보안 정책

저희 데이터 센터는 높은 컴플라이언스 기준을 충족하며, 조직적 프로토콜로 자산 폐기와 직원 준수를 보장합니다. 정기적인 평가와 재해 복구 계획을 통해 데이터를 더욱 안전하게 보호합니다.

데이터 보안은 저희에게 매우 중요합니다. 여러 보안 기능을 결합하여 고객, 직원, 비즈니스 데이터가 항상 안전하게 보호되도록 하여 고객이 자신의 데이터가 안전하고, 통신이 보호되며, 비즈니스가 안전하다는 점을 안심할 수 있도록 합니다.

인프라 보안

인프라 보안은 조직의 정보기술(IT) 운영을 지원하는 하드웨어, 소프트웨어, 네트워크 구성요소를 보호하는 것을 의미합니다. 이는 데이터 센터와 서버부터 네트워크 연결, 엔드포인트 장치까지 모든 것을 포괄합니다. 효과적인 인프라 보안은 무단 접근, 오용, 중단을 방지하여 IT 시스템의 무결성, 기밀성, 가용성을 보장합니다.

인프라 보안의 주요 구성 요소

암호화 키 접근 제한
정책: 암호화 키에 대한 접근은 비즈니스 필요가 있는 승인된 사용자로 제한됩니다.
이행: 적절한 권한이 있는 사람만 민감한 정보를 해독할 수 있으므로 데이터 유출 위험을 최소화합니다.
고유 계정 인증 적용
정책: 시스템 및 애플리케이션은 고유한 사용자명과 비밀번호 또는 승인된 SSH 키를 요구합니다.
이행: 각 사용자가 인증을 위해 별도의 신원을 갖도록 하여 무단 접근 위험을 줄입니다.
운영 애플리케이션 접근 제한
정책: 운영 애플리케이션 접근은 승인된 인원으로만 제한됩니다.
이행: 무단 사용자가 비즈니스에 중요한 애플리케이션을 변경하지 못하도록 방지합니다.
접근 제어 절차 수립
정책: 사용자 접근 추가, 수정, 삭제에 대한 문서화된 요구사항이 있습니다.
이행: 명확한 절차로 접근 권한을 체계적이고 안전하게 관리합니다.
운영 데이터베이스 접근 제한
정책: 데이터베이스에 대한 권한 있는 접근은 비즈니스 필요가 있는 승인된 사용자로 제한됩니다.
이행: 데이터베이스에 저장된 민감한 데이터를 무단 접근이나 변경으로부터 보호합니다.
방화벽 접근 제한
정책: 방화벽에 대한 권한 있는 접근은 비즈니스 필요가 있는 승인된 사용자로 제한됩니다.
이행: 네트워크 보안에 중요한 방화벽의 설정이 위협받지 않도록 제한합니다.
운영체제 접근 제한
정책: 운영체제에 대한 권한 있는 접근은 비즈니스 필요가 있는 승인된 사용자로 제한됩니다.
이행: 시스템의 안정성과 보안에 영향을 줄 수 있는 무단 변경을 방지합니다.
운영 네트워크 접근 제한
정책: 운영 네트워크에 대한 권한 있는 접근은 비즈니스 필요가 있는 승인된 사용자로 제한됩니다.
이행: 승인된 인원만 네트워크에 접근할 수 있어 내부 위협 위험을 줄입니다.
퇴사 시 접근 권한 회수
정책: 퇴사한 직원의 접근 권한은 서비스 수준 협약(SLA) 내에 회수됩니다.
이행: 퇴사 후 회사 시스템에 접근하지 못하도록 합니다.
고유 네트워크 시스템 인증 적용
정책: 네트워크 접근 시 고유한 사용자명과 비밀번호 또는 승인된 SSH 키를 요구합니다.
이행: 네트워크 접근이 개인 사용자로 추적될 수 있어 보안이 강화됩니다.
원격 접근 암호화 적용
정책: 운영 시스템에 대한 원격 접근은 승인된 암호화 연결을 통해서만 허용됩니다.
이행: 원격 연결을 통한 데이터 전송이 도청되지 않도록 보호합니다.
침입 탐지 시스템 활용
정책: 보안 위반 조기 탐지를 위한 네트워크의 지속적 모니터링.
이행: IDS가 실시간 경고를 제공하여 잠재적 위협에 신속히 대응할 수 있습니다.
인프라 성능 모니터링
정책: 시스템 성능을 추적하고 임계치 도달 시 경고를 생성하는 모니터링 도구 사용.
이행: 인프라가 견고하게 유지되며 문제 발생 시 신속히 대응할 수 있습니다.
네트워크 분할 구현
정책: 고객 데이터에 대한 무단 접근을 방지하기 위해 네트워크를 분할합니다.
이행: 네트워크의 서로 다른 부분을 격리하여 보안 침해 확산을 제한합니다.
네트워크 방화벽 검토
정책: 방화벽 규칙을 매년 검토하고 변경 사항을 추적합니다.
이행: 방화벽 설정을 최신 상태로 유지하여 현재 보안 기준에 맞춥니다.
네트워크 방화벽 사용
정책: 무단 접근을 방지하도록 방화벽을 구성합니다.
이행: 외부 위협에 대한 1차 방어선 역할을 합니다.
네트워크 및 시스템 강화 표준 유지
정책: 업계 모범 사례에 기반한 문서화된 표준을 연 1회 검토합니다.
이행: 시스템이 공격에 견딜 수 있도록 안전하게 구성됩니다.

