이 페이지는 기계 번역으로 귀하의 편의를 위해서만 제공되었으며 영어 원문의 의미가 정확하게 반영되어 있지 않을 수도 있습니다. 본 문서의 용어, 조건, 표현이 가지는 의미는 영어 원문의 정의 및 해석을 따릅니다. 이 텍스트의 영어 버전과 번역본이 불일치하거나 충돌하는 경우, 영어 버전이 우선합니다.
2021년 6월 16일부터 시행
본 정보 보안 부록("부록")은 Cloudflare가 서비스의 일부로 유지하는 보안 요구 사항("보안 요구사항")을 개괄적으로 설명하며, Cloudflare와 고객 간의 Enterprise 구독 서비스 약관("계약")에 통합되어 있습니다. �본 부록에서 정의 없이 사용되는 대문자로 표기된 용어는 본 계약에서 그 의미를 갖습니다.
1.1 Cloudflare는 (i) 포괄적인 서면 정보 보안 프로그램을 구현 및 유지하고, (ii) 필요에 따라 정기적으로 또는 서비스 제공의 중대한 변경 시 해당 프로그램을 업데이트 및 검토하며, (iii) 해당 프로그램이 (x) 관련 법률 및 해당 산업 표준(ISO/IEC 27001:2013, PCI DSS, SOC 2 유형 II 포함)을 준수하고, (y) 본 부록에 부합하는 적절한 관리적, 논리적, 기술적, 물리적 안전장치를 포함하고, (z) 다음 목적을 달성하도록 합리적으로 설계되도록 보장합니다:
(A) 고객 데이터의 보안과 기밀성, 무결성 및 가용성을 보장합니다;
(B) 고객 데이터의 보안 및 무결성에 대한 위협이나 위험으로부터 보호하기 위한 목적
(C) 고객 데이터의 무단 또는 우발적 액세스, 취득, 파기, 분실, 삭제, 공개 또는 변경 또는 사용을 방지하기 위한 목적.
1.2 본 계약(기타 첨부파일, 별첨자료 또는 일정 포함)과 본 부록이 상충하는 경우 본 부록의 조항이 우선합니다.
2.1 Cloudflare는 액세스 및 인증 관리, 자산 관리, 변경 관리, 암호화, 보안 및 개인정보 사고 대응, 소프트웨어 개발 수명 주기, 타사 위험 관리 정책을 포함하되 이에 국한되지 않는 정보 보안을 다루는 정책을 최소한 매년 검토합니다.
2.2 Cloudflare는 채용 시와 그 이후 매년 Cloudflare 직원에게 보안 인식 교육을 제공합니다. 교육은 데이터 및 시스템 보호에 대한 책임, 새로운 위협 및 동향 등 보안 주제에 대한 해당 정보를 포함하도록 정기적으로 업데이트됩니다.
3.1 Cloudflare는 계약에 따라 권한이 부여된 Cloudflare 직원 및 제3자(총칭하여 "권한 있는 사용자")만이 고객 데이터에 액세스할 수 있도록 허용합니다. 승인된 Cloudflare 직원 및 승인된 제3자는 계약 및 본 부록에서 허용된 대로만 고객 데이터를 사용합니다.
3.2 Cloudflare는 업계 표준을 준수하여 사용자를 인증하고 권한을 부여합니다.
3.3 권한이 부여된 사용자는 고객 데이터에 액세스하기 위해 공유 또는 일반 식별 자격 증명을 사용하지 않습니다.
3.4 Cloudflare는 권한이 부여된 사용자가 고객 데이터가 있는 시스템에 액세스하기 위해 2단계 인증을 사용하도록 요구합니다.
3.5 Cloudflare는 고객 데이터가 있는 Cloudflare의 네트워크에 액세스하는 데 사용되는 모든 신원 자격 증명의 중앙 저장소를 유지합니다.
3.6 Cloudflare는 고객 데이터에 대한 액세스가 더 이상 필요하지 않은 허가된 사용자의 액세스를 취소합니다.
3.7 Cloudflare는 필요에 따라 승인된 사용자의 액세스 권한을 주기적으로 검토하고 취소합니다.
3.8 기본 비밀번호로는 Cloudflare의 네트워크 리소스, 플랫폼, 장치, 서버, 워크스테이션, 앱 및 장치에 대한 인증이 허용되지 않습니다.
3.9 Cloudflare는 외부 네트워크 연결이 Cloudflare의 네트워크에 안전하게 연결되도록 보장합니다.
3.10 Cloudflare는 장치 또는 시스템을 프로덕션에 배치하기 전에 기본 서버 비밀번호를 변경합니다.
3.11 일정 시간 동안 비활성 상태인 워크스테이션은 자동으로 잠깁니다.
4.1 Cloudflare는 최소 128비트 암호화 및 1024비트 암호 키 길이를 통해 저장 중, 전송 중 및 사용 중인 고객 데이터를 암호화합니다.
4.2 Cloudflare는 고객 데이터에 액세스, 전송 또는 저장하는 모든 Cloudflare의 시스템에 저장된 모든 고객 데이터의 전체 디스크 암호화를 적용하고 유지합니다.
4.3 대칭 암호화 키와 비대칭 개인 키는 전송 및 보관 시 암호화되고 무단 액세스로부터 보호되며 보안이 유지됩니다. 암호화 키 관리 및 교체 절차가 문서화됩니다. 암호화 키에 대한 액세스는 키 관리자로 제한됩니다. Cloudflare는 업계 표준을 준수하여 고객 데이터를 암호화하는 데 사용되는 암호화 키를 생성, 저장 및 관리합니다.
