Liferay 트러스트 센터/보안 규정 준수
라이플레이는 잠재 고객과 고객에게 비즈니스 요구에 안전하고 규정 준수를 준수하는 디지털 솔루션을 찾는 것이 얼마나 중요한지 이해합니다. 또한 단지 공급업체가 아니라 고객에게 신뢰할 수 있는 파트너라는 것을 약속드립니다.
당사는 고객으로부터 받은 귀중한 정보를 안전하게 보호하고 적용되는 데이터 보호법에 따라 취급하는 데 주력하고 있습니다. FOSS 커뮤니티의 일원으로 IP 및 FOSS 라이센스에 대한 모범 사례를 적용합니다. 또한 성실하게 사업을 실시하고 최종적으로는 고객이나 지역사회와의 견고한 관계를 구축하는 것을 신조로 하고 있습니다.
이 트러스트 센터는 각 고객의 실사 프로세스를 지원하고 보안 및 컴플라이언스에 대한 우리의 노력을 입증하기 위해 설계된 포괄적 인 리소스 컬렉션을 제공합니다.
당사는 고객으로부터 받은 귀중한 정보를 안전하게 보호하고 적용되는 데이터 보호법에 따라 취급하는 데 주력하고 있습니다. FOSS 커뮤니티의 일원으로 IP 및 FOSS 라이센스에 대한 모범 사례를 적용합니다. 또한 성실하게 사업을 실시하고 최종적으로는 고객이나 지역사회와의 견고한 관계를 구축하는 것을 신조로 하고 있습니다.
이 트러스트 센터는 각 고객의 실사 프로세스를 지원하고 보안 및 컴플라이언스에 대한 우리의 노력을 입증하기 위해 설계된 포괄적 인 리소스 컬렉션을 제공합니다.
보안 규정 준수
2019년부터 당사는 보안, 개인정보 보호 및 규정 준수 관리에 대한 독립적인 검증을 받았으며, 고객이 규제 및 정책 목표를 달성할 수 있도록 지원하고 다음 인증을 받았습니다.
ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018
SOC 2 Type 2
HIPAA
CSA Star Level 1 및 2이며 Cloud Security Alliance Star 프로그램의 일부입니다.
스페인 Esquema Nacional de Seguridad (ENS)
정보 보안 경영 시스템
사업 계속과 재해 복구
- 비즈니스 연속 비즈니스 지속 계획 (BCP)은 예기치 않은 상황으로 인한 비즈니스 중단에 대비하여 Liferay가 비즈니스를 계속하기위한 로드맵을 제공합니다. BCP에는 재해 발생 시 복구 전략과 위기 발생 시 커뮤니케이션 워크플로우가 포함됩니다. Liferay는 다양한 시나리오에 대응하고 중단의 영향을 최소화할 준비가 되어 있습니다.
- 인시던트 대응
Liferay의 인시던트 대응 정책은 Liferay에 영향을 줄 수 있는 보안 인시던트의 관리 및 커뮤니케이션에 일관된 접근 방식이 적용되도록 합니다.
본 정책은 보안 인시던트에 대한 대응을 성공적으로 관리하기 위한 일반 원칙을 나타낸 것입니다. - 재해 복구 재해 복구 정책은 재해 및 기타 파괴적인 사고가 발생할 경우 Liferay가 IT 인프라, 서비스 및 데이터를 복구하는 방법을 정의합니다.
정책 및 기업 보안
- 시정 조치
ISMS의 개선은 식별된 부적합을 시정하는 시정 조치에 의해 실현된다. 부적합은 조직의 ISMS 정책 또는 절차에 지정된 요구 사항을 충족하지 않음을 의미합니다. 시정 조치 정책은 시정 조치의 시작, 시행, 기록 보유와 관련된 활동 및 정보 자산의 위험 노출을 최소화하기 위해 ISMS 요구 사항 내에서 필요한 변경을 관리하는 방법을 설명합니다. - 내부 감사
Liferay의 내부 감사 정책에는 감사 프로그램 작성, 감사인 선정, 개별 감사 수행, 보고 등 내부 감사와 관련된 모든 활동이 포함되어 있습니다. 또한 Liferay의 데이터 처리 보안을 보장하기 위한 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 프로세스도 정책에 정의되어 있습니다. - 리스크 관리 리스크 관리 정책은 Liferay에서 정보 리스크를 평가하고 처리하는 방법론을 정의하고 리스크의 허용 수준을 정의합니다.
