Insider 보안

400개 이상의 최고 기업 브랜드가 Insider를 그들의 데이터로 신뢰하고 있습니다.100% GDPR을 준수하는 회사로서,데이터 개인정보
보호정책과 보안은 우리 기술과 문화의 핵심에 있습니다.우리는 최고의 보안 기능을 구축하고 심층적인 감사를 지속적으로 실시하여
우리 고객의 모든 데이터와 상호 작용이 완벽하게 보호되도록 하고 있습니다.데이터 보안을 구축하는 것은 지속적인 프로세스로서
우리의 개발 프로세스 및 업계를 선도하는 뛰어난 기술 성과의 기반이 되고 있습니다.

인증보안

패스워드 관리

Insider는 보안 기준을 충족시키기 위하여 일련의 패스워드 요구 사항을 엄격하게 적용합니다:

  • 패스워드의 길이는 최소8자 이상이어야 하며, 숫자 및 기호 뿐만 아니라 대문자와 소문자도 혼합하여야 한다.
  • 잘못된 사용자 이름 또는 패스워드로 여러 번 로그인하면 보안 통지를 합니다.만약 사용자가 패스워드를 잊어버린 경우, 임시 패스워드 재설정 링크가 사용자의 사전 등록된 이메일 주소로 전송될 것입니다. 필요한 경우 계정은 수동으로 비활성화 할 수 있습니다.
  • Insider 서버에 저장된 최종 사용자 계정 패스워드는 임의의 소금(random salt)으로 해시됩니다.

이중 인증 (2FA))

당신은 이중 인증(2FA)을 활성화하여 당신의 계정 보안을 강화 시킬 수 있습니다.2FA 활성화를 위하여는 당신의 계정 매니저에게 문의하시기 바랍니다. 당신이 SFA를 활성화하면, 비록 당신의 패스워드를 다른 사람이 알고 있더라도 SMS, Google Authenticator 또는 Authy 앱을 통하여 해당 접속을 확인하지 못하면 누구도 당신의 계정에 접속할 수 없을 것입니다.

안전한 자격증명 저장

자격증명은 암호화된 형태로 저장되며 사람이 읽을 수 있는 형식이 아닙니다.자격증명은 편도 형식으로 해시 되어 있습니다..

API 보안 및 인증

기본적으로, Insider의 서비스는 SSL을 통해 제공되며,이는 인증이 오직 HTTPS를 통해서만 제공되는 매우 민감한 서비스입니다.이것은 강제적인 조치이기 때문에 당신은 이러한 유형의 서비스에 HTTP를 사용하는 것이 허용되지 않을 것입니다.

세션 관리

세션 타임아웃

세션은 비활성 상태에서는 30분 후에 종료되도록 설정되어 있으며 계속되는 세션은 1일 이후에 타임아웃 됩니다.

로그아웃

로그아웃 하면 고객으로부터의 모든 세션 쿠키는 삭제되고 세션 식별자는 무효화됩니다.

추가적인 제품 보안 기능

접속 권한 및 역할

Insider는 사용자 관리, 협업, 편집 및 읽기와 같은 다양한 사용자의 권한 수준을 설정할 수 있도록 세분화된 접속 권한을 제공합니다.

IP 제한

Insider는 IP 주소를 제한하여 특정 사용자나 에이전트에 대한 접속을 방지하거나 제한할 수 있도록 설정될 수 있습니다.

IP 제한은 기업 지원 계정에만 가능합니다.이 기능을 설정하려면 당신의 계정 매니저에게 연락하여 주시기 바랍니다.

디바이스 추적

사용자가 새 기기에서 로그인하면 그것은 프로필에 추가됩니다.새로운 기기가 프로필에 추가될 때 사용자는 이메일 알림을 받고 그것에 대해 알 수 없거나 의심스러우면 조치를 취해야 합니다.

디바이스 추적은 기업 지원 계정에만 가능합니다.이 기능을 설정하려면 당신의 계정 매니저에게 연락하여 주시기 바랍니다.

네트워크 및 전송 컨트롤

SSL/TLS

Insider는 업계 표준 통신 암호화 기술을 활용하여 모든 통신의 보안을 보장합니다.따라서 Insider와의 모든 최종 사용자 통신은 암호화로 보호됩니다. Insider는 정기적인 업데이트 및 환경설정을 위하여 Transport Layer Security (TLS)를 사용합니다

네트워크 보안

보호

Insider는 네트워크 체제(architecture)를 지속적으로 업데이트합니다.최대한의 보호를 보장하기 위하여 이중 방화벽,공용 네트워크를 통한 안전한 HTTPS 전송 및 최신 라우터 기술이 확보되어 있습니다.Insider는 사내 및 제3자 보안 컨설턴시를 통해 지속적으로 심층적인 감사를 실시하고 있습니다.

