당사가 고객 데이터를 관리하는 방법
SwipedOn에서는 보안이 최우선입니다!
고객 데이터의 보호와 보안이 당사의 가장 중요한 책임임을 깊이 이해합니다. 전 세계 수천 개 기업에서 데이터 관리를 믿고 맡길 전문업체로 SwipedOn를 선택해 왔습니다. 막중한 책임을 맡은 당사는 비즈니스 전반에 걸쳐 보안 절차를 지속적으로 개선해 나가고 있습니다.
이를 위해 다양한 최신 데이터 규정 중에서도 특히 EU 일반데이터보호 규정(GDPR)을 면밀히 검토하고 준수합니다. GDPR 환경에서 SwipedOn을 사용하는 방법을 여기에서 자세히 알아보세요.
데이터 스토리지
클라우드 서비스 업체인 당사는 서버를 직접 호스팅하지 않고 아마존 웹 서비스(AWS)에 아웃소싱합니다. AWS 보안 정보는 여기에서 확인하세요.
당사가 이용하는 서버는 AWS 소재지인 미국(오하이오), 영국(런던), 싱가포르, 호주(시드니), 캐나다, Eu(프랑크푸르트)에 위치하며, 고객은 계정을 생성할 때 이 중 한 곳을 선택하게 됩니다.
당사는 AWS의 멀티 테넌트 서버를 이용합니다. AWS는 한 테넌트가 다른 테넌트의 데이터에 액세스하지 못하도록 막는 엄격한 제어 기능을 갖췄습니다.
당사가 이용하는 모든 서버는 네트워크 액세스로 제어하는 당사의 가상 프라이빗 클라우드(VPC)상에 존재합니다.
또한 데이터베이스는 복구성을 높이고자 AWS RDS를 통해 지속적으로 버전 업데이트를 실시합니다.
S3의 용도는 다음과 같습니다:
- 방문자 사진
- 직원 사진
- 방문자 계약서 서명본
암호화
당사의 웹 애플리케이션(https://secure.swipedon.com)은 HTTPS를 통해서만 액세스 가능하며, 전체 HTTPS 웹 애플리케이션 프레임워크는 SSL 인증으로 보호됩니다.
세션은 AWS Cognito 서비스에서 제공하는 JSON 웹 토큰(JWT)을 사용해 인증됩니다.
각 iPad에는 6자로 임의 생성되는 고유한 기기 식별자가 부여됩니다. iPad 세션은 일정 시간이 지나면 임의로 재활성화되는 보안 토큰을 사용해 인증됩니다.
비밀번호
사용자의 비밀번호는 모두 AWS Cognito를 사용해 해시되고 저장됩니다. 비밀번호는 변경만 가능하고, 찾아내는 것은 불가능합니다. 고객지원팀에서는 클라이언트 비밀번호 재설정에 관한 엄격한 정책을 따르며, 비밀번호나 비밀번호 해시를 찾아내는 것은 불가능합니다.
SwipedOn의 전 직원은 비밀번호 저장 관리업체인 1Password를 의무적으로 사용합니다. 아울러 2단계 인증이 제공된다면 이를 의무로 사용해야 합니다.
청구 데이터
고객의 신용카드 정보는 당사에 저장하지 않고, 결제 처리 업무를 보안 PCI 전문 업체인 Stripe 에 아웃소싱합니다.
이 업체의 자격증명을 아래에서 확인해 보세요:
- Stripe의 개인정보취급방침
- Stripe의 보안
직무 분담
SwipedOn 직원은 고객 데이터에 액세스하지 못합니다. 단, 문제가 발생했을 때 고객지원팀이나 엔지니어가 해당 문제를 디버깅하거나 고객 계정을 구성해야 하는 경우는 예외이며, 이런 경우에도 사용자의 명시적 허가가 있어야만 데이터에 액세스할 수 있습니다.
당사의 데이터 보호 정책에 따르면 고객 데이터는 로컬 컴퓨터에 절대로 저장하지 않습니다.
프로덕션 및 스테이징 로그인 정보는 지원팀과 엔지니어링팀 간에 분리되므로, 별도의 요청 없이는 엔지니어가 프로덕션 데이터에 액세스하는 것이 불가능합니다.
안정성
SwipedOn은 오프라인 모드에서도 작동합니다. 예기치 않게 서버 중단이 발생할 경우에는 모든 데이터가 대기열에 저장되고 이후 연결이 복구되면 서버로 전송되어 SwipedOn의 대피 관리 기능에 최적입니다.
당사의 클라우드 기반 플랫폼은이중화와 가용성을 고려해 설계했습니다.
플랫폼은 부하 분산 기술이 탑재되어 있어 수요가 많을 경우 자동으로 확장됩니다.