Liferay 트러스트 센터/보안 제어
라이플레이는 잠재 고객과 고객에게 비즈니스 요구에 안전하고 규정 준수를 준수하는 디지털 솔루션을 찾는 것이 얼마나 중요한지 이해합니다. 또한 단순한 공급업체가 아니라 고객에게 신뢰할 수 있는 파트너라는 것을 약속드립니다.
당사는 고객으로부터 받은 귀중한 정보를 안전하게 보호하고 적용되는 데이터 보호법에 따라 취급하는 데 주력하고 있습니다. FOSS 커뮤니티의 일원으로 IP 및 FOSS 라이센스에 대한 모범 사례를 적용합니다. 또한 성실하게 사업을 실시하고 최종적으로는 고객이나 지역사회와의 견고한 관계를 구축하는 것을 신조로 하고 있습니다.
이 트러스트 센터는 각 고객의 실사 프로세스를 지원하고 보안 및 컴플라이언스에 대한 우리의 노력을 입증하기 위해 설계된 포괄적 인 리소스 컬렉션을 제공합니다.
당사는 고객으로부터 받은 귀중한 정보를 안전하게 보호하고 적용되는 데이터 보호법에 따라 취급하는 데 주력하고 있습니다. FOSS 커뮤니티의 일원으로 IP 및 FOSS 라이센스에 대한 모범 사례를 적용합니다. 또한 성실하게 사업을 실시하고 최종적으로는 고객이나 지역사회와의 견고한 관계를 구축하는 것을 신조로 하고 있습니다.
이 트러스트 센터는 각 고객의 실사 프로세스를 지원하고 보안 및 컴플라이언스에 대한 우리의 노력을 입증하기 위해 설계된 포괄적 인 리소스 컬렉션을 제공합니다.
보안 제어
인프라 보안
- 침입 탐지 시스템 활용 우리는 침입 탐지 시스템을 채택하여 지속적인 모니터링과 잠재적 보안 침해의 조기 발견을 가능하게 합니다.
- 프로덕션 데이터베이스에 대한 액세스 제한 당사는 데이터베이스에 대한 액세스가 필요한 사람만 데이터베이스를 탐색할 수 있도록 합니다. 이렇게 하면 무단 액세스 및 데이터 유출 위험이 줄어듭니다.
- 원격 액세스 MFA 강화 프로덕션 시스템은 다중 요소 인증(MFA) 방법으로 허용된 사용자에게만 액세스를 허용합니다.
- 프로덕션 네트워크에 대한 액세스 제한 프로덕션 네트워크에 대한 액세스는 보호되며 합법적인 비즈니스 요구 사항을 가진 권한이 있는 사용자에게만 허용됩니다.
- 원격 액세스 보안 강화 프로덕션 시스템에 대한 원격 액세스는 암호화된 연결 을 통해 적절한 권한 수준을 가진 인증된 사용자에게만 허용됩니다.
- 프로덕션 환경 데이터를 세그먼트화하는 비 프로덕션 시스템 및 환경에서는 기밀로 간주되며 다른 시스템에서 분리 된 데이터를 저장하는 것은 금지됩니다.
- 방화벽 사용 가능 프로덕션 환경은 기본적으로 모든 트래픽을 거부하고 HTTPS와 같은 유효한 연결만 허용하는 방화벽으로 보호됩니다.
- DDoS 및 악성 트래픽 차단 고객은 알려진 및 알려지지 않은 악성 트래픽으로부터 보호하기 위해 WAF와 AI로 강화된 Google의 DDoS 기술로 보호됩니다.
- 침입 및 네트워크 취약성 검사 실시 당사 는 매년 침입 테스트 및 취약성 검사를 실시하고, 발견되면 시정 계획에 따라 대처하고 있습니다.
조직 보안
- 맬웨어 방지 기술 채택 당사는 모든 관련 시스템에 맬웨어 방지 기술을 설치하고 정기적으로 업데이트하고 로그를 기록하도록 구성합니다. 이렇게 하면 악의적인 공격을 받기 쉬운 환경을 보호할 수 있습니다.
- 비밀 유지 계약 승인 모든 근로자, 직원 및 계약자는 회사와 비밀 유지 계약에 서명해야 합니다.
