백서

Claris 클라우드 서비스 보안

개요

Claris International Inc.는 제품과 고객 서비스 모든 부분에서 최고가 되고자 노력하고 있습니다. Claris의 제품은 뛰어난 성능, 안전 및 높은 가용성을 갖춘 솔루션을 통해 고객이 비즈니스를 개선하는 데 도움이 되도록 개발되었습니다. 또한, Claris는 신뢰를 중요하게 생각합니다. 업계를 선도하는 보안 사례를 지속적으로 적용해온 점이 이를 증명합니다. 이러한 가치들이 우리가 Claris에서 하는 일을 뒷받침합니다.

Claris FileMaker Server 및 Claris FileMaker Pro와 같은 여러 Claris의 제품은 오래전부터 업계 표준 보안 기술로 설계되어 왔습니다. 새로 추가된 Claris FileMaker Cloud 및 Claris Connect 역시 최신 보안 표준과 프로토콜을 수용할 수 있도록 설계되었습니다.

FileMaker Cloud 및 Claris Connect의 생산 인프라는 Amazon Web Services (AWS)에 의해 호스트됩니다. AWS 데이터 센터와 AWS 서비스는 물리적인 인프라, 환경 제어, 접근 제어 메커니즘 및 모니터링 시스템을 제공하여 Claris가 보안성과 가용성이 높은 제품을 제공할 수 있도록 합니다. 또한, Apple은 네트워크, ID 플랫폼 및 물리적 보안 시스템을 지원하는 Claris 데이터 센터 서비스를 제공합니다.

우수한 서비스와 AWS 및 Apple과의 관계를 위한 끊임없는 노력을 통해, Claris는 디지털 혁신을 추구하는 모든 규모의 조직에 엔터프라이즈급의 서비스를 제공할 수 있습니다.

보안 관리

보안 및 제어 환경

정보보안팀은 Apple 및 Claris가 소유하고 있거나 직접적인 제휴 관계를 맺은 시설, 장비 또는 전송 중인 네트워크 내부에 있는 모든 Apple 및 Claris의 정보의 기밀성, 무결성 및 가용성 확보를 책임집니다. 이러한 목적을 달성하기 위한 방법으로 보안 정책 및 절차의 개발 및 배포, 보안 진단, 보안 경고 모니터링 및 처리, 보안 사고 대응 등이 포함되지만, 이것에 국한되지 않습니다.

인사, 정책 및 교육

Claris는 해당 분야에서 세계적 수준의 전문성을 갖추고 정직함, 존중, 기밀성 및 규정 준수라는 조직의 핵심 원칙에 부합하는 인재를 채용하기 위해 노력합니다.

또한 이들을 지도하기 위해 고도의 보안성과 가용성을 갖춘 시스템에 적용되는 요구 사항, 정책, 표준 및 가이드라인을 유지하고 있습니다.

담당자는 조직의 정책, 표준 및 가이드라인에 기반하여 신규 채용 및 매년 이루어지는 보안 의식 교육을 완수해야 합니다. Claris 제품의 보안 및 규정 준수에 영향을 미칠 수 있는 책임자는 다양한 주제에 관한 추가 교육을 받습니다.

기술 보안

Claris는 보안 프로세스 및 제어를 지도하기 위해 글로벌 보안 프레임워크를 활용합니다. 물리적 보안, 인증, 암호화, 네트워크 보안 및 시스템 하드닝과 같은 핵심 주제는 아래에 자세히 나와 있습니다.

물리적 보안 및 환경 제어

Claris는 호스팅에 Amazon Web Services(AWS)를 사용합니다. AWS는 데이터 센터의 물리 및 환경적 보안 제어를 포함하여 Claris가 사용하는 서비스 부문에서 SOC 2 Type II 인증을 취득했습니다.

또한, Apple이 전액 출자한 자회사인 Claris는 Apple의 IT 서비스를 활용합니다. Apple은 스스로에게 엄격한 표준을 요구하며, 이는 데이터 센터를 설계, 구축 및 운영하는 방식에 반영되어 있습니다. Apple은 데이터 센터, POD 환경, 통신 설비를 포함한 자사의 시설 및 중요 시스템에 대한 물리적 접근을 제한하기 위해 보안 제어를 적용했습니다. 이러한 제어에는 개인별로 업무에 따라 필요한 수준의 권한으로 엄격하게 제한하는 근접 배지 출입 시스템, 생체 인식 리더기, 시설 카메라 시스템 및 방문자 기록 등이 포함됩니다.

인증 제어

Claris 시스템, 기기 및 계정의 보안은 안전한 자격 증명 생성 및 관리로부터 시작합니다.

