なぜJotformは安全なのですか?

お客様のデータのプライバシーとセキュリティを確保することは、当社にとって最優先事項です。オンラインフォームのサービスには万全を期しておりますのでご安心ください。

256 Bit SSL
プランに関わらず、すべてのフォームはSHA256証明書を使用した256ビットSSL(Secure Socket Layer)接続で保護されています。これは業界標準の保護となります。 Read more
Encrypted Forms
フォームを簡単に暗号化し、投稿データを安全な形式で転送・保存することで、誰にも読み取られないようにします。投稿データは、ユーザーのコンピュータで高品位のRSA 2048で暗号化され、当社のサーバーに安全に転送、保存されます。
PCI Certification
Jotformは、PCI DSS Service Provider Level 1に準拠しています。これは、クレジットカードから支払いを収集したり、クレジットカードとの統合をおこなうビジネスとして、最も高いセキュリティを達成していることになります。 Read more
GDPR Compliance
Jotformは、EU市民から、またはEU市民に関する個人を特定できる情報を収集する企業を規制する、欧州連合の一般データ保護規則(GDPR)に準拠しています。 Read more
CCPA Compliance
Jotformはカリフォルニア州消費者プライバシー法(CCPA)を遵守しています。CCPAは特に、カリフォルニア州居住者の個人情報を本人の同意なしに販売することを禁止しています。 Read more
HIPAA-Friendly Forms
JotformのHIPAA機能により、医療従事者はHIPAAに準拠したフォームで患者情報を収集する事ができます。ビジネス・アソシエート契約(BAA)もご要望に応じてご利用いただく事ができます。 続きを読む
StateRAMP Logo
Jotform公共機関向けは、NIST Special Publication 800-53 Revision 5に記載されているように、FedRAMPとStateRAMP の両方に共通するセキュリティ管理に従って構築され、管理されています。 続きを読む
SOC 2 Compliance
Jotformは、SOC2 Trust Service Principlesの5つの原則(セキュリティ、機密性、可用性、プライバシー、処理の完全性)の全てを守ることをお約束します。JotformエンタープライズはSOC 2に準拠したソリューションを提供しています。Jotformエンタープライズがお客様の組織のデータをどのように保護するか、詳しくはこちらをご覧ください。 続きを読む
FERPA Compliance
当社は、教育機関と連携し、当社のフォーム、アプリ、その他の製品における学生の個人情報の取り扱いや処理について透明性を提供し、FERPAの遵守を徹底しています。 続きを読む
General Legal Compliance
フォームで使用できるCaptcha以外にも、スパムからフォームを守るためのオプションがいくつか用意されています。例えば、1つのIPやコンピュータにつき、1回の送信しか許可しないようにしたり、特定の時間、または特定の送信回数の後で、フォームを無効にすることができます。
Spam Protection
フォームで使用できるCaptcha以外にも、スパムからフォームを守るためのオプションがいくつか用意されています。例えば、1つのIPやコンピュータにつき、1回の送信しか許可しないようにしたり、特定の時間、または特定の送信回数の後で、フォームを無効にすることができます。
Form Privacy
フォームのプライバシー設定では、選択したプライバシーのレベルに応じて、データへのアクセスを制限することができます。また、フォームの複製を無効にしたり、受信内容にアクセスするためにログインを要求することもできます。(デフォルトでは、固有のURLで保護されています)
HECVAT
Jotformは、Higher Education Community Vendor Assessment Toolkit(通称HECVAT)を使用して、弊社のエンタープライズ製品を評価し、高等教育機関のパートナーのセキュリティと安全性を確保しました。もっと読む 続きを読む
G-Cloud 14
Jotform Enterprise is now an approved supplier on the Crown Commercial Service’s G-Cloud 14 framework. Our platform ensures top-tier security for public sector organizations with enhanced data protection, local data residency, and stringent security measures to meet the highest UK government standards. With G-Cloud 14 approval, Jotform Enterprise ensures secure data collection and management for government agencies and public sector bodies. 続きを読む
How can you make your forms even safer?