- 자산 처분 절차 이용 당사는 모범 사례에 따라 비밀 정보를 포함한 전자 미디어를 파기하거나 삭제합니다.
- 직원 교육 모든 직원은 매년 보안 교육을 받습니다.
- 신원조사 실시 모든 종업원은 채용시 신원조사를 받습니다.
- 각 직무에 대한 액세스 권한 부여 액세스는 회사의 역할에 따라만 허용되며 모든 사람에게 허용되지는 않습니다.
- 인증 및 MFA 강화 불필요한 액세스를 방지하기 위해 인증 규칙을 추가하고 있습니다.
제품 보안
- 출발, 테스트 및 출시 환경 보안 당사는 분리된 안전한 개발 환경을 구축하고 있습니다.
- 코드 개발은 OWASP 규칙을 준수 모든 개발자는 OWASP 교육을 수강하고 있습니다.
- 안전한 개발 사례를 구현하는 내부 SDLC에는 계획, 설계, 구현, 테스트 및 릴리스가 포함됩니다.
- 침투 테스트 실시 매년 침입 테스트를 실시하고 취약성을 해결하기 위한 개선 계획을 수립하고 있습니다. 그런 다음 서비스 수준 계약(SLA)에 따라 이러한 취약점을 수정하기 위한 변경 사항이 구현됩니다.
- SAST, DAST, SCA 테스트 구현 애플리케이션 보안을 보장하기 위해 배포 전에 코드 취약점을 검사하고, 애플리케이션이 실행되는 동안 취약점이 있는지 테스트하고, 사용한 타사 소프트웨어에 보안 위험이 있는지 확인하는 등 몇 가지 단계를 수행합니다. 이러한 테스트를 통해 잠재적인 보안 문제가 악용되기 전에 확인하고 해결할 수 있었습니다.
사내 보안 절차
- 지속 계획 및 재해 복구 계획을 테스트 문서화 된 사업 연속 / 재해 복구 (BC / DR) 계획의 테스트를 매년 실시하고 있습니다.
- 액세스 요청이 필요한 직무와 기능을 기반으로 하거나 액세스가 프로비저닝되기 전에 관리자의 승인을 필요로 하는 문서화된 액세스 요청 양식을 제출하여 범위 내 시스템 구성 요소에 대한 사용자 액세스를 허용합니다.
- 백업 프로세스 설정 데이터 백업 정책에는 고객 데이터 백업 및 복원 요구 사항이 요약되어 있습니다.
- 사고 대응 정책 개발 우리 는 보안 및 개인 정보 보호 사고 대응 정책 및 절차를 문서화하고 관련 직원에게 잘 알고 있습니다.
- 변경 관리 절차 수행 회사는 서비스 소프트웨어 및 인프라 구성 요소 의 변경이 프로덕션 환경에서 구현되거나 고객을 위한 제품으로 출시되기 전에 승인, 공식 문서화, 테스트, 검토 및 승인을 받아야 합니다.
- 구성 관리 시스템 설정 시스템 구성이 전체 환경에 일관되게 배치되도록 구성 관리 절차가 도입되었습니다.
- 서비스 관련 문서 사용 가능 당사는 학습 사이트 및 문서 사이트를 통해 고객 및 커뮤니티에 자사 제품 및 서비스에 대한 자세한 설명을 제공합니다.
- 지원 시스템 당사는 고객이 지원 티켓을 작성하고 당사와 연락을 취할 수 있는 시스템을 제공합니다.
- 제3자 협정 체결 당사는 공급업체 와 파트너 간에 협정을 맺고 있으며 기밀 정보의 수비 의무와 프라이버시를 확보하고 있습니다.
- 인시던트 관리 절차에 따라 당사는 보안 대응 정책을 진지하게 준수하여 모든 인시던트가 기록, 추적, 해결 및 영향을 받는 개인에게 통지되도록 합니다.
- 사이버 보안 보험을 유지 업무의 중단으로 인한 경제적 손실을 방지하기 위해 사이버 보안 보험에 가입하고 있습니다.
- 연속계획 및 재해 복구 계획을 수립 주요 담당자가 없는 경우에도 사업계속계획 및 재해복구계획에 미리 정의된 커뮤니케이션계획은 원활한 정보보안 운용을 보장합니다.