Jotform Secure Online Forms
Jotformへの高い評価は、すべてのユーザーに最高のフォームセキュリティを提供する取り組みに支えられています。
Jotformはなぜセキュアなのか?
256 Bit SSL
プランに関わらず、すべてのフォームはSHA256証明書を使用した256ビットSSL(Secure Socket Layer)接続で保護されています。これは業界標準の保護となります。 Read More
暗号化されたフォーム
フォームをかんたんに暗号化して、送信データが安全なフォーマットで転送・保存されるため、他の誰かに読まれることはありません。送信データはユーザーのコンピュータで高品位のRSA 2048で暗号化された後、Jotformのサーバーに安全に転送・保存されます。 Read More
PCI認証
Jotformは、PCI DSS Service Provider Level 1に準拠しています。これは、クレジットカードから支払いを収集したり、クレジットカードとの統合をおこなうビジネスとして、最も高いセキュリティを達成していることになります。 Read More
GDPRコンプライアンス
Jotformは、EU市民から得た、またはEU市民に関わる個人を特定できる情報を収集する企業を規制する欧州連合の一般データ保護規則(GDPR)に準拠しています。 Read More
CCPAコンプライアンス
Jotformは、カリフォルニア州在住者の個人情報を本人の同意なしに販売することを禁止する、カリフォルニア州消費者プライバシー法(CCPA)などを遵守しています。 Read More
HIPAA準拠
医療関係従事者は、JotformのHIPAAに準拠したフォームを使って患者情報を収集することができます。ご要望に応じて、事業提携契約(BAA)もご用意しております。 Read More
JotformがどのようにHIPAAコンプライアンスを実現したかをご紹介します。
SOC 2 Compliance
Jotformは、SOC 2 Trust Service Principlesの5つの原則(セキュリティ、機密性、可用性、プライバシー、処理の完全性)をすべて守ることを約束し、SOC 2に準拠したソリューションをエンタープライズのお客様に提供しています。Jotformエンタープライズがどのように組織のデータを保護しているのか、詳しくはこちらをご覧ください。 Read More
一般的な法的コンプライアンス
Jotformでは、個人のプライバシーやデータを保護する法律を含め、当社のビジネスやプラットフォームに適用されるすべての法律の遵守を真剣に考え、遵守を徹底するために多くの対策、実践、ポリシーを実施しています。詳しくは、このウェブページのコンプライアンスとプライバシーのリンクをご覧ください。
スパム対策
フォームで使用できるCaptcha以外にも、スパムからフォームを守るためのオプションがいくつか用意されています。例えば、1つのIPやコンピュータにつき、1回の送信しか許可しないようにしたり、特定の時間、または特定の送信回数の後で、フォームを無効にすることができます。 Read More
フォームプライバシー
フォームのプライバシー設定では、選択したプライバシーのレベルに応じて、データへのアクセスを制限することができます。また、フォームの複製を無効にしたり、受信内容にアクセスするためにログインを要求することもできます。(デフォルトでは、固有のURLで保護されています)
HECVAT
Jotformは、Higher Education Community Vendor Assessment Toolkit(通称HECVAT)を使用して、エンタープライズ製品の評価を行い、高等教育機関のパートナーのセキュリティと安全性を確保しました。もっと詳しく
フォームをより安全にするにはどうしたらいいですか?