데이터 센터 보안

업계 모범 사례를 통해 귀하의 데이터 기밀성과 무결성을 보장합니다. FlowHunt 서버는 Tier IV 또는 III+, PCI DSS, SSAE-16, 또는 ISO 27001 인증 시설에 호스팅됩니다. 보안팀은 지속적으로 보안 업데이트를 제공하고 보안 알림 및 이벤트에 능동적으로 대응합니다.

물리적 보안

시설	설명
서버 환경	FlowHunt 서버는 Tier III+ 또는 IV, PCI DSS, SSAE-16, ISO 27001 인증 시설에 호스팅됩니다. 데이터 센터는 이중 전원 공급, 각종 UPS 및 백업 발전기로 운영됩니다.
현장 보안	데이터 센터 시설은 다중 보안 구역, 24/7 상주 보안, CCTV 감시, 다중 인증(생체 인식 등), 물리적 잠금, 보안 침입 경보 등으로 보호됩니다.
모니터링	모든 운영 네트워크 시스템, 네트워크 장치 및 회선은 FlowHunt 관리자가 지속적으로 모니터링 및 논리적으로 관리합니다. 공용 구역의 물리적 보안, 전원, 인터넷 연결성은 시설 제공업체가 모니터링합니다.
위치	공용 FlowHunt 서비스는 주로 유럽 연합(프랑크푸르트 데이터 센터)에 데이터를 호스팅합니다. 프라이빗 클라우드는 미국, 유럽, 아시아 등 원하는 위치에 구축이 가능합니다. 고객은 서비스를 미국 전용, 유럽 전용 등으로 선택할 수 있습니다.

네트워크 보안

저희 네트워크는 이중화된 방화벽, 최고급 라우터 기술, 공용 네트워크 상의 안전한 HTTPS 전송, 악성 트래픽 및 네트워크 공격을 모니터링/차단하는 침입 탐지/방지 시스템(IDS/IPS)으로 보호됩니다.

추가 조치

DDoS 완화: 업계 최고 수준의 인프라로 서비스 거부(DoS) 공격을 방어하고 피해를 최소화합니다.
통신 암호화: 고객과 FlowHunt 서버 간의 통신은 업계 모범 사례에 따라 HTTPS 및 TLS로 암호화됩니다.

조직 보안

자산 폐기 절차

인벤토리 평가: 폐기 예정 장비를 식별 및 목록화합니다.
데이터 백업: 폐기 전 필요한 데이터를 안전하게 백업합니다.
데이터 삭제: 인증된 도구를 사용하여 업계 표준에 따라 모든 데이터를 삭제합니다.
물리적 파기: 삭제가 불가능한 장비는 분쇄, 자기파괴 등 물리적 파기 방법을 사용합니다.
환경 규정 준수: 모든 폐기 방법은 환경 규정을 준수합니다.

인증 및 컴플라이언스

문서화: 일련번호, 폐기 방법, 날짜 등 모든 폐기 자산에 대한 상세 기록을 유지합니다.
제3자 검증: 인증된 제3자 업체가 폐기 과정을 검증 및 문서화합니다.

직원 및 계약자 준수

신원 조회: 신입 직원은 입사 전 철저한 신원 조회를 거칩니다.
행동 강령: 직원과 계약자는 모두 회사의 행동 강령을 인지하고 준수해야 하며, 위반 시 징계 정책이 적용됩니다.
비밀 유지 계약: 모든 직원은 입사 시, 계약자는 계약 체결 시 비밀 유지 계약을 체결해야 합니다.

방문자 및 보안 프로토콜

방문자 절차: 방문자는 출입 시 서명하고, 방문자 배지를 착용하며, 보안 구역 접근 시 승인된 직원의 안내를 받아야 합니다.
보안 인식 교육: 직원은 입사 후 30일 이내 및 매년 보안 인식 교육을 이수하여 모범 사례와 신종 위협에 대해 숙지합니다.

제품 보안

데이터 암호화

FlowHunt의 모든 데이터베이스 및 중요한 고객 데이터가 포함된 데이터베이스 백업은 암호화됩니다. 결제 및 청구 데이터의 암호화는 결제 처리업체(Stripe)가 담당합니다.

컬럼 수준 암호화: 데이터베이스 내 특정 컬럼을 암호화하여 API 키와 같은 민감 필드를 보호합니다.
암호화 프로토콜: 데이터 전송 시 SSL 및 TLS 프로토콜을 사용하여 네트워크상 데이터가 암호화됩니다.

침투 테스트

FlowHunt는 정기적으로 침투 테스트를 실시하고, 외부 보안 연구원이 버그 바운티 프로그램을 통해 취약점을 제보하도록 장려합니다.

업데이트됨: 2025년 5월 30일