Tealium Data Security Addendum

DSA補論

データセキュリティー補論 (DSA)

本データセキュリティー補論（「DSA補論」「本補論」または「DSA」という）は、本DSA補論を参照する本サービス注文書に組み込まれその一部となり、Tealiumと顧客（本サービス注文書に定義される）間のMSA（本サービス注文書に定義される）の一部を構成する。

1. 一般

(a) 本補論に定義されるがMSAまたは本補論文書内に別途定義されていない語句は、本DSA補論セクション2に定義される意味を持つものとする。

(b) Tealiumは、偶発的または違法な顧客データの破壊、損失、変更または無許可の開示もしくはアクセスに対し、少なくとも業界内の平均水準をもって、または本補論の特定のセキュリティー条件にある保護の強度を下回ることなく、合理的に適切な技術的および組織的保護措置を提供するようデザインされた、顧客データのアクセス、使用および所有における論理的・物理的セキュリティー措置を実行し維持する（「本プロセス」という）。Tealiumは、定期的にセキュリティー水準を再評価し、業界内の水準の変化、新しいテクノロジーまたは新しい脅威の出現に応じてそのセキュリティー水準を変更する。両当事者の合意がない限り、すべてのデータ処理は論理セグメント制御のあるマルチテナントの環境下で行われなければならない。

(c) TealiumのデータセンターはAmazon Web Services Inc. (“AWS”)に所有され運用される。AWSのセキュリティー水準およびプログラムの詳細は次のリンクにて参照できる。https://aws.amazon.com/security/.

2. 定義

(a) 「違反」とは、顧客に本サービスを提供する過程において、Tealiumの所有するまたはその管理下にある顧客データの無許可の開示、アクセス、使用、受領、または変更を結果として生じさせる（またはTealiumが合理的に生じさせたと判断する）事象をいう。

(b) 「コンピューティング設備」とは、デスクトップ、ラップトップまたはノートパソコン、モバイル機器（携帯電話またはタブレットなど）、またその他すべての電話機能またはコンピューティング機能のために使われる機器をいう。

(c) 「動的なアプリケーションセキュリティーテスト」または「DAST」とは、アプリケーションを生産環境下またはかかるアプリケーションが稼動する生産環境を想定したテスト環境下で稼動させる、セキュリティーの脆弱性を示す事象を検知するようデザインされたアプリケーションのセキュリティーテストをいう。

(d) 「暗号化」とは、データの機密性を保護するため、データをコード化された情報に変換するアルゴリズムを用いたプロセスをいう。

(e) 「ファイアウォール」とは、Tealiumネットワークのコンピューターシステムへの無許可の電子アクセスを防ぐために使われる統合的なセキュリティー措置をいう。

(f) 「業界内の水準」とは、MSAの主題であるところのサービス提供の主導者たちに支持される習慣および規範、それらに期待される業界を代表する技術レベル、気配り、思慮および智慮をいう。

(g) 「侵入検知システム」または「IDP」とは、準リアルタイムでシステムログおよびプロセス、また侵入の発生または侵入の発生の可能性があると確認される動作パターンの増加を、直ちに、不当な遅延なしに検知する方式をいう。

(h) 「最小権限」とは、特定のコンピューティングの環境下（個々の処理、ユーザーまたはプログラムなど）にあるモジュールはそれぞれ、適切な目的のために必要最低限の情報およびリソースにのみアクセス可能であることを指す。

(i) 「手動侵入テスト」とは、承認されたツールと認定されたテスターまたは同様の資格を持つ第三者との組み合わせによって実行される手動のアプリケーションのセキュリティーテストをいう。

(j) 「多要素認証」とは、パスワードなど「貴方が知っているもの」、トークンなど「貴方が所有するもの」、または生体認証など「貴方であるもの」のうち、少なくとも2つの要素を使う認証をいう。

(k) 「取り外し可能メディア」とは、持ち運び可能な、または取り外し可能なハードディスク、フロッピーディスク、USBメモリドライブ、ジップディスク、光ディスク、CD、DVD、デジタルフィルム、メモリーカード（セキュアデジタル（SD）、メモリースティック（MS）、コンパクトフラッシュ（CF）、スマートメディア（SM）、マルチメディアカード（MMC）、xD-ピクチャーカード（xD）など）、磁気テープ、およびその他すべての顧客データを含む取り外し可能なデータ保存メディアをいう。

(l) 「セキュアSDLC方式」とは、特にデザイン、テストおよびデプロイに関連した情報セキュリティー保障を必要とする情報システムを計画、製作、テストしまたデプロイする文書化された処理をいう。

(m) 「義務の分離」とは、すべてのソフトウェアのデザインとアップデートは、異なる従業員によって許可されることをいう。

(n) 「Tealiumの施設」とは、Tealiumの職員が勤務しTealiumのシステムを使用する場所、また/もしくは、顧客データがホストまたは処理される場所のすべてを含む、本サービスの提供にかかわる施設をいう。

(o) 「Tealiumのシステム」とは、ネットワークデバイス、アプリケーション、物理的または仮想のハードウェアまたはソフトウェア、サーバー、データベースおよびネットワークを含むがこれに限らない、本サービスの提供にかかわる要素をいう。

(p) 「脅威モデル」とは、すべて攻撃主の目線からたてられた仮説に基づいて、潜在的な脅威を特定、列挙、また優先順位を設定することができる処理をいう。脅威モデルの目的は、潜在的攻撃主のプロフィール、最も可能性の高い攻撃経路、および攻撃主の最重要な資産の体系的分析による防御を提供することである。

(q) 「無許可のコード」または「害意コード」とは、ソフトウェア、機器あるいはデータを破壊、変更、消去しまたはそれに害を加え、顧客のシステム運用を妨害するようデザインされたバックドア、ウイルス、トロイの木馬、ワーム、またはその他のソフトウェア･ルーチン、あるいは機器要素をいう。

(r) 「根本原因の分析」とは、違反を含むセキュリティーイベントに関連した根本的な原因を特定する、基本原理のシステム的アプローチをいう。

3. インシデント管理および違反通知

(a) インシデント管理。Tealiumは、文書化されたインシデント管理方針およびセキュリティー上の問題を適時に検知する措置法を維持し、脅威と顧客の通知に連携した対応を提供する。当プロセスは、特定された問題の修復に至るまでの追跡を含む抜本的原因分析(「RCA」)、およびかかる問題再発を防ぐための措置の評価と実行を含む。

