보안 - WorkTime One | 엔터프라이즈급 데이터 보호 및 규정 준수

데이터 암호화

군사급 암호화가 모든 수준에서 데이터를 보호합니다

저장 시 암호화

AES-256 암호화: 데이터베이스에 저장된 모든 데이터는 256비트 키를 사용하는 고급 암호화 표준으로 암호화됩니다
데이터베이스 암호화: Firebase Firestore는 저장된 모든 데이터에 대해 자동 저장 시 암호화를 제공합니다
생체 인식 데이터: 지문 데이터는 SHA-256을 사용하여 해시되고 암호화된 형식으로 저장되어 역설계가 불가능합니다
백업 암호화: 모든 백업은 동일한 AES-256 표준으로 암호화됩니다
파일 저장: 업로드된 파일(보고서, 문서)은 저장 전에 암호화됩니다

전송 중 암호화

TLS 1.3: 브라우저와 서버 간에 전송되는 모든 데이터는 전송 계층 보안 1.3을 사용합니다
모든 곳에 HTTPS: 전체 플랫폼은 HSTS가 활성화된 HTTPS를 통해 작동합니다
API 보안: 모든 API 호출은 보안 토큰을 사용하여 암호화되고 인증됩니다
인증서 고정: 모바일 앱은 중간자 공격을 방지하기 위해 인증서 고정을 사용합니다

키 관리

Google Cloud KMS: 암호화 키는 Google Cloud Key Management Service에서 관리됩니다
키 교체: 암호화 키는 90일마다 자동으로 교체됩니다
접근 제어: 승인된 시스템만 전체 감사 로깅과 함께 암호화 키에 액세스할 수 있습니다
하드웨어 보안 모듈(HSM): 키는 FIPS 140-2 레벨 3 인증 HSM에 저장됩니다

인증 및 접근 제어

계정 액세스를 보호하는 다층 보안

2단계 인증(2FA)

TOTP 지원: Google Authenticator, Authy 또는 유사한 앱을 통한 시간 기반 일회용 비밀번호
이메일 2FA: 이메일 확인 코드를 통한 대체 2FA
필수 2FA: 조직은 모든 사용자에 대해 2FA를 강제할 수 있습니다
백업 코드: 인증 장치를 분실한 경우 복구 코드가 제공됩니다

비밀번호 보안

Bcrypt 해싱: 모든 비밀번호는 솔트가 포함된 bcrypt를 사용하여 해시됩니다
비밀번호 정책: 최소 8자, 복잡성 요구 사항이 적용됩니다
침해 감지: 비밀번호는 알려진 침해 데이터베이스(Have I Been Pwned)와 대조 확인됩니다
속도 제한: 로그인 실패 시도는 무차별 대입 공격을 방지하기 위해 속도 제한됩니다
세션 관리: 비활성 상태 후 자동 로그아웃, 구성 가능한 시간 초과 기간

역할 기반 접근 제어(RBAC)

세분화된 권한: 다양한 사용자 역할(관리자, 관리자, 직원)에 대한 세밀한 접근 제어
최소 권한 원칙: 사용자는 자신의 역할에 필요한 데이터에만 액세스할 수 있습니다
조직 격리: 다중 테넌트 아키텍처는 조직 간 완전한 데이터 격리를 보장합니다
감사 로그: 모든 액세스 및 권한 변경 사항이 기록되고 모니터링됩니다

Firebase 인증

업계 표준: Google의 Firebase Authentication 플랫폼으로 구동됩니다
OAuth 2.0: OAuth 2.0을 사용한 소셜 로그인 제공업체(Google, Microsoft) 지원
이메일 확인: 모든 신규 계정에 대한 필수 이메일 확인
계정 복구: 시간 제한 토큰을 통한 이메일을 통한 안전한 비밀번호 재설정

인프라 보안

글로벌 중복성을 갖춘 엔터프라이즈급 클라우드 인프라

클라우드 인프라

Google Cloud Platform: ISO 27001, SOC 2 및 SOC 3 인증을 받은 Google Cloud에서 호스팅됩니다
다중 지역 배포: 중복성을 위해 여러 지리적 지역에 걸쳐 데이터가 복제됩니다
자동 확장: 인프라는 트래픽 급증을 처리하기 위해 자동으로 확장됩니다
DDoS 보호: Google Cloud Armor는 자동 DDoS 완화를 제공합니다
네트워크 격리: 방화벽 규칙 및 네트워크 세분화가 있는 개인 VPC 네트워크

가용성 및 안정성

99.9% 가동 시간 SLA: 다운타임에 대한 재정적 크레딧이 있는 보장된 서비스 가용성
자동 장애 조치: 중복 시스템은 장애 발생 시 자동으로 인계받습니다
로드 밸런싱: 최적의 성능을 위해 여러 서버에 분산된 트래픽
상태 모니터링: 즉각적인 경보가 있는 연중무휴 자동 모니터링
사고 대응: 전담 팀이 15분 이내에 사고에 대응합니다

