보안
보안
EasyAnnounce는 최신 보안 관행과 기술을 바탕으로 안전하게 구축되었습니다.
이 페이지의 영어 버전이 당사의 보안 관행에 대한 공식 버전입니다. 번역본은 정보 제공 목적으로만 제공됩니다.
소개
이 페이지의 내용은 당사의 보안 태세를 설명하며, 보안을 중요하게 다루고 있음을 보여주기 위한 것입니다.
기대 사항
보안 요구사항에 대한 기대를 충족하고자 합니다. 다만 더 높은 수준의 요구가 있다면 가능한 일정이나 수정 사항을 논의할 수 있도록 문의해 주세요.
책임 있는 취약점 공개
플랫폼 취약점을 발견한 전문가의 공개를 환영하고 감사하게 생각합니다. 다만 현재 버그 바운티 프로그램은 운영하지 않습니다. 발견된 문제는 해결을 목표로 하며, 공개될 경우 기여를 표기해 드립니다.
웹 브라우저 또는 애플리케이션, 당사 웹사이트, API 게이트웨이, 워커 서버, 그리고 신뢰할 수 있는 제3자 제공업체 간의 모든 요청은 HTTPS를 통해 강력한 암호화 방식(AES-256)과 SHA-256 이상을 사용하는 인증서 서명(RSA 또는 ECDSA)으로 전송 중 암호화됩니다. TLS1.2+ 연결만 지원합니다.
당사의 프라이빗 CDN과 데이터베이스는 모두 전송 중 및 저장 시 암호화되며, SOC2 Type 2 및 HIPAA를 준수합니다. 안내 방송 요청이나 이름 조회의 수명 주기를 넘겨 해당 요청에 포함된 고객 이름이나 세부 정보는 저장하지 않습니다.
웹앱에 사용하는 데이터베이스는 데이터 분리를 위한 엔터프라이즈 요구사항을 지원하기 위해 행 수준 보안(RLS)을 사용합니다. 조직 ID는 이 데이터베이스 외부에서 사용되기 전에 항상 먼저 해시 처리됩니다(예: 할당량 적용 및 API 게이트웨이 관리).
프런트엔드와 백엔드 서비스는 모두 전용 웹 애플리케이션 방화벽으로 보호되며, 필수적인 접근만 허용하고 봇 및 DDoS 공격으로 인한 장애를 줄이기 위한 규칙을 적용합니다.
결제 처리는 Stripe를 사용하고 구독 관리를 함께 처리합니다. 당사는 결제 카드 데이터를 저장하거나 처리하지 않습니다. 당사는 PCI DSS SAQ A 범주의 가맹점입니다.
예상되는 PCI-DSS(SAQ-A) 가맹점 의무를 충족하기 위해 프런트엔드 웹사이트를 분기별로 스캔합니다. 발견된 문제는 48시간 이내 해결을 목표로 합니다.
백엔드 API 서버와 웹사이트의 중요 소프트웨어 업데이트를 정기적으로 확인하고 적용합니다. 중요하지 않은 패치는 일반적인 개발 및 성능 업데이트와 함께 진행됩니다.
API 플랫폼과 프런트엔드의 소프트웨어 코드에 영향을 주는 CVE를 모니터링하며, 인지한 뒤 48시간 이내에 치명적(CVE >9.0) 수정 조치를 취하는 것을 목표로 합니다.
모든 제어 시스템은 MFA와 팀원별 고유 계정으로만 접근할 수 있습니다.
제3자 공급업체는 위치와 준수 여부를 기준으로 선정했습니다. 당사의 제공업체(데이터베이스, 데이터 센터, 음성 합성 생성 제공업체)는 모두 SOC 2 Type 2, GDPR, HIPAA를 준수합니다.
현재 데이터베이스는 GDPR 요구사항을 충족하는 데 도움이 되도록 캐나다와 EU에 위치해 있습니다. 인프라 서버와 웹서버 제공업체는 모두 EU-US Data Privacy Framework에 등록되어 있으며 활성 상태입니다.
당사는 신생 스타트업이며, 서비스를 가능한 한 견고하고 안전하게 구축하고 있습니다. 이를 통해 쉽게 확장할 수 있고 고객 및 준수 요구사항도 충족할 수 있어야 합니다. 곧 SOC2 Type 1 감사를 받을 예정이며, 보안 설문지를 보내주시면 질문에 더 자세히 답변드릴 수 있습니다. 문의 페이지를 통해 연락해 주세요.
연락처 정보
자세한 정보나 준수 관련 요청은 문의 페이지를 통해 연락해 주세요.