(b) 違反の通知および是正。 違反があった場合、Tealiumは顧客に通知し、以下定義される方法によって違反を是正する。

(i) 通知。 Tealiumは違反の確認から48時間以内に顧客に通知する。通知は、適切なTealiumの連絡先（電話番号およびEmailアドレス）、また違反おおよその発生時刻、抜本的原因分析の状況、およびTealiumが違反を是正し、違反の影響を是正し、また再発を防ぐためにとられた措置を含む、違反確認当時Tealiumが知るすべての関連要素のまとめを含む。

(ii) 抜本的原因分析。 Tealiumは抜本的原因分析をすみやかに開始し、できるだけ早急に完了を目指す。

(iii) 是正。Tealiumは、顧客データおよびTealiumシステムの安全性を回復するために必要な措置をすみやかに講じる。かかる措置が、悪影響が広がるリスクを最小限に抑えるため、一切の情報、またはTealiumシステムへの一時的なアクセスの制限を必要とする場合、Tealiumは、合理的に可能な時にかかる制限について顧客に事前通知をする。Tealiumは、顧客と連携し、Tealiumが違反に対処し、その影響を最小限に抑えるために必要な追加的処置を特定する。

4. 独立リスク査定

(a) サービス体制の報告。 Tealiumは、少なくとも年に一度、自己負担でISO/IEC 27001、ISO/IEC 27018、および国際保証業務基準 3402 (SSAE16/ISAE 3402 タイプII)、またはそれらの後継基準に従って、サービス組織として本サービスの規定に関連した管理体制（かかる範囲は業界内の標準的慣行に従う）を含む、監査を実施する。

(b) 第三者/ サブサービス組織の契約。 Tealiumは、顧客データを処理するサービス業者に対し詳細なリスク査定を実行し、その結果は顧客の要請によって文書化および閲覧可能である。

(c) セキュリティーテスト。Tealiumは、少なくとも年に二回、Tealiumの費用負担で、第三者サービス業者に本サービスに関するTealiumサービスのマニュアル侵入テストを行わせる。テスト採点および評価方法は、アメリカ国立標準技術研究所（「NIST」）出版の共通脆弱性評価システム（「CVSS」）最新版など業界内の平均的慣行に従う。Tealiumは、重大（危機的、優先度の高い、またはハイリスク）とみなされる発見があった場合、かかる発見後適時に、確認された発見を是正する。

5. セキュリティー機能

(a) セキュリティー担当者。Tealiumは、すべての顧客データおよびTealiumシステムの継続的セキュリティー保護を図るため、担当者を指定する。Tealiumセキュリティー担当者への連絡は、infosec@tealium.comまで。

(b) 訓練。MSAに義務付けられるあらゆる訓練に加え、Tealiumは、少なくとも年に一度、Tealiumの人員による、発生中の違反および・または違反の恐れのすみやかな報告を確認するための手続きを含むがこれに限らない、MSAに義務付けられるTealiumのプロセスに関する適切な現在進行中の訓練を、任務を負うすべてのTealiumの人員に提供する。セキュアSDLC方式のあらゆる部分に関わったすべての人員はアプリケーションセキュリティーの訓練を受ける必要がある。Tealiumは、かかるトレーニングが完了した記録を保管する。

6. データ管理。本サービス提供の中で顧客データを処理、保存、または送信するすべてのTealiumシステムのため以下が実行される。

(a) データアクセス。顧客データは、そのアクセスが任務に必要であり、最小権限の方針に従うTealiumの人員にのみアクセス可能である。

(b) 情報の暗号化。 Tealiumは、業界内の平均的技術を用いて、本サービス提供において顧客データを保存、処理または送信する。かかる技術は、(i) 対称暗号化に128 ビット以上のキーの長さ、また(ii)非対称暗号化に2048ビット以上のキーの長さを要する。Tealiumは、業界内の平均的認証設定を用い、顧客データを含むすべての通信を保護する。

(c) 暗号化におけるキーの管理。Tealiumは、暗号化の際のキーを安全に保存し、業界内の平均水準の文書化された管理要件および手順を維持する。Tealiumが公開鍵基盤（「PKI」）を使用する場合、Tealiumは基本ソフトの「強化」を行い、かかるPKIを無許可のアクセスから合理的に保護する。Tealiumは、営利的システムにはベンダー推奨の強化ガイドラインを用い、非営利のシステムには、米国インターネットセキュリティーセンター®のチェックリストなど、業界内の平均水準の強化ガイドラインを用いる。

(d) 取り外し可能なメディア。 Tealiumは本サービス提供において取り外し可能なメディアを使用しない。

(e) データの消去および処理。顧客データを含むハードウェア、保存メディア、取り外し可能なメディア、または文書を削除する、あるいは処理するために移動する必要がある場合、Tealiumは以下を実行する。

(1) Tealiumは、証拠保全の維持についての条項を含む、データの削除に関する方針および手続きを文書化して維持し、また

(2) Tealiumは、少なくともNIST SP 800-88 修正版1（または後任の水準）で推奨される最低限のサニタイズ処理法と同じ水準の方法を用いて、かかる顧客データを上記のハードウェア、および・またはメディアからアクセス不可、異質なデータなどを取り除く、または整理された状態にする。

(f) データ送信。顧客データがインターネット、ワイヤレスネットワーク（セルラー、802.11x、または類似のテクノロジー）、またはその他の公共・共同ネットワークを通じてTealiumに送信される場合、本補論セクション6 (a)(iii)の要件どおり、適切に暗号化してかかるデータを保護する。

(g) データ回復力。業界平均水準の保護機能を利用して顧客データを保護する。データベースのバックアップ、ファイルのバックアップ、サーバーのバックアップ、または管理された高可用性のフォルトトラレントなデータ保存、あるいは管理されたデータベースサービスを含むがこれに限らない方法で回復力を確保する。Tealiumのバックアップファイルのストレージまたは保存の一切は本MSAの条件に従う。Tealiumは、顧客データの保全と可用性を守るため、定期的にデータ回復力のテストを行う。

