보안 정책

보안 정책

마지막 수정되었습니다: 7월 4, 2023

이 정책을 PDF로 다운로드
일렉트로테크닉 주식회사("ELEK")는 소프트웨어 고객에게 사이버 위협으로부터 보호하고 데이터 손실을 방지하며 규정 준수 요건을 충족하기 위해 최선을 다하고 있습니다.

당사는 정보 보안 관리 시스템(ISMS)에 대한 세계적으로 가장 잘 알려진 표준인 ISO/IEC 27001 원칙을 채택했습니다. 이러한 접근 방식을 도입함으로써 당사가 소유하고 취급하는 데이터의 보안과 관련된 위험을 관리하는 동시에 사이버 범죄 및 지속적으로 발생하는 새로운 위협으로 인한 잠재적인 부정적 영향을 방지하기 위한 모범 사례와 원칙을 채택할 수 있게 되었습니다.

정보 보안을 제공하는 방법

당사는 비즈니스와 고객을 위한 정보 보안을 유지하기 위해 엄격한 시스템과 통제 장치를 마련하기 위해 정보 보안에 최선을 다하고 있습니다. 모든 사용자 데이터의 기밀 유지의 중요성과 해당 데이터에 대한 액세스가 사용자에게 서비스를 제공하는 등 업무와 관련된 작업을 완료하기 위한 목적으로만 이루어지도록 하는 절차 및 회사 정책을 포함하는 직원 온보딩부터 시작합니다. 또한 정보 보안 정책에는 모든 사용자 데이터의 기밀 유지와 로컬에 저장되거나 인쇄된 개인 데이터의 적절한 폐기 메커니즘의 중요성이 명시되어 있습니다.
직원들은 고용 계약의 일부로 기밀 유지 및 정보 보안을 약속하고 정기적인 재교육과 함께 사이버 보안 인식 교육을 이수합니다.
ELEK의 프로세스, 정책 및 교육 외에도 민감한 사용자 데이터가 포함된 시스템에 액세스하기 위한 엄격한 진입 지점이 있습니다. 자세한 내용은개인정보 처리방침을 참조하세요 .

ID 및 액세스 관리

저희는 Microsoft를 엔터프라이즈 ID 공급자로 사용하며 매우 안전한 비밀번호 정책을 사용하고 있습니다. 모든 직원은 로그인 시 2단계 인증(2FA)을 사용해야 합니다.
AWS(Amazon Web Services)의 클라우드 서비스에 대한 액세스 권한은 필요 최소 권한 원칙에 따라 역할에 따라 AWS ID 및 액세스 관리(IAM)를 통해 부여됩니다.
분기별로 사용자 액세스 검토를 실시하여 더 이상 필요하지 않은 액세스 권한을 제거합니다. 직원이 퇴사하면 퇴사 즉시 시스템에 대한 모든 액세스 권한이 취소됩니다.

이메일 보호

저희는 Microsoft 365를 직원 이메일 제공업체로 사용하고, 애플리케이션 내에서 이메일을 보내는 데는 Amazon Simple Email Service(SES)를, 고객 지원 이메일을 보내는 데는 이메일 티켓팅 시스템을 사용합니다. 이메일 도메인에는 DMARC와 SPF를 사용합니다.
직원들은 피싱 방지 모범 사례에 대해 지속적으로 인지하고 교육을 받습니다.

네트워크 보안

직원들의 워크스테이션은 직원들만 사용할 수 있도록 제한된 전용 가상 근거리 통신망(VLAN)에 있습니다.

사용자 데이터에 액세스

당사는 사용자가 당사의 소프트웨어 서비스에 제출하는 모든 데이터(사용자를 대신하여 당사가 처리하는 데이터만 해당)를 '블랙박스'로 취급합니다. 이는 일반적으로 서비스 수행을 위해 사용자 데이터에 액세스하지 않으며, 제출된 모든 사용자 데이터를 최고 수준의 보안으로 처리하고 민감하고 기밀하게 취급한다는 것을 의미합니다.
당사 직원의 사용자 데이터에 대한 접근은 당사 이용약관 또는 사용자와의 각 계약에 따라 사안별로 제한됩니다.

