Big Advanceサービス仕様書



Big Advanceサービス仕様書


ver. 2.0

株式会社ココペリ

変更履歴

ver.

変更日

項目番号

変更内容

1.0

2018.10.1

初版

2.0

2019.6.11

1-1

内容変更時の取り扱い変更



1-2

パートナー企業定義削除



1-3

「Big Advance運営規約」追加



2-2

機能一覧削除



3-2

金融機関側作業削除



5-6

要員教育削除



他変更

目次


1 はじめに

1.1 本仕様書の適用.. 3

1.2 用語の定義.. 3

1.3 関連文書.. 3

1.4 本サービス提供の前提条件.. 3


2 サービスについて

2.1 サービス内容.. 3

2.2 アウトプットイメージ.. 3

2.3 推奨ブラウザ.. 4


3 導入

3.1 初期導入作業.. 4


4 サービス提供時間と計画停止

4.1 サービス提供時間.. 4

4.2 計画停止.. 4

4.3 お問い合わせ時間・体制.. 5

4.4 メンテナンス時間.. 5

4.5 障害対応時間・体制.. 6


5 運用監視サービス

5.1 体制.. 6

5.2 障害時運用.. 7

5.3 監査方針.. 7

5.4 運用設計.. 7

5.5 運用体制.. 7

5.6 システム監視項目.. 8


6 セキュリティ

6.1 セキュリティ管理.. 8

6.2 セキュリティ範囲.. 9

6.3 責任分解点.. 9

6.4 情報の取り扱いと範囲.. 9

6.5 ユーザ管理ポリシー.. 9

6.6 パスワードポリシー.. 10

6.7 認証方針.. 10

6.8 アカウント管理.. 10

6.9 安全管理基準.. 10


7 監査協力基準.. 11

1 はじめに

1.1 本仕様書の適用

株式会社ココペリ(以降、当社と称します)は、Big Advanceサービス仕様書(以 降、本仕様書と称します)を定め、Big Advanceサービス(以降、本サービスと称します)を本サービスの利用契約の締結いただいた者(以降、契約金融機関と称しま す)に提供します。また、本仕様書は「ソフトウェア使用許諾契約」の一部を構成するものとします。当社は、本サービス内容の変更に伴い、本仕様書を変更することができるものとします。変更があった場合、当社は本サービスへの掲示又は別途方法により契約金融機関に通知するものとし、本仕様書の変更は、本サービスへ変更後の仕様書を掲示した時から適用されるものとします。


1.2 用語の定義


No.

用語

説明

1

平日

土・日曜日・祝日および年末年始(12月29日から1月3日)を除いた日

2

管理者

契約金融機関にて決定したシステム管理者あるいは運用管理者

3

会員企業

本サービスの機能を利用する会員


1.3 関連文書

本サービスの提供条件は、以下の文書に定めています。サービスのご利用にあたっては、事前に内容をご確認ください。サービスの利用申込により、以下の文書に同意したものとみなします。


①ソフトウェア使用許諾契約書

②Big Advance運営規約


1.4 本サービス提供の前提条件

当社は、本サービスを提供するにあたり、外部サービス「AWSサービス」を前提条件として利用しております。当社は、利用する外部サービスについて、その変更、中 断、および終了を、自己の裁量で自由に決定できるものとします。なお、サービス変更やサービス停止などにより、当社が必要だと判断した場合には、別途ご連絡をさせて頂きます。また、これらのサービスのメンテナンスや障害に起因する本サービスの全停止や一部停止、不具合については、当社はこれを事前に検知できない場合があります。


2 サービスの内容・範囲

2.1 サービス内容

金融機関の取引先の課題を様々な機能で解決するWEBプラットフォーム


2.2 アウトプットイメージ

管理者は提供される管理画面を通じて各機能に応じたサービス運用及び、適切に会員企業のサイト内でのサポートを行うものとします。

2.3 推奨ブラウザ

本サービスの利用にあたっては、より安全で快適にご利用いただくために下記のブラウザを推奨します。


Microsoft Edge最新版,Firefox最新版,Google Chrome最新版,Safari最新版


3 導入

3.1 初期導入作業

サービス開始にあたり、以下の作業を実施します。

(1)別途契約したソフトウェア使用許諾契約書に定めた事項


4 サービス提供時間と計画停止

4.1 サービス提供時間

365日、0:00~24:00 ※毎週月曜22:00~24:00の計画停止を除く


4.2 計画停止


4.2.1 メンテナンス時間


毎週月曜22:00〜24:00において、メンテナンスのためシステムサービスを計画停止できるものとします。


4.2.2 リリース作業


新機能リリースの際に、システムサービスを計画停止できるものとします。(不定期)

