정보보호 용어
공급자는 다음에 따라 서비스를 제공하고 계약에 따른 의무를 이행해야 합니다.
가. (I) 본 정보 보안 약관
b. (ii) 모범적인 보안 관행
1. 정의
가. “자산”은 클라이언트 데이터를 생성, 액세스, 처리, 보호, 모니터링, 저장, 검색, 표시 또는 전송하는 목적으로 사용되거나 사용될 수 있는 하드웨어 및 소프트웨어의 모든 항목 또는 요소를 의미합니다.
비. “클라이언트 데이터”는 계약과 관련하여 클라이언트 또는 그를 대신하는 사람이 공급자에게 제공하거나 공급자가 액세스하고 처리하도록 허용하는 모든 데이터를 의미합니다.
기음. “암호화”는 특히 무단 액세스를 방지하기 위해 정보나 데이터를 코드로 변환하는 프로세스를 의미합니다.
디. “패치”는 프로그램이나 제품 내의 보안 취약성을 해결하는 모든 소프트웨어 및 운영 체제(OS) 업데이트를 의미합니다.
이자형. “침투 테스트”는 시스템의 보안을 평가하기 위해 수행되는 컴퓨터 시스템에 대한 승인된 시뮬레이션 사이버 공격을 의미합니다.
에프. “공급자 시스템”은 공급자 또는 그 계열사에 의해 또는 그를 대신하여 운영하기 위해 (전체 또는 일부) 소유 또는 관리되는 모든 시스템 또는 자산을 의미합니다.
g. “보안 사고”는 클라이언트 데이터 및/또는 서비스의 기밀성, 무결성 및/또는 가용성이 실제로 손상되는 사건, 사건 및/또는 문제를 의미합니다.
시간. “생산 환경”은 CLIENT 데이터가 저장되고 처리되는 환경을 의미합니다.
나. “테스트 환경”은 프로덕션 환경으로 출시되기 전에 최근 개발된 프로그램이나 소프트웨어 제품을 테스트하는 데 사용할 수 있는 환경을 의미합니다.
j. “취약성”은 시스템 내에서 발견된 약점/결함이 존재함을 의미합니다.
케이. “인위적으로 부풀려진 트래픽”은 봇, 클릭 팜 또는 트래픽 양을 인위적으로 부풀리기 위한 기타 수단을 포함하되 이에 국한되지 않는 자동화되거나 사기적인 수단에 의해 생성된 모든 트래픽을 의미합니다.
2. 정보보안 조직
제공자는 다음을 수행해야 합니다.
2.1. 업계 표준을 준수하는 보안 정책을 정의, 문서화, 구현 및 유지하는 동시에 다음을 수행합니다. - 데이터 및 정보 시스템의 기밀성, 무결성 및 가용성이 유지되도록 보장합니다. - CLIENT 및 CLIENT 데이터에 적용될 수 있는 법률 및 규제 요구 사항을 준수합니다.
2.2. 매년 그리고/또는 중요한 변화에 대응하여 정책과 절차를 검토합니다.
2.3. 보안 정책이 공급자의 경영진에 의해 문서화 및 승인되고 관련 이해관계자에게 게시 및 전달되는지 확인합니다.
2.4. 모든 정보 보안 기능, 정책 및 절차를 조정하고 모니터링하는 데 필요한 수의 보안 전문가가 있는지 확인하십시오.
2.5. 보안 통제의 효율성을 정기적으로 내부 및 외부 검증하는 프로세스를 유지합니다. 공급자는 계약 및 본 약관에 따른 공급자의 의무를 준수하는 데 필요한 범위 내에서 모든 결함을 즉시 해결하고 해결해야 합니다.
3. 인적 자원 및 보안 교육
제공자는 다음을 수행해야 합니다.
3.1. 적절한 배경 조사 정책 및 절차를 정의, 문서화, 구현 및 유지합니다. 확인에는 관련 법률 및 규정에 따라 개인의 교육 및 이전 고용 기록, 범죄 기록, 신원 확인 및 추가 산업 표준 배경 확인 요구 사항이 포함될 수 있습니다.
3.2. 계약직을 포함한 모든 기존 직원과 신규 직원에 대해 신원 확인을 실시합니다.