Jotformにはいくつかのフォームセキュリティオプションが用意されています。これにより、フォームに必要なプライバシーとセキュリティのレベルをかんたんに選択することができます。
フォームの暗号化
フォームをかんたんに暗号化して、受信フォームデータを安全なフォーマットで転送・保存することができます。JotformはRSA-2048アルゴリズムを使用してフォームデータを暗号化します。暗号化キーはお客様自身が所有しているため、保管には注意が必要です。暗号化キーを紛失してしまうと、暗号化されたデータにアクセスできなくなってしまいます。
こちらから、フォームを暗号化する方法をご覧ください。
ファイルのアップロードは、この機能の対象外です。ファイルのアップロードを安全に保つ方法については、こちらをご覧ください。
フォームとデータのプライバシー設定
フォームの受信内容へのアクセスは保護されており、デフォルトでは、そのフォームを所有するアカウントへのログインが必要です。しかし、組織内の人にアクセスを許可したり、データを完全に公開したりすることができます。あなたは、あなたのフォームと受信内容に関わる完全な所有権を保有しているため、統合ウィジェットやアプリを使用する際には、あなたの許可を得てのみデータへのアクセスが許可されます。Jotformでは、あなたのデータを扱う際には、細心の注意の元、管理をおこなっています。
ヨーロッパのユーザーに関するデータをEUのサーバーに保管する
アカウント設定のデータタブから、欧州連合(EU)でのデータの保存を選択することができます。確認するをクリックすると、あなたのフォームデータはGoogleが管理する、ドイツ・フランクフルトの欧州サーバーに移動されます。転送が完了すると、ログイン時に自動的に eu.jotform.com にリダイレクトされます。データの安全性について心配する必要はありません。JotformはEUの一般データ保護規則に準拠しています。
Jotformエンタープライズでは、ジオローカリゼーションを利用して、世界中のほぼすべての地域のサーバーにフォームデータをホスティングすることができます。オーストラリアを含む多くの国では法律でこれらが義務付けられているため、グローバル企業にとっては非常に有益なツールとなります。
データのバックアップ
アカウント設定の「データ」タブからワンクリックでデータのバックアップが可能です。バックアップ操作を開始すると、フォームのHTMLコード、受信フォームのCSVエクスポート、アップロードされたファイルを含む1つのZIPファイルの準備が開始されます。
これらのバックアップは、ダウンロードまたはデータベースに保存することができます。フォームのバックアップのみをご希望の場合は、公開オプションからソースコードをZIP形式でダウンロードし、ローカルストレージに保存することも可能です。
スパムメールからフォームを守る
Jotformでは、2種類のCAPTCHAを用意しており、ボットがフォームを入力するのを困難にする一方で、フォームの回答者がかんたんに入力できるようにしています。基本的なCAPTCHAか、Googleが提供するreCAPTCHAを使用することができます。
また、フォーム送信プロセス内で複数のコーディングチェックを実施し、フォーム送信がロボットからのものでないかどうかを分析しています。もしスパムが送信された場合は、24時間365日体制のサポートチームが原因を特定し、必要に応じてお客様のアカウントにクレジットを付与します。
スパム対策として、1つのIPアドレス、または1つのコンピュータからの送信を制限することもできます。ご希望により、両方を有効にして、より高い安全性を維持することもできます。さらに、特定の時間にフォームを無効にしたり、特定の送信数制限に達した際にフォームを無効にしたりすることもできます。
サービスレベル合意(SLA)
Jotformは99.9%というとても高い稼働率を誇っており、常にデータにアクセスすることが可能です。Jotformの稼働状況をリアルタイムで確認することができます。またJotform Enterpriseサービスは、あなたのサービスレベル契約(SLA)に記載されているエラー対応率、解決時間、稼働率を満たすことをお約束します。これらの目標が達成されない場合は、署名されたエンタープライズ契約で合意された通り、一部返金されます。
ユーザーのデータを保護するために、他にどのような対策をとっているのですか?