4.3 お問い合わせ時間・体制

4.3.1 サポート対象

管理者からの問合せのみサポート対象とさせていただきます。

本サービスを利用する会員の問合せの一次窓口は契約金融機関とします。


4.3.2 サポート提供時間帯

項目

内容

受付方法および受付時間帯

メール:24時間365日電話:平日10時~17時

応対時間帯

平日10時~17時


4.3.3 体制

下図の体制にて、問合せを電話あるいはメールにて受付けます。スケジュールを考慮した上で回答への対応を実施します。調査が必要となる場合や業務負荷状況により、回答に時間を要することが見込まれる場合は、その旨の一次回答を速やかに実施します。回答の対応完了は、管理者に確認をした上で完了とします。




図1:体制図

※AP運用:アプリケーション運用


4.4 サービス停止

メンテナンス時間以外において、メンテナンスやそれに伴うサービス停止が必要な場合は、原則5営業日前までに指定された連絡先にメールで通知いたします。ただ し、緊急を要する場合には、通知から実施までの期間が5営業日未満であっても作業

を実施できるものとします。なお、エンドユーザおよびAPI利用企業へのサービス停止通知は必要に応じて、契約金融機関より行うものとします。


4.5 障害対応時間・体制

障害検知や一次切分け等の障害監視業務は、AWS運用管理ツールを適用して時間短縮を図ります。障害監視は、24時間365日のツール監視体制を取ります。また、夜間休日時間帯の障害対応については、利用部門の業務に支障をきたす重大障害に関して、システム統括がアプリケーション運用(以下、AP運用)、あるいは基盤運用と協議した上で、最大限取り組みます。AWS対応は、保守契約にて取交わされた時間内とします。


5 運用監視サービス

項目

内容

システム監視時間

24時間365日

システム監視項目

死活監視、リソース監視、ジョブ障害監視

システム監視間隔

5分間隔以内

通知時間

平日10時~17時

障害対応時間

平日10時~17時

重要障害の通知

重要障害につきましては、可及的速やかに契約金融機関の管理者へメールにて連絡します(通知時間外の場合には翌営業日になることがあります)。

インシデントにつきましては、障害検知後、当社にて障害対応を実施しますが、アラート通知はしません。

なお、重要障害とは「機器切替等の一次対応では対処できずサービス継続が困難な障害」、インシデントとは「機器切替等の一次対応でサービス継続が可能な障害」とします。


5.1 体制

通常の障害対応手順で対応不可なレベルの障害の場合、AP運用、あるいは基盤運用が中心となって復旧作業に取り組みます。その際、AP運用、あるいは基盤運用は復旧作業に専念し、関係者への連絡や記録については、システム統括が担当します。

(図1ご参照)


(1) 障害検知

障害発砲を検知した場合、障害対応手順に従って発生箇所の切分けや一次対応を実施します。解決しない場合は、システム統括へ連絡します。直接、問合せ窓口から各運用へメールや電話連絡が来る場合もあり、各運用は連絡内容を確実に受付けます。


(2) 障害発生確認

AP運用、あるいは基盤運用は障害状況を把握します。また問合せ窓口から連絡を受けた場合は、障害を確認した旨と対応に着手する旨をメールにて伝えます。さらに各運用は障害発生状況についてシステム統括に電話やメールなどで連絡し、以降の関係者への連絡調整、記録を依頼します。


(3) 原因調査と復旧作業

AP運用、あるいは基盤運用は原因調査と復旧作業に取り組みます。対応状況については、経過報告をシステム統括にメール連絡し、システム統括を通じて関係者へメール連絡します。利用部門その他システム担当部門との連絡調整は、問合せ窓口にて実施していただきます。


(4) 復旧確認

AP運用、あるいは基盤運用は、復旧作業が完了したら、ログや各ステータスに異常が無いことを確認した上で本システムが正常に利用できるかを確認し、その結果をシステム統括にメール連絡します。システム統括は関係者へメール、あるいは電話連絡をします。