3.3. 모든 직원이 적절한 기밀 유지 계약을 준수하도록 보장합니다.
3.4. 모든 직원을 위한 공식적인 보안 및 개인 정보 보호 인식 교육을 정의, 문서화, 구현 및 유지합니다. 공급자는 민감한 정보에 대한 접근 또는 사용을 허가하기 전과 그 이후에도 지속적으로 이러한 교육을 제공해야 합니다.
4. 자산 관리
제공자는 다음을 수행해야 합니다.
4.1. 소유자 및 위치 정보와 함께 모든 하드웨어 및 소프트웨어를 기록하는 정확한 최신 목록을 정의, 문서화, 구현 및 유지합니다.
4.2. 현재 공급업체 업데이트를 지원하거나 수신하는 소프트웨어 애플리케이션 및/또는 운영 체제만 공급자의 승인된 소프트웨어 인벤토리에 추가되도록 합니다.
4.3. EOL(수명 종료)을 지원하는 모든 소프트웨어 및 하드웨어를 사용에서 제거하고 적시에 재고를 업데이트하는지 확인하십시오.
4.4. 정보 및 정보 처리와 관련된 자산과 정보의 허용 가능한 사용에 대한 규칙을 정의합니다.
4.5. 모든 정보가 법적 요구 사항, 가치, 중요도 및 민감도 측면에서 분류되고 분류 라벨에 따라 처리되도록 합니다.
4.6. PROVIDER 시스템의 CLIENT 데이터를 적절하게 처리하고 폐기합니다. - 클라이언트 데이터 기록의 폐기는 데이터를 복구할 수 없도록 안전한 방식으로 수행되어야 합니다. - 데이터 삭제에 대한 임시 CLIENT 요청에 대해 삭제 인증서를 사용할 수 있어야 합니다.
5. 접근 통제
5.1. 일반 조항
제공자는 다음을 수행해야 합니다.
5.1.1. 비즈니스 요구와 "최소 권한" 원칙을 기반으로 액세스 제어 정책 및 절차를 정의, 문서화, 구현 및 유지하고 승인된 직원만 PROVIDER 시스템에 액세스할 수 있도록 보장합니다.
5.1.2. 고유한 ID만 사용하도록 하고 공유 계정의 예외 및 사용을 문서화해야 합니다.
5.1.3. CLIENT 데이터를 저장하거나 처리하는 PROVIDER 시스템에 대한 모든 액세스에는 다단계 인증(MFA)이 적용되는지 확인하십시오.
5.1.4. 정기적으로, 적어도 1년에 한 번씩 할당된 사용자 권한의 적절성을 검토합니다.
5.1.5. 사용자 관리 활동(사용자 권한의 추가, 수정 또는 제거)이 유효한 공식 요청에 따라 적시에 수행되는지 확인합니다.
5.2. 원격 액세스 보안
제공자는 다음을 수행해야 합니다.
5.2.1. 공급자 시스템에 대한 무단 원격 액세스를 방지하기 위해 적절한 보안 제어 세트가 마련되어 있는지 확인하십시오. 이러한 통제에는 최소한 다음이 포함되어야 합니다. - 공급자 시스템 및/또는 네트워크에 대한 모든 원격 액세스는 VPN 및 다단계 인증(MFA)을 통해서만 이루어져야 합니다. - 원격 액세스 메커니즘을 통해 이동하는 모든 데이터는 엔드포인트(예: 노트북)에서 네트워크로 암호화되어야 합니다. - 승인되지 않은 원격 액세스 메커니즘을 사용하여 공급자 시스템에 연결하려는 모든 시도는 거부되고 기록됩니다. - 의심스러운 활동은 관련 보안 프로토콜에 따라 처리되어야 합니다.
5.3. 비밀번호 관리
제공자는 다음을 수행해야 합니다.
5.3.1. 업계 모범 사례와 내부 비즈니스 요구 사항에 따라 비밀번호 정책을 정의, 문서화, 구현 및 유지 관리합니다.
5.3.2. 비밀번호는 길이가 충분하고 복잡해야 하며 쉽게 추측할 수 있는 단어가 포함되어 있지 않고 정기적으로 변경되어야 합니다.
