물리적 보안
이 페이지에서는 ProtoPie Enterprise Cloud 환경을 위한 당사의 물리적 보안 제어 관련 정보를 제공하며, 여기에는 데이터 접근 및 모니터링, OS 하드닝, 공급업체 관리, 벤더 평가가 포함됩니다.
데이터 접근 및 모니터링
데이터 접근
시스템 관리자(Enterprise Operations 부서)는 고객 시스템을 통해 데이터에 접근이 가능하며, 여기에는 가상 기계(VM) 인스턴스 처리 시 하이퍼바이저에 대한 접근이 포함됩니다.
하이퍼바이저, 방화벽, 취약점 스캐너, 네트워크 스니퍼, API를 포함한 정보 보안 관리 시스템의 접근은 제한되며, 로그로 기록되고, 모니터링됩니다.
담당자 접근
하이퍼바이저 관리 기능 및 시스템 호스팅 가상화 시스템을 위한 관리 콘솔에 대한 담당자 접근은 최소 특권 원칙에 따라 까다롭게 제한됩니다.
당사는 강화된 접근 제어를 위해 2단계 보안 인증, 감사 추적, IP 주소 필터링, 방화벽, TLS 캡슐화 통신과 같은 다양한 기술적 조치를 활용합니다.
게다가 추가적인 보안 강화를 위해, 당사는 Bitdefender 솔루션을 시행하여 이동식 매체 사용을 관리합니다. 이를 통해 승인 받지 않은 데이터 전송 및 잠재적 위험으로부터 보호하기 위한 필수 제한 및 안전 장치를 강화할 수 있습니다.
OS 하드닝
최적의 보안을 확보하고 권장되는 우수 사례를 준수하기 위해, 당사는 다음과 같은 기술적 제어를 통해 OS 하드닝을 수행하고 업무상의 니즈를 충족합니다.
- 방화벽을 활성화하여 네트워크 보호를 강화합니다.
- Google Drive와 같은 신뢰도 있는 클라우드 저장 솔루션을 활용하여 귀사의 Mac을 주기적으로 백업합니다.
- 원격 접근을 비활성화하여 잠재적 취약점을 줄입니다.
- 하드 드라이브를 암호화하여 승인 받지 않은 접근으로부터 민감한 데이터를 안전하게 보호합니다.
- Bitdefender와 같은 백신 도구를 설치 및 활성화하여 맬웨어 및 다른 위험으로부터 보호합니다.
- 비밀번호로 보호되는 스크린세이버를 구성하여 시스템에 대한 승인 받지 않은 접근을 방지합니다.
- 자동 로그인을 비활성화하여 인증 보안을 강화합니다.
- 관리자 권한이 없는 별도의 일반 계정을 일상 업무용으로 생성하여 잠재적인 보안 조치 위반의 영향을 최소화합니다.
- 비밀번호 관리자를 사용하여 모든 계정에 대해 보안 수준이 높은 비밀번호를 생성하고 안전하게 저장합니다.
- Spotlight 추천을 비활성화하여 개인정보 보안 수준을 높이고 잠재적인 정보 유출을 방지합니다.
- 자동 업데이트를 활성화하여 최신 보안 패치 및 버그 수정을 수신해 새로운 위협에 대해 회복력이 있는 최신 상태로 시스템을 유지합니다.
이러한 권장 조치를 준수함으로써 OS 보안을 강화하고 업무 요구 조건을 효과적으로 충족할 수 있도록 합니다.
공급업체 관리
공급업체 관리 제어
ProtoPie는 클라우드 서비스 공급업체 Amazon Web Services (AWS) 관리를 위한 제어 조치를 시행합니다. 당사는 공급업체 시스템을 활용한 조직 정보 접근, 처리, 저장, 전송에 대한 약관을 정립했습니다. 이에 따라 당사는 주기적으로 감사를 시행하여 공급업체에 대한 System Organization Control(SOC) 보고서를 요청합니다.
AWS의 개인정보 보호 관행에 대한 자세한 정보를 확인하시려면 Amazon Web Services Data Privacy 페이지를 방문하시기 바랍니다.
성과 모니터링
감사 수행 및 SOC 보고 외에도 당사는 공급업체의 성과를 모니터링하여 고객 데이터의 보안 및 가용성을 확보하고자 합니다. Amazon Web Services(AWS)는 업계를 선도하는 클라우드 호스팅 제공업체로서 웹사이트에 대한 광범위한 성과 및 보안 정보를 제공하여 수월한 모니터링이 가능합니다.
벤더 평가
ProtoPie는 1년에 1회 클라우드 호스팅 벤더 평가를 수행하며, 이는 당사의 전담 보안 팀을 통해 면밀히 검토됩니다. AWS 컴플라이언트 프로그램에 관한 자세한 정보는 AWS Compliance Programs 링크를 통해 확인하실 수 있습니다.
아웃소싱 모니터링
모든 ProtoPie 제품은 하도급업자 및 아웃소싱을 통한 소프트웨어 개발 없이 인하우스로 개발되므로, 아웃소싱 활동과 관련한 소스 코드 보안 결함을 감지하기 위한 특정 제어 조치는 필요하지 않습니다.