Jotformの安全なオンラインフォーム
Jotformへの高い評価は、すべてのユーザーに最高のフォームセキュリティを提供する取り組みに支えられています。
Jotformはなぜセキュアなのか?
256 Bit SSL
プランに関わらず、すべてのフォームはSHA256証明書を使用した256ビットSSL(Secure Socket Layer)接続で保護されています。これは業界標準の保護となります。 Read More
暗号化されたフォーム
フォームを簡単に暗号化し、投稿データを安全な形式で転送・保存することで、誰にも読み取られないようにします。投稿データは、ユーザーのコンピュータで高品位のRSA 2048で暗号化され、当社のサーバーに安全に転送、保存されます。 Read More
PCI認証
Jotformは、PCI DSS Service Provider Level 1に準拠しています。これは、クレジットカードから支払いを収集したり、クレジットカードとの統合をおこなうビジネスとして、最も高いセキュリティを達成していることになります。 Read More
GDPRコンプライアンス
Jotformは、EU市民から、またはEU市民に関する個人を特定できる情報を収集する企業を規制する、欧州連合の一般データ保護規則(GDPR)に準拠しています。 Read More
CCPAコンプライアンス
Jotformは、カリフォルニア州在住者の個人情報を本人の同意なしに販売することを禁止する、カリフォルニア州消費者プライバシー法(CCPA)などを遵守しています。 Read More
HIPAA準拠
JotformのHIPAA機能により、医療従事者はHIPAAに準拠したフォームで患者情報を収集する事ができます。ビジネス・アソシエート契約(BAA)もご要望に応じてご利用いただく事ができます。 Read More
JotformがどのようにHIPAAコンプライアンスを実現したかをご紹介します。
SOC 2 Compliance
Jotformは、SOC2 Trust Service Principlesの5つの原則(セキュリティ、機密性、可用性、プライバシー、処理の完全性)の全てを守ることをお約束します。JotformエンタープライズはSOC 2に準拠したソリューションを提供しています。Jotformエンタープライズがお客様の組織のデータをどのように保護するか、詳しくはこちらをご覧ください。 Read More
FERPAコンプライアンス
当社は、教育機関と連携し、当社のフォーム、アプリ、その他の製品における学生の個人情報の取り扱いや処理について透明性を提供し、FERPAの遵守を徹底しています。 Read More
一般的な法的コンプライアンス
Jotformでは、個人のプライバシーやデータを保護する法律を含め、当社のビジネスやプラットフォームに適用されるすべての法律の遵守を真剣に考え、遵守を徹底するために多くの対策、実践、ポリシーを実施しています。詳しくは、このウェブページのコンプライアンスとプライバシーのリンクをご覧ください。
スパム対策
フォームで使用できるCaptcha以外にも、スパムからフォームを守るためのオプションがいくつか用意されています。例えば、1つのIPやコンピュータにつき、1回の送信しか許可しないようにしたり、特定の時間、または特定の送信回数の後で、フォームを無効にすることができます。 Read More
フォームプライバシー
フォームのプライバシー設定では、選択したプライバシーのレベルに応じて、データへのアクセスを制限することができます。また、フォームの複製を無効にしたり、受信内容にアクセスするためにログインを要求することもできます。(デフォルトでは、固有のURLで保護されています)
HECVAT
Jotformは、Higher Education Community Vendor Assessment Toolkit(通称HECVAT)を使用して、弊社のエンタープライズ製品を評価し、高等教育機関のパートナーのセキュリティと安全性を確保しました。もっと読む
フォームをより安全にするにはどうしたらいいですか?