아키텍처 (체제)

DMZ는 우리의 근거리 통신망 체제에 보안을 한층 강화하기 위하여 사용됩니다.DMZ를 사용하면 서비스는 중요도 수준에 따라 서브넷 (데이터베이스,캐시계층 또는 애플리케이션 서버)이 달라집니다.각 구역에는 특정한 모니터링과 접속 제어가 있습니다.

DdoS 경감

Insider는 DDoS 공격을 경감시키기 위하여 DDoS 삭제 공급업체와 파트너 관계를 맺고 있습니다.Insider는 제3자 보안 컨설턴시와 협력하여 DDoS 공격을 시뮬레이션하고 있습니다.우리는 또한 DDoS 및 기타 보안 공격을 방어하기 위하여 Cloudflare를 사용하고 있습니다.

접속로그

Insider는 사용자 계정에 대한 로그인/로그아웃, 사용자 생성, 사용자 권한 및 패스워드 변경 설정,시나리오/개인설정 생성, 삭제, 업데이트, 시작 및/또는 일시 중지 같은

모든 계정 수준에서의 로그를 저장하는 종합적인 활동 모니터링 시스템을 가지고 있습니다.당신의 시나리오/개인설정에 대한 모든 콘텐트의 변경을 보려고 하면 계정 매니저에게 연락하여 당신의 상세한 Insider 로그 히스토리에 접속하여 주시기 바랍니다.

데이터 기밀성 및 작업 제어

데이터에 대한 내부 접속

Insider의 서버에 저장된 당신의 방문자와 계정 데이터는 특정 직무기능(예: 고객 지원)을 수행하기 위해 필요하지 않는 한 직원이나 계약자가 접속할 수 없습니다.필요한 경우, 직원들은 Insider의 서버에 접속하기 위하여 매우 강력한 패스워드나 이중 인증을 사용해야 합니다.

작업제어

우리 서버의 데이터에 접속하기 위해서는 엄격한 규칙과 규정이 있을 뿐만 아니라 Insider 직원들은 우리 서버에 접속이 허용되기 전에 비밀 유지 계약에 서명해야 합니다.1년에 한 번 우리의 모든 엔지니어들은 OWASP 상위 10개 보안 결함,공통 공격 사례 및 Insider 보안 제어를 커버하는 안전한 코드 교육에 참여해야 합니다.

보안인식

정책

Insider는 직원과 계약업체가 이용할 수 있는 일련의 종합적인 보안 정책을 가지고 있습니다.

교육

입사하면, 모든 Insider 직원들은 보안 인식 교육을 이수해야 합니다.그 교육은 일년에 한번 있습니다.

엔지니어들은 또한 일년에 한번 안전한 코딩 교육을 받습니다.우리가 파트너 관계를 맺고 있는 제3의 컨설턴시가 실시하는 심층 보안 테스트 이외에, 보안 조치를 담당하는 우리의 엔지니어들은 정기적으로 우리의 코드 기반을 테스트합니다.팀은 발생할 수 있는 잠재적인 보안상 취약점을 탐지할 수 있도록 교육받고 있습니다.

직원 베팅(조회)

신원조사

우리의 제로 트러스트 정책에 의하여, 직원이나 계약자는 특정 직무기능(예:고객지원)을 수행하기 위하여 필요하지 않는 한 Insider 서버에 저장되어 있는 당신의 방문자와 계정 데이터에 접속할 수 없습니다.우리의 서버에 대한 모든 직원의 접속은 기록되고 감사를 받습니다.남용의 경우, Insider직원들은 해고를 포함한 징계조치를 받습니다.2012년 4월 이후, Insider 직원들은 입사 전에 신원 조회를 완료해야 합니다.

비밀유지계약

모든 신입 사원들은 모두 채용 과정에서 보안 검사를 통과해야 하며,기밀 유지 및 비공개 계약에 서명해야 합니다.

엔지니어링 보안

제품 보안 개요

우리는 종단간 (end-to-end), 유닛 (unit) 및 통합 테스트를 사용하여 심층적인 제3자 보안 취약성 평가를 실시하고 있으며 배치제어(예: 블루-그린 배치, 변경 관리 등) 시스템을 갖추고 있습니다.

코드평가

우리는 최고의 보안 기능을 구축하고 심층적인 감사를 지속적으로 실시하여 우리 고객의 모든 데이터와 상호 작용이 완벽하게 보호되도록 하고 있습니다. 데이터 보안을 구축하는 것은 우리의 개발 프로세스 및 업계 선도적인 기술의 뛰어난 성과에 대한 기반이 되는 지속적인 프로세스입니다.우리의 엔지니어들은 최고의 품질을 보장하기 위하여 동료 코딩 및 리뷰를 실시합니다.우리의 자동화된 코드 테스트는 일반적인 취약점을 탐지하고 수정하기 위하여 고안 되었습니다.우리는 코드 베이스의 중요 영역에 대해서는 수동 테스트를 실시하고 반년마다 정기 보안 검색을 실시합니다.

