데이터 보안
클라우드 기반 서비스의 개인 정보 보호 및 아키텍처
  다운로드 PDF
소개 : 모든 도로가 구름으로 연결됩니다.

세계는 이제 거의 모든 산업에서 기술 혼란의 파동을 부추 겼고 그 진원지는 모두 현재 사용되고있는 기존 기술 스택을 대체하는 클라우드 통합 솔루션입니다. 클라우드 컴퓨팅 및 스마트 이동성 시대의 변화와 혁신은 다양한 방향에서 빠른 속도로 진행되고 있으며 그 어느 때보 다 지속적으로 발생하고 있습니다. 클라우드 비즈니스 및 환경에서 근무하는 조직은 클라우드 솔루션을 통해 생각, 반영 및 조정할 수있는 사치를 제공하지 않기 때문에 사전에 전략을 수립하고 고객 참여에 진정으로 참여하고 생존을 유지하기 위해 신속한 대응을해야합니다. 새천년이 시작되면서 기술 회사는 10 년을 절약 할 수 있었지만 지금은 변화의 속도가 불과 몇 개월로 단축되었습니다. 클라우드 솔루션의 글로벌 가치는 3.5 조 달러 이상으로 추산되며 기술 회사는 기술 전환과 함께 취약성 및 위협의 지수화로 인해 발생하는 보안 문제의 형태로 또 다른 커다란 장애물로 어려움을 겪습니다. 이러한 이유로 클라우드 제공 업체는 비즈니스 연속성을 보장하기 위해 보안 문제가 적절하고 적절하게 해결되도록 가능한 전략을 마련해야합니다.
TimeTec 은 전 세계적으로 다양한 산업 분야의 보안 및 인력 관리를 위해 클라우드 기반 솔루션을 제공해온 유명한 글로벌 브랜드입니다. 클라우드 기반 시스템 개발자 인 TimeTec은 고객의 신뢰와 브랜드에 대한 신뢰를 유지하기 위해 다음과 같은 모든 요구 사항을 핵심 목표로 수행했습니다.


클라우드 개발자가 제공해야 할 19 가지 핵심 보안 문제

고객 신뢰는 클라우드 비즈니스를 구축하고 유지하는 데있어 가장 중요하며 제공 업체는 제공된 솔루션을 통해 고객으로부터받은 데이터를 포함하여 모든 솔루션에서 고객의 데이터 보호를 담당하는 강력한 보안 및 개인 정보 보호 프로그램을 제공하여이를 달성하고 유지 관리해야합니다. 서비스.
  1. 아키텍처 및 데이터 분리
클라우드에서 운영 및 제공되는 서비스는 회사가 지정한 권한 부여를 기준으로 고객 데이터 액세스 만 볼 수있는 다중 점유 아키텍처에 있어야합니다. 역할 권한을 기반으로 정보에 액세스 할 수있게하는 고유 한 직원 식별을 통해 효과적인 논리적 데이터 분리를 제공합니다. 데이터 분리는 여러 기능, 즉 테스트 및 생산을위한 별도의 환경을 제공하여 수행해야합니다.
  2. 처리 제어
이는 고객에게 지시를 받았을 때만 데이터가 처리되고 전체 프로세싱 활동의 체인을 통해 고객에게 권한을 부여하고 구현 된 조치의 준수가 감사의 대상이되어야합니다.
  3. 감사 및 인증
최소 연간 기준으로 제공되는 모든 서비스는 인프라 취약성 평가 및 응용 프로그램 보안 평가를 포함한 내부 직원의 보안 평가를 거쳐야합니다.
  4. 보안 로그
운영 체제, 로그 정보를 각 응용 프로그램 시스템 로그 기능 또는 중앙 시스템 로그 서버 (네트워크 시스템 용)에 제공하는 데 사용되는 모든 시스템은 보안 검토 및 분석을 가능하게하기 위해 보관되며 시스템 및 응용 프로그램 로그는 최소 60 일간 보관해야합니다.
  5. 보안 제어
인터넷 브라우저 또는 모바일 응용 프로그램을 통해 제공되는 제공된 서비스에는 구성 할 수있는 다양한 보안 기능이 있어야합니다. 이러한 컨트롤에는 다음이 포함되지만 이에 국한되지는 않습니다.
 
