본 정보 보안 정책은 Didit이 보유한 인증, Didit이 운영하는 기술 및 조직적 통제, 그리고 고객, 잠재 고객, 규제 기관 및 감사관에게 제공되는 신뢰 아티팩트에 대해 설명합니다. 본 정책은 최소 6개월마다 검토됩니다.
- 보안 담당자: security@didit.me
- 데이터 보호 책임자: dpo@didit.me
- 상태 페이지 (실시간): status.didit.me
- 신뢰 팩 (NDA 하): security@didit.me로 이메일 문의
1. 인증 및 증명
| 증명 | 표준 | 발행기관 | 상태 |
|---|---|---|---|
| SOC 2 Type 1 | 미국 공인회계사협회(AICPA) 신뢰 서비스 기준, 보안, 가용성, 기밀성 | ATOM (독립 서비스 감사관) | 2026년 4월 9일 발행. SOC 2 Type 2 심사 진행 중이며 SOC 2 Type 1 로고 사용 기간 만료 전에 발행될 예정입니다. |
| ISO/IEC 27001:2022 | 정보 보안, 사이버 보안 및 개인정보 관리 시스템 | Bureau Veritas Certification (ENAC 인증), 인증서 번호 ES144068 | 2026년 4월 7일 발행. 2027년 6월 3일까지 유효합니다. |
| iBeta Level 1 PAD | ISO/IEC 30107-3, 생체 인식 프레젠테이션 공격 감지, 레벨 1 | iBeta Quality Assurance (NIST / NVLAP 연구소 코드 200962) | 테스트 기간 2026년 1월 5일, 2월 4일. 360회 시도 중 공격 성공률 0%. |
| Tesoro / SEPBLAC / CNMV 샌드박스 증명 | 스페인 금융 샌드박스 (Ley 7/2020) | CNMV (Comisión Nacional del Mercado de Valores), SEPBLAC (스페인 금융 정보국) 검토 | 테스트 2024년 11월 1일, 2025년 7월 9일. `tesoro.es`에 게시된 공개 결론 보고서 (2026년 2월): Didit의 원격 신원 확인은 대면 확인만큼 안전합니다. |
| EBA / MiCA 적정성 메모 | 유럽 은행 감독청 원격 고객 온보딩 지침 (EBA/GL/2022/15) + EU AML 단일 규정집 + 암호화 자산 시장 (MiCA) 규정 | finReg360 (독립 법률 의견) | 2026년 4월 28일 발행. |
| GDPR 제32조 | EU 일반 데이터 보호 규정 (Regulation (EU) 2016/679) | 자체 평가; ISO/IEC 27001 통제 및 `/terms/business`의 데이터 처리 계약에 의해 지원됨 | 지속적. |
기본 보고서 또는 인증서를 요청하려면 security@didit.me로 이메일을 보내십시오. 발행기관의 약관에 따라 제한되는 보고서(예: SOC 2 Type 1)는 서명된 비공개 계약(NDA) 후 영업일 기준 당일에 공유됩니다.
2. 범위
본 정책은 모든 Didit 직원(직원, 계약자 및 승인된 제3자), 모든 Didit 생산 및 기업 정보 시스템, 그리고 사업 약관에 설명된 고객 대면 서비스에 적용됩니다. 이는 Didit의 ISO/IEC 27001:2022 관리 시스템을 뒷받침하는 적용성 선언서에 의해 지원됩니다.
3. 거버넌스
- ISO/IEC 27001:2022 및 ISO/IEC 27701 통제에 맞춰진 정보 보안 및 개인정보 관리 시스템과 문서화된 적용성 선언서.
- 최고 기술 책임자는 지정된 정보 보안 총괄 책임자이며, 데이터 보호 책임자(dpo@didit.me)는 개인정보 프로그램 거버넌스를 담당합니다.
- 독립 감사관에 의한 연간 외부 보안 감사(ISO 27001 감시 및 SOC 2 심사).
- 분기별로 검토 및 갱신되는 위험 등록부. 중대한 위험은 경영 위원회에 보고됩니다.
- 지속적인 개선, 모든 사고, 감사 결과 및 위험 평가는 시정 조치 백로그 및 다음 정책 갱신에 반영됩니다.
4. 암호화 및 키 관리
- 저장 중: 모든 프로덕션 데이터베이스, 객체 저장소 및 백업 볼륨에 AES-256 적용.
- 전송 중: 모든 외부 API 호출, 웹훅 및 비즈니스 콘솔 세션에 TLS 1.3 적용. 이전 TLS 버전 및 약한 암호는 비활성화됩니다. HTTP Strict Transport Security (HSTS)는 사이트 전체에 적용되며 사전 로드됩니다.
