������

������는 보안에 멀티레이어 접근법을 활용합니다.

당사가 보유한 데이터 보안을 유지하고 개인 정보를 보호하기 위해 ������(및 계열 그룹사, 이하 “������”)는 무단 접근과 부주의한 관찰, 공개, 사용, 수정, 위험 및 파괴 위협에 대한 취약성을 최소화하는 일련의 통제(예: 정책, 관행, 절차 및 메커니즘) 조치를 구현하고 유지 관리합니다. 이러한 통제 조치를 마련해 준수하면 보안 및 개인 정보 위험을 적절하게 해결하고 완화할 수 있습니다.

������의 기술 및 조직 통제 조치는 적절한 수준의 개인 정보 보호 및 보안에 이르기 위한 산업 표준 및 비즈니스 요구 사항에 부합합니다. 다음 통제 조치 목록은 데이터를 보호하기 위한 ������의 표준 관행에 대한 최소 기준을 간략하게 설명합니다.

1. 정책 및 문서 관리 – ������는 정보 보안 정책, 비즈니스 연속성 계획, 재해 복구 계획 및 사고 대응 프로세스를 유지하고 최소 1년 단위로 검토하며 테스트합니다. ������는 필요에 따라 그룹 내 데이터 공유 계약과 적절한 공급업체 데이터 처리 계약을 유지 및 업데이트합니다. ������ 제품 및 서비스에 적용되며 공개적으로 게시되는 개인 정보 보호 고지 외에도 ������는 ������에 적용되는 개인 정보 보호 표준 및 프로세스를 제어하는 내부 프레임워크 개인 정보 보호 정책을 1년 단위로 유지 관리하고 검토/업데이트합니다.
2. 네트워크 보안 제어 – ������의 시스템 관리자는 공개적으로 액세스할 수 있는 정보 시스템 구성 요소(예: 퍼블릭 웹 서버)가 별도의 물리적 네트워크 인터페이스를 갖춘 개별 하위 네트워크에 상주하도록 합니다. 또한 ������의 시스템 관리자는 네트워크 경계를 보호하는 제어 인터페이스가 특정 패킷 유형을 필터링하여 ������의 내부 네트워크에 있는 장치를 보호하도록 합니다. 방화벽 및 경계 제어 장치는 ������의 작업을 수행하는 데 필요한 항목만 액세스하도록 구성되어 있습니다.
3. 데이터베이스 보안 제어 – 시스템을 통하거나 직원이 직접하는 ������ 데이터베이스에 대한 모든 액세스의 경우 무단 변경 행위가 기록되고 모니터링됩니다. 데이터는 업계에서 권장하는 암호를 사용하여 데이터베이스에서 암호화되며 직접 액세스는 ������의 정보 보안 정책 및 인증 업무 준칙에 지정된 역할로 제한됩니다.
4. 액세스 제어 및 인증 – ������ 시스템과의 모든 사용자 상호 작용은 이러한 작업을 수행하는 개인을 추적할 수 있으며 모든 사용자는 ������ 시스템과 상호 작용하기 전에 확실하게 식별되어야 합니다. ������ 직원이 신뢰할 수 있는 역할을 수행하는 데 필요한 시스템 구성 요소에 액세스하려면 먼저 ������ 시스템에 자신을 인증해야 합니다. 이러한 역할은 ������의 인증 업무 준칙 및 정보 보안 정책에 정의되어 있습니다. ������ 컴퓨터 시스템에 대한 사용자 계정 및 기타 액세스 유형은 사용자 액세스 정책에 따라 승인되어야 합니다. 해당 정책에 설명된 대로 승인된 개인에 대한 물리적 제어와 논리적 제어는 최소 1년 단위로 주기적인 검토가 이루어집니다.