가용성 제어

재난 복구, 오류해결(Failover) 및 DR

IInsider는 재난 복구를 염두에 두고 구축되었습니다.우리는 잘 알려진 클라우드 서비스 공급업체인 아마존 웹 서비스(AWS)를 사용합니다.재난 발생 시 서비스 중단 위험을 경감하기 위하여 우리는 중요한 데이터를 복제하여 복수의 데이터 센터에 보관합니다.

우리의 인프라와 데이터는 3개의 AWS 가용성 영역에 걸쳐 저장됩니다.재난 발생이나 실패의 경우라도 서비스는 중단되지 않을 것입니다.우리는 데이터를 매일, 매주, 매월 백업합니다.매우 중요한 데이터의 경우 우리는 매시간 백업을 실시합니다.싱가포르에 본사를 둔 우리는 전 세계에 16개 지사를 두고 있으며,재난 발생 시 현지 서비스와 지원을 함으로써 비즈니스의 연속성을 보장합니다.

사건대응

Insider는 보안 사건 발생 시 신속하고 체계적으로 대응하기 위하여 사건 대응 팀을 운용하고 있습니다.당신은 security@useinsider.com 로 우리에게 연락할 수 있습니다.

분리 제어

데이터 분리

각 고객 계정은 Insider에 대한 고유한 코드정보 (snippet, 자바스크립트 고객)가 있습니다.이러한 방법을 통해서 당신의 데이터는 논리적으로 다른고객과 분리됩니다.만약 당신이 여러 개의 도메인을 가지고 있으면, 다중 도메인 기능을 활성화함으로써,동일한 JS를 사용하여 서비스를 제공할 수 있습니다. 그러나 다중 도메인 기능을 활성화하지 않고 모든 도메인을 Insider와 통합하지 않으면 당신은 다른 도메인에서 동일한 JS를 사용할 수 없습니다

모든 고객의 데이터는 그 고객을 위해서만 사용되며, 그 고객을 지원하기 위하여만 접속됩니다.우리는 절대로 고객 데이터를 제3자와 공유하거나 판매하지 않습니다.데이터 보호에 관한 우리의 정책은 서비스 계약 및 데이터 보호 계약(DPA)에 분명히 명시되어 있습니다.

사용자 역할

Insider는 당신이 사용자를 쉽게 관리할 수 있도록 특정한 역할에 대해 사용자 권한 수준을 제공합니다.사용자 역할에는 사용자 관리, 협업, 편집 및 읽기가 포함됩니다. 만약 당신이 동일한 시나리오/개인설정 작업에 복수의 사람을 초대하면,Insider는 각 사용자에게 서로 다른 수준의 권한을 부여할 수 있는 유연성을 당신에게 제공합니다.

물리적 보안

Insider 서비스와 데이터는 아일랜드의 아마존 웹서비스(AWS) 시설(eu-west 1)에서 호스팅 됩니다.데이터 센터에 대한 접속은 생체 인식 검증되고 권한을 부여받은 직원으로만 엄격하게 제한됩니다.AWS 데이터 센터는 보안요원, 비디오 모니터링 및 기타 현장 보안 조치에 의해 물리적으로 보호되고 있습니다.모든 Insider서버는 우리의 가상 사설 클라우드(Virtual Private Cloud, VPC) 내에 있습니다.우리는 권한이 없는 요청을 방지하기 위하여 네트워크 접속 제어 목록(ACLs)을 가지고 있습니다.우리는 테스팅 및 준비 환경(testing & staging environments)이 제작환경(production environment)과 물리적으로 격리된 상태를 유지합니다.서비스 데이터는 개발 또는 테스트 환경에서 사용되지 않습니다.

추가조건

만약 당신이 Insider 보안 조치와 관련하여 질문이 있으시면 security@useinsider.com으로 문의하거나 계정 매니저에게 연락하여 주시기 바랍니다. 데이터 보안 구축은 우리의 개발 프로세스 및 업계 선도적인 기술의 탁월한 성과의 기반이 되는 지속적인 프로세스이기 때문에 우리의 보안 조치들은 변경될 수 있습니다.우리는변경사항을 반영하기 위하여 때때로 이 페이지를 업데이트할 수 있습니다.따라서 이 페이지를 자주 확인하여 주시기 바랍니다.Insider서비스의 사용은 우리 서비스 약관의 내용, 조건 및 면책 조항의 적용을 받습니다.