7. 物理的セキュリティー – 施設。Tealiumの施設は、出入口アクセス制限（例：入場証の使用）など、無許可のアクセス、損害および妨害に対する物理的環境警備を提供する周辺警備によって保護される。すべてのTealiumの施設は、少なくとも以下の警備に関連した特性を備える必要がある。

(a) Tealiumは、「クリーンデスク」ポリシーを含むがこれに限らない、人的および物理的警護方針を文書化し、実行し、維持する。

(b) Tealiumは、有線テレビ（「CCTV」）システムおよびCCTV録画システムを備え付け、Tealiumの施設へのアクセスを監視し記録する。記録は少なくとも1年は保持されなければならない。

(d) すべての施設所在地は、身分証明の確認、認証バッジの発行、バッジ所有者の本人確認、訪問理由および出入の記録を含むがこれに限らない、訪問者の身分証明確認および施設への入場許可のための手続きを管理する。

8. システムおよびネットワークセキュリティー

(a) 資産目録。 Tealium は、許可された、またサポートされたコンポーネントのみが顧客データを処理、保存または送信することを確実にするため、現行システムのコンポーネント、ハードウェアおよびソフトウェア（バージョン番号および所在地を含む）の包括的な目録を維持する。Tealiumは、少なくとも年に一度、システムコンポーネントの目録を見直し、更新する。

(b) 内部ネットワークセグメントのセキュリティー。 Tealium内部システムと外部のソース間の安全な接続を遂行するため、すべての外部ソース（インターネットを含むがこれに限らない）から Tealiumの内部データネットワークに入るデータはファイアウォールを通らなければならない。当該ファイアウォールは、Tealiumの事業運営に必要な最小限のもの以外を明確に拒否する。

(i) ルータに適用されるセキュリティー対策および制御を備え、

(ii) ルータからファイアウォールに入る外部セグメントと情報内のすべてのデータを監視する侵入検知プロセスを含む。TealiumのIDPは、ファイアウォールに入る前に無許可のアクティビティを検知し報告するようデザインされている。

(iii) Tealiumは、無許可の機器による顧客の環境へのアクセスを防ぐため、不必要なネットワークアクセスポイントを無効にする。

(d) 外部からのファイルの監視。 Tealiumは、顧客データが処理されうるすべてのサーバーに、侵入検知およびファイル保全ツールを含む業界平均水準のセキュリティーツール使用する。

(e) 無許可のコードからの保護。Tealiumは、マルウェア対策ツールを提供し、害意コード（無許可のコードを含むがこれに限らない）の送信からの保護を目的としてデザインされた適切な技術措置を、顧客または顧客のシステムに、emailまたはその他の電子送信によって実行する。かかるマルウェア対策ツールは、顧客にサービスを提供するすべてのTealiumのシステムにデプロイされ、現行の脅威に対する保護を提供する。

(f) 脆弱性管理。Tealiumは、顧客データを含むTealiumのシステムに影響を与える脆弱性を発見し、修復する、文書化されたプロセスを備える。Tealiumは、発見されたすべてのセキュリティー脆弱性を、合理的な時間内に修復する。

(g) 電子コミュニケーション。インスタントメッセージおよびEmailサービスを含む本サービスの提供に関連するすべての電子コミュニケーションは、業界平均水準の処理方法および技術管理によって保護される。

9. 変更およびパッチ管理

(a) 変更管理。アプリケーション、Tealiumの情報技術基盤のあらゆる一部、システムまたはネットワークの変更は、文書化された変更管理プロセスを用いてテスト、検査および実行され、義務の分離の原理に従う。

(b) 緊急変更。緊急変更許可のプロセスは、システムの変更および修復を実行するため必要に応じて高速に行われる。Tealiumは、かかる緊急変更が本サービスの機能に影響を与える場合、通常営業時間内に、顧客に事前通知する。

(i) 本サービスの提供のためマルウェア対策およびその他のセキュリティーソフトウェアを使用し、

(ii) 本サービス提供に必要なソフトウェアのサポートされるバージョンのみを使用し、

(iii) 本サービスが影響を受ける場合、Tealiumが合理的に事業リスクが高まると判断しない限り、合理的な時間内にソフトウェアの緊急修復を行う。すべての変更は、Tealium承認の変更管理プロセスにしたがって行われなければならない。

10. 論理的なアクセス制御

(a) ユーザー認証: Tealiumは、以下の方法により、すべてのユーザーを認証するためにデザインされた手続きを実行する。

(i) ユーザーID. 顧客データを含むアプリケーションへのアクセスは、ユーザー1名のみが行える状態でなければならない。顧客データへアクセスできるアカウントの複数名による使用はTealiumによって禁止されている。

(ii) パスワード。Tealiumネットワークの各ユーザーは、一意なパスワードを使って顧客データを含むアプリケーションにアクセスする。パスワードは少なくとも8桁の英数字を必要とする。容易に解析可能なパスワード（ユーザーID、ユーザーの誕生日、住所、子供の名前と同じまたはそれを含むパスワードなど）は拒否される。Tealiumは、ユーザーに、顧客データを含むアプリケーションまたはシステムへのアクセスには多因子認証を課す。

(iii) 多因子認証。 多因子認証は、承認された人物にのみアクセスを制限するためにデザインされたすべてのネットワークアクセスポイントへ入る際必要となる。

(b) セッション設定。 セッションは、最大30分ユーザーが操作しないとタイムアウトするよう設定される。前述のタイムアウトまたは操作のない時間後は再認証が必要となる。

(d) 遠隔アクセス。 顧客データを含むTealiumのシステムへの遠隔アクセスは承認されたユーザーに限られ、多因子認証を必要とし、また監視目的で記録される。

(e) 解除。顧客データへのアクセスを持つTealiumの人員のユーザーIDは、任務の変更に伴いかかるアクセスが不要になった際、または雇用の終了直後に解除される。