フォームセキュリティ、高可用性、高パフォーマンスに関しては、Jotformは常に適切な対策をおこなっています。Jotformはサービスの安全性を保つために最適なソリューションを提供しています。
Data Centers
Jotformのサーバーは、Google CloudとAmazon Web Services (AWS)のクラウドベースのアーキテクチャで同時に存在しています。Google Cloudのデータセンターは、アイオワ(米国)とフランクフルト(ドイツ、EU)でホストされています。AWSのデータセンターは、バージニア(米国)とフランクフルト(ドイツ、EU)に位置しています。
Google Cloudサーバーは、冗長化されたアプリケーションサーバーとデータサーバーをActive/Active構成でホストしており、すべてのデータはバックアップ目的で1時間ごとにAWSサーバーにもレプリケートされています。これにより、単一プラットフォーム内の複数サーバーで得られる冗長性に加え、プラットフォームレベルの冗長性を実現しています。プライマリープラットフォーム(Google Cloud)からセカンダリープラットフォーム(AWS)に切り替える必要がある場合、このアーキテクチャによってプラットフォームレベルの障害から回復することができます。すべてのデータは地域別で保持されるため、EUのデータは常にEUゾーンに存在します。
Jotformをこれらの主要なクラウドプラットフォームでホスティングすることにより、ハードウェアのライフサイクル管理、物理的なセキュリティ、ネットワークインフラなどの分野でセキュリティのベストプラクティスを実施することができるという利点があります。Jotformのサーバーは定期的に更新され、パッチが適用されています。
専用サーバーのロケーション
Jotformエンタープライズのユーザーであれば、専用のクラウドサーバーの所在地を選択して、世界中のさまざまな場所でデータをホスティングすることができます。これは、オーストラリア、カナダ、イギリス、EUなどにおいてデータプライバシー規則や位置情報要件を満たすためにたいへん重要です。データサーバーをご自身の近くに配置するか、顧客先のロケーションを選択するかにかかわらず、セキュリティ、信頼性、およびサイトのレイテンシの改善をおこなうことができます。エンタープライズアカウント内のユーザーと管理者のみがデータサーバーにアクセスすることができます。
バックアップポリシー/ダウンタイム
Jotformでは、主要サービスプロバイダーであるGoogle Cloudがホストする複数のサーバー間で、あなたのデータを継続的にレプリケート(リアルタイムでバックアップ)しています。さらに、すべてのデータは、1時間ごとのスナップショットによってAWS(Jotformのセカンダリープラットフォーム)にも複製されます。各スナップショットは、クラウド環境にて30日間保存されます。すべてのデータは地域別で保持されるため、EUのデータは常にEUゾーンに存在します。
シングルサインオン(SSO)
Jotform Enterpriseアカウントでは、シングルサインオンを利用することができます。サードパーティによるログインは、セキュリティを強化すると同時に、従業員が、ビジネスにおいて必要な共同作業を行うことを容易にします。ログイン方法やユーザーの行動を追跡したり、アカウントのセキュリティを管理したりするオプションがあります。
Jotform Enterpriseは、SAMLユーザー認証と、Active Directory、Okta、Google、OneLoginなどの一般的なSSOソリューションをサポートしています。
Jotform Enterpriseでは、内部で使用するフォームをSSOで保護することもできます。ユーザーは、フォームを閲覧する前に認証しなければなりません。これにより、従業員の機密データを収集する際に、フォームを送信する人が本人であることを確認することができます。
Encouraging Best Coding Practices
セキュリティを向上させる機能の実装に加え、あなたのアカウントの安全性を確保するために、バックエンドでのベストプラクティスを実施しています。セッションを監視してあなたのアカウントへのアクセスを適切に制限し、すべてのアカウントが独立して管理されるようにJotformを構築しています。
当社では、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を検出するためのセーフガードを配置しています。最も重要なことは、(すべてのユーザーのフィードバックの評価をおこなうことに加えて)潜在的なセキュリティ上の懸念事項について常にコードのチェックをおこない、問題の確認ができた場合にすぐに対処できるよう取り組んでおります。当社のプライバシーステートメントは、お客様のデータが悪用されないようにするための当社のコミットメントのレベルを公開しています。
開発されたコードは、ステージングシステム上でのテスト実行など、一定の手順を経て初めてプロダクション環境にデプロイされます。当社の継続的なデプロイメントシステムと開発プロセスにより、必要に応じて迅速にシステムを更新し、パッチを適用することができます。