자산 관리
- 데이터 보존 데이터 보존 정책은 클라이언트 계정이 유효한 동안 고객 데이터 보존 지침과 Liferay 서비스 계정 종료 후 삭제 프로세스를 정의합니다. 이 정책은 관리되는 Liferay 클라우드 서비스가 저장하는 고객 데이터 처리에 적용됩니다. 고객 데이터에는 모든 비공개 정보가 포함됩니다.
- 문서 및 기록 관리 문서 및 기록 관리 정책은 정보 보안 관리 시스템(ISMS) 내에서 사용되는 정책 및 기록의 작성, 승인, 배포, 사용 및 갱신에 대한 관리를 보장합니다.
- 정보 분류 정보 분류 정책은 Liferay ISMS 컨텍스트의 정보가 적절한 수준으로 레이블, 분류 및 보호되도록 합니다.
- 액세스 제어
Liferay의 액세스 제어 정책은 액세스와 관련된 비즈니스 및 보안 요구 사항에 따라 다양한 시스템, 장비, 장비 및 정보에 대한 액세스 규칙을 정의합니다. 액세스 제어의 개념은 정보 보안의 세 가지 기본 요소 모두에 관련됩니다. 정보에 대한 액세스를 제한하고 정보를 사용하는 정당한 업무상의 이유가 있는 직원에게만 액세스를 허용하도록 보장함으로써 기밀성과 무결성을 유지하는 데 중요한 요소입니다. 액세스 제어는 또한 합법적인 "알고 있어야 하는" 인원에게 액세스를 제한하고 정보를 조작하거나 처리하는 사용자 권한을 제한함으로써 "가용성"에 직접 영향을 미칩니다.
물리적 보안
- 물리적 및 환경적 보안 물리적 및 환경적 보안 정책은 Liferay 정보 자원이 물리적 변조, 손상, 도난 또는 Liferay 자산에 대한 물리적 무단 액세스를 방지하는 물리적 보안 조치에 의해 보호되는 것을 보장합니다.
인사 보안
- 채용, 이동, 해고 고용 , 이동, 해고에 관한 정책은 인사, 시스템 접근, 프로젝트 책임의 취급과 관련하여 직원을 고용, 승진, 해고할 때 따라야 할 일반적인 프로세스를 정의합니다.
- 훈련과 의식 향상
Liferay 교육 및 의식 개선 정책은 Liferay 직원 및 계약자가 보안 모범 사례에 대한 적절한 교육을 받도록 요구합니다.
시스템 및 소프트웨어 보안
- 암호화
Liferay 암호화 정책은 정보의 기밀성, 무결성, 가용성 및 부인 방지를 보호하기 위해 암호화 및 암호화 키 사용에 대한 규칙을 정의합니다. 암호화는 일반 읽을 수 있는 텍스트("평문")를 암호화 키로 알려진 고유한 비밀 값을 사용하는 알고리즘("암호")에 전달하여 임의 또는 읽을 수 없는 텍스트("암호문")로 변환하는 프로세스입니다. - IT 보안
IT 보안 정책은 디바이스, 소프트웨어 애플리케이션, 클라우드 기반 서비스 및 네트워크 사용에 대한 명확한 규칙을 정의합니다. - 안전한 개발 보안 개발 정책은 Liferay 소프트웨어 및 시스템의 보안 획득, 개발 및 유지보수를 위한 기본 규칙을 정의합니다.
- 공급업체 보안 공급업체 보안 정책은 Liferay의 정보 보안 관리 시스템에서 외부 이해관계자로 간주되는 공급업체와 파트너 간의 관계에 대한 규칙을 정의합니다.
- 백업 요구 사항
Liferay의 백업 정책은 Liferay 시스템을 복원해야 하는 경우 Liferay 데이터의 백업이 사용 가능하고 정확함을 보장하기 위한 지침을 정의합니다. - 취약성 및 패치 관리
Liferay 취약성 및 패치 관리 정책은 정보 보안 취약성 관리, Liferay 시스템의 보안 관련 패치 알림, 테스트 및 설치 요구 사항을 정의합니다.