•  사용자 ID를 고유 한 사용자 식별자로 사용하여 활동을 개인에게 추적 할 수 있습니다.
•  reCaptcha 컨트롤을 사용하여 여러 번의 연속 로그인 실패 시도가 실패한 후에 액세스를 시도합니다.
•  일정 기간 동안 사용하지 않으면 사용자 세션을 종료합니다.
•  암호 길이를 제어합니다.
•  암호 복잡성 요구 사항을 충족시킵니다.
  6. 보안 정책 및 절차
제공 서비스는 보안을 강화하기 위해 다음 정책 및 절차에 따라 운영되어야합니다.
 
•  사용자 암호는 소금에 절인 해시 형식을 사용하여 보관되며 암호화되지 않은 상태로 전송되지 않습니다.
•  사용자 액세스 로그 항목은 날짜, 시간, 실행 된 URL 또는 엔터티 ID, 수행 된 작업 (보기, 편집 된 등) 및 원본 IP 주소를 포함하여 유지 관리됩니다. 고객 또는 ISP가 NAT (네트워크 주소 변환) 또는 PAT (포트 주소 변환)를 사용하는 경우 원본 IP 주소를 사용하지 못할 수 있습니다.
•  로그는 변조를 방지하기 위해 안전한 중앙 집중식 호스트에 저장됩니다.
•  암호는 기록되지 않습니다.
  7. 침입 탐지
제공된 서비스는 개발자 또는 해당 작업에 할당 된 제 3자가 네트워크 기반 침입 탐지 메커니즘을 사용하여 무단 침입을 모니터링해야합니다. 사용자의 웹 브라우저 (예 : 기기 유형, 화면 해상도, 시간대, 운영체제 버전, 브라우저 유형 및 버전, 시스템 글꼴, 설치된 브라우저 플러그인, 사용 가능한 MIME 유형 등)에 의해 수집 된 데이터는 허위 인증을 방지하고 제공 서비스가 올바르게 작동하는지 확인하기위한 보안 목적.
  8. 사건 관리
제공 업체는 보안 사고 관리 정책 및 절차를 유지 관리해야하며 영향을받은 고객에게 개발자 또는 대리인이 법이 허용하는 한도 내에서 알게 된 해당 고객 데이터의 무단 공개를 부당하게 지연시키지 않습니다.
  9. 사용자 인증
인터넷 브라우저, 모바일 앱 또는 API를 통한 제공 서비스에 대한 모든 액세스에는 전송 중에 HTTPS를 통해 암호화 된 유효한 사용자 ID와 암호 조합이 필요합니다. 인증이 성공하면 임의의 세션 ID가 생성되어 사용자의 브라우저에 저장되어 세션 상태를 보존하고 추적합니다.
  10. 물리적 보안
해당 서비스를 제공하는 데 사용되는 프로덕션 데이터 센터가 외부 서비스에 의해 처리되는 경우 AWS Security Whitepaper.pdf 와 같은 보안 프로세스 세부 정보를 알려줍니다.
  11. 신뢰성과 백업
모든 네트워킹 구성 요소,로드 밸런서, 웹 서버 및 응용 프로그램 서버는 중복 구성으로 구성됩니다. 해당 서비스에 제출 된 모든 고객 데이터는 특정 시점 복구 기능을 사용하여 자동 백업 된 기본 데이터베이스 서버에 저장됩니다. 모든 일일 AMI 백업은 최소 2 일 동안 유지되며 주간 AMI 백업은 최소 한 달 이상 유지됩니다.
  12. 재해 복구
Offered Services의 생산 시스템은 중요한 데이터 및 서비스의 백업을 제공하는 다단계 재난 복구 계획에 의해 보호되어야합니다. 가능한 가장 짧은 시간 내에 비즈니스 핵심 시스템을 온라인 상태로 되돌릴 수있는 포괄적 인 복구 프로세스 시스템이 있습니다. 데이터베이스, 보안, 시스템 관리 및 네트워크 구성 및 데이터 복구 프로세스는 직원이 서비스 중단 후 프로세스를 사용할 수 있도록하는 로드맵을 제공합니다.
  13. 바이러스
제공 서비스는 고객이 제공 서비스에 업로드 한 첨부 파일 또는 기타 데이터에 포함될 수있는 바이러스는 검사하지 않습니다. 업로드 된 첨부 파일은 제공 서비스에서 실행되지 않으므로 바이러스가 포함되어 온라인 제공 서비스를 손상 시키거나 손상시키지 않습니다.
  14. 데이터 암호화
제공 서비스는 128 비트 TLS 인증서와 2048 비트 RSA 공개 키를 포함하여 고객의 네트워크와 해당 서비스 간의 전송시 고객 데이터 및 통신을 보호하기 위해 업계에서 인정하는 암호화 제품을 사용해야합니다.
  15. 고객 데이터 반품
제공 서비스에 제출 된 고객 데이터는 요청시 고객에게 반환됩니다.
  16. 고객 데이터 삭제
오퍼링 서비스가 해지 된 후 고객은 오퍼링 된 서비스에 제출 된 고객 데이터의 삭제를 요청할 수 있으며이 프로세스는 적용 가능한 법적 요구 사항의 적용을받습니다. 제공된 서비스에 대한 인프라에 저장된 고객 데이터는 이에 따라 삭제됩니다.
  17. 민감한 데이터
중요 : 다음과 같은 유형의 중요한 개인 데이터는 OfferedServices에 제출 될 수 없습니다 : 재무 정보 (예 : 신용 카드 또는 직불 카드 번호, 관련 보안 코드 또는 비밀번호, 은행 계좌 번호); 개인의 신체적 또는 정신적 건강과 관련된 정보; 건강 관리의 제공 또는 지불과 관련된 정보. 명확성을 위해 개발자의 재정적 자질을 확인하고 고객으로부터 지불금을 수금하기 위해 개발자에게 제공되는 금융 정보에는 위 제한이 적용되지 않습니다.
  18. 애널리틱스
개발자는 보안을 위해 제공 서비스의 사용을 추적하고 분석하여 개발자가 제공 서비스를 사용함에있어 제공 서비스와 사용자 경험을 향상시킬 수 있도록 지원할 수 있습니다.