セキュリティ監査
PCIスキャンは、一般に公開されているインターフェイスのあらゆる種類の脆弱性を検出するために定期的に行われます。また、四半期ごとに内部および外部のASV(Approved Scanning Vendor)によるPCI検査を実施しています。これらのPCIスキャンに加えて、Jotformでは定期的にペンテストを実施しています。
また、脆弱性を報告してくれた外部の方に報酬を支払うバグバウンティプログラムを実施しており、これにより脆弱性に対してすばやく対応することができます。バグバウンティプログラムに報告された問題は、可能な限り最短時間で最優先に修正がおこなわれます。
ネットワークセキュリティ
CloudFlareが提供する外部ルーティングレイヤーにより、潜在的なDDoS(サービスの停止)攻撃を処理し、管理するための基本的なフィルタリングを提供しています。セキュリティスキャンは、監査/VA/PTの章で説明されているように定期的に実行されます。当社のサーバーは、管理に必要な最低限のアクセスしか許可しないように設定されています。
不要なユーザー、プロトコル、ポートはすべて無効化され、監視されています。当社の従業員は、秘密鍵を使用した2048ビットの暗号化された接続を使用して、仮想プライベートネットワークを介してのみサーバーにアクセスすることができます。サードパーティのセキュリティサービスに加えて、経験豊富な開発運用チームがシステム全体の不審な動作を継続的に監視しています。
アカウントセキュリティ
すべてのアカウント情報は、転送時に自動的に暗号化されます。あなたのフォームや受信内容にアクセスできるのはあなたのみに限られます、Jotform Enterpriseのアカウントには、複数のユーザーを追加することができます。
カスタマイズ可能なセキュリティオプション
運営されているビジネスの業界を問わず、Jotformはお客様のニーズに合った完璧なセキュリティ管理を実現するお手伝いをしたいと考えています。エンタープライズユーザーのお客様は、専用サーバーの特定のセキュリティ設定の有効化、無効化、または追加をかんたんにリクエストすることができます。詳細については、エンタープライズチームまでお問い合わせください。
質問と回答
フォームのセキュリティに関する質問
検索条件"{searchValue}"に該当する結果はありませんでした。
-
フォームにセキュリティ機能はありますか?
はい。フォームは、保護された256ビットのSSL(Secure Sockets Layer)接続を介して提供されます。フォームの暗号化を選択すると、ユーザーのインターネットブラウザのRSA-2048キーで暗号化された後、受信内容が転送・保存されます。さらに、上記の「フォームをより安全にする方法」で説明したように、プライバシーやスパム対策を有効にすることもできます。
-
Do you store all encrypted form data? Do you send notification emails for encrypted forms?
フォームを暗号化する場合には、フォーム送信内容は暗号化されて転送され、保存されます。ただし、ファイルのアップロードは暗号化されません。これらのフォームの通知メールにはフォーム送信データが含むことができないため、通知メールは暗号化されていません。
-
Jotformのシステムを使用した場合、データが送信される際や、保管時にデータは保護されますか?
はい。フォームを暗号化すると、受信データはユーザーのインターネットブラウザ上でRSA 2048により暗号化されます。この暗号化されたデータは、Jotformのサーバーに送信される際、256ビットのSSL暗号化でさらに暗号化されます。そして、Jotformのサーバーに到着すると、SSLが復号化され、RSA 2048キーでユーザーのコンピュータに暗号化されて保存されます。
-
検索エンジンは私のフォームデータをインデックス化できますか?
Jotformでは、検索エンジンがフォーム送信をインデックス化することはありません。また、ユーザーは自分のアカウント内にてフォーム送信へのアクセスを制限し、一般ユーザーがフォームの送信をできないようにすることもできます。
データセキュリティに関する質問
-
How do you store uploaded files to my forms?
フォームにアップロードされたファイルには、非常に複雑なURLが割り振られます。このURLを持つ人だけが、これらのファイルをダウンロードすることができます。しかし、ファイルアップロードのセキュリティを強化したい場合は、アクセスを制限することができます。例えば、ファイルをダウンロードするためには、同じブラウザで Jotformアカウントにログインしている必要があります。この機能については、こちらをご覧ください。
-
あなたの会社では、クレジットカードの取引や情報を扱っていますか?また、PCI DSSには準拠していますか?
