基準 2.4

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability,
Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and
SysTrust®)の勝手訳です。今回は基準2.4です。 


Criteria 2.4
The process for informing the entity about breaches of the system security and for submitting complaints is communicated to authorized users.
基準 2.4システムセキュリティの違反通知と不平の通知手順は承認されたユーザーに伝達されなければならない。

Illustrative Controls
The process for customers and external users to inform the entity of possible security breaches and other incidents is posted on the entity’s Web site and/or is provided as part of the new user welcome kit.
The entity’s security awareness program includes information concerning the identification of possible security breaches and the process for  informing the security administration team.
Documented procedures exist for the identification and escalation of security breaches, and other incidents.
統制の実例
顧客と外部のユーザーのために、起こりうるセキュリティ違反やその他の事故を通知する手続はWebサイトに掲載され （るか／かつ）新ユーザーの受入キットの一部として供給される。
セキュリティ喚起プログラムは起こりうるセキュリティ違反の本人確認に関する情報 とセキュリティ管理チームへの通知の手続を含む。
本人確認やセキュリティ違反、その 他の事故のエスカレーションについて、手続文書が存在する。