品質、セキュリティ、プライバシー、コンプライアンス | EcoVadis Skip to content

品質、セキュリティ、プライバシー、コンプライアンス

Main content

EcoVadisの目的は、「全ての企業を持続可能な世界に導くこと」であり、EcoVadisの4つのコア目的は以下のとおりです:

  1. 優れた評価手法を通じて、独立した、信頼できるサステナビリティ評価と洞察を提供する。
  2. 最大限の数の企業がビジネス慣行を継続的に改善し、再生可能かつ公正な経済の創造に貢献できるようにする。
  3. 従業員のために包括的な学習環境を整備し、有意義な仕事を提供し、サステイナビリティを実践する未来の世代に力を与える。
  4. 持続可能な世界への移行を加速するために、当社のエコシステム内で集団行動を促進する。

EcoVadisは、ISO9001を取得した品質マネジメントシステム(QMS)を構築しています。安全で活発な職場環境の中で、社員一人ひとりが常に正しい仕事を行えるよう、プロセス管理システムを通じて、常に向上する品質を積極的に追求しています。このシステムは、全プロセスを通じて従業員をガイドする、オーダーメイドで自社開発されたITプラットフォームによって支えられています。EcoVadisは、評価手法委員会などの専門機関から助言を受けながら、プロセスの継続的な改善に常に力を注いでいます。

  • 従業員トレーニングプログラム
    • 新入社員にはQ&ISトレーニングを実施し、テストおよび合格点を設定して効果を確認します。また、全社員に対して年1回の再教育とテストが義務付けられています。
  • 是正・予防措置
    • 不適合をなくすため、または再発を防止するための改善点を特定し、継続的に改善します。その一例として、品質ツールを使用して不適合を検出し、評価プロセスを通じてフィードバックを提供します。
  • インシデント管理プロセス
    • 顧客やサプライヤーからの苦情や社内の問題は、インシデント管理プラットフォームを通じて報告、記録、管理しています。すべてのインシデントは、関係者によって定期的にレビューされ、所定の期間内に解決されます。
  • 内部監査
    • 内部監査プログラムは3年間にわたって実施し、情報セキュリティ監査は年2回、すべての内部プロセスについては品質監査を少なくとも年1回実施しています。監査結果については、年2回のマネジメントレビューにおいて確認と検討を行っています。

EcoVadisは、最も信頼できるクラウドホスティングプロバイダーの1つであるMicrosoft AzureにホストされたグローバルクラウドベースのSaaSプラットフォームを介して、企業の包括的なサステナビリティ評価サービスを提供しています。

当社は、情報セキュリティの脅威が進化する中で、すべてのステークホルダーのデータを保護するために、最高レベルの情報セキュリティを提供し、継続的に改善することを約束します。このため、EcoVadisでは、情報セキュリティマネジメントシステム(ISMS)を確立し、 ISO/IEC 27001のコンプライアンスについて、独立した第三者の監査を定期的に受けています(認証および適合証明書を参照してください)。

当社のISMSは、当社の業務プロセスやサービスにおける情報セキュリティを組織的に運用・維持し、リスク評価に基づいて必要なセキュリティ措置を決定・適用することができるようにしています。

当社の情報セキュリティ方針は、定期的に見直され、更新され、内容が適時かつ正確であり、業界のベストプラクティスと当社に適用されるコンプライアンス要件に一致していることが確認されています。

当社では、情報セキュリティの開発、維持、監視を担当する専門チームを社内に設けています。私たちの資産を守るために、組織内で世界的に優先順位が設定され、単一で一貫したビジョンが提供されます。

EcoVadisでは、情報セキュリティの脅威に関する意識を高めることは、継続的なプロセスであると認識しています。当社の従業員は、ITおよび情報セキュリティのベストプラクティスについて定期的にトレーニングを受け、EcoVadisのITセキュリティ基準に沿って、ITシステムを安全に運用する方法について学んでいます。

当社では、提供されるサービスに関連する資産の正確かつ最新の在庫を維持し、法的要件、価値、重要度、不正な開示または変更に対する感度に基づいて情報を分類しています。

Azureはマルチテナントサービスであり、クライアント間のデータを分離する論理的な分離が行われています。

EcoVadisの情報システムとネットワークドメインへのアクセス権および特権は、ユーザーの職務上の特定の要件に基づいて割り当てられる必要があり(RBAC)、当社は知る必要性と必要最低限の原則に従っています。

クライアントが独自にアクセスを管理します。クライアントのプラットフォーム管理者は、必要に応じてユーザーを作成または無効化できます。プラットフォームには、ユーザー名とパスワードを使用してアクセスできます。また、リクエスト企業向けにシングルサインオン(SSO)認証機能を提供しており、詳細については、通常の営業担当者までお問い合わせください。

データは業界承認済みの暗号化アルゴリズムと方法を使用して暗号化されます(静止時および転送時)。当社は業界のベストプラクティスに従って、環境内の機密情報を安全に保管・管理しています。