5.3.3. 잘못된 비밀번호를 입력하려는 시도가 일정 횟수 실패하면 사용자 계정이 잠기고 일정 시간 동안 계정이 잠기는지 확인하십시오.
5.3.4. 비밀번호가 유효한 동안에는 비밀번호를 해독할 수 없도록 안전한 방식으로 저장했는지 확인하십시오.
6. 암호화
제공자는 다음을 수행해야 합니다.
6.1. 암호화 키와 키 자료의 사용, 보호 및 수명에 대한 규칙을 설정하는 적절한 암호화 제어 및 키 관리 프로세스의 사용을 규제하는 관련 정책 및 절차를 정의, 문서화, 구현 및 유지합니다.
6.2. 보안 프로토콜(예: TLS 1.2, AES-256 또는 기타 업계 권장 표준)을 사용하여 전송 중이거나 저장 중인 동안 클라이언트 데이터가 보호되는지 확인하세요.
6.3. 공급자가 소유하고 운영하는 키 관리 시스템에서 모든 암호화 키를 관리합니다.
6.4. 암호화 키 관리 프로세스 내에서 적절한 업무 분리를 보장합니다.
7. 물리적, 환경적 보안
제공자는 다음을 수행해야 합니다.
7.1. CLIENT 데이터를 저장하는 조직의 정보 및 정보 처리 시설에 대한 무단 물리적 접근, 손상 및 간섭을 방지하기 위해 물리적 보안 정책 및 절차를 정의, 문서화, 구현 및 유지합니다.
7.2. 정의된 정책과 절차에 따라 물리적, 환경적 보안 프로세스와 통제를 구현합니다. 공급자는 물리적 보안 통제의 일부 또는 전부를 제3자에게 아웃소싱할 수 있으며, 동일한 수준의 통제가 이루어지도록 보장하고 제3자의 규정 준수 여부를 정기적으로 평가해야 합니다.
7.3. 적절한 출입 통제를 통해 보안 구역을 보호하고 승인된 직원만 접근할 수 있도록 하십시오.
7.4. 모든 방문자가 승인을 받았는지, 적절한 신분증을 가지고 있는지, 필요한 구역에만 접근할 수 있는지 확인하십시오.
7.5. 기밀 정보를 보호하기 위해 잠금 캐비닛을 사용하는지 확인하십시오.
7.6. 저장 매체가 포함된 장비를 폐기하거나 재사용하기 전에 안전하게 덮어썼는지 확인하십시오.
7.7. 명확한 책상 정책을 보장하고, 정보 처리 시설에 대해서는 명확한 화면 정책을 적용합니다.
8. 운영 보안
제공자는 다음을 수행해야 합니다.
8.1. 백업, 엔드포인트 보호, 취약성 관리, 바이러스 백신 및 맬웨어 방지, 패치 적용, 시스템 강화 및 로깅을 위한 보안 운영 절차를 정의, 문서화, 구현 및 유지 관리합니다.
8.2. 업계 모범 사례 및 내부 비즈니스 요구 사항에 따라 정기적으로 취약성 평가 및 침투 테스트를 수행합니다. 또한 공급자는 위험 평가를 수행한 후 확인된 문제를 해결해야 합니다.
8.3. 정의된 우선순위에 따라 필요한 해결 일정 내에 취약점이 처리되는지 확인합니다.
8.4. 정의된 우선순위에 따라 모든 수준의 인프라에 패치와 업그레이드를 적용합니다.
8.5. 엔드포인트, 서버, 저장 장치, 메일/웹 게이트웨이 및 메일 트래픽이 기술적으로 가능한 경우 맬웨어 감염을 감지하고 방지할 수 있는 활성 맬웨어 방지 도구를 사용하여 보호되도록 합니다.
8.6. 정보, 소프트웨어 및 시스템 이미지의 백업 사본을 생성하고 업계 모범 사례 및 내부 비즈니스 요구 사항에 따라 이를 정기적으로 테스트해야 합니다.
8.7. 충분한 세부 정보를 포함하여 적절한 로깅이 수행되고 정의된 보존 기간에 따라 유지 관리되는 동시에 변조 및 무단 액세스로부터 보호됩니다.
