Ernst & Young LLP Suite 1600 560 Mission Street San Francisco, CA 94105-2907 Tel: +1 415 894 8000 Fax: +1 415 894 8099 ey.com 独立した業務責任者のTrustサービス保証報告書 セールスフォース・ドットコム社 取締役会御中 当監査法人は、米国公認会計士協会(AICPA)のTSPセクション100によるTrustサービスTMのセキュリテ ィ、可用性、処理の完全性、機密保持及びプライバシーの原則及び規準に基づき、平成24年11月から 平成25年4月30日までの期間において、セールスフォース・ドットコム社が、下記について合理 的な保証をするための有効な内部統制を維持していることについて記載された経営者の記述書につい て検証を行った。 セールスフォースサービスシステムの機密として指定された情報は、表明または合意さ れた通りに保護されていた。 セールスフォースサービスシステムは、表明または合意した通りに運用され、使用が可 能であった。 セールスフォースサービスシステムは未承認のアクセス、使用、変更から保護されてい た。 この経営者の記述書の作成責任はセールスフォース・ドットコム社の経営者にある。当監査法人 の責任は当該監査法人の実施した手続きに基づいて結論を報告することにある。 当監査法人の検証は、米国公認会計士協会によって確立された証明規準に準拠して実施され、(1)セ ールスフォース・ドットコム社の対象となるシステムの機密保持、可用性及びセキュリティに関する 内部統制を理解し、(2)内部統制の運用の有効性をテストし評価し、(3)当監査法人が状況により必要 と認めたその他の手続を実施したこと、を含んでいる。当監査法人は検証結果として結論を報告するた めの合理的な基礎を得たと判断している。 内部統制の固有の限界のため、発見されていないエラーや不正が存在するかもしれない。さらに、当監 査法人の発見事項に基づいたいかなる結論も、その将来にわたる正当性は、システムまたは統制に加 えられる変更、処理要件の変更、あるいはシステムの変更を必要とする障害に起因して改められるかも しれないというリスクに左右される。 当監査法人は、上記の経営者の記述書がAICPA/のTrust サービスの機密保持、可用性及びセキュ リティの規準に基づいて、全ての重要な点において適正に表示しているものと認める。 セールスフォース・ドットコム社のWeb サイト上のSOC 3 SysTrust シールは、この保証報告書 の内容を象徴的に表示しているが、この保証報告書の変更又は追加的な保証を提供することを 意図したものではなく、またそのような解釈をすべきではない。 ey 2014年7月8日 A member firm of Ernst & Young Global Limited セールスフォースサービスのシステム概要 背景 セールスフォース・ドットコム社(以下、「セールスフォース・ドットコム」)は、カリフ ォルニア州サンフランシスコに本社を構え、セールスフォースサービス(Salesforce、 Force.com、Site.com、Database.com、Sales Cloud及びChatter)を手掛けるソーシャル及びモバイ ル・クラウド・サービスのプロバイダーである。 インフラストラクチャ セールスフォースサービスでは2層アーキテクチャが採用され、ウェブ/アプリケーションサ ーバとデータベースサーバで構成されるプロプライエタリ・アプリ―ションを含んでいる。さ らに、セールスフォース・ドットコムは自動化されたシステムを活用し、セールスフォースサ ービスのセキュリティ、可用性及びパフォーマンスを監視している。 セールスフォースサービス セールスフォース・ドッコムはエンタープライズ・クラウド・コンピューティングの会社で あり、クラウド技術上で以下のソリューションを提供している。 Sales Cloud – 手動または反復的な作業の自動化と、既存の顧客や潜在顧客についての体 系化された詳細なデータへのアクセスによって、営業責任者や営業担当者の生産性を改 善する。Sales Cloudは、パートナー管理機能や、自動化されたマーケティングの機能も 装備している。 Service Cloud – クラウド・コンピューティング・プラットフォームであり、幅広いサー ビス領域(コールセンターからソーシャルネットワークまで)に関するカスタマーサー ビスインタラクションの包括的なソリューションを提供している。 Force.com(プラットフォーム・サービス) – ソーシャルでモバイルかつリアルタイムな業 務アプリケーションの構築と運用のためのクラウド・プラットフォームである。 Chatter – 自社内でコミュニケーションが取れるコラボレーション・クラウドである。従 業員や社内グループ、重要文書、重要な商談や顧客情報等の情報が瞬時に更新されるた め、ユーザは社内で何が起きているのかをリアルタイムで把握することができる。 Database.com – ソーシャル・エンタープライズをオープンかつ規模の変化に対して柔軟 に統合するマルチテナント・クラウド・データベースである。オープンAPIによって、 One Market Street | Suite 300 | San Francisco CA | 94105 | USA | salesforce.com /Salesforce @salesforce あらゆる言語、あらゆるプラットフォームでアプリケーションを構築でき、あらゆるモ バイル機器に組み込むことができる。 Site.com – 企業、ソーシャルモバイル及びマイクロサイトとして掲載される単一サイト の作成支援をする。ビジネスユーザが内容の編集をするにあたり支援は必要なく、「ド ラッグ&ドロップ」を使って、素早くコンテンツの追加や変更をすることができるた め、計画的なダウンタイムも必要ない。 サービスの範囲 セールスフォースの製品は、クラウドサービスモデルを通して提供されている。