당사가 보유한 데이터 보안을 유지하고 개인 정보를 보호하기 위해 DigiCert(및 계열 그룹사, 이하 “DigiCert”)는 무단 접근과 부주의한 관찰, 공개, 사용, 수정, 위험 및 파괴 위협에 대한 취약성을 최소화하는 일련의 통제(예: 정책, 관행, 절차 및 메커니즘) 조치를 구현하고 유지 관리합니다. 이러한 통제 조치를 마련해 준수하면 보안 및 개인 정보 위험을 적절하게 해결하고 완화할 수 있습니다.
DigiCert의 기술 및 조직 통제 조치는 적절한 수준의 개인 정보 보호 및 보안에 이르기 위한 산업 표준 및 비즈니스 요구 사항에 부합합니다. 다음 통제 조치 목록은 데이터를 보호하기 위한 DigiCert의 표준 관행에 대한 최소 기준을 간략하게 설명합니다.
- 정책 및 문서 관리 – DigiCert는 정보 보안 정책, 비즈니스 연속성 계획, 재해 복구 계획 및 사고 대응 프로세스를 유지하고 최소 1년 단위로 검토하며 테스트합니다. DigiCert는 필요에 따라 그룹 내 데이터 공유 계약과 적절한 공급업체 데이터 처리 계약을 유지 및 업데이트합니다. DigiCert 제품 및 서비스에 적용되며 공개적으로 게시되는 개인 정보 보호 고지 외에도 DigiCert는 DigiCert에 적용되는 개인 정보 보호 표준 및 프로세스를 제어하는 내부 프레임워크 개인 정보 보호 정책을 1년 단위로 유지 관리하고 검토/업데이트합니다.
- 네트워크 보안 제어 – DigiCert의 시스템 관리자는 공개적으로 액세스할 수 있는 정보 시스템 구성 요소(예: 퍼블릭 웹 서버)가 별도의 물리적 네트워크 인터페이스를 갖춘 개별 하위 네트워크에 상주하도록 합니다. 또한 DigiCert의 시스템 관리자는 네트워크 경계를 보호하는 제어 인터페이스가 특정 패킷 유형을 필터링하여 DigiCert의 내부 네트워크에 있는 장치를 보호하도록 합니다. 방화벽 및 경계 제어 장치는 DigiCert의 작업을 수행하는 데 필요한 항목만 액세스하도록 구성되어 있습니다.
- 데이터베이스 보안 제어 – 시스템을 통하거나 직원이 직접하는 DigiCert 데이터베이스에 대한 모든 액세스의 경우 무단 변경 행위가 기록되고 모니터링됩니다. 데이터는 업계에서 권장하는 암호를 사용하여 데이터베이스에서 암호화되며 직접 액세스는 DigiCert의 정보 보안 정책 및 인증 업무 준칙에 지정된 역할로 제한됩니다.
- 액세스 제어 및 인증 – DigiCert 시스템과의 모든 사용자 상호 작용은 이러한 작업을 수행하는 개인을 추적할 수 있으며 모든 사용자는 DigiCert 시스템과 상호 작용하기 전에 확실하게 식별되어야 합니다. DigiCert 직원이 신뢰할 수 있는 역할을 수행하는 데 필요한 시스템 구성 요소에 액세스하려면 먼저 DigiCert 시스템에 자신을 인증해야 합니다. 이러한 역할은 DigiCert의 인증 업무 준칙 및 정보 보안 정책에 정의되어 있습니다. DigiCert 컴퓨터 시스템에 대한 사용자 계정 및 기타 액세스 유형은 사용자 액세스 정책에 따라 승인되어야 합니다. 해당 정책에 설명된 대로 승인된 개인에 대한 물리적 제어와 논리적 제어는 최소 1년 단위로 주기적인 검토가 이루어집니다.
