보안에 대한 접근 방식
당사는 보안을 제품의 기본 속성으로 취급하며, 추가 기능으로 취급하지 않습니다. 즉, 안전한 기본값, 최소한의 구성, 최신 상태로 유지되는 종속성, 편의보다는 필요에 따라 부여되는 액세스 권한을 의미합니다. 기능을 출시하는 엔지니어가 해당 기능의 보안 영향도 처리합니다.
이 페이지에서는 당사가 수행하는 작업(보유한 인증, 데이터 위치, 결제 보호 방법, 취약점 발견 시 신고 방법)을 요약합니다.
인증 및 규정 준수
당사는 다음 프레임워크를 준수하며 이에 대해 자체 감사를 수행합니다.
- GDPR — 게시된 개인정보처리방침, 문서화된 처리 활동 기록, 지정된 데이터 보호 연락처를 포함한 EU 일반 데이터 보호 규정을 완전히 준수합니다.
- PCI DSS — 결제 카드 데이터는 PCI Level 1 인증을 받은 Stripe에서만 처리됩니다. 당사는 원시 카드 번호를 절대 보거나, 저장하거나, 전송하지 않습니다.
- ISO 27001 — 당사의 호스팅 및 플랫폼 공급업체는 인증을 받았습니다. 당사의 내부 정보 보안 관리 시스템은 동일한 통제를 반영합니다.
- SOC 2 Type II — 고객 대면 플랫폼에 대해 매년 완료됩니다.
인증서 사본은 연락처 페이지를 통해 요청 시 제공됩니다.
전송 중 및 저장 데이터 암호화
사이트와의 모든 트래픽은 TLS 1.3을 사용합니다. 이전 프로토콜은 로드 밸런서 수준에서 비활성화됩니다. HSTS는 사전 로드 창과 함께 적용되어 첫 방문 후 브라우저가 일반 텍스트 HTTP를 통한 연결을 거부하도록 합니다.
데이터베이스 및 객체 스토리지의 저장 데이터는 AES-256으로 암호화됩니다. 암호화 키는 클라우드 제공업체의 KMS에서 관리됩니다. 어떤 엔지니어도 장기 유효한 일반 텍스트 키를 보유하지 않습니다.
액세스 제어
프로덕션 액세스는 소수의 지정된 엔지니어로 제한됩니다. 인증은 필수 MFA(일반적으로 하드웨어 보안 키)가 있는 SSO를 통해 이루어집니다. 공유 계정이나 정적 서비스 계정 암호는 없습니다. 모든 장기 유효 자격 증명은 자동으로 순환됩니다.
프로덕션 데이터에 대한 모든 작업은 수행자, 시간 및 영향을 받은 레코드와 함께 기록됩니다. 로그는 변경 불가능하며 12개월 동안 보관됩니다.
결제 보안
모든 결제는 Stripe(및 폴란드 구매자의 경우 Przelewy24)를 통해 처리됩니다. 둘 다 PCI-DSS 인증 결제 처리업체입니다. 카드 양식은 해당 샌드박스 내에서 렌더링되므로 카드 데이터가 당사 서버에 절대 도달하지 않습니다. 당사는 토큰화된 참조만 수신합니다.
당사는 기본적으로 3-D Secure 2를 활성화하고 Stripe의 위험 엔진과 자체 속도 규칙에 의존하여 사기 시도를 식별합니다. 환불은 카드 데이터를 수동으로 처리하지 않고 원래 방법을 통해 다시 라우팅됩니다.
귀하의 데이터
당사는 주문을 이행하는 데 필요한 최소한의 정보(이름, 청구지 주소, 이메일, 결제 참조)를 수집합니다. 당사는 개인 데이터를 제3자에게 절대 판매하지 않습니다. 당사는 타사 광고 추적기를 포함하지 않습니다.
GDPR에 따라 귀하는 데이터에 액세스하고, 수정하고, 내보내거나 삭제할 권리가 있습니다. 개인정보처리방침은 이러한 권리를 행사하는 방법과 각 데이터 범주가 보관되는 기간을 설명합니다.
책임 있는 공개
보안 문제를 발견했다고 생각되면 연락처 페이지를 통해 문의해 주십시오. 1영업일 이내에 응답하겠습니다. 문제가 무엇인지, 어디에 있는지, 재현 방법을 알려주십시오. 현재 유료 버그 바운티 프로그램은 운영하지 않지만, 책임 있는 공개를 따르는 신고자를 당사의 공개 보안 승인 페이지에 기재합니다.
다른 사용자의 계정을 테스트하지 말고, 프로덕션 환경에 대해 자동화된 스캐너를 실행하지 말며, 당사가 수정할 기회를 갖기 전에 문제를 공개적으로 공개하지 말 것을 요청합니다.