フォームをより安全にするにはどうしたらいいですか?

Jotformでは、フォームデータのセキュリティオプションがいくつか用意されています。このため、フォームに必要なプライバシーとセキュリティのレベルを簡単に選択することができます。

Encrypt your forms
フォームを簡単に暗号化し、送信データを安全に保管することができます。暗号化したいフォームを選択し、アカウントを確認し、独自の暗号化パスワードを作成するだけです。これで、あなた以外の誰もデータにアクセスできなくなります。ランダムに生成されるデジタルキーを使用する代わりに、適切なパスワードを作成して保存できるため、暗号化されたデータにアクセスできなくなることはありません。フォームを暗号化する方法については、こちらをご覧ください。ファイルアップロードはこの機能の対象外です。
Set the privacy of your forms and data
フォームの受信内容へのアクセスは保護されており、デフォルトでは、そのフォームを所有するアカウントへのログインが必要です。しかし、組織内の人にアクセスを許可したり、データを完全に公開したりすることができます。あなたは、あなたのフォームと受信内容に関わる完全な所有権を保有しているため、統合ウィジェットやアプリを使用する際には、あなたの許可を得てのみデータへのアクセスが許可されます。Jotformでは、あなたのデータを扱う際には、細心の注意の元、管理をおこなっています。
Two-factor Authentication (2FA)
二要素認証(2FA)機能で、Jotformアカウントのセキュリティを強化しましょう。2FAを有効にすると、パスワードの他に2つ目の認証が必要となり、アカウントの保護がさらに強化されます。この高度なセキュリティ対策でデータを保護し、不正アクセスを防止しましょう。
Keep your European user data in EU servers

アカウント設定のデータタブから、欧州連合(EU)でのデータの保存を選択することができます。確認するをクリックすると、あなたのフォームデータはGoogleが管理する、ドイツ・フランクフルトの欧州サーバーに移動されます。転送が完了すると、ログイン時に自動的に eu.jotform.com にリダイレクトされます。データの安全性について心配する必要はありません。JotformはEUの一般データ保護規則に準拠しています。

Jotform Enterpriseでは、ジオローカリゼーションを使用して、世界のほぼすべての地域のサーバーでフォームデータをホストすることができます。オーストラリアをはじめとする多くの国では、この機能を義務付ける法律が制定されているため、グローバルビジネスには欠かせないツールとなっています。

Back up your data

アカウント設定のデータタブから、ワンクリックでをバックアップできます。バックアップを実行すると、フォームのHTML コード、フォーム投稿のCSVエクスポート、アップロードされたファイルを含む、ZIPファイルが作成されます。

これらのバックアップはダウンロードまたはデータベースに保存することができます。フォームのみをバックアップしたい場合は、発行オプションからzip形式でソースコードをダウンロードし、ローカルストレージに保存することも可能です。

Keep your forms safe from spammers

Jotformは2種類のCAPTCHAを提供しており、ボットによるフォーム入力を難しくし、かつフォーム回答者には簡単に入力できるようにしています。基本的な、CAPTCHAを使用するか、Googleが提供するreCAPTCHAを使用するか、どちらかをお選びください。

We’ve also implemented multiple coding checks within the submission process to analyze if the submission is coming from a person. If spam does get through, our 24/7 support team will help identify the cause and credit your account, if necessary.For additional spam protection, you can also limit submissions to your form so that only one submission can be made from one IP address, or one computer. If you prefer, you can also enable both for greater protection. Furthermore, you may also choose for your forms to be disabled at a specific time or after a specific submission limit has been reached.

Service level agreements
Jotformの稼働率は99.9%と完璧に近いため、いつでもデータにアクセスすることができ、Jotformの稼働状況をリアルタイムで確認できます。Jotformエンタープライズサービスは、お客様のサービスレベル契約(SLA)に記載されているエラー応答率、解決時間、稼働率を満たすことをお約束します。これらの目標が達成されなかった場合は、署名されたエンタープライズ契約で、合意された通り、一部払い戻しを受けます。
What other measures do we take to protect your data?