개발자는 이러한 추적, 분석 및 개선에 개발자를 돕기 위해 익명의 사용 데이터를 서비스 제공 업체와 공유 할 수 있습니다. 또한 개발자는 비즈니스 운영의 정상적인 과정에서 이러한 익명의 사용 데이터를 총체적으로 공유 할 수 있습니다. 예를 들어, 우리는 우리의 서비스의 일반적인 사용에 대한 추세를 공개적으로 공유 할 수 있습니다.

  19. 다른 서비스와의 통합 또는 상호 운용
개발자가 제공하는 서비스는 개발자 또는 제 3자가 제공 한 다른 서비스와 통합되거나 상호 운용 될 수 있습니다. 개발자는 또한 사용자가 제품에 대해 배우고, 커뮤니티에 참여하고, 타사 응용 프로그램에 연결하고,이 설명서의 범위를 벗어나는 조종사, 테스트 및 평가에 참여할 수있는 많은 플랫폼과 기능을 제공 할 수 있습니다. 개인 정보 보호 정책에 부합하는 방식으로 이러한 플랫폼 및 기능에 참여하는 사용자와의 커뮤니케이션. 또한 개발자는 제공된 서비스에 대한 거래 정보를 제공하기 위해 사용자에게 연락 할 수 있습니다. 예를 들어, 계정 관리자 또는 시스템에서 생성 한 전자 메일 메시지를 통해. 개발자는 고객 및 사용자에게 이러한 메시지 수신을 비활성화하거나 거부 할 수있는 기능을 제공해야합니다.

클라우드 기반 시스템 개발자 인 TimeTec은 고객의 신뢰를 유지하기 위해 주요 목표와 함께 위의 요구 사항을 충족 시켰습니다. TimeTec에서 제공하는 서비스에 대한 보안, 개인 정보 보호 및 아키텍처 설명서는 TimeTec Cloud 웹 사이트에서 제공됩니다.

TimeTec의 클라우드 기반 솔루션 확인 :
www.timeteccloud.com