SecureCodingHub의 보안

저장된 모든 데이터는 AES-256 암호화를 사용하여 암호화됩니다. 데이터베이스 볼륨, 백업, 파일 스토리지는 모두 전용 키 관리 서비스를 통해 관리되는 키로 암호화됩니다.

클라이언트와 저희 서버 간의 모든 통신은 TLS 1.3을 사용합니다. 저희는 HSTS 헤더와 인증서 투명성 모니터링을 통해 모든 엔드포인트에서 HTTPS를 강제합니다.

고객 데이터는 애플리케이션 계층에서 논리적으로 격리됩니다. 각 조직의 데이터는 엄격한 액세스 통제로 분리되어 테넌트 간 데이터 유출이 발생하지 않습니다.

엔터프라이즈 고객은 SAML 2.0 Single Sign-On을 사용하여 ID 제공업체와 통합할 수 있습니다. 저희는 Azure AD, Okta, OneLogin을 포함한 모든 주요 IdP를 지원합니다.

MFA 지원은 사용자 계정에 추가 보안 계층을 더합니다. 저희는 2차 인증을 위해 TOTP 기반 인증 앱을 지원합니다.

세션은 단기 토큰, 자동 만료 및 취소 기능으로 암호학적으로 보호됩니다. 비활성 세션은 구성 가능한 시간 초과 기간 후에 종료됩니다.

저희는 인프라와 애플리케이션에 대한 정기적인 제3자 모의해킹을 수행합니다. 발견된 사항은 심각도에 따라 분류, 우선순위 지정, 수정됩니다.

저희 CI/CD 파이프라인에는 자동화된 의존성 스캐닝과 소프트웨어 구성 분석이 포함되어 있습니다. 제3자 라이브러리의 알려진 취약점은 즉시 표시되고 처리됩니다.

저희는 보안 연구자를 위한 책임 있는 공개 프로그램을 운영합니다. 취약점을 발견하신 경우 저희에게 보고해 주시면, 함께 해결하도록 협력하겠습니다.

저희는 서비스 제공에 필요한 데이터만 수집합니다. 불필요한 개인정보를 수집하지 않으며 사용자 데이터를 제3자에게 판매하지 않습니다.

데이터는 수집 목적을 달성하는 데 필요한 기간 동안만 보존됩니다. 더 이상 필요하지 않은 데이터는 안전하게 삭제되거나 익명화됩니다.

사용자는 언제든지 계정 및 관련 데이터의 삭제를 요청할 수 있습니다. 저희는 삭제 요청을 신속하게 처리하고 30일 이내에 완료를 확인합니다.

운영 환경에 대한 모든 변경은 작성자의 직속 페어를 제외한 최소 한 명의 엔지니어가 진행하는 풀 리퀘스트 리뷰를 거칩니다. CI는 모든 푸시에서 단위 테스트, 통합 테스트, 보안 검사를 실행합니다. 운영 배포는 별도의 승인 단계를 거칩니다. 긴급 변경은 문서화된 비상 절차를 따르며 같은 주에 사후 검토가 이루어집니다. 인프라 변경은 코드로 관리되며 애플리케이션 코드와 동일한 워크플로우로 검토됩니다.

소프트웨어 구성 분석은 모든 풀 리퀘스트에서 실행되며, 매일 밤 main 브랜치를 대상으로 다시 실행됩니다. 심각 및 높음 등급 권고는 온콜 엔지니어에게 알림을 트리거하며, 목표 수정 기간은 주가 아닌 일 단위로 측정됩니다. 보통 및 낮음 권고는 주간 검토로 묶입니다. 컨테이너 베이스 이미지는 고정된 주기로 재빌드되어, 전이적 운영체제 패치가 애플리케이션 변경 없이도 운영 환경에 도달합니다.

사고 대응 계획은 네 가지 심각도 등급, 에스컬레이션 경로 및 사고당 단일 책임 지점을 정의합니다. 최초 대응자는 봉쇄 및 고객 커뮤니케이션을 담당하며, 전담 조사관은 기술적 추적을 수행합니다. 사고 후 검토는 비난 없이 진행되며, 종결까지 추적되는 조치 항목과 함께 문서화된 기록을 생성합니다. 계획은 실제 사고 발생 전에 근육 기억이 형성되도록 시나리오 기반으로 최소 연 2회 연습됩니다.

귀사의 보안 팀이 계약 모의해킹, 내부 검토, 또는 제품의 일상적 사용 중에 무언가를 발견한 경우, 먼저 공개적으로 논의하기보다는 저희 보안 팀에 직접 보고해 주십시오. 저희는 영업일 기준 2일 이내에 접수를 확인하고, 추적 식별자를 공유하며, 문제가 종결될 때까지 상태 업데이트를 제공합니다. 저희는 협력적 공개를 파트너십으로 간주합니다.

고객 관리자는 자신의 테넌트 내에서 역할 할당을 통제합니다. 저희가 권장하는 원칙은 내부적으로 적용하는 것과 동일합니다. 사용자가 업무를 수행할 수 있도록 가장 좁은 역할을 할당하고, 정기 주기로 할당을 검토하는 것입니다. 특히 관리 액세스는 명명된 소규모 그룹으로 제한되어야 하며, 조직 내에서 사람들이 역할을 변경할 때 해당 그룹은 감사되어야 합니다.

조직에서 사람이 퇴사할 때, ID 제공업체에서 비활성화하면 SCIM을 통해 전파되어 플랫폼에서 액세스가 제거되어야 합니다. 저희는 30석을 초과하는 모든 조직에 대해 수동 사용자 관리보다 SCIM 기반 프로비저닝을 강력히 권장합니다. 현재 SCIM을 채택할 수 없는 경우, 명명된 소유자가 있는 계정 수준 오프보딩 체크리스트가 차선책입니다.

플랫폼 가용성과 성능 저하 사고를 다루는 상태 페이지. 하위 처리자 목록. 현행 데이터 처리 부속서. 이 보안 페이지 자체. SOC 2 Type II가 완료되면, 해당 보고서는 귀사의 계정 담당자를 통한 요청 시 NDA 하에 제공됩니다. 고객에게 영향을 미치는 중요한 정책 업데이트는 변경 로그에 묻히는 대신 귀사의 계정 담당자를 통해 공지됩니다.

내부 네트워크 아키텍처 다이어그램, 상세한 인증 흐름, 보안 팀이 사용하는 특정 도구, 개별 키 수준의 키 순환 일정, 보안 팀 직원의 이름과 역할. 이들 중 어느 것이든 대화에 필요한 경우 NDA 하에 검토할 수 있습니다. 예를 들어 조달 주도 보안 검토 중에 가능하지만 공개 페이지에는 적합하지 않습니다. 이를 공개하면 표적 공격의 비용을 낮출 뿐 고객에게 실질적인 이익을 제공하지 않습니다.