백업 및 재해 복구

지속적인 백업: Firebase는 자동, 지속적인 데이터 백업을 제공합니다
특정 시점 복구: 지난 35일 내의 모든 시점으로 데이터를 복원합니다
지리적 중복성: 여러 지리적 위치에 저장된 백업
재해 복구 계획: 4시간의 복구 시간 목표(RTO)가 있는 포괄적인 DR 계획
백업 테스트: 데이터 무결성을 보장하기 위한 정기적인 백업 복원 테스트

물리적 보안

Google 데이터 센터: 연중무휴 보안 요원이 있는 최첨단 시설
생체 인식 액세스: 생체 인식 인증으로 제어되는 데이터 센터 액세스
비디오 감시: 비디오 녹화를 통한 지속적인 모니터링
환경 제어: 화재 진압, 기후 제어 및 전력 중복성

애플리케이션 보안

안전한 코딩 관행 및 취약점 관리

안전한 개발

안전한 SDLC: 소프트웨어 개발 수명 주기의 모든 단계에 통합된 보안
코드 검토: 배포 전에 여러 개발자가 모든 코드 변경 사항을 검토합니다
정적 분석: 보안 취약점에 대한 자동 코드 스캐닝(SAST)
종속성 스캐닝: 알려진 취약점에 대해 타사 라이브러리를 스캔합니다
보안 교육: 모든 개발 팀 구성원을 위한 정기적인 보안 교육

취약점 관리

침투 테스트: 인증된 보안 회사의 연간 타사 침투 테스트
버그 바운티 프로그램: 보안 연구원을 위한 보상이 있는 책임 있는 공개 프로그램
취약점 스캐닝: 보안 취약점에 대한 주간 자동 스캔
패치 관리: 24시간 이내에 배포되는 중요한 보안 패치
CVE 모니터링: 공통 취약점 및 노출에 대한 지속적인 모니터링

OWASP 상위 10개 보호

SQL 주입: 매개변수화된 쿼리 및 ORM은 SQL 주입 공격을 방지합니다
XSS 방지: 입력 삭제 및 콘텐츠 보안 정책(CSP) 헤더
CSRF 보호: 모든 상태 변경 작업에 대한 안티 CSRF 토큰
인증 결함: Firebase Auth를 통한 업계 표준 인증
보안 구성 오류: 자동화된 구성 검사 및 강화
민감한 데이터 노출: 모든 민감한 데이터의 암호화 및 안전한 저장

API 보안

JWT 토큰: 만료가 있는 JSON 웹 토큰을 사용한 API 인증
속도 제한: API 속도 제한은 남용 및 DDoS 공격을 방지합니다
입력 유효성 검사: 모든 API 입력이 유효성 검사되고 삭제됩니다
OAuth 2.0: OAuth 2.0 프로토콜을 사용한 안전한 타사 API 액세스

규정 준수 및 인증

글로벌 보안 및 개인정보 보호 표준 충족

SOC 2 Type II

독립적인 타사 감사자가 보안, 가용성 및 기밀성 제어에 대한 연간 감사를 수행합니다.

GDPR 규정 준수

데이터 주체 권리 및 침해 통지를 포함한 EU 일반 데이터 보호 규정 완전 준수.

CCPA 규정 준수

포괄적인 개인정보 보호 제어를 갖춘 미국 기반 고객을 위한 캘리포니아 소비자 개인정보 보호법 준수.

ISO 27001(GCP)

인프라 제공업체(Google Cloud)는 정보 보안 관리를 위한 ISO 27001 인증을 유지합니다.

PCI DSS

PCI DSS 레벨 1 규정 준수 결제 프로세서를 통한 결제 처리. 신용 카드 세부 정보를 저장하지 않습니다.

HIPAA 준비

인프라는 의료 기관을 위한 HIPAA 규정 준수 요구 사항을 지원합니다(요청 시 BAA 제공).

개인정보 보호 및 데이터 보호

투명한 데이터 관행 및 사용자 개인정보 보호 제어

데이터 최소화

서비스 기능에 필요한 데이터만 수집합니다
마케팅 목적을 위한 추적 쿠키가 없습니다
생체 인식 데이터는 해시된 비가역적 형식으로 저장됩니다
선택적 기능을 통해 특정 데이터 수집을 비활성화할 수 있습니다

사용자 권리

액세스 권한: 표준 형식(CSV, JSON, Excel)으로 모든 데이터를 내보냅니다
삭제 권한: 데이터의 영구 삭제를 요청합니다
수정 권한: 부정확하거나 불완전한 데이터를 수정합니다
이동성 권한: 다른 서비스 제공업체로 데이터를 전송합니다
반대 권한: 마케팅 커뮤니케이션 및 분석을 선택 해제합니다