8.8. 사용자의 소프트웨어 설치를 관리하는 규칙을 정의, 문서화, 구현 및 유지 관리합니다.
8.9. 저장 및 전송 중인 CLIENT 데이터의 기밀성, 무결성 및 가용성 손실로부터 보호하기 위해 랩톱, 서버, 가상 머신, 데이터베이스 및 네트워크 장치를 포함하되 이에 국한되지 않는 엔드포인트의 보안 구성에 대한 표준을 정의, 문서화, 구현 및 유지 관리합니다.
9. 네트워크 및 통신 보안
제공자는 다음을 수행해야 합니다.
9.1. 모든 네트워크 서비스의 보안 메커니즘과 관리 요구 사항을 정의, 문서화, 구현 및 유지 관리합니다.
9.2. 공용 및 비공개 네트워크를 통한 통신을 보호하기 위해 강력한 암호화 및 보안 구성 표준을 정의, 문서화, 구현 및 유지합니다.
9.3. 모든 관련 정보 처리 시스템의 시계가 단일 참조 시간 소스에 동기화되었는지 확인합니다.
9.4. 웹 트래픽과 네트워크 경계를 모니터링하여 사이버 공격을 탐지하고 악성 서비스, 웹페이지 및 트래픽을 차단합니다.
9.5. 방화벽 규칙에 대한 변경 사항은 공식적인 요청/승인 프로세스를 통해 제어되고 정기적으로 검토됩니다.
9.6. 업계 모범 사례와 내부 비즈니스 요구 사항에 따라 조직에 대한 액세스를 제한하고 제어합니다.
9.7. 구역화 모델이 적용되고 네트워크가 적절하게 분할되고 승인된 액세스 및 트래픽만 각 세그먼트에서 허용되는지 확인합니다.
10. 소프트웨어 개발 수명주기(SDLC)
제공자는 다음을 수행해야 합니다.
10.1. 서비스가 안전한 방식으로 개발 및 유지 관리되도록 보안 개발 수명주기를 설정합니다.
10.2. 공식적인 변경 제어 절차를 통해 개발 라이프사이클 내에서 시스템 변경을 제어합니다.
10.3. 개발, 테스트 및 프로덕션 환경을 분리하여 프로덕션 환경에 대한 무단 액세스 또는 변경 위험을 줄이십시오.
10.4. 정보 보안 관련 요구 사항이 새로운 서비스 요구 사항 또는 기존 서비스 개선 사항에 포함되어 있는지 확인합니다.
10.5. 테스트 데이터가 신중하고 통제된 방식으로 생성되었는지 확인하고 생산 데이터가 테스트 목적으로 사용되지 않도록 하십시오.
11. 공급업체 관계
제공자는 다음을 수행해야 합니다.
11.1. 비즈니스, 보안 요구 사항은 물론 해당 규정, 모범 사례 및 국제 표준을 준수하는 공급업체 관계 관리에 대한 기본 원칙과 규칙을 정의하는 공급업체 관계 관리 정책 및 절차를 정의, 문서화, 구현 및 유지 관리합니다.
11.2. 클라이언트 데이터에 액세스, 처리 또는 저장할 수 있는 각 공급자에 대해 공급자는 공급자 솔루션의 준수 여부를 평가하고 문서화해야 합니다. 하청 처리업체를 포함한 중요 공급업체의 경우 매년 재평가를 실시해야 합니다.
11.3. 모든 관련 정보 보안 요구 사항을 확립하고 CLIENT 데이터에 액세스, 처리 또는 저장할 수 있는 각 공급업체와 동의해야 합니다.
11.4. CLIENT 데이터에 액세스, 처리 또는 저장할 수 있는 각 공급업체와 비즈니스 관계의 작업 범위, 기밀성, 보안 및 기술 요구 사항(해당하는 경우)을 정의하는 유효한 계약이 마련되어 있는지 확인하십시오.
12. 정보보안사고 관리
제공자는 다음을 수행해야 합니다.
