보안 관행

본 번역 텍스트는 정보 제공 목적으로만 사용되며, 영어 버전과 일치하지 않는 부분이 있는 경우 영어 버전이 적용됩니다.

게시 날짜: 2023년 4월 24일

당사는 데이터의 보안을 매우 중요하게 여기고 있습니다. 투명성은 당사의 창업 원칙 중 하나이므로 당사는 보안을 처리하는 방식을 최대한 명확하고 개방적으로 수행하는 것을 목표로 합니다. 보안에 대한 추가 질문이 있는 경우 언제든지 문의해 주십시오. feedback@slack.com으로 이메일을 보내주시면 최대한 빨리 회신해 드리겠습니다. 보안 관행 페이지는 (a) Slack 플랫폼, Slack 워크플로, Slack 인프라에서 실행되는 앱을 포함하되 이에 국한되지 않는 Slack과 (b) GovSlack에 적용되는 관리, 기술, 물리적 제어를 설명합니다. 본 문서는 GovSlack과 관련 있거나 통합된 서비스에는 적용되지 않습니다.

플랫폼 제어

아키텍처 및 데이터 분리

Slack 서비스 및 GovSlack 서비스는 귀하와 귀하의 사용자가 Slack 서비스 및 GovSlack 서비스를 통해 이용할 수 있는 데이터에 대한 액세스를 구분하고 제한하도록 설계된 플랫폼 및 인프라 계층의 멀티테넌트 아키텍처에서 운영됩니다. 관련 내용은 비즈니스 요구사항에 기반하여 Slack 서비스 및 GovSlack 서비스(“고객 데이터”) 이용에 대해 다루는 Slack(또는 그 계열사)과의 계약에 더욱 구체적으로 설명되어 있습니다. 아키텍쳐는 고유한 ID를 통해 여러 고객 간에 논리적 데이터 분리를 제공합니다.

퍼플릭 클라우드 인프라

Slack 서비스 및 GovSlack 서비스는 “퍼블릭 클라우드”에서 인터넷을 통해 호스팅됩니다. 퍼블릭 클라우드는 타사 제공업체가 서비스를 사용하거나 구매하려는 사람에게 제공하는 컴퓨팅 서비스입니다. 모든 클라우드 서비스와 마찬가지로 퍼블릭 클라우드 서비스는 제공업체에서 관리하는 원격 서버에서 실행됩니다.

감사

Slack 서비스 및 GovSlack 서비스는 보안 관행의 건전성을 확인하고 보안 연구 커뮤니티에서 발견한 새로운 취약점이 있는지 Slack 서비스 및 GovSlack 서비스를 모니터링하기 위해 내부 직원이 보안 평가를 실시하고 있으며, Slack 서비스의 경우 검증된 외부 보안 기업에 의한 정기 감사를 받습니다. Slack 서비스 및 GovSlack 서비스와 기능에 대한 정기적인 표적 감사 외에도 당사는 웹 플랫폼의 지속적인 하이브리드 자동 스캐닝 사용도 도입했습니다. 고객은 관련 외부 감사 보고서 사본을 여기에서 다운로드할 수 있습니다.

인증

인증은 Slack 서비스에서 수행하며, 고객은 관련 인증서 사본을 여기에서 다운로드할 수 있습니다.

보안 제어

Slack은 Slack 서비스 및 GovSlack 서비스를 통해 처리되거나 전송되는 고객의 개인 데이터에 대한 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 액세스로부터 고객 데이터를 보호하기 위해 적절한 기술적/조직적 방안을 구현하고 관리합니다. Slack 서비스 및 GovSlack 서비스는 다음과 같은 다수의 보안 제어 수단을 보유하고 있습니다.

