セキュリティ追加条項

TiDB Cloudセキュリティ追加条項 (以下「本追加条項」という。) は、お客様とPingCAPとの間で締結されるTiDB Cloudサービスに関する適用契約 (併せて締結されるデータ処理契約を含む。) (「本契約」という。) の一部を構成し、ここに組み込まれる。本追加条項は、PingCAPがクラウドサービス、サポートサービス、及びコンサルティングサービスにおいて処理するお客様コンテンツ (本契約で定義される。)、及び当該コンテンツに含まれるCSA個人データの保護に関する条件を定めるものである (以下「TiDB Cloudサービス」と総称する。)。本追加条項で定義されていない用語は、該当する本契約における定義に従うものとする。

1. PingCAPセキュリティプログラム

PingCAPは、お客様コンテンツのセキュリティ、機密性、及び完全性を保護するためのセキュリティプログラム (以下「PingCAPセキュリティプログラム」という。) を維持する。本プログラムは組織全体で実施され、PingCAPがデータ処理契約に基づく義務を履行する際に適用されるデータ保護法規制への遵守を確保するように設計される。また、ISO/IEC 27001/27701の管理フレームワークに実質的に準拠したPingCAPセキュリティコントロールに定められた保護措置を含むものとする。

2. 第三者サービスプロバイダ

PingCAPは、クラウドサービスの提供にAmazon Web Services (AWS)、Microsoft Azure、Google Cloud等のIaaSプロバイダを、またサポートサービス及びコンサルティングサービスにJiraなどのSaaSプロバイダを利用する。PingCAPは定期的に第三者サービスプロバイダに対するデューデリジェンスを実施し (これにはSOC 2レポートなどの業界標準報告書や認証の確認を含む。)、プロバイダの回答に基づき、PingCAPセキュリティコントロールに実質的に類似したセキュリティコントロールが導入されていることを合理的に確認するものとする。

3. セキュリティ侵害への対応

セキュリティ侵害が発生したことを認識した場合、PingCAPは以下の措置を講じる。

a) 過度な遅延なく、TiDB Cloudサービスに関連付けられたお客様指定のメールアドレス宛てに、確認されたセキュリティ侵害の発生を通知する。通知には、セキュリティ侵害の既知の状況概要と、PingCAPが実施又は実施予定の是正措置を含めるものとする。

b) セキュリティ侵害の状況について調査を実施する。

c) 商業的に合理的な努力を払って、セキュリティ侵害の影響を軽減する。

d) セキュリティ侵害への対応について、お客様との連絡及び協力に商業的に合理的な努力を払う。「セキュリティ侵害」とは、お客様コンテンツ (当該コンテンツに含まれるCSA個人データを含む。) の偶発的又は不正な破壊、喪失、改竄、不正開示、又は不正アクセスにつながる、契約上PingCAPが保護義務を負うあらゆる確認済みセキュリティインシデントを意味する。

4. 監査報告書

書面による請求があった場合、PingCAPはお客様に対し、PingCAPの提供サービスに関連する監査報告書 (SOC 2 Type 2監査報告書、又は請求時点までにPingCAPが取得している同様の報告書を含む。) の写し、並びに業界標準への準拠・認定を証明する関連証明書・宣誓供述書を提供する。認定を受けた独立した第三者による監査は、コンプライアンスと認定を維持するため、当該標準で要求される頻度で実施される。お客様からのその後の請求に応じて、PingCAPは最新又は更新された証明書、宣誓供述書、又は報告書を年1回を上限として提供する。

5. セキュリティ評価

契約期間中に12ヶ月ごとに1回を超えない範囲で、合理的な事前通知を行った上で、PingCAPは本契約に基づく適用セキュリティ義務の遵守状況について、適切なPingCAP担当者をお客様の要請に応じて通常業務時間内に合理的に利用可能とする。このような協議に先立ち、PingCAPは独自の裁量により、本契約に関連するPingCAPのセキュリティ慣行に関する情報提供又は文書閲覧をお客様に許可することができる。これには、サードパーティと共有することを想定したセキュリティ評価報告書へのアクセスを含むが、これに限定されない。本評価プロセス又は本追加条項に基づき提供されるいかなる情報又は文書も、PingCAPの秘密情報とみなされ、本契約の秘密保持条項の対象とする。

6. TiDB Cloudサービス

本条項のいかなる内容にもかかわらず、お客様は以下の責任を負うものとする。

i) TiDB Cloudサービスがお客様の使用目的に適しているかどうかを判断すること

ii) TiDB Cloudサービスへのお客様のアクセス及び利用を保護するためのセキュリティ及びプライバシー対策を策定・実施・管理すること（認証情報の管理やTiDB Cloudサービスへの安全な接続の使用を含むがこれらに限定されない。）

iii) TiDB Cloudサービスにインストールする前にプラグインを検証すること

iv) TiDB Cloudサービス内に保存されているコンテンツのバックアップを実装・維持・監視すること

v) 関連するTiDB Cloudサービスの契約終了前に、TiDB Cloudサービス環境からコンテンツを削除すること

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.