다중 인증

Claris 환경에 대한 관리자 접근 권한은 다중 인증을 통과한 관리자만 접근할 수 있도록 제한되어 있습니다. 또한 Claris 환경에서는 최소 권한 개념이 적용됩니다. AWS의 역할 기반 접근 제어 기능을 통해, Claris는 서로 다른 유형의 관리자에게 고도로 세분화된 권한을 제공할 수 있습니다(예: 서버 관리, 데이터베이스 관리, 네트워크 관리).

Claris ID

Claris ID는 Claris 제품 및 서비스의 사용자 인증을 위한 통합 로그인 시스템입니다. 또한 Okta 및 Microsoft Active Directory를 비롯한 외부 ID 공급자를 통한 인증을 지원합니다.

OAuth ID 공급자 인증

OAuth 2.0은 Amazon, Google 또는 Microsoft Azure와 같은 타사 ID 공급자를 통해 맞춤형 App에 로그인하는 Claris 사용자를 인증하기 위해 사용됩니다.

관리

Claris Customer Console

Claris Customer Console은 FileMaker Cloud에 호스트된 맞춤형 App과 함께 작업하고 FileMaker Cloud 및 Claris Connect 팀을 관리하기 위한 웹 응용 프로그램입니다. 해당 콘솔은 Claris ID 계정, 사용자, 그룹, 호스트, 설정 및 FileMaker Cloud와 Claris Connect 구독을 관리하는 데 사용됩니다.

데이터 암호화

민감한 정보를 보호하는 것은 Claris의 기본 철학입니다. 전송 중인 데이터와 보관 중인 데이터는 암호화됩니다.

FileMaker Cloud:

  • 전송 중: 클라이언트 연결에서 TLS 1.2 프로토콜 사용을 요구합니다.
  • 보관 중: 데이터 지속성을 위해 FileMaker Cloud가 다수의 AWS 데이터 저장 환경을 사용합니다. 이러한 데이터 플랫폼에 걸쳐 Claris는 보관 중인 데이터의 암호화를 위해 AWS 키 관리 서비스(KMS)를 사용합니다.
  • 디스크: AES 256 비트 암호화 방식의 AWS KMS를 활용합니다.

Claris Connect:

  • 전송 중: 클라이언트 연결에서 TLS 1.2 프로토콜 사용을 요구합니다. 호스트 간에 인증서와 임시 PFS TLS 1.2 암호가 요구됩니다(예: 응용 프로그램 레이어와 데이터베이스 레이어 사이).
  • 보관 중: 데이터가 최소 AES 256 비트 암호화 방식으로 기업용 저장 공간 솔루션에 저장됩니다.
  • 디스크: AES 256 비트 암호화 방식의 AWS KMS를 활용합니다.

네트워크 보안

방화벽은 보안을 위한 중요한 역할을 합니다. 일반적인 용어로 설명하자면, 방화벽이란 특정 네트워크 트래픽이 사설 네트워크에 진입하는 것을 차단하기 위해 사용되는 제어를 말합니다. Claris는 네트워크를 통해서 및 네트워크 내의 다른 영역 간에 응용 프로그램 방화벽, 웹 응용 프로그램 방화벽 및 네트워크 레이어 방화벽을 포함하는 방화벽을 활용합니다.

또한, 네트워크 트래픽은 끊임없이 모니터링됩니다. 자세한 내용은 로깅 및 모니터링 섹션을 참조하십시오.

시스템 하드닝

하드닝된 기본 구성은 잠재적인 악성 코드가 악용할 수 있는 공격 면적을 최소화하면서, 운영 환경 내의 드라이브의 일관성 유지를 돕고 Claris에 의해 승인된 소프트웨어를 활용하여 시스템이 구축됨을 보장합니다.

정보보안팀이 승인한 악성 소프트웨어 탐지 도구는 구성 기준 내에서 기본 요구사항입니다. 이러한 응용 프로그램은 시스템 단계 탐지, 모니터링 및 잠재적 보안 이벤트 경고를 제공하며 악성 코드가 실행되지 못하게 차단할 수 있습니다. 이러한 도구는 엔터프라이즈 모니터링 및 이벤트 관리 기능을 위한 통합 경로를 지정함으로써, 정보보안팀이 테마와 활동을 집계하고 사고 대응 동작을 수행하고 포렌식 조사를 지원할 수 있도록 합니다.

보안 진단 및 취약성 관리

정보보안팀이 수행하는 보안 진단은 신규 또는 업데이트된 기능, 서비스, 구성 또는 코드 변경이 적용된 제품이 배포되기 전에 수행됩니다.

네트워크 기기 및 운영 체제를 포함하는 인프라 보안 테스트는 취약성 스캔 및 후속 리미디에이션을 통해 지원됩니다.

