클라우드 컴퓨팅이 필요하신가요? 지금 시작해보세요

Noname API Security 서비스를 위한 기술 및 기업적 조치

최종 업데이트: 2024년 11월

API Security 서비스 (“서비스”로 정의됨)에 적용되는 기술 및 기업적 조치.

서비스와 관련해 처리되는 개인 데이터: 고객 API 트래픽에 포함된 모든 개인 데이터(예: IP 주소, 이름, 이메일, 신용카드 번호, SSN(“API 개인 데이터”로 정의됨).         

기술 및 기업적 조치는 API Security 서비스 Saas 및 하이브리드 버전에 적용됩니다.

API Security 서비스 Saas, 하이브리드 또는 온프레미스 버전과 관련된 지원 서비스에서 처리되는 모든 개인 데이터는 데이터 처리자의 하위 처리자 목록에 설명된 대로 지원 티켓 시스템을 제공하는 하위 처리자가 적용하는 기술 및 기업적 조치에 따라 보호됩니다.

개인 데이터의 가명화 및 암호화 조치

서비스는 은행 계좌 번호, 생년월일, 신용카드, CVV, 건강 정보, 종교, 급여, SSN, 여권 정보 등 API 개인 데이터 내의 가장 민감한 데이터 범주에 대해 자동 난독 처리를 적용합니다. 고객은 난독 처리를 위해 추가 데이터 범주를 포함할 수 있습니다.

API 개인 데이터는 업계 표준을 충족하는 허용된 방법(예: AES-256, TLS 1.2 이상)을 사용해 저장 및 전송 중에 암호화됩니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성, 안정성을 보장하기 위한 조치

데이터 처리자는 정보 및 처리 시스템의 지속적인 기밀성, 무결성, 가용성, 안정성을 보장하기 위해 설계된 회사의 정보 보안 및 컴플라이언스 프로그램을 구축하고 유지 관리합니다.

  • 기밀 유지 조치
  • 데이터 프라이버시 및 정보 보안 교육 
  • 정보 보안 정책 및 절차
  • 백업 절차
  • 써드파티 데이터 센터의 원격 저장소
  • 클라우드 서비스 사업자의 1차 데이터 센터에서의 물리적 장애로 인한 복구 및 가용성을 보장하기 위해 각 고객이 선택한 AWS 또는 기타 클라우드 서비스 사업자(데이터 프로세서의 하위 프로세서 목록에 설명된 대로)를 통해 다양한 가용성 영역 활용 
  • 방화벽, 최신 침입 탐지, 예방 시스템 등을 사용해 시스템 침입으로부터 시스템을 보호하고, 데이터 프로세서의 시스템, 컴퓨팅 디바이스 또는 네트워크에 대한 무단 접속 시도 또는 공격의 범위 또는 성공 가능성을 제한하는 연중무휴 24시간 네트워크 보안 통제
  • 외부 시스템 또는 네트워크에서 데이터 프로세서의 네트워크에 접속하는 모든 개인에 대한 멀티팩터 인증 요구를 포함해, 데이터 프로세서의 시스템 또는 네트워크에 대한 접속을 모니터링하고 제어하기 위한 원격 접속 제어
  • 패치 관리 절차 및 제어 기능으로 소프트웨어와 펌웨어에 대한 보안 패치와 업데이트를 적시에 구축
  • 취약점 관리 절차 및 기술로 바이러스, 봇, 기타 악성 코드, 안티바이러스 보호를 포함해 새로운 보안 취약점과 위협을 식별, 평가, 방어, 보호
  • 개인 데이터를 우발적인 파괴나 손실로부터 보호하는 가용성 제어

물리적 또는 기술적 인시던트가 발생한 경우 개인 데이터의 가용성과 접근성을 적시에 복원할 수 있는 능력을 보장하기 위한 조치

데이터 처리자는 다음을 유지합니다.

  • 비즈니스 연속성 계획
  • 재해 복구 절차
  • 전체 환경 복구 연습 등을 통해 유지 및 실행되는 인시던트 대응 계획

데이터 처리자의 프로덕션 시스템은 내부 백업 절차에 따라 정기적으로 백업됩니다.

처리의 보안을 보장하기 위해 기술 및 기업적 조치의 효과를 정기적으로 테스트, 평가, 검토하는 프로세스

데이터 처리자는 다음과 같은 프로세스를 구축했습니다.