ユーザーのデータを保護するために、他にどのような対策をとっているのですか?

フォームセキュリティ、高可用性、高パフォーマンスに関しては、Jotformは常に適切な対策をおこなっています。Jotformはサービスの安全性を保つために最適なソリューションを提供しています。

Data centers

Jotformのサーバーは、Google CloudとAmazon Web Services (AWS)のクラウドベースのアーキテクチャで同時に存在しています。Google Cloudのデータセンターは、アイオワ(米国)とフランクフルト(ドイツ、EU)でホストされています。AWSのデータセンターは、バージニア(米国)とフランクフルト(ドイツ、EU)に位置しています。

Google Cloudサーバーは、冗長化されたアプリケーションサーバーとデータサーバーをActive/Active構成でホストしており、すべてのデータはバックアップ目的で1時間ごとにAWSサーバーにもレプリケートされています。これにより、単一プラットフォーム内の複数サーバーで得られる冗長性に加え、プラットフォームレベルの冗長性を実現しています。プライマリープラットフォーム(Google Cloud)からセカンダリープラットフォーム(AWS)に切り替える必要がある場合、このアーキテクチャによってプラットフォームレベルの障害から回復することができます。すべてのデータは地域別で保持されるため、EUのデータは常にEUゾーンに存在します。

これらの主要なクラウドプラットフォームで、Jotformをホスティングすることで、ハードウェアのライフサイクル管理、物理的セキュリティ、ネットワークインフラなどの分野でセキュリティのベストプラクティスを実施することで、さらに多くのメリットを得ることができます。弊社のサーバーは定期的にアップデートされ、パッチが適用されています。

Local data residency center locations
Jotformエンタープライズのユーザーであれば、ローカルのクラウドデータレジデンシーセンターの物理的な場所を選択し、世界中のどの場所でもデータをホストすることができます。これは、オーストラリア、カナダ、英国、EUなどのデータプライバシー規則やロケーション要件に準拠するために特に重要です。データサーバーを自宅の近くに置くことを選択しても、利用者の近くに置くことを選択しても、セキュリティ、信頼性、およびサイトのレイテンシが向上します。データサーバーにアクセスできるのは、エンタープライズアカウントのユーザーと管理者のみです。
Backup policy/business continuity
プライマリー・サービス・プロバイダーのGoogle Cloudがホストする複数のサーバー間で、お客様のデータを継続的に複製します(リアルタイムでバックアップ)さらに、全てのデータは1時間ごとのスナップショットによってAWS(当社の第二のプラットフォーム)に複製されます。各スナップショットはクラウド環境に30日間保存されます。全てのデータは地域内に留まるため、EUのデータは常にEUゾーンに存在します。
Single Sign-On (SSO)

With an Enterprise account, you can enable single sign-on (SSO) to boost security while making it easier for your employees to work together to run your business. Choose from multiple login methods, track user actions, and maintain control of your account’s security.

Jotform Enterprise supports SAML user authentication and popular SSO solutions such as Active Directory, Okta, Google, and OneLogin. Multi SSO allows you to authenticate users through multiple identity providers simultaneously, such as Google and Microsoft. This enhances flexibility and security for dispersed teams and organizations with variousng authentication needs.

Use SSO to protect internal forms with Jotform Enterprise. With SSO, users must be authenticated before viewing or filling out forms, ensuring sensitive employee data is securely collected.

Encouraging best coding practices

セキュリティを高める機能を実装するだけでなく、お客様のアカウントが安全であり続けるよう、バックエンドでもベストプラクティスを維持しています。セッションを監視してアカウントへのアクセスを適切に制限し、すべてのアカウントが隔離されるようにJotformを構築しています。

当社では、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を検出するためのセーフガードを配置しています。最も重要なことは、(すべてのユーザーのフィードバックの評価をおこなうことに加えて)潜在的なセキュリティ上の懸念事項について常にコードのチェックをおこない、問題の確認ができた場合にすぐに対処できるよう取り組んでおります。当社のプライバシーステートメントは、お客様のデータが悪用されないようにするための当社のコミットメントのレベルを公開しています。

