Waterplanにおけるセキュリティとプライバシーのポリシー

この情報セキュリティポリシーは、Climateplan Incの従業員、パートナー、そして会社を、個人による故意または無意識の違法または損害を与える行為から保護することを目的としています。

最終更新日: 2023年3月1日

概要

インターネット/イントラネット/エクストラネット関連のシステムには、コンピュータ機器、ソフトウェア、オペレーティングシステム、ストレージメディア、電子メール、ウェブブラウジング、ファイル転送を提供するネットワークアカウントなどが含まれますが、これらに限定されません。これらのシステムは、企業の利益、および正常な運営の過程で顧客やクライアントの利益に奉仕するためのビジネス目的で使用されるものです。

効果的なセキュリティは、情報および/または情報システムを扱うすべてのClimateplan Incの従業員または契約者の参加とサポートを含むチームの取り組みです。すべてのチームメンバーは、このポリシーを読み、理解し、それに応じて活動を行う責任があります。

目的

このポリシーの目的は、私たちの情報セキュリティポリシーを伝え、Climateplan Incの情報と資産の受け入れ可能な利用および保護を概説することです。これらのルールは、お客様、従業員、およびClimateplan Incを保護するために設けられています。不適切な利用は、ウイルス攻撃、ネットワークシステムおよびサービスの侵害、財務および評判のリスク、法的およびコンプライアンスの問題など、Climateplan Incにリスクをもたらします。

Climateplan Incの「情報セキュリティポリシー」は、このポリシーとこの文書内で参照されているおよび/またはリンクされているすべてのClimateplan Incポリシーで構成されています。

スコープ

このポリシーは、Climateplan Incのビジネスを行うため、または内部ネットワークおよびビジネスシステムとやり取りするために、情報、電子およびコンピュータデバイス、ネットワークリソースの使用に適用されます。これらはすべてClimateplan Incが所有するものか、またはリースしたものであり、従業員または第三者によるものです。Climateplan Incおよびその子会社のすべての従業員、契約者、コンサルタント、一時的およびその他の労働者は、Climateplan Incのポリシーおよび基準、ならびに地元の法律および規制に従って、情報、電子デバイス、ネットワークリソースの適切な使用に関して良識を持って行動する責任があります。

このポリシーは、Climateplan Incの従業員、契約者、コンサルタント、一時的な労働者、およびその他の従業員に適用されます。これは、サードパーティに関連するすべてのスタッフを含みます。このポリシーは、Climateplan Incが管理するすべての会社および顧客データ、ならびにClimateplan Incが所有またはリースしたすべての機器、システム、ネットワークおよびソフトウェアに適用されます。

セキュリティインシデント報告

すべてのユーザーは、ポリシー違反や観察されたセキュリティの脆弱性を含む、既知または疑わしいセキュリティイベントやインシデントを報告することが求められます。インシデントは、次のメールアドレスにメールを送信することによって、直ちに、またはできるだけ早く報告されるべきです: security@waterplan.com。メールには、インシデントまたは観察内容と関連する詳細を記載してください。

匿名告発者詐欺報告

私たちの内部告発者ポリシーは、従業員や他の人々が深刻な懸念を内部で提起できるよう奨励し、可能にすることを目的としています。これにより、不適切な行動や行為に対処し、修正することができます。倫理規範の違反や、私たちの業務を支配する法律や規制の違反が疑われる場合についての懸念を報告することは、すべての従業員の責任です。

誰かが倫理違反を善意で報告した従業員に対して報復することは、私たちの価値観に反します。差別の苦情や、詐欺の疑い、またはいかなる規制の違反の疑いなど、法律違反の疑いに対する報復も同様です。善意で違反を報告した人に対して報復を行った従業員は、懲戒処分の対象となり、雇用の終了を含む処分を受ける可能性があります。

匿名の報告は、次のフォームを通じて提出できます。

モバイルデバイスポリシー

すべてのエンドユーザーデバイス（例：携帯電話、タブレット、ラップトップ、デスクトップ）は、このポリシーに従わなければなりません。従業員は、不明な送信者から受信したメールの添付ファイルを開く際に、マルウェアが含まれている可能性があるため、極めて注意を払わなければなりません。