Jotformにはいくつかのフォームセキュリティオプションが用意されています。これにより、フォームに必要なプライバシーとセキュリティのレベルをかんたんに選択することができます。
フォームの暗号化
フォームを簡単に暗号化して、投稿データを安全に保護することができます。暗号化したいフォームを選択し、アカウントを確認し、独自の暗号化パスワードを作成するだけです。これで、あなた以外の誰もデータにアクセスできなくなります。ランダムに生成されるデジタルキーを使用する代わりに、適切と思われるパスワードを作成して保存できるため、暗号化されたデータにアクセスできなくなることはありません。
フォームを暗号化する方法については、こちらをご覧ください。
ファイルのアップロードはこの機能の対象外です。ファイルのアップロードを安全に保つ方法については、こちらをご覧ください。
フォームとデータのプライバシー設定
フォームの受信内容へのアクセスは保護されており、デフォルトでは、そのフォームを所有するアカウントへのログインが必要です。しかし、組織内の人にアクセスを許可したり、データを完全に公開したりすることができます。あなたは、あなたのフォームと受信内容に関わる完全な所有権を保有しているため、統合ウィジェットやアプリを使用する際には、あなたの許可を得てのみデータへのアクセスが許可されます。Jotformでは、あなたのデータを扱う際には、細心の注意の元、管理をおこなっています。
欧州のユーザーデータをEUのサーバーに保管
アカウント設定のデータタブから、欧州連合(EU)でのデータの保存を選択することができます。確認するをクリックすると、あなたのフォームデータはGoogleが管理する、ドイツ・フランクフルトの欧州サーバーに移動されます。転送が完了すると、ログイン時に自動的に eu.jotform.com にリダイレクトされます。データの安全性について心配する必要はありません。JotformはEUの一般データ保護規則に準拠しています。
Jotformエンタープライズでは、ジオローカリゼーションを利用して、世界中のほぼすべての地域のサーバーにフォームデータをホスティングすることができます。オーストラリアを含む多くの国では法律でこれらが義務付けられているため、グローバル企業にとっては非常に有益なツールとなります。
データをバックアップ
アカウント設定のデータタブから、ワンクリックでをバックアップできます。バックアップを実行すると、フォームのHTML コード、フォーム投稿のCSVエクスポート、アップロードされたファイルを含む、ZIPファイルが作成されます。
これらのバックアップはダウンロードまたはデータベースに保存することができます。フォームのみをバックアップしたい場合は、発行オプションからzip形式でソースコードをダウンロードし、ローカルストレージに保存することも可能です。
スパム業者からフォームを守る
Jotformでは、2種類のCAPTCHAを用意しており、ボットがフォームを入力するのを困難にする一方で、フォームの回答者がかんたんに入力できるようにしています。基本的なCAPTCHAか、Googleが提供するreCAPTCHAを使用することができます。
また、フォーム送信プロセス内で複数のコーディングチェックを実施し、フォーム送信がロボットからのものでないかどうかを分析しています。もしスパムが送信された場合は、24時間365日体制のサポートチームが原因を特定し、必要に応じてお客様のアカウントにクレジットを付与します。
スパム対策として、1つのIPアドレス、または1つのコンピュータからの送信を制限することもできます。ご希望により、両方を有効にして、より高い安全性を維持することもできます。さらに、特定の時間にフォームを無効にしたり、特定の送信数制限に達した際にフォームを無効にしたりすることもできます。
サービスレベル合意書
Jotformは99.9%というとても高い稼働率を誇っており、常にデータにアクセスすることが可能です。Jotformの稼働状況をリアルタイムで確認することができます。またJotform エンタープライズサービスは、あなたのサービスレベル契約(SLA)に記載されているエラー対応率、解決時間、稼働率を満たすことをお約束します。これらの目標が達成されない場合は、署名されたエンタープライズ契約で合意された通り、一部返金されます。
ユーザーのデータを保護するために、他にどのような対策をとっているのですか?