12.1. 정보 보안 사고를 보고, 대응 및 관리하기 위한 공식 프로세스를 정의, 문서화, 구현 및 유지합니다. 여기에는 최소한 다음이 포함됩니다. - 그러한 사건/위반을 공급자 조직 내의 적절한 경영진에게 보고하는 절차. - 정보 보안 사고를 식별, 평가, 처리하는 프로세스입니다. - 사고 대응을 관리하고 조정하기 위해 명확하게 지정된 팀. - 사건이 발생한 시간, 사건을 보고한 사람, 사건이 보고된 대상 및 그 영향을 포함하는 적절한 문제와 조치 로그를 유지해야 하는 요구 사항을 포함하여 사건에 대한 대응을 관리하기 위한 문서화되고 테스트된 프로세스입니다. - 정보보안 사고 및 CLIENT에게 제공되는 서비스에 대한 부정적인 영향이 확인된 후, 늦어도 72시간 이내에 적시에 이를 CLIENT에게 통보할 의무가 있습니다. 해당 요구 사항이 해당 법률 및/또는 규정에 근거한 경우 더 짧은 통지 기간이 적용됩니다. - 제공업체 사고 관리팀은 정보 보안 사고가 만족스럽게 해결될 때까지 적절한 경우 고객의 보안 담당자와 협력해야 합니다. - 제공자는 법 집행 기관, 규제 기관 또는 기타 국가 기관에 대한 정보 보안 사고 통지와 관련된 모든 국가 규정 및 법률을 준수해야 합니다.
13. 비즈니스 연속성 관리
제공자는 다음을 수행해야 합니다.
13.1. 비즈니스 연속성 프로그램을 정의, 문서화, 구현 및 유지 관리합니다.
13.2. BIA(비즈니스 영향 분석) 프로세스를 사용하여 SMSBAT의 중요한 제품 및 서비스를 식별하고 우선순위를 지정합니다.
13.3. 위험 평가 정보 및 방법을 사용하여 중단 위협을 평가합니다.
13.4. 비즈니스 영향 분석 및 위험 평가 결과를 기반으로 중단 사고가 발생하는 동안 중요한 서비스에 미치는 영향을 완화하기 위한 대응 및 복구 전략을 개발합니다.
13.5. 목적에 적합하고, 정기적으로 검토되고, 사용 가능하며, 따르고 이해하기 쉬운 비즈니스 연속성 및 복구 계획을 개발합니다.
13.6. 효과적인 위기 관리, 의사소통의 우선순위 지정, 사건 경고 방법을 위한 위기 관리 및 의사소통 계획을 개발합니다.
13.7. 교육 및 훈련을 제공하고 필수 역량에 맞춰 개발하며 직접적인 비즈니스 연속성 책임이 있는 직원에게 제공합니다.
13.8. 정기적인 평가와 법률 및 규제 요구 사항의 변경 사항을 고려하여 SMSBAT의 비즈니스 연속성 프로그램을 지속적으로 개선합니다.
14. 규정 준수
제공자는 다음을 수행해야 합니다.
14.1. 매년 업계 표준에 따라 정기적인 감사를 받습니다. 고객의 서면 요청 시, 제공자는 해당하는 경우 당시 보고서의 전체 또는 요약 사본을 고객에게 제공해야 합니다. 또한 공급자는 공급자가 본 약관에 따른 요구 사항을 준수하는지 확인하기 위해 클라이언트가 제출한 모든 합당한 요청(설문지, 양식 등)에 대해 영업일 기준 10일 이내에 서면 응답을 제공해야 합니다.
14.2. 해당 규정에서 요구하는 범위 내에서, 공급자는 최소 30일 이전 통지 후 매년 한 번, 공급자가 본 약관에 따른 요구 사항을 준수하는지 확인하기 위해 감사 당사자가 합리적으로 요구하는 바에 따라 고객, 각 감사인 또는 기타 대리인(각각 "감사 당사자")이 공급자의 시설, 기록 및 문서에 접근하도록 허용해야 합니다. 이 단락에 따른 검토에는 제3자 데이터의 검토가 필요하지 않으며, 감사 당사자는 검토를 수행하는 과정에서 알게 될 정보의 기밀성을 존중하는 데 합리적으로 필요할 수 있는 공급자와 기밀 유지 계약을 체결해야 할 수도 있습니다. 각 당사자는 해당 감사와 관련하여 자체 비용을 부담합니다. 감사를 통해 본 약관에 따른 공급업체의 의무를 준수하지 않은 것으로 밝혀진 경우, 공급업체는 상호 합의된 기한 내에 해당 비준수 사항을 시정하고 해당 조치에 따른 비용을 부담해야 합니다.