 

当社のプラットフォームは、EUにあるMicrosoft Azureデータセンターでホストされています。クラウドにおける共有責任モデルによれば、物理的なセキュリティ管理はMicrosoftの義務の対象となります。管理に関する詳細については、こちらでご確認いただけます。

当社では、情報セキュリティに影響を与える組織、業務プロセス、情報処理設備、およびシステムの変更を確実に管理しています。当社は、マルウェアの脆弱性やその他セキュリティに関連する事象をインフラ内で特定、防止、管理するために、監視・検知技術やプロセスを導入しています。OSについてはCIS(Center for Internet Security)、クラウドサービスについてはMicrosoft Azureの強化ガイドラインなど、最善のセキュリティ強化慣行を遵守しています。

社内サービスやサーバーへのネットワークアクセスを制限し、安全を確保しています。当社は、Webアプリケーションファイアウォールを導入し(詳細はこちら)、高いパフォーマンス、拡張性、安全なユーザー体験を提供する最新のクラウドコンテンツデリバリーネットワーク(CDN)サービスであるAzure Front Doorを使用しています。

当社では、システム/ソフトウェア開発ライフサイクル(SDLC)のセキュリティを構築するために、業界標準を使用しています。新しい開発が稼働する前に、適切なテストと検証プロセスを経ることが保証されています。開発環境、テスト環境、運用環境が分離されています。

当社は、組織の情報にアクセス、処理、保管、通信、またはITインフラストラクチャコンポーネントを提供する可能性のあるサプライヤに対して、情報セキュリティ要件を確立しています。また、当社のネットワーク、データ、他の機密情報にアクセスできるサプライヤーに対して、サイバーセキュリティおよびデータセキュリティのリスク評価も実施しています。

当社はクライアントに安全性の高いサービスを提供するために常に尽力していますが、インシデントは注意深く管理しなければならない避けられない現実です。EcoVadisでは、情報セキュリティインシデントの管理に一貫した効果的なアプローチを確保するために適切な措置が実施されています。当社のセキュリティインシデント管理プロセスは、クライアントへの通知、セキュリティインシデント発生時に従うべき手順の文書化、およびその結果を軽減するためにあらゆる合理的な努力を尽くすことを含みますが、これに限定されません。

当社は、可用性要件を満たすのに十分な冗長性を備えた情報処理施設を確実に実装することを約束します(サービスのパフォーマンス、可用性、実際のユーザー体験が常に監視されるプラットフォームの稼働時間レポートを参照してください)。

バックアップは、定義されたバックアップ方針に従って定期的に実行およびテストされています。

当社の情報セキュリティコンプライアンスをより完全に把握するために、以下のような監査および技術レビューを実施しています:

– インフラレビュー

– コードレビュー(SAST静的アプリケーションセキュリティテスト(SCA:ソフトウェア構成解析)

– Webアプリケーションの侵入テスト(少なくとも年に1回は外部企業が実施)

– 外部ポスチャマネジメント

– 社内リスク評価

– ISO 27001認証監査

 

いくつかの標準的な質問票に回答しました。結果はリクエストに応じて共有できます

  • Cybervadis
  • CyberGRX
  • SecurityScorecard:

  • Whistic

Microsoft Azureの認証は、Service Trust Portalで取得できます。

適用されるサービスに関連するオープンソースライブラリまたはコンポーネントのライセンサーが必要とする通知。EcoVadisソリューションには、オープンソースライブラリが含まれている場合やそれに依存している場合があります。オープンソースライブラリのライセンス要件およびライセンシーの帰属倫理的権利に準拠するため、以下に、当社の製品の構築に使用されるオープンソースソフトウェアのリストを示します。ここに記載されているすべての情報は「現状有姿」で提供されており、ライセンシーによる変更の対象となる可能性があります。

 

コンポーネント/プロジェクト名 ライセンス
ActiveUp.Net LGPL 2.1 *
AjaxControlToolkit BSD 3
Bootstrap MIT
ClosedXML MIT
DocumentFormat.OpenXml MIT
Editor_plugin LGPL 2.0 *
EPPlus LGPL 2.1 *
Highcharts CC BY NC 3.0
ICSharpCode MIT
Ionic Zlib
jQuery.dataTables MIT
jQuery.easing MIT
jQuery.easy MIT
jQuery.form MIT
jQuery.linq MIT
jQuery.multiselect MIT
jQuery.perfect-scrollbar-with-mousewheel MIT
jQuery.scrollTo MIT
jQuery.slim MIT
jQuery.tipTip MIT
jQuery.validate.unobtrusive Apache 2.0
jQuery.validate MIT
jQuery MIT
Knockout MIT
LINQ Microsoft Public
Modernizr MIT
Newtonsoft MIT
PayPal .NET SDK SDK LICENSE
Ninject Apache 2.0
NLog BSD 3
NPOI Apache 2.0
Prototype MIT
wkhtmltoimage LGPL 3.0 *
wkhtmltopdf LGPL 3.0 *
wkhtmltox LGPL 3.0 *