システムレベルおよびユーザーレベルのパスワードは、アクセス制御ポリシーに準拠しなければなりません。他の個人にアクセスを提供することは、故意であれ、デバイスを保護しないことによる失敗であれ、禁止されています。

Climateplan Incの情報システム（例：メール）にアクセスするために使用されるすべてのエンドユーザー、個人（BYOD）、または会社所有のデバイスは、以下のルールと要件に従わなければなりません：

デバイスは、5分間使用されなかった場合にパスワード（または生体認証などの同等の制御）で保護されたスクリーンセーバーまたはスクリーンロックでロックされなければなりません
デバイスは、放置するときは常にロックされなければなりません
ユーザーは、モバイルデバイスの疑わしい不正使用や盗難を、直ちにClimateplan Incのセキュリティ部門（security@waterplan.com）に報告しなければなりません
機密情報は、モバイルデバイスやUSBドライブなどの外部デバイスに保存されてはならず（これは、ビジネスコンタクト情報、例：名前、電話番号、メールアドレスには適用されません）、
会社のリソース（ファイル共有やメールなど）にアクセスするために使用されるモバイルデバイスは、他の人と共有してはいけません
ユーザーは、契約終了時にすべての会社所有デバイスを返却し、個人のデバイスからすべての会社情報およびアカウントを削除することに同意します
デバイスは、取り外し可能なデバイス内のコンテンツを自動実行しないように構成されなければなりません

クリアスクリーンクリアデスクポリシー

ユーザーは、機密資料をデスクや作業スペースに無防備に置きっぱなしにせず、使用していないときは画面がロックされていることを確認します。

リモートアクセスポリシー

気候計画株式会社のネットワークにアクセスするために使用されるノートパソコンやその他のコンピュータリソースは、気候計画株式会社の情報セキュリティポリシーで概説されているセキュリティ要件に従い、以下の標準を遵守する必要があります：

モバイルデバイスが侵害されたデバイスを会社のネットワークに接続しないようにするために、ウイルス対策ポリシーはクライアント側のウイルス対策ソフトウェアの使用と実施を要求します
ウイルス対策ソフトウェアは、悪意のあるソフトウェアを検出して防止または隔離し、定期的なシステムスキャンを実行し、自動更新を有効にするように設定しなければなりません
ユーザーは、モバイルコンピュータに設定された安全で最新のソフトウェアファイアウォールがない限り、外部ネットワークに接続してはいけません
ユーザーは、気候計画株式会社のリソースにアクセスするために使用されるシステム上で、個人用ファイアウォールやウイルス対策ソフトウェアなどの組織のセキュリティコントロールを変更または無効にすることを禁止されています
リモートアクセスソフトウェアおよび/またはサービス（例：VPNクライアント）の使用は、会社によって提供され、マルチファクター認証MFAに構成されている限り許可されます
無許可のリモートアクセス技術は、気候計画株式会社のシステムに使用またはインストールすることはできません
ユーザーは、公衆Wi-Fi上で機密情報を送信する際にVPNを使用する必要があります
公衆コンピュータ（例：ビジネスセンター、ホテルなど）からアクセスする場合、セッションからログアウトし、何も保存しないでください。「記憶する」を確認せず、印刷した資料をすべて集め、気候計画株式会社によって管理されていないシステムにファイルをダウンロードしないでください

利用規約

Climateplan Incの独自情報および顧客情報は、Climateplan Inc、従業員、または第三者が所有またはリースした電子機器およびコンピューターデバイスに保存されている場合でも、本ポリシーの目的上、Climateplan Incの唯一の財産として扱われます。従業員および契約者は、独自情報がデータ管理ポリシーに従って保護されるよう、法的または技術的手段を通じて確認する必要があります。

ビジネスファイルの保存にGoogle Driveを使用することは、会社支給のデバイスやノートパソコンのユーザーに求められます。重要な文書をファイル共有に保存することが、ノートパソコンを「バックアップ」する方法です。

あなたには、Climateplan Incの独自情報または設備の盗難、紛失、または不正な開示を迅速に報告する責任があります。あなたは、割り当てられた業務を遂行するために必要な範囲内でのみ、Climateplan Incの独自情報にアクセスし、使用し、共有することができます。従業員は、会社が提供する機器の個人的な使用の合理性について良識を働かせる責任があります。