このサービ ス提供方式において、セールスフォース・ドットコムは、インフラストラクチャ(セールスフ ォースのインフラを構成するハードウェア及びソフトウェア)、データセキュリティ、データ ストレージ及びサービス管理プロセス(インフラ・システムの運用と管理、システム・ソフト ウェア・エンジニアリングのライフサイクル)を含むあらゆるサービスの提供について責任を 負っている。 顧客は、その企業のForce.comプラットフォーム・インスタンスとインストールされたアプリ ケーションを管理し、セットアップ機能、アプリケーション開発ツール、API統合ツールの利用 を通じて、セキュリティ統制の構築またはプロセスの自動化を確立するためにセールスフォー スの導入設定を行うことに責任を負っている。 Force.com Force.comプラットフォームは、組織のインスタンスに対応するセールフォースアップリケ― ションの基盤であり、セキュリティ統制を提供する。Force.comプラットフォームは、開発者が 要望に充分に応じてビジネスアプリケーションを開発、提供することを可能とする。このプラ ットフォームには、限られたプログラミング経験しかない顧客がビジネス上の問題を解決する 為の支援ツールとして、簡易機能(easy‐to‐use)やポイント&クリック(point‐and‐click)といったカ スタマイズ・ツールが含まれている。 Database.com Database.comプラットフォームはセールスフォース・ドットコムの最小限のプラットフォーム であり、クラウド上で開発するための低コストのオプションを提供している。このプラットフ ォームは各種APIを有し、あらゆるモダンなフレームワーク、言語、機器からアクセスすること が可能である。顧客は、アプリケーション経由でデータを抽出し、モバイル機器に更新データ One Market Street | Suite 300 | San Francisco CA | 94105 | USA | salesforce.com /Salesforce @salesforce を安全にストリームすることができる。自動化されたチューニング、スケーリング、バックア ップ、リカバリー機能を有しており、ユーザが保存を選択したデータは、容易かつ安全にデー タをビジネスコミュニティー内で共有することができる。 Site.com Site.comは企業、ソーシャルモバイル及びマイクロサイトとして掲載される単一サイトの作 成支援をする。ビジネスユーザが自身の内容の編集をすることができ、「ドラッグ&ドロッ プ」を使って、素早くコンテンツの追加または変更をすることができるため、サイト変更の為 の計画的なダウンタイムも必要ない。 Applications and Chatter セールスフォース・ドットコムは、Chatterのようなカスタムアプリケーションをプラットフ ォーム上で開発しており、セキュリティ統制はそのプラットフォームに依拠している。これら のアプリケーションはプラットフォームの能力をSalesforce.comへ適用させることで営業、マー ケティング、パートナー関係管理、顧客支援といった企業の顧客関係管理アプリケーションを 促進する。 Chatterのコラボレーションツールを使うことで、ユーザはファイルを瞬時かつ安全 に共有することができる。こうしたサービスデリバリーモデルにおいて、セールスフォース・ ドットコムはインフラストラクチャ(Salesforceインフラストラクチャを構成しているハードウェ アとソフトウェア)、データセキュリティ、サービス管理プロセス(インフラストラクチャの運 用と管理、及びシステム・ソフトウェア・エンジニアリングのライフサイクル)を含むあらゆる サービスデリバリレイヤに責任を負っている。 Data 顧客情報は、すべて電子データ、あるいは顧客からセールスフォース・ドットコムへ提出さ れた情報として定義され、極秘の取り扱いとされている。物理的及び論理的アクセスの統制を 通じて、極秘情報へのアクセスは必要に応じて許可された者に限定されている。 People テクノロジー管理機能は、Salesforce Serviceの主要な構成要素である。この管理機能は、 Salesforce Serviceの開発、運用における適切な職務分掌を保証する機能を担っている。テクノロ ジー管理機能における支援、保守、インフラストラクチャの提供に係る主な責任は以下の通り である。 One Market Street | Suite 300 | San Francisco CA | 94105 | USA | salesforce.com /Salesforce @salesforce 開発-Salesforce Serviceのコードの開発、保守、及び技術仕様書を作成する。 プログラム管理-Salesforce Serviceにおけるプロジェクト管理、リスク管理、リリース/デ プロイ管理及び、ステータス・レポートの促進を行う。 製品管理-Salesforce Serviceシステムの開発活動の為の製品管理書と機能仕様書を提供す る。 クオリティエンジニアリング-職制、職責に基づいたテスト環境、ステージ環境、本番環 境におけるソフトウェア開発サービス及び、製品の品質保証。 リリースエンジニアリング-本番環境へのリリースを展開する責任。 インフラストラクチャエンジニアリング- インフラストラクチャの構成、拡張性、災害復 旧計画、操作に関する懸念事項の検討に対する責任。担当グループが24時間365日の支援を データセンター、ネットワークオペレーションに対して実施し、システム、ネットワー ク、運用監視、システムバックアップに関する問題に対して第一対応者として対応を実施 する。 One Market Street | Suite 300 | San Francisco CA | 94105 | USA | salesforce.com /Salesforce @salesforce
© Copyright 2024 ExpyDoc