フォームセキュリティ、高可用性、高パフォーマンスに関しては、Jotformは常に適切な対策をおこなっています。Jotformはサービスの安全性を保つために最適なソリューションを提供しています。
データセンター
Jotformのサーバーは、Google CloudとAmazon Web Services (AWS)のクラウドベースのアーキテクチャで同時に存在しています。Google Cloudのデータセンターは、アイオワ(米国)とフランクフルト(ドイツ、EU)でホストされています。AWSのデータセンターは、バージニア(米国)とフランクフルト(ドイツ、EU)に位置しています。
Google Cloudサーバーは、冗長化されたアプリケーションサーバーとデータサーバーをActive/Active構成でホストしており、すべてのデータはバックアップ目的で1時間ごとにAWSサーバーにもレプリケートされています。これにより、単一プラットフォーム内の複数サーバーで得られる冗長性に加え、プラットフォームレベルの冗長性を実現しています。プライマリープラットフォーム(Google Cloud)からセカンダリープラットフォーム(AWS)に切り替える必要がある場合、このアーキテクチャによってプラットフォームレベルの障害から回復することができます。すべてのデータは地域別で保持されるため、EUのデータは常にEUゾーンに存在します。
Hosting Jotform on these major cloud platforms also provides us with some extra benefits through implementation of security best practices in areas like hardware life cycle management, physical security, and network infrastructure. Our servers are regularly updated and patched.
専用サーバー拠点
Jotformエンタープライズのユーザーであれば、専用のクラウドサーバーの所在地を選択して、世界中のさまざまな場所でデータをホスティングすることができます。これは、オーストラリア、カナダ、イギリス、EUなどにおいてデータプライバシー規則や位置情報要件を満たすためにたいへん重要です。データサーバーをご自身の近くに配置するか、顧客先のロケーションを選択するかにかかわらず、セキュリティ、信頼性、およびサイトのレイテンシの改善をおこなうことができます。エンタープライズアカウント内のユーザーと管理者のみがデータサーバーにアクセスすることができます。
バックアップ方針/事業継続
プライマリー・サービス・プロバイダーのGoogle Cloudがホストする複数のサーバー間で、お客様のデータを継続的に複製します(リアルタイムでバックアップ)さらに、全てのデータは1時間ごとのスナップショットによってAWS(当社の第二のプラットフォーム)に複製されます。各スナップショットはクラウド環境に30日間保存されます。全てのデータは地域内に留まるため、EUのデータは常にEUゾーンに存在します。
シングルサインオン(SSO)
Jotformエンタープライズアカウントでは、シングルサインオン(SSO)を使用することができます。第三者によるログインは、セキュリティを高めると同時に、従業員が協力してビジネスを運営することを容易にします。複数のログイン方法から選択でき、ユーザーの行動を追跡し、アカウントのセキュリティを管理するオプションも用意されています。
Jotform Enterpriseは、SAMLユーザー認証と、Active Directory、Okta、Google、OneLoginなどの一般的なSSOソリューションをサポートしています。
Jotformエンタープライズで内部フォームを保護するため、にSSO(シングルサインオン)を使用することもできます。ユーザーは、フォームを表示する前に認証される必要があります。これにより、従業員の機密データを収集する際に、フォームを送信する人が本人であることを確認することができます。
ベストコーディングプラクティスの推奨
In addition to implementing features that increase security, we maintain best practices on the back end to ensure that your account remains secure. We monitor sessions to restrict access to your account appropriately, and have constructed Jotform so that every account is isolated.