- 키 관리: AWS Key Management Service (KMS)가 키를 보관하고 순환합니다. 애플리케이션 코드는 원시 키 자료에 절대 접근하지 않습니다. 샌드박스 및 프로덕션 키는 완전히 분리됩니다.
- 해싱: 고객 자격 증명은 산업 표준 적응형 함수(bcrypt 또는 동급)로 해싱됩니다. API 키는 단방향 해시로 저장되며, 원시 값은 생성 시에만 운영자에게 표시됩니다.
5. 신원, 접근 및 제로 트러스트 아키텍처
- 기본적으로 제로 트러스트, 모든 내부 시스템에 대한 모든 요청은 인증 및 권한 부여됩니다. 네트워크 위치에 기반한 암묵적인 신뢰는 없습니다.
- 최소 권한 원칙을 따르는 역할 기반 접근 제어(RBAC). 접근 검토는 분기별로 실행됩니다.
- 모든 직원, 모든 프로덕션 시스템, 모든 클라우드 콘솔 및 모든 코드 호스팅 계정에 대해 다단계 인증(MFA)이 필수입니다.
- 내부 애플리케이션에 대한 단일 로그인(SSO), 특권 역할에 대한 하드웨어 토큰 MFA.
- 프로덕션에 대한 Just-in-Time 접근: 상시 특권 접근은 예외이며 일반적인 규칙이 아닙니다.
- 감사 로깅, 모든 특권 작업은 변조 방지, 한 번 쓰기 감사 파이프라인에 기록되며 최소 12개월 동안 보관됩니다.
6. 데이터 상주 및 분리
- 기본적으로 유럽 연합. 프로덕션 데이터는 Amazon Web Services의 유럽 연합 내에서 처리 및 저장됩니다. 특정 지역 또는 국가 내 상주는 규제 기관이 요구하는 관할권에 대해 가용성에 따라 엔터프라이즈 계약에서 제공됩니다.
- 환경 분리. 샌드박스, 스테이징 및 프로덕션은 네트워크, 신원 및 키 관리 계층에서 격리됩니다. 한 환경의 사람이나 서비스는 명시적이고 감사된 접근 경로 없이는 다른 환경의 데이터를 읽을 수 없습니다.
- 테넌트 분리. 다중 테넌트 데이터는 해당되는 경우 테넌트별 암호화 키로 논리적으로 분리됩니다. 테넌트 간 쿼리는 애플리케이션 및 데이터베이스 계층에서 차단됩니다.
7. 보안 개발 수명 주기(SDLC)
- 모든 프로덕션 변경에 대해 코드 검토가 필수입니다. 단일 엔지니어는 검토되지 않은 코드를 프로덕션에 병합할 수 없습니다.
- 모든 풀 리퀘스트에 대해 정적 애플리케이션 보안 테스트(SAST), 종속성 스캐닝 및 소프트웨어 구성 분석(SCA)이 자동으로 실행됩니다.
- 모든 빌드 및 배포된 이미지에 대해 주기적으로 컨테이너 및 인프라 스캐닝.
- 영향이 큰 변경 사항(인증, 키 관리, 생체 인식 파이프라인, 결제 흐름)에 대한 사전 프로덕션 보안 테스트.
- 내부 침투 테스트는 지속적으로; 외부 침투 테스트는 독립 전문가에 의해 연 1회 이상 실시됩니다. 중대한 발견 사항은 SLA에 따라 마감될 때까지 추적됩니다.
- 버그 바운티 / 책임 있는 공개 채널, 보안 문제는 security@didit.me로 보고하십시오.
8. 취약점 관리
- 심각도별 패치 SLA, 심각(공급업체 공개 후 72시간 이내), 높음(7일 이내), 중간(30일 이내), 낮음(90일 이내).
- 프로덕션 인프라, 컨테이너 및 종속성 전반에 걸친 지속적인 취약점 스캐닝.
- 새로운 제품 표면, 생체 인식 파이프라인 및 환경 간 통합에 대한 위협 모델링.
9. 모니터링, 탐지 및 사고 대응
- 가용성, 오류 및 보안 신호에 대한 경고와 함께 모든 프로덕션 시스템에 대한 24시간 연중무휴 모니터링.
- 보안 정보 및 이벤트 관리(SIEM)는 보안 이벤트를 집계하고 상호 연관시키며, 비정상적인 패턴은 온콜 보안 엔지니어에게 에스컬레이션됩니다.
- 명시된 역할, 통신 트리, 심각도 매트릭스 및 사고 후 검토 프로세스를 포함하는 문서화된 사고 대응 계획. 이 계획은 최소 연 1회 테이블탑 훈련을 통해 테스트됩니다.
