汚職防止、倫理・行動規範、インサイダー取引、グローバル・データ・プライバシー、年次セキュリティ意識向上トレーニングを受けることが義務付けられている。

  • 従業員は採用時に秘密保持契約および守秘義務契約に署名することが義務付けられています。

  • 従業員のオンボーディングとオフボーディングのための正式な方針と手順が整備されている。アカウントのプロビジョニングとデプロビジョニングのプロセスが定義され、実施されている。

  • 従業員のアクセス権は、解雇時に削除されるか、役割の変更に伴い必要に応じて調整される。

  • 多要素認証(MFA)は、重要なリソースおよび生産リソースへのアクセスに対して実施される。

  • パスワードの複雑性が要求される。

  • 責任と職務の分離は、不正または意図的でない改ざんや誤用の機会を減らすために実施される。

  • Couchbaseは第三者と秘密保持契約を締結しています。

  • Couchbaseのネットワークは、信頼レベルに基づいて分離され、ファイアウォールで保護されています。

  • Couchbaseは、テストと継続的なスキャンを介して内部を含め、脆弱性の識別、優先順位付け、および修復のための定義されたプロセスを持っています。

ロギングとモニタリング

  • ユーザーアクティビティ、例外、障害、および情報セキュリティイベントのログを有効にする。ログは必要に応じて保持される。

  • すべてのログは、権限を与えられたCouchbase社員のみがアクセスでき、不正アクセスを防止するためのアクセス制御が行われています。

  • ロギング・データへの書き込みアクセスは固く禁じられている。ロギング設備およびログ情報は、アクセス制御およびセキュリティ手段を使用することにより、改ざんおよび不正アクセスから保護される。

  • Couchbaseは、セキュリティアラートを生成し、不規則な活動を識別するために様々な監視手段を備えています。

  • Couchbase Capellaオペレーションチームは、セキュリティアラートとその基礎となる構成を定期的にレビューし、それらが意図したとおりに動作していることを確認し、状況の変化に応じてコントロールが変更されることを確認します。

  • Couchbaseは、侵害の検出、調査、通知、および修復のための手順を含む文書化されたインシデント管理とデータ侵害対応計画を持っています。

  • Couchbaseは、毎年独立したサードパーティのサービスプロバイダを使用して侵入テストを実施し、社内で定義されたSLAに従ってそのようなテストの調査結果を適切に修復します。

アクセス・コントロール対策

  • Couchbaseは、セキュリティのベストプラクティスを実装し、データベース、ネットワーク、およびアプリケーション層全体でロールベースのセキュリティアーキテクチャを使用し、重要なシステムへのアクセスを許可する際に最小特権の原則に厳密に従います。

  • 多要素認証(MFA)は、重要なリソースおよび生産リソースへのアクセスに対して実施される。

  • パスワードの複雑性が要求される。

  • Couchbaseは、適切な職務分掌をサポートするために職務と役割を定義しています。

  • 運用環境、本番環境、災害復旧環境へのアクセスは、固有のユーザーアカウント、強固なパスワード、多要素認証(MFA)の使用、役割ベースのアクセス、最小権限の原則によって保護される。

  • 本番Couchbaseアプリケーションで使用されるアクセスキー(AWSアクセスキーなど)は、権限を与えられた担当者のみがアクセス可能です。それらは、必要に応じて(例えば、セキュリティ勧告や人事離脱に従って)、少なくとも1年ごとにローテーション(変更)されます。

  • データへのアクセス、変更、削除を含む、運用環境におけるユーザーの活動は記録される。

  • 承認要求とプロビジョニングは記録され、追跡され、監査される。

  • ネットワーク・ベースのファイアウォールに加えて、ウェブ・アプリケーション・ファイアウォール(WAF)が導入されている。

  • モバイルデバイスの管理

物理的なセキュリティ対策

  • Couchbase Capellaは、Amazon (AWS)、Microsoft (Azure)、Google (GCP)(該当する場合)など、業界で認められたパブリッククラウドサービスプロバイダーが運営する地理的に分散されたデータセンターで展開されます。