当社では、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃を検出するためのセーフガードを配置しています。最も重要なことは、(すべてのユーザーのフィードバックの評価をおこなうことに加えて)潜在的なセキュリティ上の懸念事項について常にコードのチェックをおこない、問題の確認ができた場合にすぐに対処できるよう取り組んでおります。当社のプライバシーステートメントは、お客様のデータが悪用されないようにするための当社のコミットメントのレベルを公開しています。
開発されたコードは、ステージングシステム上でのテスト実行など、一定の手順を経て初めてプロダクション環境にデプロイされます。当社の継続的なデプロイメントシステムと開発プロセスにより、必要に応じて迅速にシステムを更新し、パッチを適用することができます。
セキュリティ監査
PCIスキャンは、一般に公開されているインターフェイスのあらゆる種類の脆弱性を検出するために定期的に行われます。また、四半期ごとに内部および外部のASV(Approved Scanning Vendor)によるPCI検査を実施しています。これらのPCIスキャンに加えて、Jotformでは定期的にペンテストを実施しています。
また、脆弱性を報告してくれた外部の方に報酬を支払うバグバウンティプログラムを実施しており、これにより脆弱性に対してすばやく対応することができます。バグバウンティプログラムに報告された問題は、可能な限り最短時間で最優先に修正がおこなわれます。
ネットワークセキュリティ
CloudFlareが提供する外部ルーティングレイヤーにより、潜在的なDDoS(サービスの停止)攻撃を処理し、管理するための基本的なフィルタリングを提供しています。セキュリティスキャンは、監査/VA/PTの章で説明されているように定期的に実行されます。当社のサーバーは、管理に必要な最低限のアクセスしか許可しないように設定されています。
不要なユーザー、プロトコル、ポートはすべて無効化され、監視されています。当社の従業員は、秘密鍵を使用した2048ビットの暗号化された接続を使用して、仮想プライベートネットワークを介してのみサーバーにアクセスすることができます。サードパーティのセキュリティサービスに加えて、経験豊富な開発運用チームがシステム全体の不審な動作を継続的に監視しています。
アカウントの安全性
すべてのアカウント情報は、転送時に自動的に暗号化されます。あなたのフォームや受信内容にアクセスできるのはあなたのみに限られます、Jotform Enterpriseのアカウントには、複数のユーザーを追加することができます。
カスタマイズ可能なセキュリティオプション
運営されているビジネスの業界を問わず、Jotformはお客様のニーズに合った完璧なセキュリティ管理を実現するお手伝いをしたいと考えています。エンタープライズユーザーのお客様は、専用サーバーの特定のセキュリティ設定の有効化、無効化、または追加をかんたんにリクエストすることができます。詳細については、エンタープライズチームまでお問い合わせください。
質問と回答
フォームのセキュリティに関する質問
検索条件"{searchValue}"に該当する結果はありませんでした。
-
フォームにセキュリティ機能はありますか?
はい。フォームは保護された256ビットのSSL(Secure Sockets Layer)接続で保存されます。フォームを暗号化すると、投稿はカスタムパスワードで保護されます。さらに、"フォームをさらに安全にするには?" のセクションで説明したように、プライバシーとスパムの保護をさらに有効にすることができます。
-
Do you store all encrypted form data? Do you send notification emails for encrypted forms?
フォームの暗号化をご希望の場合、投稿データは暗号化されて転送、保存されます。これらのフォームの通知メールは暗号化されていないため、投稿データは含まれません。
-
御社のシステムを使用した場合、私のデータは転送中も保管中も保護されますか?
はい。フォームを暗号化すると、投稿データは弊社のサーバーに送信される間、256ビットSSL暗号化通信により暗号化されます。弊社サーバーに到着後、SSLは復号化され、お客様のデータは暗号化されて弊社サーバーに保存されます。暗号化パスワードをお持ちの方のみが、お客様のフォームデータにアクセスすることができます。
-
検索エンジンは私のフォームデータをインデックス化できますか?
Jotformでは、検索エンジンがフォーム送信をインデックス化することはありません。また、ユーザーは自分のアカウント内にてフォーム送信へのアクセスを制限し、一般ユーザーがフォームの送信をできないようにすることもできます。
データセキュリティに関する質問
-
How do you store uploaded files to my forms?
フォームにアップロードされたファイルには、非常に複雑なURLが割り当てられます。このURLを持つユーザーのみがこれらのファイルをダウンロードする事ができます。ファイルアップロードのセキュリティを強化したい場合は、Jotformにログインしていることを条件にアクセスを制限することができます。この機能について もっと詳しく。
-
あなたの会社では、クレジットカードの取引や情報を扱っていますか?また、PCI DSSには準拠していますか?
JotformはPayment Credit Industry Data Security Standard (PCI DSS) Service Provider Level Iの認定を受けており、クレジットカードからの支払いを収集し、クレジットカードと統合するビジネスとして最高のセキュリティ基準を満たしています。ほとんどの決済は決済処理会社のウェブサイトで処理されますが、PayPal Payments Pro、Authorize.net、Worldpay US、PayJunctionの場合、クレジットカード情報は弊社のPCIサーバーで処理されます。
-
Jotformのセキュリティ(HTTPS/暗号化)規格は何ですか?
