SQL インジェクションや XSS による攻撃を回避するように API サー 構築。ロードバランサーに AWS 推奨の基本ルールにより保護を適用
クラウドサービス「BPM+」利用規約
第1条(本規約の目的)
本規約は、株式会社ドゥエピオン(以下「当社」といいます。)の提供するクラウドサービスのBPM+(以下「本サービス」といいます。)について定めるものとします。
第2条(用語の定義)
本規約においては、次の用語はそれぞれ次の意味で使用します。
⑴ 利用契約:本規約に基づき当社と契約者との間に締結される本サービスの提供に関する契約
⑵ 申込者:当社に本サービスの提供を申し込む法人、機関等
⑶ 契約者:利用契約を当社と締結し、本サービスの提供を受ける法人、機関等
⑷ 利用ユーザ:契約者が承認し、本サービスを利用する者
⑸ ユーザID:契約者が指定する利用ユーザを識別するために用いられる符号
⑹ サブスク型:月額料金の支払いにより本サービスを月単位で利用すること
⑺ 買い切り型:全額料金の支払いにより本サービスを利用契約終了までの間、継続的に利用すること
第3条(本規約の適用)
1 当社は、利用契約の内容に従って本サービスの提供を行い、契約者は利用契約および当社が定める条件にてこれを利用するものとします。
2 本サービスの詳細については、別紙Aに記載するものとします。別紙Aは、利用契約の一部を構成するものとします。
第4条(本規約の変更)
1 当社は、契約者の事前の承諾を得ることなく、本規約を随時変更できるものとします。本規約が変更された後のサービスの提供条件は、変更後の新利用規約に従うものとします。
2 当社は、前項の変更を行う場合は、14日以上の予告期間をおいて、変更後の新利用規約の内容を契約者に通知または本サービス上に表示するものとします。ただし、本規約変更が、契約者の利益になるときは、予告期間を定めないことができるものとします。
3 契約者が変更後の規約に同意できないときは、第30条の規定にかかわらず、前項の予告期間中に当社に通知することによって、利用契約を解除することができます。
第5条(利用契約の申込み)
1 申込者は、本規約の内容を承諾の上、当社が定める方法により、本サービス利用のための申込みを行うものとします。利用契約は、当社が当社所定の手続によって申込みを承諾したときに成立します。本規約は、利用契約の一部を構成します。
2 当社は、前項の規定にかかわらず、次の場合には、その利用契約の申込みを承諾しない、あるいは承諾を留保することがあります。
⑴ 申込者が実在しない場合
⑵ 当社所定の利用申込書に虚偽の記載または記入漏れがある場合
⑶ 申込者が過去に本サービスの代金支払いを遅延し、または不正に免れようとしたことがある場合
⑷ 本サービスの利用目的が、評価、解析その他本来の目的と異なるものであると疑われる場合
⑸ 申込者またはその代表者、役員において、反社会的勢力(暴力団、暴力団員等をいう。)に該当するときまたはそのおそれがあるとき
⑹ その他当社が不適当と判断する相当の理由がある場合
3 前項に従い、当社が利用契約の申込みを承諾せず、あるいは承諾を留保する場合は、その旨を申込者に通知します。ただし、当社は、承諾をしなかったことあるいは承諾を留保したことによる責任は負いません。
第6条(利用契約の期間)
1 サブスク型での利用契約の契約期間は、本サービスの利用開始日(利用開始の申込みに対して当社が承諾した日または当社と契約者との間で合意した日をいいます。)から1か月とします。ただし、契約の始期が月の途中の場合は、初月については、始期の属する月の月末までを1か月とします。
2 サブスク型の利用契約の契約満了日の1週間前までに、契約者から当社に対して、当社の指定する方法で解約の申し込みがなかった場合には、利用契約の契約満了の日の翌日を契約更新日として、同一の内容・条件にて利用契約が1か月間更新されるものとし、以降も同様とします。
3 買い切り型の利用契約の契約期間は、本サービスの利用開始日(利用開始の申込みに対して当社が承諾した日または当社と契約者との間で合意した日をいいます。)から利用契約が終了するまでの間、継続的に使用することができます。第7条(サービスの範囲)
1 当社は、当社指定の条件下で、契約者が管理する端末機器(デスクトップ型またはノート型のパソコンをいう。以下「端末機器」と言います。)から電気通信回線を経由して当社の指定サーバに接続することにより、本サービスを利用することのできる環境を提供します。