4.4 Cloudflare는 보안 삭제 명령, 디가우징 및 "암호화 파쇄"�를 적절히 사용하고 업계 표준을 준수하는 것을 포함하되 이에 국한되지 않는 안전한 데이터 폐기 절차를 유지합니다.
4.5 고객 데이터는 다른 Cloudflare 고객의 데이터와 논리적으로 분리됩니다.
5.1 Cloudflare는 고객 데이터에 대한 무단 액세스를 방지하기 위해 경계 및 네트워크 보안 제어를 설치, 구성 및 유지 관리합니다.
5.2 Cloudflare는 액세스 시도 및 성공, 고객 데이터가 포함된 엔드포인트, 네트워크 장치 및 서버 시스템의 무단 변경, 기타 침해 지표를 포함한 보안 이벤트에 대해 지속적인 모니터링 및 로깅, 관련 경고를 수행합니다. 모든 로그는 무단 액세스 또는 수정으로부터 보호됩니다.
5.3 Cloudflare는 업계 모범 사례에 따라 네트워크 장치에 대한 보안 및 강화 표준을 구현하고 유지합니다.
5.4 Cloudflare는 문서화된 변경 관리 절차를 따릅니다.
Cloudflare는 유해한 코드가 제공되지 않도록 하고 모범 사례를 준수하기 위해 OWASP(오픈 웹 앱 보안 프로젝트) Top 10( https://www.owasp.org/ 참조)에서 개발한 것과 같은 안전한 소프트웨어 개발 수명 주기 보안 코딩 관행을 따릅니다. 코딩 관행에는 (i) 별도의 개발, 테스트 및 프로덕션 환경, (ii) 정기적인 보안 코드 검토, (iii) 고객 데이터를 저장, 처리 또는 전송하는 모든 Cloudflare 소프트웨어 및/또는 앱의 스캔, (iv) 비프로덕션 환경(예: 개발 또는 테스트)에서 사용되는 비생산, 난독화 또는 비식별화된 데이터만 사용 등이 포함됩니다.
7.1 Cloudflare는 (i) 고객 데이터에 액세스할 수 있는 Cloudflare의 제3자가 최소한 본 부록에 명시된 것만큼 제한적인 데이터 보안 요건을 준수하도록 보장하기 위한 정보 보안 계약의 유지, (ii) 고객 데이터에 액세스할 수 있는 제3자가 본 부록에 명시된 요건을 준수하는지 모니터링 및 감사를 포함하는 제3자 위험 관리 프로그램을 유지 관리합니다.
7.2 위험 관리에는 위험에 상응하는 확인된 결과 및 완료 증거에 대한 Cloudflare의 수정이 포함됩니다.
7.3 Cloudflare는 위험 평가 수행 및 결과 대응을 위한 역할과 책임을 정의하는 위험 평가 프로그램을 유지합니다. Cloudflare는 정기적인 위험 평가를 수행하여 비즈니스 운영 및 정보 기술을 보호하는 제어 설계를 검증합니다.
8.1 Cloudflare는 취약성에 대한 정기적인 네트워크 및 앱 수준 검사를 수행하며 업계 표준(예. PCI DSS).
8.2 Cloudflare는 매년 최소 한 번 독립적인 제3자 보안 회사에 의뢰하여 네트워크 및 웹 앱 침투 테스트를 수행합니다. 요청 시 Cloudflare는 침투 테스트 결과��의 요약을 제공합니다.
8.3 Cloudflare는 업계 표준에 따라 Cloudflare 관리 소프트웨어 및 앱, 어플라이언스, 운영 체제에 보안 패치 및 시스템 업데이트를 적용합니다(예 PCI DSS).
Cloudflare는 문서화되고 운영되는 비즈니스 연속성 및 재해 복구("BC&DR") 프로그램을 유지합니다. Cloudflare는 최소한 매년 BC&DR 프로그램 요금제를 실행하고 업데이트합니다.
10.1 Cloudflare는 문서화된 데이터 유출 조치 및 대응 요금제를 유지 관리하고 매년 업데이트합니다.
10.2 고객 데이터와 관련하여 무단 액세스, 취득, 공개 또는 사용("데이터 유출")을 초래하는 보안 위반을 발견하거나 통지를 받은 경우, Cloudflare는 즉시 자신의 비용으로 조치를 취합니다: (i) 지체 없이 고객에게 데이터 유출 사실을 통지하고, (ii) 데이터 유출을 조사하고, (iii) 데이터 유출의 영향을 완화하고, (iv) 사고 후 평가를 수행하여 그러한 평가 결과를 고객에게 보고합니다.
11.1 Cloudflare는 적어도 매년 독립 평가자와 협력하여 (i) (A) 서비스 조직 통제(SOC 2 유형 II) 또는 (B) 기타 유사한 업계에서 인정하는 독립 규정 준수 평가에 따라 규정 준수 평가를 수행하고 전체 증명, 검토 또는 보고서를 제공합니다.
11.2 요청 시, Cloudflare는 Cloudflare의 가장 최근 SOC 2 유형 II 보고서 사본을 제공합니다.
11.3 Cloudflare는 Cloudflare의 직원 또는 제3자에 의한 고객 데이터의 사기 또는 무단 사용 또는 액세스 가능성에 대한 합리적인 조사에서 고객과 협력합니다. Cloudflare는 해당 결과 및 관련 수정 요금제를 고객과 논의하는 데 동의합니다.
본 약관에 대해 궁금한 점이 있거나 Cloudflare에 관한 다른 사항이 있으면 언제든지 문의하시기 바랍니다:
+1 (650) 319-8930
Cloudflare101 Townsend St, San Francisco, CA 94107 USA