Qualtir의 보안

인증 및 규정 준수

브라우저와 서버 간에 전송되는 모든 데이터는 TLS 1.2 이상을 사용하여 암호화됩니다. 저장 데이터는 AES-256을 사용하여 암호화됩니다.

• 전송 중: 클라이언트와 서버 간 데이터에 TLS 1.2+ 암호화
• 저장 시: 모든 저장 데이터에 AES-256 암호화
• 키 관리: Google Cloud Key Management Service를 통한 암호화 키 관리
• 데이터베이스 암호화: 모든 데이터베이스는 스토리지 수준에서 암호화

최소 권한 원칙을 따릅니다. 고객 데이터에 대한 접근은 엄격히 통제되며 업무 수행에 필요한 직원으로 제한됩니다.

• 모든 내부 시스템에 걸친 역할 기반 접근 통제(RBAC)
• 모든 직원 계정에 필수인 다중 인증(MFA)
• 접근 로그 유지 및 정기적 검토
• 특권 접근은 시간 제한이 있으며 추가 승인 필요
• 직원 퇴사 시 즉시 접근 권한 취소

전체 인프라는 가장 안전하고 신뢰할 수 있는 클라우드 환경 중 하나인 Google Cloud Platform(GCP)에서 호스팅됩니다.

• EU 및 미국 지역의 GCP 데이터 센터에 데이터 호스팅
• 네트워크 수준 방화벽 및 DDoS 보호
• 인프라 자동 취약점 스캔
• 프로덕션 환경 격리를 위한 프라이빗 VPC 네트워크
• 제3자 보안 회사의 정기적인 침투 테스트

비정상 활동, 보안 위협 및 성능 이상에 대해 시스템을 지속적으로 모니터링합니다.

• 실시간 경보를 통한 24/7 자동 모니터링
• 보안 정보 및 이벤트 관리(SIEM) 통합
• 연간 제3자 보안 감사 및 침투 테스트
• ISO 27001 통제에 대한 정기적인 내부 감사
• 최소 12개월 동안 보관되는 포괄적인 감사 로그

정기적으로 테스트되고 업데이트되는 문서화된 사고 대응 계획이 있습니다.

• 정의된 에스컬레이션 경로 및 상시 대기 보안 대응 팀
• 확인된 사고 발생 후 1시간 이내 목표 격리
• 확인된 침해 후 72시간 이내 고객 통보(GDPR 요건)
• 재발 방지를 위한 사고 후 검토 및 개선

서비스 제공 및 법적 의무 이행에 필요한 기간 동안만 데이터를 보유합니다.

• 계정 폐쇄 후 90일 이내에 계정 데이터 삭제
• 백업은 30일 동안 보관 후 영구 폐기
• 모든 저장 매체에 적용되는 안전한 삭제 절차
• 30일 이내에 데이터 삭제 요청 처리

Google Workspace 확장 프로그램은 최소 권한 접근 방식으로 설계됩니다.

• Google API 서비스 사용자 데이터 정책 및 제한적 사용 요건 준수
• 서버에 Google Doc, Sheet 또는 Drive 콘텐츠의 영구 저장 없음
• 모든 Google 계정 인증에 OAuth 2.0 사용
• Google 계정 설정을 통해 언제든지 접근 권한 취소 가능
• 게시 전 Google의 보안 검토 절차 통과

8. 책임 있는 공개

보안 커뮤니티의 책임 있는 취약점 공개를 환영합니다. 잠재적인 보안 문제를 발견하면 다음으로 연락하십시오: contact@qualtir.com. 48시간 이내에 보고서 수신을 확인하고 최대한 빨리 문제를 이해하고 해결하기 위해 협력할 것을 약속합니다.

보안에 관한 질문

데이터 보호 방법에 대해 질문이나 우려가 있으시면 기꺼이 도와드리겠습니다.