(f) 特権アクセス。Tealiumは業界平均水準の方法を用いて、以下を提供する。

(i) 顧客データを含むTealiumのシステムへアクセスできるユーザーは、本サービス提供に必要最低限の特権アクセスを付与される。

(ii) 特権アクセスは承認された個々のユーザーに制限され、否認不可である。

(iii) 特権ユーザーアカウントは特別な操作のためにのみ使用され、通常活動として事業のためには使用されない。

(iv) 開発担当者は生産環境への特権アクセスを付与されない。

(v) すべての特権アクセスは多因子認証を要する。

11. ログ記録と監視

(a) ネットワークおよびシステムの監視。Tealiumは、アクセス制御方針および実際の侵入または侵入未遂、もしくはその他の無許可の行為からの偏差を検知するため、顧客データが保存、処理または送信されるTealiumのネットワークおよびシステム（IDP、ローカルエリアネットワーク・ワイドエリアネットワーク（「LAN/WAN」）機器およびシステムとサーバーを含むがこれに限らない）を積極的に監視する。

(b) イベントログ記録。Tealiumのシステムによる、本サービス提供における顧客データの処理、保存または送信のため、Tealiumは以下を行う。

(i) 本サービスの秘密保持、保全性、および顧客の可用性に合理的に影響を与えうる、またTealiumのシステム上で発生中の重大なインシデントおよび・またはセキュリティーの脅威の特定または調査に役立ちうる、アクセスイベントを含む主要イベントの記録を維持する。かかる記録は顧客の依頼によりコピーを入手することができる。

(ii) ログ記録を修正または削除から保護し、少なくとも年に４回、Tealiumの情報保護機能によって再検討される。

(iii) ログ記録を少なくとも12ヶ月保持する。

12. ソフトウェアセキュリティー保証

(a) 開発手法。 本サービスの提供において使用されるソフトウェアについて、Tealiumは以下を実行する。

(i) 文書化された安全なソフトウェア開発方針に従って内部開発活動を実施する。これは顧客の依頼によって閲覧可能である。

(ii) ソフトウェア開発ポリシーに厳格に従って、新しいアプリケーションおよび既存のアプリケーションの変更を現行の生産環境にデプロイする。

(iii) 定義付け、テスト、およびセキュリティー要件のデプロイを含む、Tealiumの、およびすべての第三者の開発のため、文書化したソフトウェア開発方針を管理する。

(b) 開発環境。本サービス提供において使用されるソフトウェアについて、Tealiumは以下を実行する。

(i) 生産環境から隔離された、また無許可の顧客データの開示から保護された特別な環境下においてシステム開発およびテストを行う。

(ii) 顧客の事前の書面上の許可およびかかる情報保護に必要な管理文書なしに、顧客データをテスト環境で使用しない。

(c) 容量および機能のプランニング。 Tealium は、Tealiumのシステム不良または停止の可能性および影響を最小限に抑えるようデザインされた容量および機能プラニングの手順を用いる。 Tealiumは少なくとも年に一度、容量プランおよび機能監視情報を再検討する。

(d) テストプロセス。 本サービスの提供において、Tealiumは以下を実行する。

(i) アプリケーションが正式なコードレビュープロセスを実行するよう設定する。顧客の要請により、Tealiumは顧客に正式なプロセスおよびプロセス実行の証拠を提供する。

(ii) アプリケーションが少なくとも年に４回Dynamic Application Security Test (DAST)を実行するよう設定する。テスト採点および評価方法は、アメリカ国立標準技術研究所（「NIST」）出版の共通脆弱性評価システム（「CVSS」）など業界内の平均的慣行に従う。重大な発見（危機的、優先度またはリスクの高い）については、要請により、Tealiumは顧客に、要旨誓約書の書式を用いてかかるテスト結果および修復活動を報告する。かかる要旨はすべての危機的または高度の発見が修復され、商品に修正が適用されたことの確認を含む、実行されたテスト、日付、およびテスト結果の要約が含まれる。

(iii) アプリケーションが少なくとも年に一度、脅威モデル分析を行うよう設定する。正式な脅威モデルの結果報告および重大な（危機的、優先度またはリスクの高い）フローの修復プロセスは閲覧可能となる。要請により、Tealiumは脅威モデル要旨の提示し、かかる活動の証拠を示す。

13. データセンター管理

(a) 基本要件。本サービスをサポートするすべてのデータセンターは、以下の最低要件を備える。

(i) 本補論セクション6に定義される適切な物理セキュリティーおよびアクセス制御

(ii) 専門的HVACおよび環境管理

(iii) 専門的ネットワーク・ケーブル環境

(iv) 専門的火災探知・消化機能

(v) 包括的事業継続プラン

(b) 管理の検証。 (i) Tealiumがサブサービス組織提供のデータセンターを使用する場合、および (ii) 本補論のセクション4(a)の水準に基づいて、サービス組織の報告がかかるサブサービス組織に関連して顧客に提示される場合（重大な発見または例外を除く）、Tealiumは上記に従っているとみなされる。

14. 事業継続プラン

(a) BCPプランおよびテスト

(i) Tealiumのプランニング機能は、MSAに課されるTealiumの義務の履行に必要なすべてのハードウェア、ソフトウェア、コミュニケーション機器、およびデータとファイルの現在のコピーを含むデータ回復システムを含み、また

(ii) Tealiumは、Tealium所有の、またはTealiumがホストするデータセンターでの本サービスの適時回復のプロセスを保持する。

(b) BCPプラン。 プランは、以下に示されるすべての重大な点における追加的基準または同等の基準を示す。

(i) プランは規制および最良の業界慣行を反映する。

(ii) 影響のあったTealiumのスタッフを他の代替地へ移動し、かかる移動が有効になるまで、同様の機能を果たすその他の場所に任務を移す。

(iii) Tealiumの通常業務、システムおよびプロセスに妨害、あるいは損失が発生した場合に Tealiumが発生すると予想する、影響および効果の包括的業務影響度の分析。

(iv) 本サービス提供のため、およびMSAに基づくTealiumの義務の遂行のためにTealiumが使用する主要地およびシステムと遜色のない代替地およびシステムの設立と維持。

(v) 事業継続を維持するために必要な、Tealiumの事業運営、システムおよびプロセス、また主要人物、リソース、サービスおよび活動の復旧を確実にするための緊急時の準備の詳細を示す、災害発生後に実施される復旧手順の詳細。Tealiumは、復旧手順およびBCMプランが、目標修復時間（「RTO」）を4時間、目標復旧地点（「RPO」）を24時間に設定し、それを確実に実行することに同意する。