5.2 障害時運用

通知方法:障害による影響があった(可能性含む)契約金融機関にメールで通知留意事項:障害報告資料や個別の報告会、問合せ対応等は実施しません。


5.3 監査方針

契約金融機関からの依頼に応じて、監査を受け入れるサービスです。実施内容に応じて、個別にお見積いたします。


5.4 運用設計

システム監視時間 :平日、土曜日及び休祝日の0時00分から24時00分まで

システム監視項目 :プロセス監視、リソース監視、サーバ生死監視、xxx監視、など


5.5 運用体制

(1) 問合せ窓口・障害対応窓口

ココペリ社担当の運用管理業務において、利用部門側の連絡・調整窓口となり、ココペリ社運用部門への的確な業務指示により円滑な運用を推進します。本サービスに関係する利用部門や他のシステム担当部門、業者との調整窓口業務を担当しま す。


(2) システム統括

本サービスに関するシステム統括責任者です。ココペリ社の各運用部門への的確な業務指示により円滑な運用を推進します。


(3) AP運用

本サービス上で稼動するアプリケーションの運用・保守を担当します。問合せ窓口あるいはシステム統括の指示の元で当該業務を実施します


(4) 基盤運用

本サービスの基盤系の運用・保守を担当します。問合せ窓口あるいはシステム統括の指示の元で当該業務を実施します


5.6 システム監視項目

障害、セキュリティ以外の目的で監視しているものは特にありません。


6 セキュリティ

6.1 セキュリティ管理

当社は以下のセキュリティ管理を行うものとします。


6.1.1 不正アクセス

(1) AWSファイヤーウォールサービスを導入し、システム利用目的以外の本サービスへのアクセスをシャットアウトします。

(2) サービスを利用する際には、管理者用IDおよびパスワード、ユーザログインIDおよびパスワードによる認証確認を行います。

(3) DBへのログイン、発行SQLに関するログを取得します。また、合わせてAPから発行するSQLに関するログを取得し、不正アクセスによるデータの流出、改竄についてのトレーサビリティを確保します。

(4) 基盤(OS、DB)のアクセスログは提供できませんが、調査が必要となった際には、syslog、cloudwatch logsを代替ログとして予定しています。


6.1.2 通信傍受

SSLによる通信の暗号化を行います。


6.1.3 アクセスログの管理

アクセスログは1年間保管いたします。それ以上の保管が必要な場合は契約金融機関が管理者APよりダウンロードし、契約金融機関にて保管するものとします。


6.1.4 データの管理

(1) 契約金融機関は、本サービスの利用に伴い当社のデータ・センターとの間で送受信される、またはその他何らかの方法で当社と契約金融機関の間で授受される契約金融機関に関するデータ(以下データと称します)について、自らの負担と責任においてバックアップを行うものとします。

(2) 契約金融機関は、データの内容の適切性を自らの責任において判断のうえ、本サービスを利用するものとします。

(3) 本サービスの利用に起因するデータの滅失または損傷については、当社はいかなる責任も負わないものとします。

6.2 セキュリティ範囲

Big AdvanceのVPC領域を境とする内側の領域をセキュリティ範囲とします。


6.3 責任分解点



6.4 情報の取り扱いと範囲

情報の取り扱いと範囲について次のとおり定めるものとします。

(1) 契約金融機関は、データについて、当社の新たな自社サービスの開発を目的として、分析・解析などにデータを活用することを予め承諾した上で本サービスを利用するものとします。

(2) 契約金融機関は、当社からの要請がある場合、本サービスの履行に必要とされる情報または資料等(以下併せて資料等と称します)を無償で当社に提供するものとします。

(3) 当社は、本サービス遂行上必要な範囲内で資料等を利用できるものとします。

(4) 本サービスの履行にあたり、契約金融機関の事務所等で当社が作業を実施する必要がある場合、契約金融機関は当該作業実施場所(当該作業実施場所における必要な機器、設備等作業環境を含む)を無償で当社に提供するものとしま す。

(5) 契約金融機関が提供した資料等の誤り、または作業実施場所の提供遅延等によって生じた本サービスの履行遅滞等について、当社はその責を負わないものとします。


6.5 ユーザ管理ポリシー

ユーザIDは契約金融機関で管理します。契約金融機関は1利用者につき、1ユーザIDを登録して本サービスを利用するものとします。ユーザIDを他ユーザと共有することはセキュリティの観点から行うことは出来ません。