2 契約者は、本サービスを、第三者が提供するOS及びその他ミドルウェア等を含むプラットフォーム(以下「プラットフォーム」といいます。)を通じて、端末機器で利用することができます。当社は、本サービスが全ての端末機器に対応している事を保証するものではなく、プラットフォームの性能、内容、継続性について何ら保証しません。プラットフォームの全部または一部について、バージョンアップ、不具合その他の理由による中止、停止によって、契約者が端末機器を用いて本サービスを利用できなくなった場合であっても、当社はその責任を負いません。
第8条(利用制限)
1 本サービスは、契約者自身の業務での利用を目的として提供されるものであり、商業目的で使用(第三者に対してサービス等を提供することなど)することはできません。
2 契約者による本サービスの利用は端末機器から当社指定のURLへ接続することにより行われるものとし、第7条2項に定める端末機器で利用するため
のプラットフォームを除き、本サービスを構成するソフトウェア自体をダウンロードしたり、コピーする等の方法により本サービスを構成するソフトウェアを入手することはできません。
3 契約者は、同一のユーザIDを同時に用いて、複数の端末機器から同時に本サービスを利用することはできません。
4 契約者は、本サービスを、契約者の役員または従業員(契約者の業務実施地域内で契約者の職務に従事するものを含む。)に対してのみ使用させることができるものとし、その他の第三者に対して使用させることはできません。
5 契約者は、利用ユーザに対し、本規約に定める条件を周知し、これに従わせるものとします。
第9条(本サービスの変更)
当社は、本サービスの機能追加、改善を目的として、当社の裁量により本サービスの一部の追加・変更を行うことがあります。ただし、当該追加・変更によって、変更前の本サービスのすべての機能・性能が維持されることを保証するものではありません。
第10条(ユーザIDおよびパスワード)
1 ユーザIDおよびパスワードは、当社が定める方法および使用条件に基づいて当社が付与するものとします。
2 契約者は、自らの管理責任により、利用ユーザのユーザIDおよびパスワードを不正使用されないよう厳格に管理するものとします。
3 契約者は、いかなる場合においても、ユーザIDを第三者に開示、貸与することはできません。
4 当社は、当社の責めに帰すべき事由による場合を除き、ユーザIDおよびパスワードの不正利用によって契約者に生じた損害について責任を負いません。当社は、当社の責めに帰すべき事由による場合を除き、ユーザIDとパスワードの認証を行った後に行われた本サービスの利用行為については、すべて契約者に帰属するものとみなすことができます。
第11条(ユーザIDの追加・削除)
1 契約者は利用契約に定めるユーザIDの上限数を、当社が定める方法によって申し込むことにより、追加または減少させることができます。その場合における申込手続等については第5条を準用します。
2 当社が前項の申込みに対して承諾したときは、契約者は、追加・削除後のユーザID数に基づき、本サービスの利用料金を支払うものとします。
第12条(管理責任者)
1 契約者は、本サービス利用に関して管理責任者を定め、当社に書面で届け出るものとし、当社への連絡等は、当該管理責任者を通じて行うものとします。
2 契約者は、管理責任者に変更が生じた場合には、当社に対し、速やかに通知するものとします。
3 契約者は、管理責任者をして、利用規約の遵守を管理監督させるものとし、管理責任者の意思表示、通知、その他一切の行為について、契約者としての責任を負います。
第13条(利用ユーザ)
1 管理責任者は、利用ユーザを定め、当社に対し、当社が指定する方法で申請します。当社は申請された内容を確認し、管理責任者にユーザIDとパスワードを連絡します。なお、利用ユーザに変更があった場合も同様とします。
2 管理責任者は、ユーザIDの管理、および利用ユーザによる本サービスの利用について責任を持ち、責任の範囲において不正利用等が発生しないようにします。
第14条(電気通信回線)
契約者が使用する端末機器から本サービスに接続する電気通信回線は、契約者自身の責任と費用負担において、確保、維持されるものとし、当社は一切の責任を負いません。
第15条(データ管理)
1 契約者は、本サービス利用に関連して入力、提供または伝送するデータ等について、必要な情報は自己の責任で保全しておくものとします。
2 当社は、契約者が利用する情報に関して、本サービスを提供する設備等の故障等により滅失した場合に、その情報を復元する目的でこれを別に記録して一定期間保管しますが、復元の義務を負うものではありません。
3 当社は、障害、誤操作等による滅失からの復旧を目的として、契約者の入力、登録したデータを保存するためのバックアップ機能を当社の定める内容にて提供します。ただし、すべてのデータが当該機能によって保存、復元されることを保証するものではありません。なお、当該機能によって復元をする場合は、当社が有償で対応します。