취약점 관리

당사는 정기적으로 웹사이트 및 소프트웨어 코드 베이스에 대한 보안 감사를 수행하여 데이터 손실, 서비스 중단, 민감한 정보에 대한 무단 액세스 또는 기타 보안 문제를 일으킬 수 있는 종속성의 알려진 취약점을 찾아 수정합니다. 확인된 모든 취약점은 개발 백로그에 기록되며 서비스 및 사용자 데이터의 기밀성, 무결성, 가용성에 미치는 영향에 대한 평가를 바탕으로 분류됩니다. 당사 엔지니어는 내부 패치 관리 정책에 따라 문제를 해결합니다.

소프트웨어 개발 수명 주기

저희는 동료 검토 프로세스가 포함된 잘 문서화된 워크플로우를 갖춘 이슈 추적 제품을 사용합니다. 소스 코드는 버전 관리 및 보안을 위해 보안성이 높은 비공개 리포지토리에 안전하게 보관됩니다. 코드 베이스에 대한 변경 사항은 일련의 자동 및 수동 테스트(세부 계획 포함)를 거칩니다. 승인된 코드 변경 사항은 먼저 스테이징 서버로 푸시되어 직원들이 변경 사항을 테스트한 후 최종적으로 프로덕션 서버와 사용자 기반에 푸시됩니다. 지속적인 통합/지속 배포(CI/CD) 프로세스는 통합 승인 프로세스로 제한됩니다.

인시던트 대응

Facebook은 인시던트 관리를 중요하게 생각하며 인시던트 관리 방법을 설명하는 인시던트 대응 절차를 마련하고 있습니다. 인시던트란 데이터 유출, 서비스 중단 또는 서비스 품질 저하와 같은 예기치 않은 사건으로 정의됩니다. 또한 인시던트는 이전에 정상적으로 작동하던 서비스가 현재 예상대로 작동하지 않는 경우 제기되는 문제입니다. 이 절차는 인시던트를 평가, 억제, 평가, 통지, 검토 및 모니터링하는 방법을 간략하게 설명합니다.
모든 사고는 사고 대응 등록부에 기록되며, 사고에서 얻은 교훈은 지속적인 개선을 위한 노력의 일환으로 프로세스, 절차, 시스템 및 도구를 개선하는 데 사용됩니다.

재해 복구 및 비즈니스 연속성

저희는 실제 사무실에 영향을 미치는 재해(생산 인프라의 일부가 유지되지 않는 경우)에 대처하기 위한 비즈니스 연속성 계획을 유지합니다.
또한 운영 환경에 영향을 미치는 재해에 대처하기 위해 재해 복구 계획(DRP)을 유지하며, 여기에는 다른 위치에서 서비스의 핵심 기능을 복원하는 등 사고 대응 프로세스의 일부로 계획되지 않은 중대한 사건으로 평가된 재해에 대응합니다. 기본 데이터 센터는 호주 시드니의 AWS에서 호스팅되며, 동일한 AWS 리전에 이중화되어 있습니다. 하나의 AWS 데이터센터가 손실되는 경우 복구 절차를 통해 사람의 개입 없이 다른 데이터센터의 노드를 가동합니다. 테스트는 최소 1년에 한 번 실시됩니다. DR 테스트는 워크스루, 모의 재해 또는 구성 요소 테스트의 형태로 이루어질 수 있습니다.

