本対策は Fitbit セキュリティおよびプライバシー規約を補足します。

Fitbit は、Fitbit データを取り扱うベンダーに、一定の最低限の組織的および技術的セキュリティ対策を守るよう義務付ける。

ベンダーは、これらの対策を継続的に実施する、総合的な情報セキュリティプログラムを書面にて策定、維持、実装しなくてはならない。ベンダーの情報セキュリティプログラムには、 Fitbit のデータを保護するため以下の目的で設計された、業界で一般的なプラクティス以上の堅牢さを持つ管理上、技術的、および物理的な防護措置を含めるものとします（これらに限られませんが、には国際標準化機構の基準：ISO/IEC 27001:2013 – 情報セキュリティマネジメントシステム – 要求事項、ISO-IEC 27002:2013 – 情報セキュリティ管理策の実践のための規範、または米国公認会計士協会 （AICPA）内部統制に関する国際認証（SOC） 2 基準、およびその他のセキュリティ対策を含むがこれに限らない。）（i）Fitbit データのセキュリティと秘密保持を確保する。（ii）Fitbit データのセキュリティとインテグリティを予想される脅威または危険から保護する。（iii）Fitbit データの不正な処理、喪失、利用、開示または取得またはアクセスまたはその疑いに対する保護を行う。前項の一般性を限定することなく、かかる対策には最低限以下を含めるものとします：

• セキュアなユーザー認証プロトコル．以下へのアクセスに関係するものを含むがそれに限らずに、ベンダーの情報技術環境へのユーザーアクセスに適用されるログインソリューションには、多要素認証を使用する。（a） ベンダーの業務用情報通信環境への VPN 接続（インターネットからアクセスできる場合ベンダーのメールシステムを含む）（b）ベンダーの生産用情報通信環境への接続（c）ベンダーが該当する契約の履行に利用することのある、Fitbit データを送信、処理または保存する可能性のある他のソフトウェアまたはサービス。
• セキュアなアクセス制御対策．ベンダーが SaaS ソリューションを Fitbit に提供する範囲では、それは SAML 経由で Fitbit が承認するシングルサインオン（SSO）ソリューションと統合されなければならない。
• Fitbit データの取り扱い．ベンダーの業務用および生産用情報通信環境の間の境界を維持する。これには生産境界へのアクセスを制御するコントロールを維持し、生産用情報通信環境へのアクセスを役割上かかるアクセスを必要とする人に限定することを含むがこれに限らない。ベンダーは、ベンダーの生産用情報通信環境内に置かれている、Fitbit データと、ベンダーのその他の顧客データの分離を行わなくてはならない。ベンダーは、Fitbit の事前の書面による同意を得ない限り、Fitbit データを、ベンダーの企業または生産用情報通信環境の外へ移動させてはならない。具体的には、Fitbit データは、携帯電話、タブレット、ノートパソコン、またはデスクトップ PC へダウンロードしてはならず、また、ベンダーの企業または生産用情報通信環境外のサードパーティーと共有してもならない。
• セキュアな送信．ベンダーの Fitbit データの取り扱いに、Fitbit データのネットワーク経由の移転が含まれる場合には、ベンダーは、移転に伴うリスクと Fitbit データ（例：個人データ）の性質に適切なセキュリティレベルを確保するものとします。これには、セキュアな、積極的にサポートされるバージョンの、移転の暗号化のためのトランスポート層セキュリティ（TLS）の利用を含むがこれに限らない。
• 保存時の暗号化．業界標準の暗号化アルゴリズム（例：AES）を利用する保存時の Fitbit データの暗号化。
• セキュアな構成．業界標準（例：SANS 情報セキュリティポリシーのテンプレート、DSIA STIG）と一致するネットワーク、デバイス、アプリケーション、データベース、およびプラットフォームのセキュリティコントロールを実装すること。
• 継続的な監視および対応．継続的なエンドポイント検知対応ツールおよびアップデートされたマルウェア対策機能の実装と保守。ベンダーの企業または生産用情報通信環境内における疑わしいまたは悪意ある活動を積極的に監視、検知、警告する。ベンダーは、セキュリティインシデントを検知し次第、対応し是正する能力を持つインシデント対応プログラムも維持しなくてはならない。
• ソフトウェア開発ライフサイクルと変更管理．変更を行う前のセキュリティ上の影響を考察する、Open Web Application Security Project （OWAS）のベストプラクティスおよび正式な変更管理手続を考慮して、セキュアなソフトウェア開発ライフサイクル機能を実装しおよび維持すること。
• 脆弱性管理．Fitbit データを送信、処理、または保存するシステムにおける脆弱性の定期的な検出と修復機能を持つセキュリティ脆弱性管理プログラム。このプログラムには評価、重大性に基づき脆弱性を低減、修復が機能したことを検証、という手順を含む必要がある。
• 脆弱性の修復．ベンダーのサーバー、エンドポイント、およびエンドポイント管理システムを含むがこれに限らない、ベンダーの企業および生産用情報通信環境において、重大性が「高い」または「非常に高い」脆弱性を検知した場合に、必要に応じてセキュリティパッチの適用を含め、速やかに修復する。重大性が「非常に高い」または「高い」と評価される脆弱性をベンダーが発見してから 60 日以内に対応されない場合は、ベンダーが脆弱性を修正できないために生じる Fitbit データへのリスクの特定を含め、Fitbit に報告する必要がある。
• アプリケーションおよびネットワークの侵入テスト．ベンダーのアプリケーションとネットワークセキュリティを試験する目的で、最低年 1 回、外部のサードパーティーが侵入テストを実行する。これらのテストは以下を対象に実行しなくてはならない。 （i）ベンダーが Fitbit へ提供している SaaS ソリューション（ii）ベンダーのネットワークインフラストラクチャのインターネット境界面のすべての要素（iii）ベンダーの企業および生産用情報通信環境。要請があり次第、ベンダーは Fitbit へかかるテストを実行した第三者の名称とその範囲、結果の概要について情報を提供しなくてはならない。
• 人的セキュリティ．ベンダーは人的セキュリティとインテグリティに関する合理的な手順とプラクティスを実装し維持しなくてはならない。これには適用のある法令に従って行う身元調査の実施も含まれるがこれに限らない。
• セキュリティ意識．新入社員の研修と、その後年1回の研修において行われる、セキュリティトレーニングと意識向上プログラム

さらに、適用のある契約の履行の一環として行われる範囲として、Fitbit のためにカード保有者データ（Payment Card Industry Data Security Standard「PCI DSS」の定義による）を送信、保存、処理するベンダーは、それに関し PCI DSS を順守しなくてはならない。さらに、ベンダーは必要とされるすべてのタスク、評価、検討、侵入テスト、スキャン、その他の活動（PCI セキュリティ基準審議会が発行するコンプライアンスガイダンスを含む）を実行するものとし、あるいは、それ以外の形で、ベンダーが責任を持つ、カード保有者データ環境（PCI DSS の定義による）のシステムの要素および部分に関するベンダーの PCI DSS の順守の有効性を実証するものとします。Fitbit の要請がり次第、ベンダーはかかる順守を証明する年次 PCI コンプライアンス認証の写しを Fitbit へ提出するものとします。

これを裏付けるため、随時、 Fitbit の合理的な要請があり次第、ベンダーは速やかに前述の対策による継続的な順守を表明し保証する証明書を作成し、ベンダーが本条件を順守して契約履行していることを確認するために必要であると Fitbit が合理的に判断した情報を Fitbit へ提出するものとする。