第16条(個人情報及び秘密情報の管理)
1 当社は、本サービスに入力されるデータに個人情報が含まれていた場合、本サービスの提供の目的以外で利用しないものとし、個人情報の保護に関する法律および当社個人情報保護方針に基づいて、紛失・破壊・改竄・漏洩等の危機から保護するための合理的な安全管理措置を講じ、厳重に管理するものとします。
2 当社は、本サービスの提供のため必要がなくなった個人情報に関して、一切のコピーを残すことなく、当社責任のもとで速やかに破棄するものとします。
3 当社は、別紙Aに定義する秘密情報についても、第1項と同等の措置を講じ、第2項記載の時期及び方法で破棄するものとします。
4 本条の規定は、利用契約が終了した後も有効に存続するものとします。
第17条(当社による情報の管理・利用)
1 当社は、本サービスの改良、サービスの維持管理等を目的とする統計調査のため、契約者の本サービスの利用状況、画面・項目の利用頻度等の統計数値を利用し、あるいは統計調査に必要な限度でこれらの情報を解析し、二次加工して活用するものとし、契約者はかかる統計調査、二次加工活用を行うことに同意します。
2 当社は、契約者が入力したデータに関し、善良な管理者による注意をもって機密保持とその管理に努めるものとします。
3 契約者は、当社が、裁判所、その他の法的な権限のある官公庁の命令等によ
り契約者が入力したデータの開示ないし提出を求められた場合は、かかる命令等に従って契約者が入力したデータの開示ないし提出をすることがあることを承諾し、かかる開示ないし提出に対して異議を述べないものとします。
第18条((本サービスの利用料金、算定方法等)
本サービスの利用料金、算定方法等は、別紙Bの料金表に定める通りとします。ただし、個別の利用料金は、申込時に定めた利用料金の通りとします。
第19条(利用料金の支払方法)
1 契約者は、利用契約が成立した日から起算して利用契約の終了日までの期間について、本サービスの利用料金およびこれにかかる消費税等(以下「利用料金等」といいます。)を支払うものとします。
2 利用契約の契約期間において、本サービスの提供の休止、中止その他の事由により本サービスを利用することができない状態が生じたときであっても、契約者は、契約期間中の利用料金等を支払うものとします。
3 契約者は、本サービスの利用料金等を、当社からの請求書に従い当社が指定する期日までに当社指定の金融機関に支払うものとします。なお、支払に必要な振込手数料その他の費用は、契約者の負担とします。
第20条(遅延損害金)
契約者が、本サービスの利用料金等を所定の支払期日が過ぎてもなお支払わない場合、契約者は、所定の支払期日の翌日から支払日の前日までの日数に、年
14.6%の利率で計算した金額を遅延損害金として、支払うものとします。
第21条(委託)
当社は本サービスの提供に関する業務の全部もしくは一部を契約者の承諾なしに、第三者に委託することができます。ただし、その場合、当社は責任をもって委託先を管理するものとします。
第22条(禁止行為)
契約者は、本サービスを利用するにあたり、以下の行為を行わないものとします。
⑴ 法令に違反する行為またはそのおそれがある行為
⑵ 公序良俗に反する行為
⑶ 他の契約者の利用を妨害する行為またはそのおそれがある行為
⑷ 本サービスを構成するハードウェアまたはソフトウェアへの不正アクセス行為、クラッキング行為その他設備等に支障を与える等の行為
⑸ 本サービスの提供を妨害する行為またはそのおそれがある行為
⑹ 本サービスを構成するソフトウェアの解析、リバースエンジニアリングその他ソースコードを入手しようとする行為
⑺ 他人のユーザIDを使用する行為またはその入手を試みる行為
⑻ 他の契約者のデータを閲覧、変更、改竄する行為またはそのおそれがある行
為
第23条(知的財産権)
本サービスを構成する有形・無形の構成物(ソフトウェアプログラム、データベース、アイコン、画像、文章、マニュアル等の関連ドキュメント等を含む。)に関する著作権を含む一切の知的財産権、その他の権利は、当社または当社に許諾した第三者に帰属します。
第24条(侵害の場合の責任)
本サービスの利用に関して、第三者から契約者に対して知的財産にかかるクレーム、その他の請求が発生した場合、契約者はただちに当社に書面で通知するものとし、当社はその責任と負担においてかかるクレーム等を処理するものとします。ただし、かかるクレーム等の発生が契約者自身の責めに帰すべき事由に基づく場合および契約者が当社にクレーム等の発生を速やかに通知しない等の事由により当社が適切な防御を行う機会を逸することになった場合は、この限りではありません。