  • 機密データを含むすべての施設への物理的アクセスは制限され、管理されている。

  • すべての情報資源施設(ネットワーク・クローゼットや書庫など)は、その機能の重要度や重要性に比例して物理的に保護される。

  • 情報資源設備へのアクセスは、その設備へのアクセスを職務上必要とする会社の職員および請負業者にのみ許可される。

  • 訪問者にアクセスを許可するすべての情報資源施設は、サインイン・ログにより訪問者のアクセスを追跡するよう設定されている。

  • 情報資源施設のカードアクセス記録および訪問者ログは、保護される情報資源の重要性に基づき、定期的なレビューのために保管される。

  • 機器は、環境上の脅威、危険、および不正アクセスの機会からのリスクを軽減するために保護されている。

変更管理措置

  • Couchbaseは、不正な変更を防止するために、アクセス制御と変更管理のポリシーと手順を持っています。

  • Couchbaseは、適用される標準プロセスに従うことを保証し、本番環境への未検出の変更のリスクを軽減するために、対象システムへの変更を監視します。変更は変更管理システムで追跡されます。

ガバナンス

  • Couchbaseは、Couchbase Capella提供と情報システムの機密性、完全性、可用性を保護し、データと情報システムに対するセキュリティ管理の有効性を確保するために、正式な情報セキュリティ管理システム(ISMS)を確立しています。

  • Couchbaseは、裏付け文書を含む文書化され承認された情報セキュリティポリシーを実施しています。

  • Couchbaseの情報セキュリティプログラムを管理する権限と責任は、Couchbaseの情報セキュリティプログラムを確立、実装、および管理するために必要な行動を取るために経営陣から権限を与えられた情報セキュリティおよびコンプライアンスグループに委任されています。

  • Couchbaseにサービスを提供する、またはシステムやデータにアクセスできるサードパーティは、オンボーディング前にリスクベースの評価を受け、そのセキュリティプログラムは定期的に見直されます。

コンプライアンス

  • Couchbaseは、SOC 2 Type 2、HIPAA、CSA STARおよびPCI-DSS制御要件に対する独立した第三者監査人による監査を毎年完了し、Couchbase Capellaサービスに保存および処理される情報の機密性と可用性を保護する制御へのコミットメントを証明しています。

データへの最低限のアクセス

  • 適用される法規制を考慮し、データの移転と共有の方針と手順を定める。

  • プライバシー評価は、新製品/サービスの導入および第三者による個人データの処理に関連して実施される。

  • データ収集は、処理の目的(またはお客様が提供することを選択したデータ)に限定されます。

  • セキュリティ対策は、必要な機能を実行するために必要最小限のアクセスのみを提供するために実施されています。

  • データ保持の要件を特定する

  • 個人データへのアクセスは、「知る必要性」の原則に従い、個人の明確な役割と責任に従って、処理に関与する職員に制限される。

データ対象者のアクセス要求

  • Couchbaseの一般公開されているプライバシーポリシーに記載されているように、個人がプライバシーの権利(消去権やデータポータビリティの権利など)を行使できるプロセスが整備されています。

Couchbaseは、GDPRの妥当性要件を満たすための補足措置に関する欧州データ保護委員会の最近のガイダンス、および欧州のデータ保護当局が発行したその他のガイダンスが発生した場合は、その分析を継続します。

 

アネックスC
データの転送

 

本付属書は、お客様がクラウドサービスを使用する際に、管轄区域から管轄区域外にあるCouchbaseに合法的に個人データを転送するためのオンワード転送メカニズムが必要な場合に適用される条件を規定します。

1.2021年標準契約条項。 GDPRの対象となるデータ移転については、2021年標準契約条項が以下のように適用される:

  1. モジュール2(管理者から処理者)は、お客様が顧客データの管理者であり、Couchbaseが顧客データの処理者である場合に適用されます;
  2. モジュール3 (Processor to Processor)は、お客様が顧客データの処理者であり、Couchbaseが顧客データのサブ処理者である場合に適用されます;
  3. 各モジュールについて、該当する場合:
    1. 第7条において、オプションのドッキング条項が適用され、当事者は、2021年標準契約条項を別の当事者に適用するために必要な措置を講じるべく、誠意をもって協力するものとする;
    2. 第9条(a)項では、オプション2が適用され、サブプロセッサの変更に関する事前通知の期間は、本DPAの第3項(サブプロセシング)に定めるとおりとします;
    3. 第11条では、オプションの文言は適用されない;
    4. ただし、管轄当局が2021年標準契約条項の使用を承認したEEA域外の国(スイスを含むがこれに限定されない)のデータ保護法の適用を受けるデータの移転(以下「データ移転」という。採用国")、2021年標準契約条項は、採用国のデータ保護法に準拠する。
    5. ただし、採用国のデータ保護法の適用を受けるデータの移転に関しては、2021年標準契約条項に起因する紛争は採用国の裁判所が解決するものとします。
    6. 附属書IのパートA:

