Back to frameworks

SaaS Trust Framework v3

SaaS Trust Framework v3.1 — Certification-separated scoring model. Trust Score (19 direct items) + AI Readiness (4 direct items). Certifications displayed as badges, not scored. Industry best practice: no penalty for missing certifications.

22 assessment items19 trust items3 AI readiness items

SaaS Trust Score

Direct verification from public info

Items verifiable from vendor's official pages

データ保存場所の明示Criticality: High

顧客データが処理・保存される地理的場所(国・リージョン)が公開されていること

data.storage_location
データ保持期間の明示Criticality: High

顧客データの保持期間と削除手順が公開されていること

data.retention_policy
DPA(データ処理契約)の提供Criticality: High

GDPR等に対応したデータ処理契約(DPA)が締結可能であること

data.dpa_available
サブプロセッサーの開示Criticality: Medium

データ処理に関与するサードパーティ(サブプロセッサー)の一覧が公開されていること

data.subprocessors
セキュリティ連絡先の公開Criticality: High

セキュリティ脆弱性を報告するための連絡先または専用窓口が公開されていること

security.security_contact
脆弱性開示ポリシー(VDP)Criticality: Medium

脆弱性開示方針(VDP)またはバグバウンティプログラムが公開されていること

security.vuln_disclosure
ステータスページの公開Criticality: Low

サービスの稼働状況・インシデント履歴を確認できるステータスページが存在すること

ops.status_page
SLA・稼働率の公開Criticality: Medium

サービスレベル合意(SLA)または稼働率目標が公開されていること

ops.sla_disclosed
製品変更履歴の公開Criticality: Low

製品のアップデート・変更履歴(changelog / release notes)が公開されていること

ops.changelog
GDPR等プライバシー規制への準拠Criticality: Medium

GDPR・CCPA等の主要なプライバシー規制への準拠を表明していること

compliance.gdpr_compliance
料金体系の公開Criticality: Medium

サービスの料金体系・プラン情報が公開されていること

pricing.public_pricing
無料枠・トライアルの提供Criticality: Low

無料プランまたはトライアル期間が提供されていること

pricing.free_tier
データポータビリティCriticality: High

サービスからデータをエクスポートする手段(API・CSV・バルクダウンロード等)が提供されていること

exit.data_portability
解約時のデータ取扱いポリシーCriticality: High

契約終了・解約時のデータ保持期間・削除手順が明示されていること

exit.termination_policy
API文書の公開Criticality: Medium

REST API/GraphQL等のAPI文書・リファレンスが公開されていること

integration.api_docs
SSO対応(SAML/OIDC)Criticality: High

SAML/OIDC等によるシングルサインオン(SSO)をサポートしていること

integration.sso_support
Webhook/イベント連携Criticality: Medium

Webhook等によるリアルタイムイベント通知・連携をサポートしていること

integration.webhook_support

Certification badges

Third-party certifications displayed as badges (not included in transparency score)

SOC 2 Type II 認証VerifiedCriticality: High

AICPA によるシステムと組織のコントロール(SOC 2 Type II)認証を取得していること

cert.soc2_type2
ISO 27001 認証VerifiedCriticality: High

情報セキュリティマネジメントシステム(ISMS)の国際規格 ISO/IEC 27001 認証を取得していること

cert.iso27001

AI Readiness

Direct verification from public info

Items verifiable from vendor's official pages

顧客データの学習利用とオプトアウトCriticality: High

APIで送信した顧客データがAIモデルの学習に使われるかどうか、およびオプトアウト手段が公開されていること

ai.training_opt_out
プロンプトデータの取扱いポリシーCriticality: High

送信したプロンプト・入力データの保存・利用方針が明示されていること

ai.prompt_data_handling

Certification badges

Third-party certifications displayed as badges (not included in transparency score)

ISO 42001 認証Criticality: Medium

AIマネジメントシステムの国際規格 ISO/IEC 42001 認証を取得していること

cert.iso42001
SaaS Trust Framework v3 — AI Assess