(vi) 災害発生後にTealiumの事業運営、システムおよびプロセスが復旧するまでの目標時間のスケジュール。

(c) 明確な準備計画。 明確なプランが特定のTealium所在地に該当する場合、Tealiumが本サービスの重要部分を操縦する各所在地のプランは、少なくとも年に一度、本格的な設定でテストされ、Tealiumの経営陣にテスト結果が報告される。

(d) 通知。 災害時、Tealiumが合理的にMSAに基づく義務遂行能力、あるいは本サービスに影響が出ると判断する場合、Tealiumは顧客にすみやかにかかる災害について通知する。かかる通知は、詳細が明らかになったら直ちに、以下の詳細を含む。

(i) 災害の内容およびどのように発覚したか

(ii) 予想される災害の及ぼす本サービスへの影響

(iii) Tealiumが利用する代替運営方法およびバックアップシステム、またその実行のタイムテーブル

(iv) 災害が収まりTealiumが通常業務に戻るのにかかると予測される時間

(e) 下請業者。 Tealiumは、本サービスの一切（本サービスを円滑にするための補助サービス（例：文書の倉庫保管および回収、プリントサービスなど）を除く）を提供する下請業者が、商業的に合理的な、規定および最良の業界慣行に従った事業継続プログラムを準備し、維持することを必要とする。 Tealiumによる下請業者の利用は、Tealiumを、その利用開始および顧客への通知にかかわらず、上記に示される通り、MSAに基づいてすべてのサービスのためにTealiumの事業継続可用性を提供する義務から解放するものではない。

15. TEALIUM以外のシステム

(a) 顧客は、本書に意図される顧客データの収集、保存、使用および開示を含むTealium本サービスの使用は、インターネット、およびその他Tealiumがその一部のみを所有しまたは運営しうるTealium以外の商品を含む多様なネットワークを介した送信があることを認める。顧客は、インターネット、ネットワーク通信施設またはその他の電子的手段を通じてコミュニケーションが図られる際、顧客データが無許可の人物にアクセスされる可能性があることを認め、これを理解する。インターネット、第三者のウェブサイト、Tealium以外の商品、または顧客の、あるいは顧客のユーザーのローカルネットワークを含む、Tealiumが所有しないあるいは運営しないネットワークインフラストラクチャを通じてデータが送信される間、Tealiumは、一切の顧客データの遅延、損失、損害、変更、妨害または保存に責任を負わない。

ADDENDUM DSA

DATA SECURITY ADDENDUM (DSA)

This Data Security Addendum (“DSA Addendum” or “Addendum” or “DSA”) is incorporated into, and made a part of, the Service Order that references this DSA Addendum, and constitutes a part of the MSA (as defined in the Service Order) between Tealium and Customer (as identified in such Service Order).

1. GENERAL

(a) Defined terms used in this Addendum and not otherwise defined in the MSA or in the body of this Addendum will have the meanings set out in Section 2 of this DSA Addendum.

(b) Tealium will implement and maintain logical and physical security procedures with respect to its access, use, and possession of Customer Data (“Processes”) that are designed to provide reasonably appropriate technical and organizational safeguards against accidental or unlawful destruction, loss, alteration or unauthorized disclosure or access of Customer Data at least equal to Industry Standards, but which in no event are less protective than the specific requirements of this Addendum. Tealium will regularly re-evaluate and modify its security standards as Industry Standards evolve, new technologies emerge or new threats are identified. Unless otherwise agreed, all data processing shall be in a multi-tenant environment with logical segmentation controls.

(c) Tealium’s data centers are owned and operated by Amazon Web Services Inc. (“AWS”). Details of AWS’ security standards and programs are available at https://aws.amazon.com/security/.

2. DEFINITIONS

(a) “Breach” means any incident that has resulted in (or Tealium reasonably suspects has resulted in) unauthorized disclosure, access, use, receipt, or modification of Customer Data in Tealium’s possession or control in the course of providing Services to Customer.

(b) “Computing Equipment” means desktop, laptop or notebook computers, mobile devices (e.g. cell phones or tablets) and any other devices used for telephony or computing functions.

(c) “Dynamic Application Security Testing” or “DAST” means a security test of an application designed to detect conditions indicative of a security vulnerability in an application as it runs in a production environment, or in a test environment representative of the production environment in which such application will run.

(d) “Encryption” means the process of using an algorithm to transform data into coded information in order to protect the confidentiality of the data.

(e) “Firewall” means an integrated collection of security measures used to prevent unauthorized electronic access to Tealium’s networked computer system.

(f) “Industry Standards” means customs and practices followed by, and representing the degree of skill, care, prudence and foresight expected from, leading providers of the types of services that are the subject matter of the MSA.

(g) “Intrusion Detection Process” or “IDP” means a method of reviewing system logs and processes in near real-time and escalating identified patterns of behavior that indicate an intrusion is occurring or is likely to occur soon without unreasonable delay.

(h) “Least Privilege” means that, every module in a particular computing environment (such as a process, a user or a program) may only access the information and resources that are necessary for its legitimate purpose.

(i) “Manual Penetration Testing” means a manual security test of an application, executed by a combination of automated tools and a certified tester or qualified third party.

(j) “Multifactor Authentication” meansauthentication using at least two (2) of the following factors: “Something you know” such as a password, “Something you have” such as a token, or “Something you are” such as a biometric reading.

(k) “Removable Media” means portable or removable hard disks, floppy disks, USB memory drives, zip disks, optical disks, CDs, DVDs, digital film, memory cards (e.g., Secure Digital (SD), Memory Sticks (MS), CompactFlash (CF), SmartMedia (SM), MultiMediaCard (MMC), and xD-Picture Card (xD)), magnetic tape, and all other removable data storage media that contain Customer Data.

(l) “Secure SDLC Methodology” means a documented process for planning, creating, testing, and deploying an information system that requires information security engagement, particularly with respect to the design, test, and deployment stages.

(m) “Separation of Duties” means all software design and updates are authorized by a separate employee.

(n) “Tealium Facilities” means facilities involved in the provision of Services including all locations where Tealium personnel work and use Tealium Systems and/or where Customer Data is hosted or processed.