セキュリティおよびネットワークの維持管理の目的のため、Climateplan Inc内の許可された個人は、いつでも機器、システムおよびネットワークトラフィックを監視することがあります。

Climateplan Incは、このポリシーに対するコンプライアンスを確保するために、ネットワークとシステムを定期的に監査する権利を留保します。

容認できない使用

以下の活動は一般的に禁止されています。従業員は、適切に文書化された経営陣の承認を受けて、自分の正当な職務の遂行中にこれらの制限から免除される場合があります。Climateplan Incの従業員は、ローカル、州、連邦、または国際法の下で違法である活動に従事することは、いかなる状況下でも許可されません。

Climateplan Inc所有のリソースを利用する際や、いかなる形であれClimateplan Incを代表する際に。以下のリストは網羅的ではありませんが、受け入れられない使用のカテゴリーに該当する活動の枠組みを提供しようとしています。

以下の活動は厳格に禁止されており、例外はありません：

01.

著作権、営業秘密、特許、またはその他の知的財産や類似の法律または規制によって保護されるいかなる人または会社の権利の侵害、特にClimateplan Incによって適切にライセンスされていない「海賊版」またはその他のソフトウェア製品のインストールまたは配布を含むが、これに限らない。

04.

国際法または地域の輸出管理法に違反してソフトウェア、技術情報、暗号化ソフトウェア、または技術の輸出を行うことは違法です。問題となる物品の輸出前に、適切な管理者に相談する必要があります。

07.

紙やコードに埋め込まれた設定ファイル、バッチファイル、スクリプト、または誰でも発見可能な他のメカニズムなどの不適切なパスワード保存

10.

Climateplan Inc アカウントから発信される製品、アイテム、またはサービスの詐欺的な提供を行うこと

13.

任意のホスト、ネットワーク、またはアカウントのユーザー認証またはセキュリティを回避する

16.

許可なしにClimateplan Incの従業員、契約者、パートナー、または顧客に関する情報やリストをClimateplan Incの外部の関係者に提供すること。

02.

データ、サーバー、または{{account}}にアクセスすることは、Climateplan Incの業務を行う目的以外では禁止されています。たとえあなたがアクセスを許可されていたとしてもです。

05.

ネットワークやシステムへの悪意のあるプログラムの導入（例：ウイルス、ワーム、トロイの木馬、メール爆弾など）

08.

ネットワーク通信のセキュリティ侵害や中断を引き起こすこと。セキュリティ侵害には、従業員が意図された受取人でないデータにアクセスすることや、従業員が明示的にアクセスする権限を持たないサーバーやアカウントにログインすることが含まれますが、これらの職務が通常の職務の範囲内である場合を除きます。このセクションの目的上、"中断"には、ネットワークスニッフィング、ピンゴフラッド、パケットスプーフィング、サービス拒否、悪意のある目的のための偽造ルーティング情報が含まれますが、これに限定されません。

11.

保証についての明示または黙示の言及は、通常の職務の一部でない限り行わないこと

14.

従業員のホストに意図されていないデータを傍受するネットワーク監視のいかなる形式を実行することは、これが従業員の通常の職務/義務の一部でない限り、許可されません。

17.

従業員のホスト以外の任意のユーザーに対するサービスの干渉または拒否（例えば、サービス拒否攻撃）

03.

著作権で保護された素材の無断コピーは、雑誌や書籍、その他の著作権対象の出典からの写真のデジタル化および配布、著作権音楽、Climateplan Inc またはエンドユーザーが有効なライセンスを持っていない任意の著作権ソフトウェアのインストールを含むが、これに限定されない。

06.

他の人にアカウントのパスワードを開示したり、他の人にアカウントの使用を許可したりすること。これは、家庭で作業が行われている際の家族や他の家庭のメンバーを含みます。

09.

Climateplan Incのコンピューティング資産を使用して、性的嫌がらせや敵対的な職場の法律に違反する物質を調達または送信することに積極的に関与すること

12.

ポートスキャンまたはセキュリティスキャンは、Climateplan Incのセキュリティチームに事前通知が行われない限り、明示的に禁止されています。

15.