데이터 보존 및 폐기

데이터 보존

당사는 개인정보 처리방침에 명시된 목적을 달성하는 데 필요한 목적과 기간 동안만 당사가 전적으로 통제하는 제한된 사용자 정보를 보유합니다. 당사 시스템이 사용자를 대신하여 보유하는 데이터는 당사의 이용약관 정책 및 해당 고객과의 기타 상업적 계약에 따라 보관됩니다.
당사는 클라우드 기반 및 기본 설치형 PC 기반 소프트웨어 제품을 모두 제공합니다. 클라우드 기반 소프트웨어 제품의 경우 고객 데이터는 안전한 클라우드 기반 시스템(여기에 설명되어 있음)에 저장됩니다. 반면, PC 기반 소프트웨어 제품의 경우 고객 데이터는 고객의 IT 인프라에 로컬로 저장됩니다.

데이터 삭제

고객은 제출한 데이터에 대한 모든 권한을 보유하며, 당사 소프트웨어를 통해 제공되는 수단을 사용하거나 당사에 연락하여 데이터를 수정, 내보내거나 언제든지 삭제할 수 있습니다.
계정 해지 시 사용자는 계정 해지 절차의 일부로 데이터 삭제를 요청할 수 있습니다. 그러면 요청 후 90일 이내에 사용자 데이터가 삭제되며, 여기에는 롤백을 위한 30일의 기간과 삭제 절차 진행을 위한 60일의 추가 기간이 포함됩니다.
또는 사용자가 계정의 데이터를 플랫폼에 보관하도록 선택할 수 있으며, 이 경우 당사는 해당 데이터를 계속 보유할 수 있지만 재량에 따라 언제든지 삭제할 수도 있습니다.

데이터 파기

당사의 클라우드 서비스는 멀티테넌트 환경에서 민감한 데이터를 안전하게 보관할 수 있도록 안전한 데이터 배포 및 삭제 전략을 구현하는 AWS에서 호스팅됩니다. 스토리지 미디어 폐기는 NIST 800-88에 따라 AWS에서 수행합니다.

모니터링

에지 위치 및 부하 분산 장치의 트래픽 로그, 이벤트 추적 및 감사를 위한 애플리케이션 수준 로깅, 액세스 및 높은 권한 작업 감사를 위한 시스템 수준 로깅을 사용하여 네트워크 로그를 수집하고 모니터링합니다. 모든 로그는 Amazon S3 또는 Amazon CloudWatch에 안전하게 저장되며 보관됩니다.
서비스 제공이 서비스 수준 계약과 일치하는지 확인하기 위해 인프라 리소스의 용량 활용도를 모니터링합니다. 또한
  • Amazon 서비스는 중요 인프라 알림을 위한 자동화된 이벤트 기반 메시징을 트리거하는 데 사용됩니다.
  • 애플리케이션 알림을 위한 트리거 자동 이벤트 기반 메시징과 함께 독점적인 오류 로깅 및 추적 서비스를 사용합니다.

개인정보 보호

개인정보 처리방침을 참조하세요.

사무실 보안

사무실 공간과 엘리베이터 출입은 출입 카드를 통해 제한됩니다. 건물 보안팀에서는 건물 및 층별 출입을 정기적으로 모니터링하기 위해 여러 가지 절차를 마련하고 있습니다. 각 층에 내장된 보안 시스템은 출입문 사용을 추적하며, 건물 보안팀에서 출입 보고서를 받을 수 있습니다. 데스크 공간에는 24시간 CCTV가 설치되어 있으며, 건물 전체에 순회 경비원이 배치되어 있습니다. CCTV 영상 기록은 18개월 동안 저장 및 보관됩니다. 최고상업책임자는 건물 출입증을 발급받거나 취소하기 위해 직원의 변경 사항을 건물 관리팀에 업데이트할 책임이 있습니다.

데이터 센터 보안

당사는 적절한 수준의 보안을 유지하기 위해 사이트 선택, 이중화, 가용성 및 용량 계획과 같은 AWS 데이터 센터의 통제에 의존합니다. 당사는 자체 서버를 호스팅하지 않습니다.

정책 업데이트

본 정책은 수시로 변경될 수 있으며, 웹사이트 www.elek.com 에서 확인할 수 있습니다.

문의하기

자세한 정보를 확인하거나 문의하려면 문의 페이지를 방문하세요.