조직 보안
정보 보안 프로그램
— 조직 전체에 걸쳐 전달되는 정보 보안 프로그램이 있습니다. 당사의 정보 보안 프로그램은 SOC 2 프레임워크에서 정한 기준을 따릅니다. SOC 2는 미국 공인 회계사 협회에서 만든 널리 알려진 정보 보안 감사 절차입니다.
타사 감사
— 우리 조직은 보안 및 규정 준수 제어를 테스트하기 위해 독립적인 타사 평가를 받습니다.
타사 침투 테스트
— 당사는 서비스의 보안 태세가 손상되지 않도록 적어도 매년 독립적인 제3자 침투를 수행합니다.
역할과 책임
— 당사의 정보 보안 프로그램과 관련된 역할과 책임 및 고객의 데이터 보호는 잘 정의되고 문서화되어 있습니다. 우리 팀 구성원은 모든 보안 정책을 검토하고 수락해야 합니다.
보안 인식 교육
— 우리 팀원은 피싱 및 암호 관리와 같은 업계 표준 관행 및 정보 보안 주제를 다루는 직원 보안 인식 교육을 거쳐야 합니다.
기밀성
— 모든 팀원은 업무 첫날 이전에 업계 표준 기밀 유지 계약에 서명하고 준수해야 합니다.
배경 검사
— 현지 법률에 따라 모든 신규 팀원에 대한 신원 조회를 수행합니다.
클라우드 시큐리티
클라우드 인프라 보안
— 모든 서비스는 Amazon 웹 서비스(AWS) 및 Google 클라우드 플랫폼(GCP)과 함께 호스팅됩니다. 그들은 여러 인증을 갖춘 강력한 보안 프로그램을 사용합니다. 공급자의 보안 프로세스에 대한 자세한 내용은 AWS 보안 및 GCP 보안을 방문하십시오.
데이터 호스팅 보안
— 모든 데이터는 Amazon 웹 서비스(AWS) 및 GCP(Google 클라우드 플랫폼) 데이터베이스에서 호스팅됩니다. 이러한 데이터베이스는 모두 미국에 있습니다. 자세한 내용은 위에 연결된 위의 공급업체 특정 문서를 참조하십시오.
나머지 에서 암호화
— 모든 데이터베이스는 나머지 암호화됩니다.
전송 중 암호화
— 당사의 애플리케이션은 TLS/SSL만으로 전송 중에 암호화합니다.
취약점 검색
— 우리는 취약점 검색을 수행하고 위협에 대해 적극적으로 모니터링합니다.
로깅 및 모니터링
— 다양한 클라우드 서비스를 적극적으로 모니터링하고 기록합니다.
비즈니스 연속성 및 재해 복구
— 당사는 데이터 호스팅 공급자의 백업 서비스를 사용하여 하드웨어 고장 발생 시 데이터 손실 위험을 줄입니다. 당사는 사용자에게 영향을 미치는 오류가 발생할 경우 팀에 경고하기 위해 모니터링 서비스를 활용합니다.
인시던트 대응
— 에스컬레이션 절차, 신속한 완화 및 통신을 포함하는 정보 보안 이벤트를 처리하는 프로세스가 있습니다.
보안 액세스
권한 및 인증
— 클라우드 인프라 및 기타 중요한 도구에 대한 액세스는 자신의 역할에 필요한 권한이 부여된 직원으로 제한됩니다. 사용 가능한 경우 단일 사인온(SSO), 2단계 인증(2FA) 및 강력한 암호 정책이 있어 클라우드 서비스에 대한 액세스를 보호합니다.
최소 권한 액세스 제어
— 우리는 ID 및 액세스 관리와 관련하여 최소한의 특권의 원칙을 따릅니다.
분기별 액세스 리뷰
— 민감한 시스템에 액세스할 수 있는 모든 팀 구성원의 분기별 액세스 검토를 수행합니다.
암호 요구 사항
— 모든 팀 구성원은 최소한의 암호 요구 사항 과 액세스복잡성을 준수해야 합니다.
암호 관리자
— 랩톱을 발급한 모든 회사는 팀 구성원이 암호를 관리하고 암호 복잡성을 유지하기 위해 암호 관리자를 사용합니다.
공급업체 및 위험 관리
연간 위험 평가
— 당사는 사기 에 대한 고려 사항을 포함하여 잠재적인 위협을 식별하기 위해 최소 연간 위험 평가를 받습니다.
공급업체 위험 관리
— 공급업체 의 위험이 결정되고 새 공급업체를 승인하기 전에 적절한 공급업체 검토가 수행됩니다.
문의
질문, 의견 또는 우려 사항이 있거나 잠재적인 보안 문제를 보고하려는 경우 security@joor.com 문의하십시오.