デフォルトでは、JotformはHTTPS向けのSHA256/RSA暗号化に加えて、TLSv1.2接続規格を使用しています。フォーム送信の暗号化には、2048ビットのRSAキーを使用しています。
-
クロスサイトスクリプティング(XSS)やSQLインジェクションを防ぐには?
Jotformは、このような脆弱性を防ぐためにベストプラクティスを適用し、潜在的なセキュリティ上の問題がないか、常にコードを精査しています。さらに、ユーザーからのフィードバックやバグバウンティプログラムの報告を、可能な限り最短時間で確認しています。
-
What do you use for security protection against malicious attacks?
スパム、フィッシング、DDOS攻撃対策にはCloudFlareを、侵入検知とサーバー監視にはOSSECを使用しています。
-
Jotformのデータベースに収集された情報にアクセスできるのは誰ですか?
Jotformのサーバーは、ネットワークと認証レベルによってアクセスが制限されています。ネットワークレベルでは、限られた数のVPNエントリーポイントのみが許可され、それ以外の接続要求はファイアウォールによって完全にブロックされます。認証レベルでは、開発オペレーションチームとCTOおよびCEOのみが、これらのサーバーにアクセスするための権限を持っています。
-
内部または外部の脆弱性評価や侵入テストを実施していますか?
内部および外部のPCIスキャンに加え、Jotformでは定期的にペンテストが実施されています。また、外部からの脆弱性報告による報奨金制度もあります。詳しくはこちらから「セキュリティ監査」をご覧ください。
-
パスワードの複雑性に関するポリシーはありますか?
パスワードの複雑さに関するポリシーはありません。パスワードはsaltとSHA-256で暗号化されています。
-
あなたの会社には、侵入検知ポリシーがありますか?
Jotform uses a Host Intrusion Detection System (HIDS) on the application servers and a Network Intrusion Detection System (NIDS) on the development offices. Additionally, PCI intrusion detection policies are applied, as defined by PCI requirements.
-
Jotformでは従業員に対してどのようなデューデリジェンスが行われていますか?
Jotformのすべての社員は、採用時に厳格な審査を通過しなければなりません。また、すべての社員は秘密保持契約書(NDA)に署名し、これに従うものとします。
データセンターに関する質問
-
データセンターではどのようなデータセキュリティ対策を行っていますか?データセキュリティ、データの機密性、データの安全な送信に関連する証明書はありますか?データセンターはSOC 2に準拠していますか?
Jotformがサーバーをホスティングするすべてのデータセンターは、最高レベルのセキュリティ基準に準拠しています。Google Cloudは、SSAE16 / ISAE 3402 Type II、SOC1、SOC2、SOC3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS v3.2、およびHIPAAに準拠しています。Google Cloudのコンプライアンスに関する詳細はこちらからご覧いただけます。https://cloud.google.com/security/compliance
JotformのセカンダリープラットフォームであるAmazon Web Services(AWS)は、SOC1、SOC2、SOC3、ISO 27001、ISO 27017(クラウドセキュリティ)、ISO 27018(クラウドプライバシー)、PCI DSS Level 1、HIPAAに準拠しています。AWSのコンプライアンスに関する詳細は、 https://aws.amazon.com/compliance/ からご覧いただけます。Jotformのデータセンターのセキュリティについて、さらに詳しい情報が必要な場合は、こちらのリクエストフォームにご記入ください。
-
データセンターはどこにありますか?社内サーバーはありますか?
Jotformでは、データセンターのホスティングに関して、Google CloudまたはAWSを使用しており、社内に自社のサーバーを保持していません。現在のクラウドホスティング拠点の一覧については、データセンターのセクションをご覧ください。
-
システムにセキュリティ上の欠陥がないかテストしていますか?
はい、当社のシステムは、外部および内部の脅威に対して定期的にテストされています。
