Flosum DevOps セキュリティ声明

概要

Flosum DevOps は、特に Salesforce.com プラットフォーム向けに設計された包括的な Salesforce ベースのアプリケーションライフサイクル管理ソリューションです、 Salesforce.com プラットフォームです。DevOps は要件計画から本番へのデプロイに至るまでの開発プロセスを管理します。ネイティブな Salesforce.com アプリケーションとして、DevOps はソフトウェアの成功裏な提供においてガバナンス、コンプライアンス、迅速なイノベーションを促進します。

本書は Flosum DevOps のセキュリティアプローチの簡潔な概要を提供します。Salesforce 環境内で重要なアプリケーションライフサイクル管理（ALM）ソリューションを評価するセキュリティアーキテクトおよび専門家を対象としています。

Salesforce と Flosum DevOps の関係

Flosum DevOps は Salesforce と OEM 関係にあります。各顧客について、Flosum は DevOps アプリケーションを実行するために関連する Salesforce ライセンスを備えた新しい組織（インスタンス）を調達します。DevOps は Salesforce ネイティブのマネージドパッケージです。

Flosum DevOps を調達するすべての顧客は既に Salesforce へのアクセス権を持っています。既存の Salesforce 組織に適用されるすべてのセキュリティ、データセンター、インフラストラクチャ、事業継続、災害復旧、および可用性ポリシーは、Flosum DevOps 組織（Salesforce Enterprise Edition 組織、以下 Flosum DevOps ガバナンス組織と呼ぶ）にも適用されます。

この Flosum DevOps ガバナンス組織は、Sales Cloud、Service Cloud、またはカスタムアプリケーションなどのビジネスアプリケーションを実行するために Salesforce から直接調達した既存の本番組織と類似しています。

Flosum DevOps ガバナンス組織は完全に Salesforce によってホストされ、企業ネットワークからのみアクセス可能です。管理者に引き渡されると、Flosum はそれにアクセスしたり変更したりすることはできなくなります。

物理的セキュリティ: Flosum DevOps ガバナンス組織に提供されるセキュリティ対処は Salesforce 組織アーキテクチャのものと同じです。

アーキテクチャ

Flosum DevOps は Salesforce 顧客のみが利用します。Salesforce を使用していない顧客は Flosum を使用できません。

Flosum は完全に Salesforce の Force.com プラットフォーム上に構築されています。DevOps は他にサーバーやデータセンターフットプリントを持ちません。Flosum 社自体はサーバーを保有しません。Salesforce が Flosum DevOps（マネージドパッケージ）アプリケーションを完全にホストします。顧客はアプリケーション内の特定データへのアクセス権を誰が持つかを制御します。Flosum の従業員および担当者はアプリケーションやそのデータにアクセスできません。

セキュリティレビュー

ほとんどの顧客は技術的デューデリジェンスの一環として Salesforce プラットフォームのセキュリティを詳しく確認するために多くの時間を費やします。顧客が Salesforce プラットフォームのセキュリティを評価するために行うすべての作業は、ネイティブアプリケーションとしての Flosum DevOps にも適用されます。これは DevOps が完全に Salesforce プラットフォーム上に構築され、顧客の Salesforce 環境内で動作するためです。

プラットフォームのさらなる強化

Flosum は、Flosum DevOps アプリケーションを含むプラットフォームのセキュリティをさらに強化するために、Salesforce の包括的なセキュリティベストプラクティスの活用を推奨します。

ユーザーのプロビジョニング

顧客は Flosum DevOps ガバナンス組織（Salesforce の本番レベルの組織）を完全に制御しており、Flosum の担当者はアクセス権を持たないため、アプリケーション内の新規ユーザーのプロビジョニングは顧客の責任です。顧客はユーザーアクセス管理を完全に制御します。そのため、パスワードポリシー管理は Salesforce のポリシーに従い、シングルサインオンインフラストラクチャによって上書き可能です。

シングルサインオンとの統合

ほとんどの顧客は、すべてのアプリケーションのパスワードを保存し、すべてのアプリケーションへのログインを一度に行うための単一のフロントエンドインターフェースを提供する企業のシングルサインオンソリューションを使用しています。顧客は、本番の Salesforce インスタンスと同様に、自社のシングルサインオンソリューションとの統合を選択できます。

コンプライアンス

Flosum は、ISO 27001/27018、SSAE 16/ISAE 3402 SOC-1、SOC 2、SOC 3、PCI-DSS、TRUSTe 認定プライバシーシール、CSA STAR などを含む、Salesforce プラットフォームが証明するすべての認証およびコンプライアンスに準拠しています。

信頼性、可用性、及び事業継続計画

Flosum DevOps は完全に Salesforce プラットフォーム上に構築されているため、可用性、事業継続、および災害復旧に関する同じサービスレベルアグリーメント（SLA）は、顧客の Salesforce 本番組織に適用されるものと同様に Flosum DevOps ガバナンス組織にも適用されます。

変更管理およびアップグレードプロセス

Flosum は年に数回ソフトウェアアップグレードをリリースします。リリースの一部はマイナーであり、他はメジャーです。ほとんどのリリースには新機能や強化が含まれ、最新の Metadata API をサポートします。

仕組みは次のとおりです：

Flosum は顧客に対して、今後のアップグレードに関するデジタルコミュニケーションを提供します。顧客は各アップグレードに対して、Salesforce の季節的リリースに備えるのと同様に準備することが期待されます。DevOps 管理パッケージをテスト用に Salesforce Sandbox 組織へアップグレードするようリクエストしてください。

各アップグレードでは、新機能と強化点が Success Portal とデジタルコミュニケーションを通じて共有されます。DevOps マネージドパッケージのアップグレードは、Salesforce が季節的リリースをすべての顧客に展開してから 2 週間後に行われます。主な理由は、DevOps マネージドパッケージと Metadata API のリリース前に、すべての Salesforce および Flosum DevOps の本番およびサンドボックス組織が最新のリリースにあることを確認するためです。

Flosum はまた、顧客の内部デプロイメントスケジュールに支障をきたすようなアップグレードの予定を慎重に避けます。その結果、アップグレードは顧客の完全な十分な情報に基づく同意のもとでのみ実施されます。Flosum は内部デプロイメントの前後 2 週間にアップグレードをリクエストしないことを推奨します。

データ管理

顧客のアプリケーション内のデータは Salesforce のインフラストラクチャ内で完全にホストされます。これは、Salesforce 本番組織が顧客の Salesforce ビジネスアプリケーションをホストするために使用するのと同じインフラストラクチャです。

インシデント管理

Flosum は顧客インシデントを管理する専用のサポートポータルを提供します。顧客はログインとアカウントを作成し、ポータルを通じてインシデントを提出できます。

ログと監視

顧客の Salesforce 本番組織で使用される任意のログまたは監視ポリシーや慣行は、Flosum DevOps ガバナンス組織にも適用され、そちらでも使用されます。

システム開発ライフサイクル

Flosum は継続的なアプリケーション開発、強化、および改善を促進する包括的なソフトウェア開発ライフサイクルを活用しています。

Flosum は Jira を利用して Flosum 製品チームからのすべての要件を収集します。Flosum は Salesforce Service Cloud を利用してインシデントや顧客からの新しい機能要求を収集します。Flosum は社内でアプリケーションライフサイクル管理に使用されています。Flosum にはアプリケーションが十分にテストされることを保証する堅牢な品質保証エンジニアチームがあります。