  • 내부 및 외부 감사 프로그램, 감사 보고서 및 문서화
  • 백업 프로세스 및 비즈니스 연속성 절차 테스트
  • 정기적인 리스크 평가 및 시스템 모니터링
  • 정기적인 취약점 및 모의 해킹

데이터 처리자는 정기적인 보안 평가를 받고 https://www.akamai.com/ko/legal/compliance에 나열된 인증서를 보유하고 있습니다.

사용자 식별 및 인가 조치

데이터 처리자는 다음과 같은 사용자 식별 및 권한 확인을 관리하기 위한 정책과 절차를 유지합니다.

  • 암호 및 인증 요건을 설정하고, 관리하고, 통제하는 것을 포함한 내부 정책 및 절차
  • 접속 인증 정보를 선택, 저장하고, 합리적인 수의 인증 실패 후 접속을 차단하는 안전한 방법을 포함한 사용자 인증 통제
  • 특정 사용자에 대한 접속 제한
  • 접속 권한 확인, 접근 권한 설정, 수정, 종료에 대한 프로토콜에 의해 뒷받침되는, 알아야 할 필요성에 근거한 접속 권한 부여
  • 로깅 및 보고 시스템
  • 제어 권한 확인 체계
  • 차별화된 접속 권한(프로필, 역할, 거래, 오브젝트)
  • 접속 모니터링 및 로깅
  • 접속 보고서
  • 접속 정책 및 절차
  • 변경 관리 정책 및 절차

전송 중 데이터 보호를 위한 조치

API 개인 데이터는 전송 중에 다음과 같은 방법으로 보호됩니다.

  • TLS 1.2 이상의 업계 표준을 통한 전송 중 암호화
  • 각 고객의 선호도에 따라 민감한 정보를 난독화해 각 고객이 관리
  • 네트워크 및 고객 데이터 분리
  • 보안 관련 이벤트의 로그 기록 및 모니터링

저장 중 데이터 보호를 위한 조치

API 개인 데이터는 저장 중에 다음과 같은 방법으로 보호됩니다.

  • AES-256과 같은 업계 표준을 통한 저장 시 암호화 
  • 접속 제어
  • 데이터베이스 분리 및 다른 고객의 데이터로부터 고객 데이터의 논리적 세그멘테이션
  • 기능 및 환경 분리(프로덕션/테스트/개발)
  • 다양한 목적을 위한 데이터 저장, 수정, 삭제, 전송 절차

개인 데이터가 처리되는 장소의 물리적 보안 보장 조치

데이터 처리자가 자체 서버에 API 개인 데이터를 저장하지 않으므로, 각 고객이 선택한 AWS 또는 다른 클라우드 서비스 사업자(데이터 처리자의 하위 처리자 목록에 설명된 대로)와 같은 하위 처리자가 다음 조치를 처리합니다.

  • 보안 영역 설정, 접속 경로 제한
  • 알 필요가 있는 직원 및 써드파티를 위한 접속 권한 설정
  • 접속 제어 시스템(ID 리더기, 자기 카드, 칩 카드)
  • 키 관리, 카드 키 절차
  • 문 잠금(전기 문 열림 장치 등)
  • 보안 직원
  • 시설 감시, 비디오/CCTV 모니터링, 경보 시스템
  • 분산 처리 장비 및 개인용 컴퓨터 보안

고객이 선택한 각 클라우드 서비스 사업자가 적용하는 세부적인 조치는 해당 웹사이트에서 확인할 수 있습니다. 

이벤트 로깅을 위한 조치

데이터 처리자는 다음과 같이 이벤트 로깅을 보장하기 위한 정책과 절차를 유지합니다.

  • 사용자 식별 및 인증 절차
  • ID/비밀번호 보안 절차 
  • 로그인 실패 횟수가 설정된 횟수에 도달하면 계정의 자동 차단 및 잠금
  • 비활성 상태에 대한 자동 세션 타임아웃
  • 침입 시도 모니터링 및 여러 번의 잘못된 비밀번호 입력 시 사용자 ID 자동 차단 등 효과적인 포렌식 조사를 가능하게 하는 완전한 감사 추적 기록을 생성하고 유지하기 위한 로그 관리 절차 및 기술
  • 사용자당 하나의 마스터 기록 생성

기본 설정을 포함한 시스템 설정 보장 조치

데이터 처리자는 다음과 같은 업계 표준에 따라 시스템이 설정되고 유지되도록 절차와 정책을 유지합니다.

