基準 3.5

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.5です。

Criteria 3.5
Encryption or other equivalent security techniques are used to protect user authentication information and the corresponding session transmitted over the Internet or other public networks.
基準 3.5
ユーザー認証情報と対応する インターネットまたは他の公衆網上で送信されたセッションは、暗号化または同等のセキュリティ技法が使われて保護される。

Illustrative Controls
The entity uses 128-bit secure sockets layer (SSL) encryption for transmission of private or confidential information over public networks, including user ID and password. Users are required to upgrade their browser to the most current version tested and approved for use by the security administration team to avoid possible security problems.
Account activity, subsequent to successful login, is encrypted through a 128-bit SSL session. Users are logged out on request (by selecting the “Sign-out” button on the Web site) or after 10 minutes of inactivity.
統制の実例
ユーザーIDとパスワードを 含むプライベートまたは機密情報を公衆網上で送信するために128ビットのセキュアソケット レイヤー（SSL）暗号を使用する。ユーザーはブラウザを、起こりうるセキュリティ問題を回避するためにテストされセキュリティ管理チームに使用を認められた、最 新版へアップグレードすることが要求される。
ログイン成功後のアカウントの動作は、128ビットSSL通信によって暗号化される。ユーザーは要求（ウェブサイト上の「サインアウト」ボタンを選ぶこ とによる）があった場合または 10分間動作がなければログア ウトする。