- 개인 데이터 유출 통지. Didit은 고객이 일반 데이터 보호 규정(GDPR) 제33조에 따른 72시간 통지 의무를 이행할 수 있도록 불필요한 지연 없이 그리고 어떠한 경우에도 적시에 영향을 받는 고객에게 통지합니다. 엔터프라이즈 고객은 지정된 온콜 엔지니어와 전용 통신 채널을 받습니다.
- status.didit.me의 공개 상태 페이지, 모든 프로덕션 사고, 모든 사후 분석, 로그인 필요 없음.
10. 비즈니스 연속성 및 재해 복구
- 모든 프로덕션 지역에서 다중 AZ 활성 이중화; 무상태 서비스에 대한 자동 장애 조치.
- 백업은 암호화되며, 선택된 상주 경계 내에서 지리적으로 분리되고, 주기적으로 테스트됩니다.
- 핵심 확인 API 및 비즈니스 콘솔에 대한 복구 시점 목표(RPO) ≤ 1시간 및 복구 시간 목표(RTO) ≤ 4시간.
- 재해 복구(DR) 테스트는 최소 연 1회 실시됩니다.
11. 인력 보안
- 관련 법률이 허용하는 경우, 프로덕션 데이터 또는 개인 데이터에 접근하는 모든 직원 및 계약자에 대한 신원 조회.
- 모든 직원 및 계약자에 대한 채용 시 기밀 유지 계약.
- 모든 직원에 대한 온보딩 시 및 최소 연 1회 갱신되는 필수 보안 및 개인정보 보호 교육. 필요한 역할에 대한 맞춤형 교육(보안 코딩, 생체 인식 데이터 처리, 사기 방지, 자금 세탁 방지).
- 주기적인 피싱 시뮬레이션.
- 입사 / 이동 / 퇴사 프로세스는 역할 변경 또는 퇴사 후 24시간 이내에 접근 권한을 취소합니다.
12. 공급업체 및 하위 처리자 관리
- 모든 하위 처리자는 온보딩 전에 위험 평가를 거치며, 최소 연 1회 재검토됩니다.
- 모든 하위 처리자는 Didit이 자체 고객에게 부담하는 것과 실질적으로 유사한 데이터 보호 의무를 부과하는 데이터 처리 계약(DPA)에 서명합니다.
- 현재 하위 처리자 목록은 비공개 계약(NDA) 서명 후 이메일을 통해 고객 및 잠재 고객과 공유됩니다. 요청하려면 security@didit.me로 이메일을 보내십시오. 하위 처리자 변경 알림을 구독한 고객에게는 이의를 제기할 수 있는 충분한 사전 통지와 함께 이메일로 알림이 전송됩니다.
13. 정보 주체 권리 및 삭제
- 접근 및 이동성 권리, `GET /v3/sessions/:session_id/decision/`.
- 삭제 권리, `POST /v3/sessions/:session_id/delete/`. 세션 및 모든 연결된 아티팩트를 모든 복제본에서 제거합니다.
- 애플리케이션별 보존은 비즈니스 콘솔에서 30일에서 10년 사이로 구성할 수 있으며, 고객이 더 짧은 기간을 구성하지 않는 한 기본값은 무기한입니다. 생체 인식 데이터 보존은 모든 경우에 해당 생체 인식 개인정보 보호 법률 및 규정의 적용을 받으며 그에 따라 제한됩니다, EU 일반 데이터 보호 규정(GDPR) 제9조, 일리노이 생체 인식 정보 개인정보 보호법(BIPA), 텍사스 생체 인식 식별자 캡처 또는 사용법(CUBI), 워싱턴 H.B. 1493 및 기타 모든 해당 생체 인식 개인정보 보호 법률을 포함합니다. 그러한 법률이 더 짧은 보존 기간 또는 더 이른 파기 의무를 규정하는 경우, 해당 더 짧거나 더 엄격한 규칙이 기본 또는 고객 구성 보존 기간보다 우선합니다.
- 전체 정보 주체 권리 프로세스는 개인정보처리방침 및 확인 개인정보처리방침을 참조하십시오.
14. 보안 문제 보고
Didit 제품 또는 서비스에서 보안 취약점을 발견했다고 생각하시면, security@didit.me로 설명, 재현 단계 및 관찰된 영향을 포함하여 이메일을 보내주십시오. Didit은 영업일 기준 2일 이내에 보안 보고서를 확인하고, 책임 있는 공개 관행을 따르는 보고자와 성실하게 협력합니다.
15. 문의
- 보안: security@didit.me
- 데이터 보호 책임자: dpo@didit.me
- 개인정보 보호: privacy@didit.me
- 법률 / 계약: legal@didit.me
- 신뢰 팩 요청 (NDA 하): security@didit.me