(o) “Tealium Systems” means components involved in the provision of Services which include but are not limited to network devices, applications, physical or virtual hardware or software, servers, databases and networks.

(p) “Threat Model” means a process by which potential threats can be identified, enumerated, and prioritized – all from a hypothetical attacker’s point of view. The purpose of threat modeling is to provide defenders with a systematic analysis of the probable attacker’s profile, the most likely attack vectors, and the assets most desired by an attacker.

(q) “Unauthorized Code” or “Malicious Code” means any back door, virus, Trojan horse, worm or other software routines or equipment components) that are designed to disrupt, modify, delete, or otherwise harm software, equipment or data, to impede the operation of Customer’s systems.

(r) “Root Cause Analysis” means a principle-based, systems approach for the identification of the underlying causes associated with a security event, including a Breach.

3. INCIDENT MANAGEMENT AND BREACH NOTIFICATION

(a) Incident Management. Tealium maintains a documented incident management policy and process to timely detect security events, and provides coordinated response to threats and client notification. The process includes a Root Cause Analysis with identified issues tracked to remediation and evaluation and implementation of actions to prevent recurrence.

(b) Breach Notification & Remediation. In the event of a Breach, Tealium will notify Customer and remediate the Breach in the manner set forth below:

(i) Notification. Tealium will notify Customer within 48 hours of becoming aware of the Breach. Notice will include appropriate Tealium contact information (phone number and email address) and a summary of all relevant facts then known to Tealium including the approximate date and time of the Breach, the status of a Root Cause Analysis and the actions being taken by Tealium to rectify the Breach, remediate its effects, and prevent recurrence.

(ii) Root Cause Analysis. Tealium will promptly initiate and pursue to completion as quickly as possible a Root Cause Analysis.

(iii) Remediation. Tealium will promptly implement measures necessary to restore the security of Customer Data and Tealium Systems. If such measures include temporarily restricting access toany information or Tealium Systems in order to mitigate risks associated with further compromise, Tealium will promptly notify Customer of the restricted access, in advance of such restriction when reasonably possible. Tealium will cooperate with Customer to identify any additional steps required of Tealium to address the Breach and mitigate its effects.

4. INDEPENDENT RISK ASSESSMENTS

(a) Service Organization Reports. Tealium will undertake at least annually, at its expense, an audit in accordance with ISO/IEC 27001, ISO/IEC 27018 and with the International Standard on Assurance Engagements No. 3402 (SSAE16/ISAE 3402 Type II) or their successor standard(s), covering controls related to its provision of the Services as a services organization, the scope of which will be in accordance with Industry Standard practice.

(b) Third-Party / Subservice Organization Agreements. Tealium will conduct a detailed risk assessment on its service providers who process Customer Data with results documented and made available to Customer upon request.

(c) Security Testing. Tealium will, at least twice annually, engage, at its expense, a third party service provider to perform Manual Penetration Testing of Tealium Systems related to the provision of Services. The method of test scoring and issue ratings will follow Industry Standard practices, such as the latest Common Vulnerability Scoring System (“CVSS”) published by the US National Institute of Standards and Technology (“NIST”). Tealium will remedy any validated findings deemed material (critical, priority, or high risk) in a timely manner following such findings.

5. SECURITY FUNCTION

(a) Security Officer. Tealium will designate a point of contact to coordinate the continued security of all Customer Data and Tealium Systems. The Tealium Security Officer can be contacted at infosec@tealium.com.

(b) Training. In addition to any training obligations in the MSA, Tealium will, at least annually, provide all Tealium personnel with responsibilities related to the Services with appropriate ongoing training regarding Tealium’s Processes for which compliance is required under the MSA, including, without limitation, procedures to verify all Tealium personnel promptly report actual and/or suspected Breaches. All personnel involved in any part of the Secure SDLC Methodology are required to receive application security training. Tealium will retain documentation that such training has been completed.

6. DATA MANAGEMENT. For all Tealium Systems processing, storing, or transmitting Customer Data in the course of providing Services:

(a) Data Access. Customer Data will be accessible only by Tealium personnel whose responsibilities require such access and follow the principle of Least Privilege.

(b) Encryption of Information. Tealium will use Industry Standard Encryption techniques for Customer Data being stored, processed, or transmitted in the course of providing Services. Such techniques will require (i) key length of 128 bits or more for symmetric Encryption and (ii) key length of 2048 bits or more for asymmetric Encryption. Tealium will use Industry Standard authentication practices and secure all communications involving Customer Data.

(c) Cryptographic Key Management. Tealium will securely manage cryptographic keys and maintain documented Industry Standard control requirements and procedures. If Tealium uses public key infrastructure (“PKI”), Tealium will protect such PKI by ‘hardening’ the underlying operating system(s) to reasonably protect against unauthorized access. For commercial systems, Tealium will use vendor-recommended hardening guidelines. For non-commercial systems, Tealium will utilize Industry Standard hardening guidelines, such as checklists provided by the Center for Internet Security®.

(d) Removable Media. Tealium does not use Removable Media in providing the Services.

(e) Data Disposal and Servicing. In the event that any hardware, storage media, Removable Media, or documents containing Customer Data must be disposed of or transported for servicing, then:

(1) Tealium will maintain documented policies and procedures concerning data disposal that include provisions to maintain chain of custody; and

(2) Tealium will render such Customer Data inaccessible, cleaned, or scrubbed from such hardware and/or media using methods at least as protective as the minimum sanitization recommendations outlined by NIST SP 800-88 Rev.1 (or successor standard); and

(f) Data Transmission. If Customer Data is transferred by Tealium across the Internet, any wireless network (e.g., cellular, 802.11x, or similar technology), or other public or shared network, then protect such data using appropriate cryptography as required by Section 6(a)(iii) of this Addendum.

(g) Data Resiliency. Utilize industry standard safeguards to provide resiliency of Customer Data. Resiliency will be achieved by way of methods such as, but not limited to, database backups, file backups, server backups, or managed highly available, fault tolerant data storage or managed database services. Any Tealium storage or retention of backup files will be subject to all terms of this MSA. Tealium will test data resiliency periodically to protect the integrity and availability of Customer Data.