  • 최신 기본 설정 문서 및 설정
  • 소프트웨어, 컴퓨팅 디바이스 및 네트워크가 업계 표준에 부합하는 규정된 내부 표준에 따라 개발되고, 설정되고, 유지되도록 보장하는 운영 절차 및 통제
  • 시스템 설정을 변경하려면 특정 권한이 필요합니다

내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치

데이터 처리자는 SOC 2 Type 2, CSA STAR 2, PCI DSS, HIPAA와 같은 업계 표준에 따라 IT 거버넌스를 관리하고 다음과 같은 조치를 적용합니다. 

  • 정보 보안 정책 및 절차 
  • 인시던트 대응 계획
  • 정기적인 내부 및 외부 감사
  • 정보 보안 프로그램의 검토 및 감독
  • 직원들을 위한 정기적인 정보 보안 및 개인정보 보호 교육
  • 최소 권한 원칙에 따른 데이터 접속                    

프로세스 및 제품의 인증/보증 조치

데이터 처리자는 다음 인증을 보유하고 있습니다.

  • SOC 2 Type 2
  • CSA(Cloud Security Alliance) STAR 2
  • HIPAA
  • PCI DSS

더 자세한 정보는 https://www.akamai.com/ko/legal/compliance에서 확인할 수 있습니다.

데이터 최소화 보장 조치

데이터 처리자는 다음과 같이, 개인정보 보호를 고려한 설계 원칙에 따라 서비스와 시스템이 프라이버시 요구 사항에 따라 개발되고 설계되었으며, 필요한 데이터 범위만 처리되도록 보장합니다.

  • 처리 목적을 달성하기 위해 최소한의 데이터만 처리되도록 보장
  • API Security 인시던트가 탐지될 때만 데이터를 수집하고, API 기준을 설정하기 위해 API당 소수의 패킷만 수집
  • 서비스에서 수집되는 특정 민감한 범주의 개인 데이터는 자동으로 난독화되며, 고객은 각 고객의 선호도에 따라 추가적인 개인 데이터 범주를 난독화하도록 선택할 수 있으며, 이는 각 고객이 직접 관리합니다

데이터 품질을 보장하기 위한 조치

데이터 처리자는 API 트래픽 패킷을 있는 그대로 수신하며, 일단 수신된 패킷 내의 API 개인 데이터를 업데이트하거나 수정할 수 없습니다. 

제한된 데이터 보유를 보장하기 위한 조치

API 개인 데이터는 계약 기간 동안 저장되며, 고객의 요청에 따라 더 일찍 삭제될 수 있습니다. 

책임 보장을 위한 조치

데이터 처리자는 다음과 같은 다양한 조치를 통해 책임을 보장합니다.

  • 데이터 보호를 위한 내부 정책 및 절차
  • 기본적으로 개인정보 보호를 고려한 설계 적용
  • 데이터 처리 활동 기록
  • 필요한 경우 개인정보 영향 평가
  • 벤더사 온보딩 프로세스 및 실사 평가 
  • 하위 처리자 제어, 하위 처리자 선정에 대한 적절한 기준 및 적절한 계약 포함 
  • 데이터 프라이버시 및 정보 보안 교육 프로그램

데이터 이동성 허용 및 삭제 보장 조치

데이터 처리자는 다음 조치를 통해 이동성과 삭제를 보장합니다.

  • 고객은 워크플로우를 사용해 서비스를 자체 시스템과 통합하고 시스템 내에서 자동으로 API 개인 데이터를 받을 수 있습니다
  • 고객의 요청에 따라 API 개인 데이터를 내보낼 수 있습니다
  • 고객의 요청에 따라 API 개인 데이터를 삭제할 수 있습니다
  • NIST 모범 사례에 따라 API 개인 데이터를 삭제하고 각 고객이 선택한 AWS 또는 다른 클라우드 서비스 사업자(데이터 처리자의 하위 처리자 목록에 설명된 대로)에서 관리합니다.

(하위) 처리자에게 전송하는 경우, (하위) 처리자가 컨트롤러에 지원을 제공할 수 있도록 취해야 할 구체적인 기술 및 기업적 조치에 대해서도 설명해야 합니다

데이터 처리자가 하위 처리자를 고용하는 경우, 데이터 처리자와 하위 처리자는 데이터 처리자와 데이터 관리자 간의 계약에 포함된 것과 실질적으로 유사한 데이터 보호 의무를 가진 계약을 체결합니다. 

데이터 처리자가 데이터 관리자에게 지원을 제공할 수 있도록 취해야 하는 구체적인 기술 및 기업적 조치에 대한 설명.

데이터 처리자의 데이터 관리자에 대한 지원에 대한 자세한 내용은 데이터 처리 계약 및 관련 서비스 계약을 참조하세요.