  • 액세스 로깅. 사용자와 유료플랜 이용 팀의 관리자 모두에게 세부적인 액세스 로그가 제공됩니다. 당사는 특정 계정이 로그인할 때마다 사용하는 기기 유형과 연결한 IP 주소를 기록합니다. 팀 관리자와 유료플랜 이용 팀의 소유자는 팀 전체의 통합된 액세스 로그를 검토할 수 있습니다.
  • 액세스 관리. 필요할 때 언제든지 관리자가 원격으로 모든 연결을 차단하고 Slack의 서비스 또는 GovSlack 서비스에 대해 승인된 모든 기기를 로그아웃할 수 있습니다.
  • 데이터 보존. 유료 Slack 서비스 팀의 소유자는 사용자 지정 메시지 보존 정책을 팀 차원 및 채널별로 구성할 수 있습니다. 보존에 대한 사용자 지정 기간을 설정하면 설정한 기간보다 오래된 메시지와 파일이 Slack 서비스 또는 GovSlack 서비스의 프로덕션 서버에서 매일 밤 정기적으로 삭제됩니다.
  • 호스트 관리. 당사는 프로덕션 호스트에 자동 취약점 스캔을 수행하고, 당사 환경에 위험이 되는 결과를 수정합니다. 회사 노트북의 경우 화면 잠금과 전체 디스크 암호화 사용을 의무화하고 있습니다.
  • 네트워크 보호. 첨단 시스템 모니터링 및 기록 이외에도 당사는 프로덕션 환경 전반에 대한 모든 서버 액세스에 대해 2단계 인증을 구현하고 있습니다. 방화벽은 업계 모범 관행에 따라 AWS 보안 그룹을 사용해 구성되어 있습니다.
  • 제품 보안 관행. 새로운 특징, 중요한 기능 및 디자인 변경 사항은 보안 팀이 주도하는 보안 검토 프로세스를 거칩니다. 또한 당사의 코드는 자동 정적 분석 소프트웨어에 의한 감사, 테스트 및 수동 동료 검토를 거쳐 프로덕션 단계로 배포됩니다. 개발 중에 발생하는 추가 보안 문제를 해결하기 위해 보안 팀이 개발 팀과 긴밀하게 협력하고 있습니다. Slack은 보안 버그 포상금 프로그램도 운영하고 있습니다. 전 세계의 보안 연구원들이 Slack 서비스 및 GovSlack 서비스의 보안을 지속적으로 테스트하고 본 프로그램을 통해 문제를 보고하고 있습니다. 본 프로그램에 대한 자세한 내용은 포상금 사이트를 참조하십시오.
  • 팀 차원의 2단계 인증. 팀 관리자는 모든 사용자가 자신의 계정에 2단계 인증을 설정하도록 요구할 수 있습니다. 설정 방법에 대한 지침은 당사의 고객지원센터에서 확인할 수 있습니다.

제어 수단 중 일부는 고객이 비활성화할 수 없습니다. 그 외에는 고객이 자체 사용 목적을 위해 Slack 서비스 또는 GovSlack 서비스의 보안을 사용자 지정할 수 있습니다. 이와 같이 고객 데이터 보호는 고객과 Slack의 공동 책임입니다. Slack은 최소한 ISO 27001, ISO 27002, ISO 27018와 같은 일반적인 업계 표준, 또는 그 후속/대체 표준을 준수합니다.

Slack은 서비스 약관을 위반하는 악의적인 행동 또는 조치를 감지하기 위해 Slack 플랫폼, Slack 워크플로, Slack 인프라에서 실행되는 앱에 대한 보안 스캔 및 테스트를 수행할 수 있습니다.

침입 탐지

Slack 또는 권한 있는 외부 주체가 Slack 서비스 및 GovSlack 서비스에 대한 무단 침입을 모니터링합니다.

보안 로그

Slack 서비스 및 GovSlack 서비스 제공에 사용되는 시스템은 보안 검토 및 분석을 지원하기 위해 각각의 시스템 로그 장비 또는 중앙 로깅 서비스(네트워크 시스템의 경우)에 정보를 로깅합니다. Slack은 프로덕션 환경에서 보안, 모니터링, 가용성, 액세스, 기타 Slack 서비스 및 GovSlack 서비스에 대한 메트릭 관련 정보를 포함하는 광범위하고 중앙화된 로깅 환경을 유지 관리합니다. 이러한 로그는 보안 팀의 감독하에 자동 모니터링 소프트웨어를 통해 보안 이벤트 분석의 대상이 됩니다. GovSlack 서비스의 로그는 GovSlack 환경 내에서 적격한 미국인만 액세스할 수 있습니다. “적격한 미국인”이란 (a) 미국 시민이거나 합법적 영주권자, (b) GovSlack에 대한 지원을 수행하는 동안 실제로 미국 내에 있는 사람, (c) Slack과의 고용 조건으로 신원 확인을 거친 사람을 말합니다.