JotformはPCI DSSに準拠しており、Payment Credit Industry Data Security Standard (PCI DSS) Service Provider Level Iを取得しています。これは、クレジットカードから支払いを収集し、クレジットカードと統合するビジネスとして、最高のセキュリティ達成度となっています。つまり、ほとんどの決済はプロセッサー独自のページで処理されますが、PayPal Pro、Authorize.Net、Worldpay US(ワールドペイ)、PayJunctionについては、クレジットカード情報は当社のPCIサーバー上で処理され、一切保存されません。
-
Jotformのセキュリティ(HTTPS/暗号化)規格は何ですか?
デフォルトでは、JotformはHTTPS向けのSHA256/RSA暗号化に加えて、TLSv1.2接続規格を使用しています。フォーム送信の暗号化には、2048ビットのRSAキーを使用しています。
-
クロスサイトスクリプティング(XSS)やSQLインジェクションを防ぐには?
Jotformは、このような脆弱性を防ぐためにベストプラクティスを適用し、潜在的なセキュリティ上の問題がないか、常にコードを精査しています。さらに、ユーザーからのフィードバックやバグバウンティプログラムの報告を、可能な限り最短時間で確認しています。
-
What do you use for security protection against malicious attacks?
スパム、フィッシング、DDOS攻撃対策にはCloudFlareを、侵入検知とサーバー監視にはOSSECを使用しています。
-
Jotformのデータベースに収集された情報にアクセスできるのは誰ですか?
Jotformのサーバーは、ネットワークと認証レベルによってアクセスが制限されています。ネットワークレベルでは、限られた数のVPNエントリーポイントのみが許可され、それ以外の接続要求はファイアウォールによって完全にブロックされます。認証レベルでは、開発オペレーションチームとCTOおよびCEOのみが、これらのサーバーにアクセスするための権限を持っています。
-
内部または外部の脆弱性評価や侵入テストを実施していますか?
内部および外部のPCIスキャンに加え、Jotformでは定期的にペンテストが実施されています。また、外部からの脆弱性報告による報奨金制度もあります。詳しくはこちらから「セキュリティ監査」をご覧ください。
-
パスワードの複雑性に関するポリシーはありますか?
パスワードの複雑さに関するポリシーはありません。パスワードはsaltとSHA-256で暗号化されています。
-
あなたの会社には、侵入検知ポリシーがありますか?
JotformはアプリケーションサーバーにHIDS(Host Intrusion Detection System)インスタンスを、開発拠点にNIDS(Network Intrusion Detection System)インスタンスを設置しています。また、PCIの要件に基づき、PCI侵入検知ポリシーが適用されています。
-
Jotformでは従業員に対してどのようなデューデリジェンスが行われていますか?
Jotformのすべての社員は、採用時に厳格な審査を通過しなければなりません。また、すべての社員は秘密保持契約書(NDA)に署名し、これに従うものとします。
データセンターに関する質問
-
データセンターではどのようなデータセキュリティ対策を行っていますか?データセキュリティ、データの機密性、データの安全な送信に関連する証明書はありますか?データセンターはSOC 2に準拠していますか?
Jotformがサーバーをホスティングするすべてのデータセンターは、最高レベルのセキュリティ基準に準拠しています。Google Cloudは、SSAE16 / ISAE 3402 Type II、SOC1、SOC2、SOC3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS v3.2、およびHIPAAに準拠しています。Google Cloudのコンプライアンスに関する詳細はこちらからご覧いただけます。https://cloud.google.com/security/compliance
JotformのセカンダリープラットフォームであるAmazon Web Services(AWS)は、SOC1、SOC2、SOC3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS Level 1、HIPAAに準拠しています。AWSのコンプライアンスに関する詳細は、 https://aws.amazon.com/compliance/ からご覧いただけます。Jotformのデータセンターのセキュリティについて、さらに詳しい情報が必要な場合は、こちらのリクエストフォームにご記入ください。
-
データセンターはどこにありますか?社内サーバーはありますか?
Jotformでは、データセンターのホスティングに関して、Google CloudまたはAWSを使用しており、社内に自社のサーバーを保持していません。現在のクラウドホスティング拠点の一覧については、データセンターのセクションをご覧ください。
-
システムにセキュリティ上の欠陥がないかテストしていますか?
はい、当社のシステムは、外部および内部の脅威に対して定期的にテストされています。
