보안 정책

Gmail®용 연락처 공유는 개인 데이터를 포함하는 경우가 많은 연락처 정보를 다루고 있으며, 이 정보는 조작이 엄격하게 규제됩니다.

우리는 데이터 보안을 매우 중요하게 생각하며 Google 프리미엄 파트너로서 수많은 보안 규칙을 준수해야 합니다. 그 외에도 금융 기관, 병원 및 Fortune 500대 기업이 포함되어 있어 최고의 보안 프로세스를 제공해야 합니다.

보안에 대한 일반적인 접근 방식은 EBIOS 방법론(프랑스에서 사용되는 주요 방법)을 따릅니다.

고객 데이터에 대한 무단 액세스를 방지하기 위한 접근 방식은 다음 원칙을 기반으로 합니다.

위험 소스

3가지 주요 위험 요소가 처리됩니다.

  • 내부 개인: 직원 및 계약자
  • 외부 개인: 제공업체, 경쟁업체, 승인된 제3자…
  • 인간이 아닌 소스: 바이러스, 자연 재해, 가연성 물질…

자산

하드웨어

데이터는 Google Cloud( Google Compute Platform Infrastructure )에서 제공하는 보안 서버에서 독점적으로 호스팅되며 데이터는 다른 유형의 하드웨어(USB, CD, 휴대전화, 로컬 컴퓨터 등)에서 전송되지 않습니다.

데이터베이스

고객 데이터를 호스팅하는 데이터베이스는 네트워크 내에서 보안되고 암호로 보호됩니다. 관리자/팀 리더만 라이브 데이터를 가득 채울 수 있습니다. 개발자는 스테이징 데이터에 대해 작업하며 라이브 데이터에 액세스할 수 없습니다.

데이터베이스 및 게이트웨이 암호는 별도의 서버에 저장되고 각 배포 시 라이브 서버에서 한 번 사용되는 하드 암호화 파일로 보호됩니다.


소프트웨어

우리는 최소한의 타사 도구(Mongo DB, Zabbix 등)를 사용하고 있으며 새 소프트웨어를 설치할 때마다 트로이 목마 또는 스파이웨어를 포함하여 엄격한 보안 승인을 받아야 합니다. 데이터베이스와 마찬가지로 이러한 소프트웨어에 액세스해야 하는 사용자만 해당 소프트웨어를 사용할 수 있는 자격 증명과 권한이 있습니다.

회로망

우리 네트워크는 Google 아키텍처를 기반으로 하는 독점적인 웹 기반입니다. 보안 관리 및 액세스 권한을 담당하는 직원이 한 명 있습니다.
인프라 액세스(예: FTP)는 4가지 수준의 제한으로 보호됩니다.

  • Google 계정(승인된 Google 이메일 ID만 GCP 플랫폼에 액세스할 수 있음)
  • Google 계정의 2단계 인증 : GCP 인프라에 로그인하는 사용자는 SMS 인증을 사용하여 본인 확인을 사용해야 합니다.
  • IP 주소 : 목록에 포함된 IP 주소 집합만. 재택 근무 사용자는 매일 자신의 IP 주소를 알려야 합니다.
  • 사용자 인증을 위해 TOTP(Time-based One-time Password Algorithm) 및 HMAC 기반 일회용 암호 알고리즘(HOTP, RFC 4226에 지정)을 사용하는 추가 2단계 사내 인증 시스템 .
  • DDos 또는 SQL 주입을 방지하기 위한 조치도 마련되어 있습니다.
  • 또한 직원들은 피싱 또는 “클라우드 기반” 바이러스(예: 파일을 열려면 Google 계정에 로그인해야 함)를 방지하도록 교육을 받았습니다.

사람들

  • 모든 직원과 계약자는 고용 전에 심사를 받습니다. 그들은 NDA에 서명하고 보안 및 개인 정보 보호 조치와 데이터 침해와 관련된 위험 및 처벌에 대해 정기적으로 상기시킵니다.
  • 고객 데이터에 액세스하는 사용자 수는 보안 및 관리 직원으로 엄격하게 제한됩니다.
  • 개발 및 지원 팀은 문제 해결 및 지원 목적으로만 사용자를 가장하고 연락처에 액세스할 수 있습니다.
  • 서버 및 플랫폼의 모든 활동이 기록되고 모니터링됩니다. 비정상적인 활동은 즉시 감지되며(예: 직원이 명백한 이유 없이 단기간에 동일한 도메인의 여러 사용자를 사칭) 이러한 활동을 정당화해야 합니다.