위협 관리 및 사고 대응

로깅 프로세스 및 파이프라인

로그는 Claris 시스템의 보안을 유지하도록 도우며 정보 보안 관리에서 중요한 역할을 담당합니다. 정보보안팀은 Claris의 어느 시스템에서든 정보보안팀으로 쉽게 로그를 전송할 수 있도록 하는 표준 방법 및 도구를 제품 팀에 제공합니다. 이벤트 파이프라인은 서로 다른 소스로부터 로그를 받은 다음 통합하여 권한을 가진 사고 대응 담당자가 전역적으로 사용 가능하도록 합니다.

사고 대응 담당자

사고대응팀은 연중무휴 가동되며, 보안 이벤트를 초기에 확인하고 수신한 경고의 심각도를 분류하기 위해 시스템과 경고를 모니터링합니다. 보안 이벤트는 통합 추적 도구에서 확인되며 도구에서 캡처된 이벤트의 세부 사항과 이벤트의 업무에 대한 영향을 확인할 수 있습니다. 추가 팀은 표준화된 프로세스를 통해 이벤트 리미디에이션을 진행합니다.

사고 관리

Claris는 Apple의 사고 관리 프로그램을 신뢰합니다. Apple은 위기를 제때에 효과적으로 관리하는 정책 및 절차를 포함하는 사고 관리 프로그램을 적용하고 있습니다. 문서화된 사고 대응 계획에 기반하여, 보안 이벤트는 사고로 지정되기에 앞서 분석을 위해 적절한 담당자에게 할당됩니다. 이벤트가 사고로 확인되고 나면 Apple은 사고의 적절한 구분, 우선 순위 지정 및 대응을 위해 사고의 심각도를 분류하는 표준화된 접근 방식을 적용합니다. 또한, 사고를 다루기 위한 역할 분담, 책임, 준수 의무 및 커뮤니케이션 절차를 문서화하고 정의하기 위해 사고 커뮤니케이션 계획을 기록합니다.

업무 지속성 및 재난 복구

Claris는 호스팅에 AWS(Amazon 웹 서비스)를 사용합니다. Claris는 고객에게 높은 가용성을 제공하고 사고에 예비된 환경을 설계했습니다.

또한, Apple이 전액 출자한 자회사인 Claris는 특정 영역에서 Apple의 IT 서비스를 활용합니다. Apple의 ISO 27001 인증 프로세스의 일부로서, Apple의 데이터 센터는 운영의 연속성과 탄력성에 대한 감사를 받습니다.

데이터 관리 및 개인 정보 보호

데이터 유지

Claris는 기록의 필수 유지 기간을 마련하기 위해 유지 정책 및 일정을 개발했습니다.

Claris 제품 내에서 생성된 고객 콘텐츠는 고객의 구독이 해지 또는 만료된 시점부터 45일 동안 사용 가능하며, 그 이후로는 모든 해당 콘텐츠가 삭제됩니다.

사용자 관리(이름, 이메일 및 전화번호)에 사용된 고객 데이터는 고객의 재량에 따라 유지되며 Claris의 개인정보 취급방침을 준수합니다.

개인정보 취급방침

Claris는 고객의 개인 정보 보호를 위해 노력하며 제품 및 서비스에 대해 적용 가능한 개인 정보 보호 규정을 준수합니다. Claris는 고객에게 서비스를 제공하기 위해 꼭 필요한 최소한의 데이터만을 수집합니다.

수집된 고객 데이터는 항상 Claris 개인정보 취급방침에 의거하여 취급됩니다.

GDPR: Claris는 GDPR을 준수합니다. 하지만 고객이 App을 생성하고 자신의 데이터를 GDPR의 규정에 맞게 취급하는지 확인하는 것은 고객에게 달려 있습니다. Claris의 GPDR 준수에 관한 자세한 정보 또는 GDPR에 관해 요청하려는 경우 여기를 방문하십시오.

HIPAA: Claris는 HIPAA 준수를 요구하지 않습니다. 귀하가 의료정보 처리기관, 동업자, 의료정보 처리기관 또는 동업자의 대리인인 경우 귀하는 보호되는 건강 정보 일체를 생성, 수령, 보관 또는 전송할 목적으로 Claris FileMaker Cloud 또는 Claris Connect의 구성 요소, 기능 또는 기타 설비를 이용하지 않을 것임에 동의하는 것으로 간주됩니다.

PCI: Claris는 고객을 위한 신용 카드 처리 시 PCI를 준수합니다. 하지만 Claris 제품은 PCI 감사를 거치지 않았으므로, 신용 카드 정보를 Claris 제품 내에 저장해서는 안 됩니다.