第25条(自己責任の原則)
1 契約者は、本サービスの利用および本サービス内における一切の行為(情報
の登録、閲覧、削除、送信等)およびその結果について、一切の責任を負います。
2 契約者は、本サービスの利用に伴い、自己の責めに帰すべき事由で第三者に対して損害を与えた場合、または第三者からのクレーム等の請求がなされた場合、自己の責任と費用をもって処理、解決するものとします。
3 契約者は、契約者がその故意または過失により当社に損害を与えた場合、当社に対して、当該損害の賠償を行うものとします。
第26条(保証の制限)
1 当社は、本サービスが、重要な点において、実質的に正常に提供されることを保証します。
2 当社は、本サービスを構成するソフトウェアにバグ等の不具合のないことや、本サービスが契約者の特定の利用目的に合致することを保証するものではありません。また、当社は、端末機器において他のソフトウェア等が使用ないし併用された場合の、本サービスの正常な動作を保証するものではありません。
3 本サービスに重要な不具合が認められた場合における当社の責任は、商業的に合理的な範囲内において、本サービスの修正ないし不具合の除去の努力をすることに限られるものとします。
4 本条は、本サービスに関する唯一の保証について述べたものです。
第27条(免責および損害賠償の制限)
1 当社は、本規約の各条項に従って制限された限度においてのみ、本サービスについての責任を負うものとします。当社は、本規約の各条項において保証しないとされている事項、責任を負わないとされている事項、契約者の責任とされている事項については、一切の責任を負いません。
2 当社は、当社の責めに帰すべき事由によって本サービスに関して契約者に損害が生じた場合であっても、当社に故意または重過失がある場合を除いて、その賠償責任は、契約者が当社に対して支払った過去6か月分の利用料金を上限とします。
3 当社が責任を負う場合であっても、契約者の事業機会の喪失、逸失利益、データ滅失・損壊によって生じた損害は、契約責任、不法行為責任その他請求の原因を問わず、賠償の対象外とします。
第28条(本サービスの休止)
1 当社は、定時にまたは必要に応じて、保守作業のために、本サービスを一時的に休止することができるものとします。
2 当社は、保守作業を行う場合には、事前に契約者に対してその旨を通知するものとします。ただし、緊急の場合には、事前の通知をすることなく本サービスを休止し、事後速やかに契約者に通知するものとします。
3 第1項に定めるほか、当社は、第三者による妨害行為等により本サービスの継続が契約者に重大な支障を与えるおそれがあると判断される場合、その他やむを得ない事由がある場合にも、本サービスを一時的に休止することができるものとします。
4 当社は、本条に基づいてなされた本サービスの休止によって契約者に生じた不利益、損害について責任を負いません。
第29条(本サービスの廃止)
1 当社は、本サービスの一部または全部を何時でも廃止できる権利を有します。
2 本サービスの一部または全部を廃止する場合、当社は廃止する3か月以上前に当該サービスの契約者に対して通知を行います。
3 当社が予期し得ない事由または法令・規則の制定・改廃、天災等のやむを得ない事由で、サービスを廃止する場合において3か月以上前の通知が不能な場合であっても、当社は可能な限り速やかに契約者に対して通知を行います。
4 本条に定める手続に従って通知がなされたときは、当社は本サービスの廃
止の結果について何ら責任を負いません。
第30条(契約者が行う解除)
サブスク型の契約者は、契約期間中は、利用契約を解除することができません。買い切り型の契約者は、契約者の都合により利用契約を解除しようとする場合 は、解除しようとする日の14日前までに、当社の指定する方法により、その旨 を通知するものとします。
第31条(当社が行う解除)
1 当社は、契約者が次の各号のいずれかに該当すると判断した場合、契約者への催告を要することなく利用契約の全部もしくは一部を解除することができるものとします。
⑴ 当社の事業に支障を与える行為を行った場合
⑵ 重要な財産に対する差押、仮差押、仮処分、租税滞納処分、その他公権力処分を受け、または破産手続開始、民事再生手続開始、会社更生手続開始もしくは特別清算開始の申立てが行われた場合
⑶ 解散もしくは事業の全部を譲渡し、またはその決議がなされた場合
⑷ 自ら振り出しもしくは引き受けた手形または小切手が不渡りとなる等支払停止状態に至った場合
⑸ 監督官庁から営業停止、または営業免許もしくは営業登録の取消しの処分
を受けた場合
⑹ 第5条第2項各号に掲げる事由の一つがある場合