      データエクスポーター お客様およびお客様の認定関連会社。

      連絡先 クラウドサービスに基づく通信を受信するための関連アカウントとして指定されたお客様の電子メールアドレス

      データエクスポーターの役割 お客様は、該当する場合、顧客データの管理者または処理者です。

      データ移転に関連する活動:Couchbaseおよび関連会社からのソフトウェアおよびサービスの受領

      署名と日付 本契約および DPA を締結することにより、データ輸出者は、DPA の発効日において、付属書を含め、本契約に組み込まれた本標準契約条項に署名したものとみなされます。

      データインポーター Couchbase, Inc.

      連絡先:Couchbase リーガルチーム - legal@couchbase.com

      データインポーターの役割:Couchbaseは、該当する場合、顧客データの処理者またはサブ処理者です。

      データ移転に関連する活動:ソフトウェアおよびサービスの提供

      署名と日付:本契約およびDPAを締結することにより、データ輸入者は、DPAの発効日において、付属文書を含め、ここに組み込まれた本標準契約条項に署名したものとみなされます。

    7. 附属書IのパートB:

      データ対象者の分類は、本DPAの付属文書Aに記載されています。

      移転される機微データは、本DPAの付属書Aに記載されている。

      移籍の頻度は契約期間中、継続的に行われる。

      処理の性質は、本DPAの付属書Aに記載されています。

      処理の目的は、本DPAの付属書Aに記載されています。

      処理の期間は、本DPAの付属書Aに記載されています。

      サブプロセッサーへの移管については、処理の対象、性質、および期間について、以下に概説する。 https://info.couchbase.com/cloud-subprocessors.html

    8. ただし、採用国のデータ保護法の適用を受けるデータの移転に関しては、監督当局は採用国のデータ保護当局とする。
    9. 本DPAの付属書Bは、標準契約条項の付属書IIとなる。
    10. 両当事者は、標準契約条項に基づく特定の義務について、以下のとおり両当事者の理解を示すことに同意する:
      1. 監査:監査:データ輸出者はデータ輸入者に対し、DPA第4条(e)の監査規定に従って監査に応じるよう指示します。
      2. 責任:欧州データ保護法で認められている範囲において、2021年標準契約条項に基づくデータインポーターの賠償責任は、本契約に規定されている賠償責任の総量制限に従うものとします。

2. スイスからのデータの移転 個人データの移転がスイスFDPAの対象となる場合、上記第1項の条件は、以下の修正を加えた上で適用されます:

  1. 標準契約条項における「指令95/46/EC」または「規則(EU)2016/679」への言及は、スイスFADPへの言及と解釈されるものとする;
  2. EU」、「EU」、「加盟国」、「加盟国法」は、場合により、スイスおよびスイス法への言及として解釈されるものとする。
  3. 管轄監督機関」および「管轄裁判所」は、スイス連邦データ保護委員会および情報委員会、ならびにスイス国内の管轄裁判所を指すものと解釈します。

3. 英国からのデータ転送。 個人データの移転が英国データ保護法の対象となる場合、当事者はこれに同意します:

  1. 第2部「必須条項」を含むIDTAの規定は、全面的に適用されるものとする;
  2. UK IDTAの表1の目的上、当事者の名称、役割、およびその詳細は、添付の付属文書Cに記載される;
  3. 英国IDTAの表2および表3については、添付の付属文書に記載された情報を含め、参照により本DPAに組み込まれた2021年標準契約条項が適用されるものとする。
  4. 英国IDTAの表4において、本DPAを修正するために当事者が誠実に努力した結果、両当事者が相互に合意することができなかった場合、いずれの当事者も英国IDTAを終了することができる。
  5. 英国データ保護法で認められている範囲において、データインポーターの責任は、本契約に規定されている責任の制限の総量に従うものとします。
建設開始

当社の開発者ポータルをチェックして、NoSQLを探求し、リソースを閲覧し、チュートリアルから始めましょう。

今すぐ開発する
カペラ無料体験

わずか数クリックでCouchbaseをハンズオン。Capella DBaaSは、最も簡単かつ迅速に始めることができます。

無料
ISVのためのCouchbase

複雑さとコストを抑えてパワフルなアプリを構築。

さらに詳しく