- 직원 통제 – 모든 DigiCert 직원과 DigiCert 데이터 및/또는 시스템에 대한 액세스 권한을 가진 기타 작업자의 경우 기밀 유지 계약 적용 대상이며 배경 조사를 통과하고 특정 역할 기반 교육을 받아야 합니다. DigiCert는 신뢰할 수 있는 역할, 각 역할에 대한 식별 및 인증, 무단 조치에 대한 제재, 업무 분리, 직원 배지 착용, 계약이 종료된 직원/작업자에 대한 시스템 액세스 권한 즉각 제거와 관련된 정책 및 절차를 유지 관리하고 시행합니다.
- 물리적 보안 제어 – 민감한 정보가 있는 모든 사무실, 컴퓨터실 및 작업 공간에 대한 액세스는 물리적으로 제한됩니다. 모든 사무실 문에 잠금장치가 있으며 DigiCert 시설 출입구는 항상 문이 잠겨 있습니다. 이 문은 출입 카드나 기타 출입 통제 장치를 통해서만 출입할 수 있으며 이는 신원 확인 절차를 거쳐 발급됩니다. DigiCert 데이터 센터, 케이지 및 사무실은 CCTV로 모니터링됩니다. 보안 케이지에 액세스하려면 생체 인식 및 이중 관리 담당자의 승인을 거쳐야 합니다. 모든 액세스는 기록됩니다.
- 취약성 관리/패칭 – 취약점 탐지 도구를 사용하여 모든 DigiCert 자산에 대해 월간 스캔을 수행합니다. 교정이 필요한 시스템은 Global Security Operations에서 정의한 일정 내에 패치해야 합니다. 타임라인은 할당된 CVSS(Common Vulnerability Scoring System) 점수를 기반으로 합니다. 심각 및 높음 취약점은 72시간 이내에 패치되거나 조치 계획이 생성되고, 중간 취약점은 패치되거나 30일 이내에 조치 계획이 수립되며, 낮음/정보 취약점은 DigiCert의 재량에 따라 패치됩니다.
- 종합 내부 평가 – DigiCert는 보안, 개인 정보 보호, 기밀성 및 무결성에 대해 합리적이고 예측 가능한 모든 내부 및 외부 위협을 파악하기 위해 1년 단위로 종합 위험 평가를 수행합니다.
- 침투 평가/외부 평가 – 매년 최소 1회의 타사 침투 평가를 수행합니다. 일반적으로 DigiCert는 코드, 인프라 및 시스템에 대해 레드 팀 평가뿐만 아니라 매년 여러 번 침투 테스트를 수행합니다.
- 교육 및 인식 – 모든 직원과 기타 작업자는 매년 개인 정보 보호, 보안 및 규정 준수 교육을 받아야 합니다. 직원이나 개인 식별 정보 및 민감한 정보를 취급하는 기타 작업자는 추가 교육을 받게 됩니다. DigiCert 시스템 및/또는 데이터에 액세스할 수 있는 모든 작업자의 경우 DigiCert의 정보 보안 정책, 행동 강령 및 사용 제한 정책과 같은 적절한 데이터 처리용 정책과 절차를 준수해야 합니다.
- 타사 액세스 제어 – DigiCert 시스템 또는 데이터에 액세스할 수 있는 타사와의 DigiCert 계약은 보안 및 개인 정보 보호 요구 사항을 적절하게 취급합니다. 또한 이러한 타사는 개인 정보 보호 및 보안 영향 평가의 대상이 되며 액세스 전에 위험이 완화됩니다.
- 저장 및 전송 시 데이터 보호 – DigiCert 시스템에 저장된 모든 데이터는 업계에서 권장하는 암호를 사용하여 암호화됩니다. 마찬가지로 전 세계에 걸쳐 DigiCert 시스템 내에서 전송되는 모든 데이터는 업계에서 권장되는 암호를 사용하여 전송 중에 암호화됩니다.
- 저장, 보유 및 삭제 – 물리적 또는 전자적으로 저장된 정보는 데이터 분류 수준에 따라 결정되는 적절한 기술적 통제를 받게 됩니다. 정보는 CP/CPS 및 해당 개인 정보 보호 고지에 따라 삭제됩니다.