보안 관행(보관됨)
본 번역 텍스트는 정보 제공 목적으로만 사용되며, 영어 버전과 일치하지 않는 부분이 있는 경우 영어 버전이 적용됩니다.
발효일: 2018년 5월 24일
당사는 데이터의 보안을 매우 중요하게 여기고 있습니다. 투명성은 당사의 창업 원칙 중 하나이므로 당사는 보안을 처리하는 방식을 최대한 명확하고 개방적으로 수행하는 것을 목표로 합니다.
보안에 대한 추가 질문이 있는 경우 언제든지 문의해 주십시오. feedback@slack.com으로 이메일을 보내주시면 최대한 빨리 회신해 드리겠습니다.
기밀성
당사에서는 Slack 서비스의 사용을 대상으로 하는 귀하와 Slack과의 계약에서 더욱 구체적으로 정의한 대로, Slack 서비스를 통해 귀하와 귀하의 사용자에게 제공되는 데이터("고객 데이터")에 대한 Slack 직원의 접근을 엄격하게 관리하고 있습니다. Slack 서비스를 운영하려면 일부 직원이 고객 데이터를 저장하고 처리하는 시스템에 액세스할 수 있어야 합니다. 예를 들어, Slack 서비스에 대한 고객의 문제를 진단하기 위해 귀하의 고객 데이터에 액세스해야 할 수 있습니다. 이러한 작업이 필요하지 않은 상황에서 직원이 고객 데이터를 조회할 수 있는 권한을 사용하는 것은 금지되어 있습니다. 당사에는 고객 데이터에 대한 모든 액세스를 기록하기 위한 기술적 관리 수단 및 감사 정책이 있습니다.
당사의 직원 및 계약 직원 모두가 고객 데이터에 대한 당사의 정책을 준수해야 하고, 당사는 사내에서 이러한 문제를 가장 중요한 사항으로 취급합니다.
직원 관행
Slack은 채용 전에 모든 직원의 신원 확인을 실시하고, 직원은 온보딩 기간은 물론 지속적으로 개인 정보 및 보안 교육을 받습니다. 모든 직원은 Slack 서비스의 보안, 가용성, 기밀성을 다루는 포괄적인 정보 보안 정책을 읽고 서명해야 합니다.
규정 준수
Slack 서비스에 적용할 수 있는 보안 관련 감사 및 인증서는 다음과 같습니다.
- ISO 27001 및 ISO 27018: Slack은 ISO 27001 및 ISO 27018을 준수했습니다. ISO 27001 인증은 여기에서, 그리고 ISO 27018 인증은 여기에서 다운로드할 수 있습니다. 적용성 보고서 사본은 계정 관리자가 요청하면 제공됩니다.
- SOC(Service Organization Control) 보고서: Slack은 SOC 2 감사를 받았으며, Slack의 최신 보고서 사본은 계정 관리자가 요청하면 제공됩니다. 또한 SOC 3 보고서는 여기에서 다운로드할 수 있습니다.
- PCI: Slack은 PCI 레벨 4 판매자로서, 결제 카드 산업 데이터 보안 표준의 SAQ-A를 이수했습니다. 당사는 타사를 통해 신용 카드 정보를 안전하게 처리합니다. Slack은 현재 PCI 인증 서비스 제공업체가 아닙니다.
Slack 서비스를 호스팅하는 환경은 ISO 27001 준수, FedRAMP 인증, PCI 인증 및 SOC 보고서를 포함하여 데이터 센터에 대한 여러 인증을 보유합니다. 인증 및 준수에 대한 자세한 내용은 AWS 보안 웹사이트, AWS 규정 준수 웹사이트, Google 보안 웹사이트 및 Google 규정 준수 웹사이트를 참조하십시오.
팀 멤버 및 관리자용 보안 기능
인프라 수준에서 당사가 하는 일 이외에도, 당사는 유료 버전 Slack 서비스의 팀 관리자에게 자신의 팀 사용자가 고객 데이터를 보호할 수 있도록 도움을 주는 추가 도구를 제공합니다.
액세스 로그
사용자와 유료플랜 이용 팀의 관리자 모두에게 세부적인 액세스 로그가 제공됩니다. 당사는 특정 계정이 로그인할 때마다 사용하는 기기 유형과 연결한 IP 주소를 기록합니다.
팀 관리자와 유료플랜 이용 팀의 소유자는 팀 전체의 통합된 액세스 로그를 검토할 수 있습니다. 당사는 필요할 때 언제든지 관리자가 원격으로 모든 연결을 차단하고 Slack의 서비스에 대해 승인된 모든 기기를 로그아웃하도록 요청할 수 있습니다.
팀 차원의 2단계 인증
팀 관리자는 모든 사용자가 자신의 계정에 2단계 인증을 설정하도록 요구할 수 있습니다. 설정 방법에 대한 지침은 당사의 고객지원센터에서 확인할 수 있습니다.
SSO(싱글 사인온)
유료플랜 이용 팀의 관리자는 다양한 SSO(Single Sign On) 제공업체와 Slack의 서비스 인스턴스를 통합할 수 있습니다. '스탠다드' 플랜을 이용 중인 팀은 Google Apps for Domains를 인증 제공업체로 사용할 수 있으며, '플러스' 플랜을 이용 중인 팀은 OneLogin, Okta, Centrify 및 Ping Identity 등의 제공업체에서 SAML SSO를 사용할 수 있습니다.
데이터 보존
유료 Slack 서비스 팀의 소유자는 사용자 지정 메시지 보존 정책을 팀 차원 및 채널별로 구성할 수 있습니다. 사용자 지정 기간을 설정하면 설정한 기간보다 오래된 메시지와 파일이 매일 밤 정기적으로 삭제됩니다.