오류 관리

Slack은 보안 오류 관리 정책 및 절차를 유지하고 있습니다. Slack은 법률에서 허용하는 범위까지 Slack 및 그 대리인에 의한 각 고객 데이터의 무단 공개를 Slack이 알게 된 경우 영향을 받은 고객에게 과도한 지체 없이 통지합니다. Slack은 Salesforce Trust 웹사이트 및/또는 Slack System Status 페이지에 시스템 상태 정보를 게시합니다. Slack은 일반적으로 중대한 시스템 오류를 이메일로 고객에게 알립니다. 한 시간 이상 지속된 오류의 경우 오류 및 Slack의 대응에 대한 전화 회의에 영향 받은 고객을 초대할 수 있습니다. GovSlack의 보안 오류 관리는 적격한 미국인에 의해 수행됩니다.

데이터 암호화

Slack 서비스 및 GovSlack 서비스는 업계에서 인정받는 암호화 제품을 사용하여 (1) 고객의 네트워크와 Slack 서비스 및 GovSlack 서비스 사이에 데이터가 전송되는 동안, 그리고 (2) 유휴 시에 고객 데이터를 보호합니다. Slack 서비스 및 GovSlack 서비스는 전송 중인 모든 트래픽을 암호화하기 위해 최신 권장 보안 암호화 그룹 및 프로토콜을 지원합니다. 당사는 변화하는 암호화 환경을 긴밀하게 모니터링하고 새로운 암호화 취약점이 발견되면 이에 대응하기 위해 서비스를 빠르게 업그레이드할 수 있도록 노력하며 취약점이 발전함에 따라 모범 사례를 구현합니다. 전송 중인 데이터의 암호화는 기존 클라이언트와의 호환성을 고려하면서 실시하고 있습니다.

신뢰성, 백업, 비즈니스 연속성

당사는 귀하의 업무에 Slack의 서비스 및 GovSlack 서비스가 필요함을 잘 알고 있습니다. 당사는 Slack 서비스 및 GovSlack 서비스를 고객이 의지할 수 있는 고가용성 서비스로 만들기 위해 최선을 다하고 있습니다. 당사의 인프라는 개별 서버의 장애 또는 전체 데이터 센터 장애에도 복원할 수 있는 시스템에서 실행됩니다. 당사의 운영 팀은 정기적으로 재해 복구 대책을 테스트하고 예상치 못한 문제를 신속하게 해결하기 위해 24시간 대기 팀을 배치하고 있습니다. 신뢰성과 백업을 위한 업계 표준 모범 관행은 Slack 서비스 및 GovSlack 서비스의 설계를 구상하는 데 도움이 되었습니다. Slack은 정기적인 백업을 실시하고, 필요한 경우 소프트웨어 및 시스템 변경의 롤백을 촉진하며, 필요에 따라 데이터 복제를 실시합니다. 가능한 경우 Slack은 중대한 재앙적 사건 발생 시 고객의 데이터 복구를 지원할 것입니다. 이는 지역의 데이터 저장 위치 요건과 지역의 역량에 의해 제한될 수 있습니다. “중대한 재앙적 사건”은 넓은 의미에서 다음 세 가지 사건을 뜻합니다. (1) 홍수, 허리케인, 토네이도, 지진, 유행병과 같은 자연 재해, (2) 파이프라인 폭발, 운송 사고, 공공서비스 붕괴, 댐 고장, 위험물질 방출 사고와 같은 시스템 및 구조의 고장 등의 기술적 사건, (3) 능동적 공격자의 공격, 화학적/생물학적 공격, 데이터나 인프라에 대한 사이버 공격, 사보타주와 같이 인간에 의해 유발된 사건. 중대한 재앙적 사건에는 버그, 운영 문제 또는 기타 일반적 소프트웨어 관련 오류가 포함되지 않습니다.

가용성을 보장하기 위해 고객 데이터는 당사 호스팅 제공업체의 데이터 센터에 있는 여러 위치에 중복으로 저장되어 있습니다. 당사의 백업 및 복구 절차는 충분한 테스트를 거쳤으므로 심각한 재해의 복구가 가능합니다. 고객 데이터와 당사의 소스 코드는 매일 밤 자동으로 백업됩니다. 본 시스템에 장애가 발생하면 운영 팀에 알림 정보를 전달합니다. 당사의 프로세스와 도구가 예상대로 작동하는지 확인하기 위해 최소 90일마다 전체 백업 정보를 테스트합니다.

사용되지 않는 데이터

Slack은 고객이 달리 신청서를 제시하지 않는 한 사용되지 않는 고객 데이터를 특정한 주요 지역에 저장합니다.