6.6 パスワードポリシー

契約金融機関およびユーザは以下のポリシーに基づきパスワードを設定するものとします。

(1) 文字長は8文字以上。

(2) ユーザ名と同じパスワードは利用しない


6.7 認証方針

認証方針を次のとおり定めるものとします。

(1) 本サービスへのアクセスを求めるxxxxが、正当なブラウザかどうかを認証し、アクセス権限があるかどうかをチェックします。

(2) 本サービスへアクセスした際には、アクセス権限を有する場合にのみ、アクセスを許可します。

(3) 一方、当該本サービスへのアクセス権限を有していない場合は、アクセスを拒否し、xxxxに対してアクセスを拒否した旨のxxxを返答します。


6.8 アカウント管理

運用管理業務上のアカウントは、「ユーザ一覧表」で管理します。運用アカウントのパスワードを変更する際には、システム統括に実施日時と新パスワードを事前に連絡し、混乱させないよう努めます。また、異常なログイン形跡を検知した際には直ちに調査および対策を実施します。


6.9 安全管理基準

契約金融機関および当社は、秘密の保持および個人情報の保護についての安全管理基準を次のとおり定めるものとします。


(1) 契約金融機関および当社は、秘密情報等を取扱う設備、施設および秘密情報が記録された機器、媒体の保管場所を可能な限り限定するものとします。


(2) 契約金融機関および当社は、保管場所について施錠等の措置を講じるものと し、秘密情報等を取扱う権限者以外の者が許可なく立入らないように入室管理を行うものとします。


(3) 契約金融機関および当社は、秘密情報等にアクセスできる権限者を出来る限り限定するとともに、ID、パスワードその他の認証手段を用いたアクセス制限を行うものとします。


(4) 契約金融機関および当社は、個人情報について、本人その他第三者からその内容の問合せ、修正または削除の要請を受けたときは直ちにその旨を相手方に連絡するものとし、相手方の指示に従うものとします。


(5) 契約金融機関および当社は、秘密情報等に漏洩、紛失、毀損、改竄等の事故が発生した場合または事故の発生の可能性が高いと判断する客観的状況が生じた場合には直ちに相手方に報告するものとします。


(6) 前号の場合、当事者は再発防止のために必要な措置を、自己の責任と負担において講じるものとします。

(7) 当社は、本サービスが終了したときには、すべての秘密情報等(複製物含む)を直ちに契約金融機関に返還し、契約金融機関の指示に従って廃棄するとともに、当社のサーバ等に記録された秘密情報等を消去して復元不可能な状態にするものとします。


(8) 秘密情報等を廃棄、消去した場合は、その旨を報告するものとします。


7 監査協力基準

契約金融機関および当社は、監査協力基準を次のとおり定めるものとします。


(1) 契約金融機関による情報開示請求があった場合には、請求内容を協議のうえ、必要と認められる情報を提供します。


(2) 契約金融機関等の立入監査が発生する場合,立入を協議のうえ、必要と認められる場合、立入を許可します。この時、契約金融機関が直接、立入監査するか、外部の第三者監査により代替するかについても協議可能とします。


(3) 立入に際して発生した費用の負担については、当事者間で協議したうえ、負担の割合を都度決定します。


(4) 立入監査等により判明した指摘事項については、対応の是非を含め協議のうえ、必要と認められる対応について、合理的な対応期間を定め、期間内に対応します。


(5) サービス技術に関する重要な脆弱性が判明した場合等、契約金融機関への影響確認が発生する場合、確認内容を協議のうえ、影響確認に協力します。この時、契約金融機関が直接、影響確認するか、臨時の第三者監査により代替するかについても協議可能とします。


(6) 影響確認に際して発生した費用の負担については、当事者間で協議したうえ、負担の割合を都度決定します。


(7) 金融監督当局の検査等が発生した場合、その協力について協議の上、必要と認められる協力を実施します。


(8) 当局検査等の指摘事項については、速やかに改善を図ります。


(9) 契約金融機関の方針変更になど事由により、ココペリとの契約続行が困難になる場合、移行すべきデータの抽出方法の提供や移行作業への協力は、協議のうえ、必要と認められる提供、あるいは協力を実施します。


(10) 移行作業にかかる費用が発生した場合は、当事者間で協議の上、負担の割合を都度決定します。


(11) 契約の解約、あるいは指示のあったデータ消去を実行する場合は、依頼に応じて消去証明書に相当する消去作業の履歴を提出します。

Document Metadata

Filed: March 18th, 2023