Climateplan Incネットワークにハニーポット、ハニーネット、または類似の技術を導入します。

18.

ユーザーのセッションを妨害または無効にする意図で、あらゆるプログラム/スクリプト/コマンドを使用したり、あらゆる種類のメッセージを送信したりすること。

メールとコミュニケーション活動

会社のリソースを使用してインターネットにアクセスし使用する際、ユーザーは自分が会社を代表していることを認識し、それに応じて行動しなければなりません。

以下の活動は、例外なく厳しく禁止されています:

リクエストされていないメールメッセージの送信、「迷惑メール」やその他の広告資料を、特にそのような資料を要求していない個人に送信すること（メールスパム）
言語、頻度、またはメッセージのサイズによる、メール、電話、またはテキストによるあらゆる形態のハラスメント
メールヘッダー情報の不正使用または偽造
ハラスメントや返信の収集を意図して、投稿者のアカウント以外のメールアドレスへのメールの勧誘
あらゆるタイプの「チェーンレター」、「ポンジ」、「ピラミッド」スキームの作成または転送
Climateplan Inc. のネットワーク内またはその他のサービスプロバイダーからの未承諾のメールを使用し、Climateplan Inc. がホストするサービスを宣伝するために、またはClimateplan Inc. のネットワークを介して接続されているサービスを宣伝するために使用すること

追加のポリシーと手続きは参照として組み込まれています

従業員は、自分の役割と責任に関連するすべてのポリシーを読み、遵守する責任があります。

役割

目的

アクセス制御ポリシー。

情報および情報処理システム、ネットワーク、施設へのアクセスを、ビジネス目標に従って承認された当事者に限定する。

資産管理ポリシー

組織の資産を特定し、適切な保護責任を定義するため。

ビジネス継続性と災害復旧計画

気候計画株式会社が、当社の制御を超える要因（例：自然災害や人的事件）によって長期サービス停止が発生した場合に備え、サービスを可能な限り早期に復旧することを目的としています。

暗号化ポリシー

情報の機密性、真正性、および/または完全性を保護するために、暗号化の適切かつ効果的な使用を確保する。

データ管理ポリシー

情報が組織にとっての重要性に応じて分類され、保護されることを保証するために。

人事政策

従業員と契約者がセキュリティ要件を満たし、自分の責任を理解し、役割に適していることを保証します。

運用セキュリティポリシー

情報処理システムと施設が正しく安全に運用されることを確保するため。

物理的セキュリティポリシー

組織の情報および情報処理施設への無許可の物理的アクセスや損害を防ぐために。

リスク管理ポリシー

気候計画株式会社の情報セキュリティリスクを評価し管理するプロセスを定義して、会社のビジネスおよび情報セキュリティの目標を達成する。

セキュアな開発方針

アプリケーションや情報システムの開発ライフサイクル内で情報セキュリティが設計され、実装されることを保証します。

サードパーティ管理ポリシー

組織のデータおよび資産がサプライヤー、外部の関係者、サービスプロバイダー、ベンダー、顧客などの第三者機関と共有され、アクセスされ、または管理される際の保護を確保し、サプライヤー契約に基づいて合意された情報セキュリティとサービス提供のレベルを維持します。

ポリシー遵守

Climateplan Incは、このポリシーへの適合を、継続的な監視や内部および外部監査を含むがこれに限定されない様々な方法を通じて測定および検証します。

例外

このポリシーへの例外リクエストは、承認のためにCPOに提出する必要があります。

違反と執行

このポリシーの違反が知られている場合は、CPOに報告してください。このポリシーの違反は、システムおよびネットワークの権限の即時撤回または停止、または会社の手続きに従った懲戒処分、最終的には雇用の終了につながる可能性があります。

2021年に設立された私たちは、企業の持続可能性チームが水の安全性に向けた旅を加速させることを支援するためのSaaS企業です。Waterplanは、水リスクを測定し、対応し、報告するためのリーディングな水プラットフォームであり、水データの収集から報告までの時間を節約し、最高品質の水リスクデータおよび水の専門家へのアクセスを提供し、利害関係者が水リスクに対する行動を取るための調整を可能にします。

2193 フィルモアストリート。

サンフランシスコ、CA 94115

プラットフォーム

ソリューション

リソース