7. PHYSICAL SECURITY –FACILITIES. Tealium facilities will be protected by perimeter security such as barrier access controls (e.g., the use of entry badges) that provide a physical environment secure from unauthorized access, damage, and interference. At a minimum, all Tealium facilities are required to have the following security related characteristics:

(a) Tealium will document, implement and maintain personnel and physical security policies, including, without limitation, a “clean desk” policy.

(b) Tealium will install closed circuit television (“CCTV”) systems and CCTV recording systems to monitor and record access to Tealium facilities. Logs must be retained for at least one (1) year.

(c) All Tealium personnel will be issued and will display to gain access an identification badge allowing electronic verification of bearer’s identity.

(d) Each location will maintain procedures for validating visitor identity and authorization to enter the premises, including but not limited to an identification check, issuance of an identification badge, validation of host identity, purpose of visit, and recorded entry.

8. SYSTEMS & NETWORK SECURITY

(a) Asset Inventory. Tealium will maintain a comprehensive inventory of its current system components, hardware, and software (including version numbers and physical locations) to ensure only authorized and supported components process, store or transmit Customer Data. Tealium will, at least annually, review and update its system component inventory.

(b) Internal Network Segment Security. All data entering Tealium’s internal data network from any external source (including, without limitation, the Internet), must pass through Firewalls to enforce secure connections between internal Tealium Systems and external sources. Such Firewalls will explicitly deny all data other than the minimum required to support Tealium business operations.

(c) External Segment Security. Tealium’s external connections to the Internet or direct connections to Customer will:

(i) Have security measures and controls applied to its routers; and

(ii) Include an Intrusion Detection Process that will monitor all data within the external segment and information coming from routers to the Firewalls. Tealium’s IDP is designed to detect and report any unauthorized activity prior to entering the Firewalls.

(iii) Tealium will disable unnecessary network access points to prevent unauthorized devices from accessing the Customer environment.

(d) Scan incoming files. Tealium will use Industry Standard security tools including intrusion detection and file integrity tools on any servers on which Customer Data may be processed.

(e) Protect Against Unauthorized Code. Tealium will implement appropriate technical measures designed to protect against transferring Malicious Code (including without limitation Unauthorized Code) to Customer or Customer Systems via email or other electronic transmission by providing antimalware tools are deployed on all Tealium Systems supporting services to Customer and such tools are updated to provide protection against current threats.

(f) Vulnerability Management. Tealium will have a documented process to identify and remediate security vulnerabilities affecting Tealium Systems containing Customer Data. Tealium will remediate any identified security vulnerabilities within a reasonable amount of time.

(g) Electronic Communications. All electronic communications related to the provision of Services, including instant messaging and email services, will be protected by Industry Standard processes and technical controls.

9. CHANGE AND PATCH MANAGEMENT

(a) Change Management. Changes to applications, any part of the Tealium’s information technology infrastructure, Systems or the network will be tested, reviewed, and applied using a documented change management process and adhere to the principle of Separation of Duties.

(b) Emergency Changes. An emergency change approval process is established to implement changes and fixes to systems on an accelerated basis when necessary. Tealium will notify Customer in advance if any such emergency changes could affect the functionality of the Services during normal business hours.

(i) Use anti-malware and other security software in support of the delivery of Services;

(ii) Use only supported versions of software required for the delivery of Services; and

(iii) Where Services are involved, implement emergency software fixes within a reasonable time, unless in Tealium’s reasonable opinion this introduces higher business risks. All changes must be undertaken in accordance with the Tealium’s approved change management process.

10. LOGICAL ACCESS CONTROLS

(a) User Authentication: Tealium will implement processes designed to authenticate the identity of all users through the following means:

(i) User ID. Access to applications containing Customer Data must be traceable to one (1) user. Shared accounts accessing Customer Data are prohibited by Tealium.

(ii) Passwords. Each user on Tealium’s network will use a unique password to access applications containing Customer Data. Passwords will be at least eight (8) alphanumeric characters. The use of passwords that are easily discerned will be avoided (i.e., passwords matching or containing User ID, users’ birthdays, street addresses, children’s names, etc.). Tealium will require users to use multifactor authentication access to applications or systems containing Customer Data.

(iii) Multifactor Authentication. Multifactor Authentication will be required for entry on all network access points designed to restrict entry to authorized personnel.

(b) Session Configuration. Sessions will be configured to timeout after a maximum of 30 minutes of user inactivity. Re-authentication will be required after such timeouts or periods of inactivity.

(c) Unsuccessful Logon Attempts. The number of unsuccessful logon attempts will be limited to a maximum of five (5). User accounts will be locked for at least ten (10) minutes after the maximum number of permitted unsuccessful logon attempts is exceeded.

(d) Remote Access. Remote access to Tealium Systems containing Customer Data will be restricted to authorized users, will require Multifactor Authentication and will be logged for review.

(e) Deactivation. User IDs for Tealium personnel with access to Customer Data will be deactivated immediately upon changes in job responsibilities that render such access unnecessary or termination of employment.

(f) Privileged Access. Tealium will use Industry Standard methods to provide that:

(i) Users with access to Tealium Systems containing Customer Data will be granted the minimum amount of privileges necessary to provide Services;

(ii) Privileged access will be restricted to authorized individual users and non-repudiation will be maintained;

(iii) Privileged user accounts will be used exclusively for privileged operational use and not for business as usual activities;

(iv) Developers will not receive privileged access to production environments; and

(v) All privileged access will require Multifactor Authentication.

11. LOGGING & MONITORING

(a) Network and Systems Monitoring. Tealium will actively monitor its networks and Tealium Systems where Customer Data is stored, processed or transmitted (including but not limited to IDP, Local Area Network/Wide Area Network (“LAN/WAN”) equipment and Systems and servers) to detect deviation from access control policies and actual or attempted intrusions or other unauthorized acts.

(b) Event Logging. For Tealium Systems processing, storing, or transmitting Customer Data in the course of providing Services, Tealium will:

(i) Maintain logs of key events, including access events, that may reasonably affect the confidentiality, integrity, and availability of the Services to Customer and that may assist in the identification or investigation of material incidents and/or security breaches occurring on Tealium Systems. Copies of such logs will be made available to Customer upon request;

(ii) Protect logs against modification or deletion and are reviewed on an at least quarterly basis by Tealium’s Information Security function; and

(iii) Retain logs for at least twelve (12) months.