고객 데이터 삭제
Slack은 워크스페이스 주 소유자가 구독 기간 중 언제든지 고객 데이터를 지울 수 있는 옵션을 제공합니다. 워크스페이스 주 소유자가 삭제를 시작한 후 24시간 이내에, Slack은 현재 가동 중인 프로덕션 시스템에서 모든 정보(팀 및 채널 이름, 웹 서버의 액세스 로그에 있는 URL에 포함된 검색어 제외)를 영구 삭제합니다. Slack 서비스의 백업은 14일 이내에 제거됩니다.*
고객 데이터 반환
Slack 서비스 내보내기 기능에 대한 정보는 당사의 고객지원센터를 참조하십시오.
전송 중인 데이터 및 미사용 데이터의 암호화
Slack 서비스는 전송 중인 모든 트래픽을 암호화하기 위해 최신 권장 보안 암호화 그룹 및 프로토콜을 지원합니다. 저장 중인 고객 데이터는 암호화됩니다.
당사는 변화하는 암호화 환경을 긴밀하게 모니터링하고 새로운 암호화 취약점이 발견되면 이에 대응하기 위해 서비스를 빠르게 업그레이드할 수 있도록 노력하며 취약점이 발전함에 따라 모범 사례를 구현합니다. 전송 중인 데이터의 암호화는 기존 클라이언트와의 호환성을 고려하면서 실시하고 있습니다.
가용성
당사는 귀하의 업무에 Slack의 서비스가 필요함을 잘 알고 있습니다. 당사는 Slack을 고객이 의지할 수 있는 고가용성 서비스로 만들기 위해 최선을 다하고 있습니다. 당사의 인프라는 개별 서버의 장애 또는 전체 데이터 센터 장애에도 복원할 수 있는 시스템에서 실행됩니다. 당사의 운영 팀은 정기적으로 재해 복구 대책을 테스트하고 예상치 못한 문제를 신속하게 해결하기 위해 24시간 대기 팀을 배치하고 있습니다.
재해 복구
가용성을 보장하기 위해 고객 데이터는 당사 호스팅 제공업체의 데이터 센터에 있는 여러 위치에 중복으로 저장되어 있습니다. 당사의 백업 및 복구 절차는 충분한 테스트를 거쳤으므로 심각한 재해의 복구가 가능합니다. 고객 데이터와 당사의 소스 코드는 매일 밤 자동으로 백업됩니다. 본 시스템에 장애가 발생하면 운영 팀이 알림을 받습니다. 당사의 프로세스와 도구가 예상대로 작동하는지 확인하기 위해 최소 90일마다 전체 백업 정보를 테스트합니다.
네트워크 보호
첨단 시스템 모니터링 및 기록 이외에도 당사는 프로덕션 환경 전반에 대한 모든 서버 액세스에 대해 2단계 인증을 구현하고 있습니다. 업계 모범 사례에 따라 방화벽이 구성되며, AWS 보안 그룹 구성에 따라 불필요한 포트는 차단됩니다.
호스트 관리
당사는 프로덕션 호스트에 자동 취약점 스캔을 수행하고, 당사 환경에 위험이 되는 결과를 수정합니다. 회사 노트북의 경우 화면 잠금과 전체 디스크 암호화를 의무화하고 있습니다.
기록
Slack은 프로덕션 환경에서 보안, 모니터링, 가용성, 액세스, 기타 Slack 서비스에 대한 측정 기준에 대한 정보를 포함하는 광범위하고 중앙화된 기록 환경을 유지 관리하고 있습니다. 이러한 로그는 보안 팀의 감독하에 자동 모니터링 소프트웨어를 통해 보안 이벤트 분석의 대상이 됩니다.
오류 관리 및 대응
보안 침해가 발생하는 경우, Slack은 귀하의 고객 데이터에 대한 무단 액세스가 있으면 이를 신속하게 알려드립니다. Slack에는 이러한 이벤트를 해결하기 위한 오류 관리 정책 및 절차가 있습니다.
외부 보안 감사
검증된 외부 보안 기업과 Slack 서비스의 정기 감사 실시에 관한 계약을 맺고, 당사의 보안 관행의 건전성을 확인하고 보안 연구 커뮤니티에서 발견된 새로운 취약점이 있는지 Slack 서비스를 모니터링하고 있습니다. Slack 서비스 및 기능에 대한 정기적인 표적 감사 외에도 당사는 웹 플랫폼의 지속적인 하이브리드 자동 스캐닝 사용도 도입했습니다.
제품 보안 관행
새로운 특징, 기능 및 디자인 변경 사항은 보안 팀이 주도하는 보안 검토 프로세스를 거칩니다. 또한 당사의 코드는 자동 정적 분석 소프트웨어에 의한 감사, 테스트 및 수동 동료 검토를 거쳐 프로덕션 단계로 배포됩니다. 개발 중에 발생하는 추가 보안 문제를 해결하기 위해 보안 팀이 개발 팀과 긴밀하게 협력하고 있습니다.
Slack은 보안 버그 포상금 프로그램도 운영하고 있습니다. 전 세계의 보안 연구원들이 Slack 서비스의 보안을 지속적으로 테스트하고 본 프로그램을 통해 문제를 보고하고 있습니다. 본 프로그램에 대한 자세한 내용은 포상금 사이트를 참조하십시오.
*Slack 서비스의 백업은 소요 기간이 일시적으로 연장될 수 있는 오류 조사가 진행되는 기간을 제외하고 14일 이내에 제거됩니다.