2 当社は、契約者が利用契約等に違反し、または契約者の責めに帰すべき事由によって本サービスの提供を継続し難い重大な事由が発生し(以下「違反等」といいます。)、当該違反等について、書面による催告をしたにもかかわらず14日以内にこれを是正しないときは、利用契約の全部もしくは一部を解除することができるものとします。
第32条(契約終了後の処理)
1 契約者は、理由の如何を問わず利用契約が終了した場合、ただちに本サービス利用を終了し、以後、本サービスを利用することはできません。
2 当社は、理由の如何を問わず利用契約が終了した場合、本サービスに格納された一切のデータを契約終了日から30日後に当社の責任で消去するものとします。
3 当社は、本条に基づいてデータを消去したことによって契約者に生じた損害を賠償する義務を負わないものとします。
4 前各号にかかわらず、契約者が契約終了日から14日前までに当社に通知した場合は、本サービス内に格納されたデータを有償で提供します。この場合、提供の下記の条件について協議の上決定します。
⑴データ形式、⑵提供方法、⑶料金および支払条件
第33条(通知)
本サービスに関する通知その他本規約に定める当社から契約者に対する通知は、電子メールによる方法その他当社の定める方法によって行うものとします。通知は、当社からの発信によってその効力を生ずるものとします。
第34条(権利義務の譲渡の禁止)
契約者は、利用契約の契約上の地位を第三者に承継させ、または利用契約に基づく権利義務の全部または一部を第三者に譲渡し、承継させ、または担保に供してはならないものとします。
第35条(不可抗力)
当社は、天災、法令・規則の制定・改廃、その他の不可抗力によって本サービ スの履行が妨げられた場合には、利用契約その他の一切の規定にかかわらず、か かる不可抗力によって契約者に生じた損害について一切の責任を負担しません。
第36条(協議)
本契約の会社について両当事者間に異議、疑義が生じた場合、または本規約に定めのない事項が生じた場合、誠実に協議し、円満にその解決を図るものとします。
第37条(準拠法および裁判管轄)
利用契約に関する事項については、日本法を準拠法とし、東京地方裁判所を第xxの専属的合意管轄裁判所とします。
別紙A 第3条(本規約の適用)関係
1 サービスの種類及び内容は以下のとおりとします。本サービスの種類及び内容
本サービスの種類及び内容は以下の通りとし、詳細は「当社が契約者に提供する運用マニュアル」によるものとします。
BPM+(クラウド型ソリューション)業務フロー自動作成サービス
2 本サービス利用可能時間
年間通して利用可能 ※メンテナンス等の事情により利用できない場合を除く
3 セキュリティ
AWS(Amazon Web Services)の仕様に準拠します。
<ネットワーク>
⑴ ファイアウォール
セキュリティグループでxxx自身への直接アクセスを拒否するよう
制限。
一般的な SSH サービスも有効化していないため、コンソール利用が必要な場合は SessionManager 経由でログイン。
⑵ WAF(Amazon WAF)
SQL インジェクションや XSS による攻撃を回避するように API サー
バーを
構築。ロードバランサーに AWS 推奨の基本ルールにより保護を適用
<サーバー>
⑴ API サーバ
Amazon ECS ベース OS:DebianLinux12
⑵ web サーバ
Amazon Amplify
⑶ サーバーリソースアクセス保護
SessionManager 経由でログインを採用。
IAM による認証と AWS アカウントとの連携を組み合わせ、不必要なユーザや退職者にアクセス権限を付与するリスクを回避
⑷ DB 自動パッチ適用
マイナーバージョンの自動アップデートを有効化。
週1回のメンテナンス枠で適用。
⑸ DB アクセスの保護
インターネットからのパブリックアクセスは許可せず、アクセス元も API サーバのみに限定。DB の操作は SessionManager 経由で操作。
4 データ管理
当社がデータのバックアップに関するサービス内容は以下のとおりとします。
⑴ データのバックアップ対象と保存期間
対象データ | 保存期間 | 備考 |
BPMN、SEQ | 1 日 | 日次バックアップ (23:00~2:00 の間)を実施 ※障害発生時は原則 35 日間 データを保持 |
5 秘密情報
当社は、第16条(個人情報及び秘密情報の管理)第3項の定めに基づき、以下の情報を秘密情報として取り扱うものとします。
ア BPM+を使用して登録した内容
別紙B 料金表 第18条(本サービスの利用料金・変更)関係
料金表
契約タイプ | 料金(消費税別) |
サブスク型 | 20,000 円/ID |
買い切り型 | 100,000 円/ID |