12. SOFTWARE SECURITY ASSURANCE

(a) Development Methodology. For software used in the course of providing Services, Tealium will:

(i) Carry out in-house development activities in accordance with a documented secure software development policy, which will be shared with Customer upon request.

(ii) Deploy new applications and changes to existing applications to the live production environment strictly in accordance with the software development policy.

(iii) Maintain documented software development practices for itself and any third party development or software services including the definition, testing, and deployment of security requirements.

(b) Development Environments. For software used in the course of providing the Services, Tealium will:

(i) Perform system development and testing in distinct environments segregated from the production environment and protected against unauthorized disclosure of Customer Data.

(ii) Not use Customer Data within test environments without Customer’s prior written approval and the documented controls required to protect such information.

(c) Capacity and Performance Planning. Tealium will use capacity and performance planning practices designed to minimize the likelihood and impact of Tealium Systems failures or outages. Tealium will review capacity plans and performance monitoring information at least annually.

(d) Testing Process. Tealium will in the course of providing Services:

(i) Provide that applications undergo a formal code review process. Upon Customer’s request, Tealium will provide evidence of this formal process and process execution to Customer.

(ii) Provide that applications undergo a quarterly Dynamic Application Security Test (DAST). The method of test scoring and issue ratings will follow Industry Standard practice, such as the latest Common Vulnerability Scoring System (CVSS) published by the US National Institute of Standards and Technology (NIST). For any material findings (critical, priority, or high risk), Upon request, Tealium will provide Customer the results of such testing and remediation activities in the form of an executive summary attestation letter containing the testing performed, the date, and a summary of the results, including confirmation that all high or critical-level findings have been remediated and the fixes migrated to production.

(iii) Provide that applications undergo a Threat Model analysis at least annually. A process to formally report the results of the Threat Model and to remediate material (critical, priority or high) flaws will be present. Upon request, Tealium will evidence this activity by sharing the Threat Model executive summary.

13. DATA CENTER CONTROLS

(a) Base Requirements. Any data center supporting the Services will possess the following minimum requirements:

(i) Adequate physical security and access controls as set forth in Section 6 of this Addendum;

(ii) Professional HVAC & environmental controls;

(iii) Professional network/cabling environment;

(iv) Professional fire detection/suppression capability;

(v) A comprehensive business continuity plan.

(b) Control Validation. If (i) Tealium uses a data center provided by a sub-service organization, and (ii) a service organization report in accordance with the standards described in Section 4(a) of this Addendum (without material findings or exceptions) is made available to Customer with respect to such sub-service organization, Tealium will be deemed to be in compliance with the foregoing.

14. BUSINESS CONTINUITY PLAN

(a) BCP Planning and Testing

(i) Tealium’s plan capabilities will include a data resiliency system containing all hardware, software, communications equipment, and current copies of data and files necessary to perform Tealium’s obligations under the MSA; and

(ii) Tealium will maintain processes for timely recovery of Services at Tealium-owned and/or hosted data centers.

(b) BCP Plan. The plan will address the following additional standards or equivalent in all material respects:

(i) The plan will reflect regulatory and best industry practices;

(ii) The relocation of affected Tealium staff to one or more alternate sites and the reallocation of work to other locations that perform similar functions until such relocation is effected;

(iii) A full business impact analysis of the expected impacts and effects that Tealium believes are likely to arise in the event of a disruption to or loss of Tealium’s normal operations, systems and processes;

(iv) The establishment and maintenance of alternate sites and systems the capacity of which will be no less than the primary sites and systems that Tealium uses to provide the Services and perform its other obligations under this MSA;

(v) A description of the recovery process to be implemented following the occurrence of a disaster detailing the contingency arrangements in place to ensure recovery of Tealium’s operations, systems and processes and the key personnel, resources, services and actions necessary to ensure that business continuity is maintained. Tealium agrees that their recovery processes and BCM plans ensure a Recovery Time Objective (“RTO”) of four (4) hours and a Recovery Point Objective (“RPO”) of twenty four (24) hours;

(vi) A schedule of the objective times by which Tealium’s operations, systems and processes will be recovered following the occurrence of a disaster;

(c) Distinct Plans. If distinct plans apply to specific Tealium locations, the plans for each location from which a material part of the Services are performed by Tealium will be tested at least annually against a comprehensive scenario and the results made known to senior management of Tealium.

(d) Notification. In case of a disaster that Tealium reasonably believes will impact its ability to perform its obligations or affect the Services under the MSA, Tealium will promptly notify Customer of such disaster. Such notification will, as soon as such details are known, contain details of:

(i) The disaster in question and how it was detected;

(ii) The impact the disaster is likely to have on the Services;

(iii) The alternative operating strategies and the back-up systems Tealium will utilize and the timetable for their utilization; and

(iv) The expected timeframe in which the disaster will be resolved and Tealium expects to return to business as usual.

(e) Subcontractors. Tealium will require its subcontractors that perform any part of the Services (other than auxiliary services that facilitate the Services (e.g., document warehousing and retrieval, print services, etc.)) to have in place and maintain a commercially reasonable business continuity program that complies with regulatory and industry best practices. Tealium’s use of subcontractors does not diminish its obligation to provide business continuity capabilities as described above for all services provided under the MSA, regardless of their origin and regardless of notice to Customer.

15. NON-TEALIUM SYSTEMS

(a) Customer acknowledges that use of the Tealium Services, including collection, storage, use, and disclosure of Customer Data as contemplated hereunder, will involve transmission over the Internet and over various networks, including non-Tealium Products, only part of which may be owned or operated by Tealium. Customer acknowledges and understands that Customer Data might be accessed by unauthorized persons when communicated across the Internet, network communications facilities or by other electronic means. Tealium is not responsible for any Customer Data that is delayed, lost, destroyed, altered, intercepted or stored during the transmission of such data across network infrastructure not owned or operated by Tealium, including the Internet, third party websites, non-Tealium Products, or Customer’s or Customer’s users’ local networks.

Data Security Addendum JP v28FEB2019

View Terms Archive »