데이터 처리 계약

표준 계약 조항: 국제 데이터 전송을 위한 EU 승인 SCC
GDPR 규정 준수: GDPR 제28조 프로세서 의무 완전 준수
하위 프로세서 투명성: 변경 사항 통지와 함께 모든 하위 프로세서의 공개 목록
데이터 침해 통지: 모든 데이터 침해로부터 72시간 이내에 통지

보안 모니터링 및 사고 대응

연중무휴 모니터링 및 신속한 사고 대응

지속적인 모니터링

연중무휴 모니터링: 인프라 및 애플리케이션에 대한 24시간 모니터링
SIEM 통합: 위협 탐지를 위한 보안 정보 및 이벤트 관리
이상 탐지: 비정상적인 활동 탐지를 위한 머신 러닝 기반
실시간 경보: 보안 사고에 대한 즉각적인 알림
로그 집계: 포렌식 분석을 위한 보존이 있는 중앙 집중식 로깅

사고 대응

전담 팀: 연중무휴로 이용 가능한 보안 사고 대응 팀
대응 시간: 중요한 사고 탐지로부터 15분 이내에 초기 대응
커뮤니케이션: 사고 중에 영향을 받은 고객과의 투명한 커뮤니케이션
사후 검토: 사고 후 상세한 분석 및 시정 조치
규제 통지: 침해 통지 요구 사항(GDPR, CCPA) 준수

감사 로깅

포괄적인 로그: 모든 사용자 작업, 시스템 이벤트 및 보안 이벤트가 기록됩니다
불변 로그: 로그는 수정하거나 삭제할 수 없으므로 감사 추적 무결성이 보장됩니다
로그 보존: 규정 준수 및 포렌식을 위해 2년간 보안 로그를 보존합니다
사용자 활동: 고객은 조직 활동의 감사 로그를 볼 수 있습니다

직원 액세스 및 교육

고객 데이터에 대한 직원 액세스에 대한 엄격한 제어

액세스 제어

최소 권한: 직원은 직무에 필요한 데이터에만 액세스할 수 있습니다
배경 조사: 모든 직원은 고용 전에 배경 조사를 받습니다
NDA 및 기밀 유지: 모든 직원은 비공개 계약에 서명합니다
액세스 검토: 직원 액세스 권한에 대한 분기별 검토
즉시 취소: 종료 시 즉시 액세스가 취소됩니다

보안 교육

온보딩 교육: 모든 신입 직원을 위한 필수 보안 교육
연간 교육: 업데이트된 위협이 있는 연간 보안 인식 교육
피싱 시뮬레이션: 경계를 유지하기 위한 정기적인 피싱 테스트
사고 대응 훈련: 분기별 보안 사고 대응 연습
규정 준수 교육: GDPR, SOC 2 및 데이터 보호 교육

고객 데이터 액세스

기본 액세스 없음: 직원은 기본적으로 고객 데이터에 액세스할 수 없습니다
지원 액세스: 고객 지원은 명시적 허가가 있는 경우에만 데이터에 액세스할 수 있습니다
감사 추적: 고객 데이터에 대한 모든 직원 액세스가 기록되고 모니터링됩니다
데이터 익명화: 엔지니어는 디버깅을 위해 익명화된 데이터로 작업합니다

고객을 위한 보안 모범 사례

계정 보안을 강화하기 위해 다음 관행을 권장합니다:

모든 사용자에 대해 2단계 인증(2FA)을 활성화합니다
강력하고 고유한 비밀번호를 사용합니다(최소 12자)
사용자 액세스 권한을 정기적으로 검토하고 불필요한 액세스를 제거합니다
피싱 인식 및 사회 공학에 대해 직원을 교육합니다
자체 내부 액세스 제어 및 정책을 구현합니다
데이터를 정기적으로 내보내고 백업합니다
의심스러운 활동에 대한 감사 로그를 모니터링합니다
보안 문제가 있으면 즉시 [email protected]으로 보고합니다

책임 있는 공개 프로그램

보안 커뮤니티를 소중하게 생각하며 보안 취약점 보고를 환영합니다. 보안 문제를 발견하면 책임감 있게 보고해 주세요:

보안 이메일: [email protected]

PGP 키: 암호화된 통신을 위해 요청 시 제공

응답 시간: 24시간 이내에 보고서를 확인합니다

버그 바운티: 적격 취약점에 대한 보상 제공

지침

권한 없이 고객 데이터에 액세스하거나 수정하지 마십시오
서비스 거부 공격 또는 방해 테스트를 수행하지 마십시오
공개 공개 전에 문제를 해결할 합리적인 시간을 허용합니다
상세한 재현 단계 및 영향 평가를 제공합니다
선의로 행동하는 연구원에 대해 법적 조치를 취하지 않습니다

보안에 대한 질문이 있으십니까?

보안 팀이 질문에 답변해 드리겠습니다

보안 팀에 문의 개인정보 보호정책 보기

엔터프라이즈급 보안

AES-256 암호화

SOC 2 규정 준수

99.9% 가동 시간 SLA