* アプリケーションは、LGPLライセンスに動的にリンクされているため、プロプライエタリコードを専有できます。

EcoVadisは、GDPRが、EU市民の個人データの保護を強化し、調和させるための重要なステップであると考えています。提供される評価サービスのデータ管理者として、EcovadisはGDPRを遵守し、国際的なデータ保護規制に適用される限り、ベストプラクティスを導入することを約束します。

EcoVadisは、当社が認証を受けているISO27001規格をフレームワークとして使用し、個人情報保護の側面をマネジメントシステムに統合しています。当社は、GDPR要件を満たすために、補完的なISO 27701フレームワークを使用しています。データ保護の実践とコンプライアンスは、第三者監査によって確認されています。

EU域外で行われるデータ処理については、当社の子会社との間で標準契約条項(SCC)を定めています。

EcoVadisは常にプロバイダー(処理業者)を慎重に選び、EcoVadisのために業務を行う前に、処理業者とのデータ保護契約の締結、EEA地域外での処理の場合には標準契約条項(SCC)または拘束力のある企業規則(BCR)の締結を求めています。当社は、ヨーロッパに拠点を置くサーバーでデータをホスティングするプロバイダーとの契約を選択することを常に目標としています。以下のプロセッサを使用してサービスを提供しています:

 

法人 住所 目的 セキュリティに関する追加情報
ZenDesk 1019 Market Street,
San Francisco, CA 94103 USA
ヘルプセンター https://www.zendesk.com/product/zendesk-security/
SFDC 2 Henry Adams St,
San Francisco, CA 94103 USA
CRMとカスタマーサポート https://trust.salesforce.com/
Microsoft Azure Microsoft Campus,
Redmond, WA 98052 USA
サステナビリティ評価プラットフォームのホスティング https://azure.microsoft.com/en-us/overview/trusted-cloud/
Google 1600 Amphitheatre Parkway
Mountain View, CA 94043 USA
お客様とのコミュニケーション https://cloud.google.com/security/
Selligent 20 Place des Vins de France,75012 Paris FRANCE お客様とのコミュニケーション https://www.selligent.com/general-data-protection-regulation
Docebo Limited
6th floor, 48
Gracechurch
Street, London –
UK
Eラーニングプラットフォーム https://www.docebo.com/company/compliance-security/
Pendo 150 Fayetteville St
#140027601
Raleigh NC, USA
プラットフォーム分析 https://www.pendo.io/data-privacy-security/
Productboard 612 Howard
streetCA 94105
San Francisco CA,
USA
製品管理 https://www.productboard.com/product/security/
Aircall 11 Rue Saint
Georges, 75009
Paris, FRANCE
通話録音 https://aircall.io/security/

 

当社は、SCC(またはBCR)に基づいて米国にデータを転送する可能性について、フランスのデータ保護機関CNILと欧州データ保護委員会が発行した追加措置に関する推奨事項に依存しています。

詳しくは、データプライバシーに関する声明をご覧ください。

EcoVadisは、サービスの運営場所に関して、フランスおよび米国の法律を含むがこれらに限定されない、汎用オンラインサービスの運営者に適用されるすべての適用法および規制を遵守することを約束します。

製品およびサービス提供先の制限

総合的な事業リスクを考慮し、EcoVadis製品およびサービスは、以下の国/地域(予告なく変更される場合があります)への輸出、再輸出、移転またはそれらの国での使用を禁じています。

  • クリミア地域、ドネツク地域、ルハンシク地域
  • キューバ
  • イラン
  • 北朝鮮
  • シリア

さらに、輸出管理・制裁措置に関するリスクの高い特定の相手先との取引やそれに関連する取引については、強化されたデューデリジェンスを実施します。

エンドユーザー向け制限事項

適用される制裁対象者リスト(例:欧州連合制裁リスト、米国特別指定国(SDN)リスト、OFAC、国連安全保障理事会制裁、EcoVadisが存在する地域のリスト)に記載されている者を含む、適用される輸出管理法および制裁法で取引が禁止されている団体および個人は、EcoVadis製品およびサービスを利用できません。

最終用途の制限

EcoVadisのサービスは、核兵器、化学兵器または生物兵器の大量破壊兵器の開発、設計、製造または生産を含むがこれらに限定されない、適用輸出法で禁止されるいかなる目的にも使用してはなりません。

このウェブページは一般的な情報提供のみを目的としたものであり、法的な助言を与えるものではありません。

質疑応答EcoVadisにお問い合わせください。

EcoVadisの情報セキュリティに関するご質問は、営業担当者にお問い合わせいただくか、ヘルプセンターsupport.ecovadis.comをご参照ください。

+能力ウェビナーシリーズ:貴社がサプライチェーンのサステナビリティをナビゲートする能力を向上させましょう
今すぐ登録する
新機能:バロメーター2024:調達を戦略的サステナビリティ&レジリエンスパートナーに変革する
表示する