開発されたコードは、ステージングシステム上でのテスト実行など、一定の手順を経て初めてプロダクション環境にデプロイされます。当社の継続的なデプロイメントシステムと開発プロセスにより、必要に応じて迅速にシステムを更新し、パッチを適用することができます。

Security audits

PCIスキャンは、一般に公開されているインターフェイスのあらゆる種類の脆弱性を検出するために定期的に行われます。また、四半期ごとに内部および外部のASV(Approved Scanning Vendor)によるPCI検査を実施しています。これらのPCIスキャンに加えて、Jotformでは定期的にペンテストを実施しています。

また、脆弱性を報告してくれた外部の方に報酬を支払うバグバウンティプログラムを実施しており、これにより脆弱性に対してすばやく対応することができます。バグバウンティプログラムに報告された問題は、可能な限り最短時間で最優先に修正がおこなわれます。

Network security

CloudFlareが提供する外部ルーティングレイヤーにより、潜在的なDDoS(サービスの停止)攻撃を処理し、管理するための基本的なフィルタリングを提供しています。セキュリティスキャンは、監査/VA/PTの章で説明されているように定期的に実行されます。当社のサーバーは、管理に必要な最低限のアクセスしか許可しないように設定されています。

不要なユーザー、プロトコル、ポートはすべて無効化され、監視されています。当社の従業員は、秘密鍵を使用した2048ビットの暗号化された接続を使用して、仮想プライベートネットワークを介してのみサーバーにアクセスすることができます。サードパーティのセキュリティサービスに加えて、経験豊富な開発運用チームがシステム全体の不審な動作を継続的に監視しています。

Account security
すべてのアカウント情報は、転送時に自動的に暗号化されます。フォームや送信内容へのアクセス権はあなただけにあります。Jotformエンタープライズのアカウントには複数のユーザーを追加できます。
Customizable security options
どのような業種であっても、Jotformはお客様のニーズに合った完璧なセキュリティ管理のお手伝いをいたします。エンタープライズユーザーであれば、専用サーバーに特定のセキュリティ設定の有効化、無効化、追加を簡単にリクエストすることができます!詳しくはエンタープライズチームにお問い合わせください。

FAQ

  • フォームにセキュリティ機能はありますか?

    はい。フォームは保護された256ビットのSSL(Secure Sockets Layer)接続で保存されます。フォームを暗号化すると、投稿はカスタムパスワードで保護されます。さらに、"フォームをさらに安全にするには?" のセクションで説明したように、プライバシーとスパムの保護をさらに有効にすることができます。

  • 暗号化されたフォームデータをすべて保存していますか?暗号化されたフォームに対して通知メールを送信していますか?

    フォームの暗号化をご希望の場合、投稿データは暗号化されて転送、保存されます。これらのフォームの通知メールは暗号化されていないため、投稿データは含まれません。

  • 御社のシステムを使用した場合、私のデータは転送中も保管中も保護されますか?

    はい。フォームを暗号化すると、投稿データは弊社のサーバーに送信される間、256ビットSSL暗号化通信により暗号化されます。弊社サーバーに到着後、SSLは復号化され、お客様のデータは暗号化されて弊社サーバーに保存されます。暗号化パスワードをお持ちの方のみが、お客様のフォームデータにアクセスすることができます。

  • 検索エンジンは私のフォームデータをインデックス化できますか?

    Jotformでは、検索エンジンがフォーム送信をインデックス化することはありません。また、ユーザーは自分のアカウント内にてフォーム送信へのアクセスを制限し、一般ユーザーがフォームの送信をできないようにすることもできます。

  • アップロードしたファイルはどのように保存されますか?

    フォームにアップロードされたファイルには、非常に複雑なURLが割り振られます。このURLを持つ人だけが、これらのファイルをダウンロードすることができます。しかし、ファイルアップロードのセキュリティを強化したい場合は、アクセスを制限することができます。例えば、ファイルをダウンロードするためには、同じブラウザで Jotformアカウントにログインしている必要があります。この機能については、こちらをご覧ください。

  • あなたの会社では、クレジットカードの取引や情報を扱っていますか?また、PCI DSSには準拠していますか?