5. 직원 통제 – 모든 ������ 직원과 ������ 데이터 및/또는 시스템에 대한 액세스 권한을 가진 기타 작업자의 경우 기밀 유지 계약 적용 대상이며 배경 조사를 통과하고 특정 역할 기반 교육을 받아야 합니다. ������는 신뢰할 수 있는 역할, 각 역할에 대한 식별 및 인증, 무단 조치에 대한 제재, 업무 분리, 직원 배지 착용, 계약이 종료된 직원/작업자에 대한 시스템 액세스 권한 즉각 제거와 관련된 정책 및 절차를 유지 관리하고 시행합니다.
6. 물리적 보안 제어 – 민감한 정보가 있는 모든 사무실, 컴퓨터실 및 작업 공간에 대한 액세스는 물리적으로 제한됩니다. 모든 사무실 문에 잠금장치가 있으며 ������ 시설 출입구는 항상 문이 잠겨 있습니다. 이 문은 출입 카드나 기타 출입 통제 장치를 통해서만 출입할 수 있으며 이는 신원 확인 절차를 거쳐 발급됩니다. ������ 데이터 센터, 케이지 및 사무실은 CCTV로 모니터링됩니다. 보안 케이지에 액세스하려면 생체 인식 및 이중 관리 담당자의 승인을 거쳐야 합니다. 모든 액세스는 기록됩니다.
7. 취약성 관리/패칭 – 취약점 탐지 도구를 사용하여 모든 ������ 자산에 대해 월간 스캔을 수행합니다. 교정이 필요한 시스템은 Global Security Operations에서 정의한 일정 내에 패치해야 합니다. 타임라인은 할당된 CVSS(Common Vulnerability Scoring System) 점수를 기반으로 합니다. 심각 및 높음 취약점은 72시간 이내에 패치되거나 조치 계획이 생성되고, 중간 취약점은 패치되거나 30일 이내에 조치 계획이 수립되며, 낮음/정보 취약점은 ������의 재량에 따라 패치됩니다.
8. 종합 내부 평가 – ������는 보안, 개인 정보 보호, 기밀성 및 무결성에 대해 합리적이고 예측 가능한 모든 내부 및 외부 위협을 파악하기 위해 1년 단위로 종합 위험 평가를 수행합니다.
9. 침투 평가/외부 평가 – 매년 최소 1회의 타사 침투 평가를 수행합니다. 일반적으로 ������는 코드, 인프라 및 시스템에 대해 레드 팀 평가뿐만 아니라 매년 여러 번 침투 테스트를 수행합니다.
10. 교육 및 인식 – 모든 직원과 기타 작업자는 매년 개인 정보 보호, 보안 및 규정 준수 교육을 받아야 합니다. 직원이나 개인 식별 정보 및 민감한 정보를 취급하는 기타 작업자는 추가 교육을 받게 됩니다. ������ 시스템 및/또는 데이터에 액세스할 수 있는 모든 작업자의 경우 ������의 정보 보안 정책, 행동 강령 및 사용 제한 정책과 같은 적절한 데이터 처리용 정책과 절차를 준수해야 합니다.
11. 타사 액세스 제어 – ������ 시스템 또는 데이터에 액세스할 수 있는 타사와의 ������ 계약은 보안 및 개인 정보 보호 요구 사항을 적절하게 취급합니다. 또한 이러한 타사는 개인 정보 보호 및 보안 영향 평가의 대상이 되며 액세스 전에 위험이 완화됩니다.
12. 저장 및 전송 시 데이터 보호 – ������ 시스템에 저장된 모든 데이터는 업계에서 권장하는 암호를 사용하여 암호화됩니다. 마찬가지로 전 세계에 걸쳐 ������ 시스템 내에서 전송되는 모든 데이터는 업계에서 권장되는 암호를 사용하여 전송 중에 암호화됩니다.
13. 저장, 보유 및 삭제 – 물리적 또는 전자적으로 저장된 정보는 데이터 분류 수준에 따라 결정되는 적절한 기술적 통제를 받게 됩니다. 정보는 CP/CPS 및 해당 개인 정보 보호 고지에 따라 삭제됩니다.