14.3. 제공자는 내부 기밀 정보 표시 및 14.1항과 14.2항에서 요청한 증거 사본 수집에 제한을 가할 권리를 보유합니다.
15. 클라이언트 보안 요구 사항
15.1. 일반 보안 조치
제공자는 다음을 수행해야 합니다.
15.1.1. PROVIDER은 클라우드 통신 서비스를 사용하여 CLIENT를 위한 보안 권장 사항을 정의, 문서화, 구현하고 유지 관리하고 있습니다. 고객은 해당 권장 사항을 검토하고 비즈니스 요구 사항, 기술 역량 및 위험 성향에 따라 이를 구현해야 합니다.
15.1.2. 고객은 자신의 적절한 보안 조치 설정에 대해 전적인 책임을 지며, 보안 및 기술적 조치의 부적절한 설정 또는 공급자가 권장하는 조치 구현의 부주의로 인해 보안 사고가 발생한 경우 공급자에게 어떠한 책임도 부과하지 않습니다.
15.2. AIT 보안 완화 조치
제공자는 다음을 수행해야 합니다.
15.2.1. PROVIDER는 사기 사건 예방을 위한 보안 지침을 정의하고 문서화하여 유지 관리하고 있습니다.
15.2.2. OTP를 사용하여 SMS MT를 실행하는 등록 또는 기타 양식이 CAPTCHA와 같은 안티봇 메커니즘으로 보호되지 않는 경우 PROVIDER 시스템과 통합된 CLIENT의 웹사이트 또는 모바일 애플리케이션에서 잠재적인 위험이 발생할 수 있습니다. 이러한 애플리케이션의 취약점으로 인해 AIT(인위적으로 팽창된 트래픽) 공격이 발생할 수 있습니다. OTP를 사용하여 SMS MT를 실행하는 자동화된 가짜 등록으로부터 사용자 가입 흐름을 보호하려면 CAPTCHA와 같은 봇 방지 메커니즘이 필수적입니다.
15.2.3. AIT 공격이 발생하면 제출 당시 클라이언트가 사용한 소스 IP 주소를 사용하여 트래픽이 공급자의 인프라로 전송됩니다. 트래픽의 SMS MT 내용은 CLIENT의 실제 트래픽과 구별할 수 없습니다. 클라이언트의 피드백이 없으면 공급자는 클라이언트 애플리케이션의 AIT와 동일한 애플리케이션의 실제 트래픽을 구별할 수 없습니다. 결과적으로, 제공자는 고객의 웹 또는 모바일 애플리케이션의 보안에 대해 책임을 질 수 없습니다. 또한 CLIENT는 CLIENT의 인프라에서 수신된 모든 트래픽이 계약 조건에 따라 네트워크 운영자에게 라우팅되고 클라이언트에게 요금이 부과된다는 점을 인정합니다.
15.2.4. 문제의 근본 원인은 클라이언트 인프라에 있기 때문에 영향을 받은 네트워크를 차단해도 활성화된 네트워크에서 유사한 문제가 다시 발생하는 것을 방지할 수 없습니다. 따라서 고객은 SMS MT OTP 코드를 실행하는 웹사이트 또는 모바일 애플리케이션의 모든 양식을 처리해야 합니다.
15.3. 신용한도 상향 요청
제공자는 다음을 수행해야 합니다.
15.3.1. CLIENT 웹사이트의 취약점이 해결되지 않으면 한도가 빠르게 소진될 수 있습니다. 따라서 공급자는 신용 한도 증가로 인한 잠재적 결과에 대한 위험 인식 및 이해에 대한 고객의 확인을 요청합니다.
15.3.2. 신용 한도 증가를 요청함으로써 CLIENT는 AIT 공격으로 인한 잠재적 손실에 대한 책임을 인정하고 결과적으로 발생할 수 있는 모든 비용을 지불할 것을 약속합니다.