    JotformはPCI DSSに準拠しており、Payment Credit Industry Data Security Standard (PCI DSS) Service Provider Level Iを取得しています。これは、クレジットカードから支払いを収集し、クレジットカードと統合するビジネスとして、最高のセキュリティ達成度となっています。つまり、ほとんどの決済はプロセッサー独自のページで処理されますが、PayPal Pro、Authorize.Net、Worldpay US(ワールドペイ)、PayJunctionについては、クレジットカード情報は当社のPCIサーバー上で処理され、一切保存されません。

  • Jotformのセキュリティ(HTTPS/暗号化)規格は何ですか?

    デフォルトでは、JotformはHTTPS向けのSHA256/RSA暗号化に加えて、TLSv1.2接続規格を使用しています。フォーム送信の暗号化には、2048ビットのRSAキーを使用しています。

  • クロスサイトスクリプティング(XSS)やSQLインジェクションを防ぐには?

    Jotformは、このような脆弱性を防ぐためにベストプラクティスを適用し、潜在的なセキュリティ上の問題がないか、常にコードを精査しています。さらに、ユーザーからのフィードバックやバグバウンティプログラムの報告を、可能な限り最短時間で確認しています。

  • 悪質な攻撃に対するセキュリティ対策として、何を使用していますか?

    スパム、フィッシング、DDOS攻撃対策にはCloudFlareを、侵入検知とサーバー監視にはOSSECを使用しています。

  • Jotformのデータベースに収集された情報にアクセスできるのは誰ですか?

    Jotformのサーバーは、ネットワークと認証レベルによってアクセスが制限されています。ネットワークレベルでは、限られた数のVPNエントリーポイントのみが許可され、それ以外の接続要求はファイアウォールによって完全にブロックされます。認証レベルでは、開発オペレーションチームとCTOおよびCEOのみが、これらのサーバーにアクセスするための権限を持っています。

  • 内部または外部の脆弱性評価や侵入テストを実施していますか?

    内部および外部のPCIスキャンに加え、Jotformでは定期的にペンテストが実施されています。また、外部からの脆弱性報告による報奨金制度もあります。詳しくはこちらから「セキュリティ監査」をご覧ください。

  • パスワードの複雑性に関するポリシーはありますか?

    パスワードの複雑さに関するポリシーはありません。パスワードはsaltとSHA-256で暗号化されています。

  • あなたの会社には、侵入検知ポリシーがありますか?

    Jotformでは、アプリケーションサーバーにホスト侵入検知システム(HIDS)を、開発オフィスにネットワーク侵入検知システム(NIDS)を使用しています。さらに、PCI要件に従ってPCI侵入検知ポリシーが適用されます。

  • Jotformでは従業員に対してどのようなデューデリジェンスが行われていますか?

    Jotformのすべての社員は、採用時に厳格な審査を通過しなければなりません。また、全ての社員は秘密保持契約書(NDA)に署名し、これに従うものとします。

  • データセンターではどのようなデータセキュリティ対策を行っていますか?データセキュリティ、データの機密性、データの安全な送信に関連する証明書はありますか?データセンターはSOC 2に準拠していますか?

    当社のサーバーをホストするすべてのデータセンターは、最高のセキュリティ基準を満たしています。当社の主要プラットフォームはGoogle Cloudで、SSAE16/ISAE 3402 Type II、SOC 1、SOC 2、SOC 3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS v3.2に準拠しています。また、HIPAAへの準拠も可能です。Google Cloudのコンプライアンスに関する詳細は、https://cloud.google.com/security/complianceをご覧ください。

  • データセンターはどこにありますか?社内にサーバーはありますか?

    Jotform uses Google Cloud and AWS for all our data center hosting needs and does not maintain any in-house servers. For a current list of cloud hosting locations, please see the section.

  • システムにセキュリティ上の欠陥がないかテストしていますか?

    はい、当社のシステムは、外部および内部の脅威に対して定期的にテストされています。