고객 데이터 반환

계약 종료 후 30일 이내에 고객은 Slack 서비스 및 GovSlack 서비스에 제출된 자신의 고객 데이터의 반환을 요청할 수 있습니다(고객이 삭제하지 않은 데이터에 한함). Slack 서비스 및 GovSlack 서비스 내보내기 기능에 대한 정보는 Slack 고객지원센터를 참조하십시오.

고객 데이터 삭제

Slack 서비스 및 GovSlack 서비스는 워크스페이스 주 소유자가 구독 기간 중 언제든지 고객 데이터를 삭제할 수 있는 옵션을 제공합니다. 워크스페이스 주 소유자가 삭제를 시작한 후 24시간 이내에, Slack은 현재 가동 중인 프로덕션 시스템에서 모든 정보(팀 이름, 웹 서버의 액세스 로그에 있는 URL에 포함된 검색어 제외)를 영구 삭제합니다. Slack 서비스 및 GovSlack 서비스의 백업은 14일 이내에 제거됩니다(소요 기간이 일시적으로 연장될 수 있는 오류 조사가 진행되는 기간을 제외하고 14일 이내에 제거됨).

고객이 Enterprise Grid 또는 GovSlack 서비스에 대한 유료 구독을 종료할 때 고객이 계정 삭제를 선택하지 않는 경우 Slack은 구독 종료 후 90일 이내에 계정을 삭제하며, Slack이 고객 계정 삭제를 시작한 후 14일 이내에 모든 계열사 및 관련 제3자 호스팅 제공업체가 모든 고객 데이터 사본을 삭제하도록 합니다(팀 이름, 웹 서버 액세스 로그의 URL에 포함된 검색어 제외). 고객이 Enterprise Grid 또는 GovSlack 서비스 이외의 Slack 서비스에 대한 유료 구독을 종료하는 경우, 고객의 구독은 당시의 온라인 고객 서비스 약관 또는 무료 사용 계층과 관련된 기타 주 온라인 구독 계약("무료 구독 약관")에 따른 Slack 서비스의 무료 사용 계층으로 계속 유지됩니다. 고객 데이터는 (i) 고객이 워크스페이스를 직접 삭제하거나, (ii) 고객이 Slack에 고객 데이터를 삭제하도록 달리 지시하거나, (iii) 일방 당사자가 무료 구독 약관을 해지할 때까지 삭제되지 않습니다. 이러한 상황이 발생할 경우 Slack은 14일 이내에 Slack과 모든 계열사 및 허용된 제3자 호스팅 제공업체로 하여금 고객 데이터의 모든 사본을 삭제하도록 합니다(팀 이름, 웹 서버 액세스 로그의 URL에 포함된 검색어 제외).

기밀성

당사는 고객 데이터에 대한 직원의 접근을 엄격히 통제합니다. Slack 서비스 및 GovSlack 서비스를 운영하려면 일부 직원이 고객 데이터를 저장하고 처리하는 시스템에 액세스할 수 있어야 합니다. 예를 들어, Slack 서비스 및 GovSlack 서비스에 대한 고객의 문제를 진단하기 위해 귀하의 고객 데이터에 액세스해야 할 수 있습니다. 이러한 작업이 필요하지 않은 상황에서 직원이 고객 데이터를 조회할 수 있는 권한을 사용하는 것은 금지되어 있습니다. 당사에는 고객 데이터에 대한 모든 액세스를 기록하기 위한 기술적 관리 수단 및 감사 정책이 있습니다.

당사의 직원 및 계약 직원 모두가 고객 데이터에 대한 당사의 정책을 준수해야 하고, 당사는 사내에서 이러한 문제를 가장 중요한 사항으로 취급합니다.

직원 관행

Slack은 채용 전에 모든 직원의 신원 확인을 실시하고, 직원은 온보딩 기간은 물론 지속적으로 개인 정보 및 보안 교육을 받습니다. 모든 직원은 Slack 서비스 및 GovSlack 서비스의 보안, 가용성, 기밀성을 다루는 포괄적인 정보 보안 정책을 읽고 서명해야 합니다.

Infrastructure

Slack은 Amazon Web Services, Inc.(“AWS”)에서 제공하는 인프라를 사용하여 Slack 서비스 및 GovSlack 서비스에 제출된 고객 데이터를 호스팅하거나 처리합니다. AWS에서 제공하는 보안에 대한 정보는 AWS Security 웹사이트에서 확인할 수 있습니다. AWS가 받은 보안 및 개인정보에 관련된 감사 및 인증 정보(ISO 27001 인증에 대한 정보 및 SOC 보고서 포함)는 AWS Compliance 웹사이트에서 확인할 수 있습니다.