귀사의 데이터 보호 및 보안은 당사에 믿고 맡기세요.
전 세계 최대 규모의 조직들이 당사의 우수한 데이터 보호 및 보안 능력을 신뢰하고 있습니다. 당사는 내장형 AI 기반 위협 탐지, 제로 트러스트 원칙을 갖추고 선도적 보안 파트너들과 긴밀하게 협력하고 있습니다. 귀사의 데이터도 안심하고 맡겨 보세요!
당사의 AI 기반 데이터 보안 플랫폼은 사이버 레질리언스를 강화하고 데이터에서 인사이트를 얻는 데 도움이 됩니다.
Cohesity는 엄격한 제품 보안 기준을 유지하며, 제품 수명 주기의 모든 단계에서 적용 상황을 점검합니다. 또한, 업계 모범 사례를 따르고 이러한 보안 관행 및 보안 관련 다양한 특징 및 기능을 활용하여 고객에게 안전하고 뛰어난 성능의 제품과 서비스를 제공하고 있습니다.
보안을 염두에 둔 설계
Cohesity는 기본적으로 안전한 설계, 안전한 실패, 그리고 암호화 알고리즘의 안전한 구현을 포함하되 이에 국한되지 않는 핵심 보안 원칙들을 철저히 준수합니다. 새로운 기능을 개발할 때도 Cohesity는 제품의 목표하는 보안 수준, 규정준수, 그리고 인증을 확실히 하기 위해 현재 가장 모범적인 보안 관행에 맞춰 제품을 설계하고 있습니다.
보안 개발
Cohesity의 개발 팀은 개발 수명 주기의 설계 및 기획 단계부터 전담 제품 보안 팀과 긴밀히 협력하고 있습니다. Cohesity의 제품 보안 팀은 안전한 설계 패턴을 채택하도록 권고하고, 위협 모델링을 수행하며, 적용 가능한 보안 표준을 정립하고, 보안 요구 사항을 설정합니다.
위협 모델링
Cohesity는 애플리케이션 또는 시스템에 영향을 미칠 수 있는 위협, 공격, 취약점 및 대응책의 식별 등 설계의 보안 목표를 충족하고 위험을 줄이기 위해 설계 관행에 STRIDE 프레임워크를 채택했습니다. Cohesity는 새로운 기능과 위협의 변화에 따라 제품 위협 모델을 정기적으로 업데이트합니다.
보안 요건 식별 및 설정
Cohesity의 제품 보안, 정보 보안 및 제품 관리 팀은 해당 보안 표준을 정의하고 Cohesity의 전체 제품 및 서비스 포트폴리오에서 보안 요건을 의무화합니다.
보안 보증
Cohesity의 플랫폼과 인프라는 보안 강화를 위해 정기적으로 보안 테스트 및 강화 과정을 거칩니다. 운영 체제(OS)와 구성 요소들은 인터넷 보안 센터(CIS)의 기준과 미 국방부 보안 기술 구현 지침(STIG)의 구성 표준을 포함한 보안 강화 요구 사항을 충족하도록 구체적으로 구성됩니다.
정적 애플리케이션 보안 테스트
Cohesity는 애플리케이션의 보안 예방 활동을 보장하기 위해 정적 및 바이너리 소스 코드 분석을 수행합니다.
동적 애플리케이션 보안 테스트
동적 애플리케이션 보안 테스트 스캐너는 Cohesity 개발 파이프라인에 통합되어 모든 중요한 개발 브랜치를 스캔합니다. 발견된 모든 취약점은 취약점 관리 정책에 따라 완화됩니다.
오픈 소스 소프트웨어 보안 스캔
Cohesity는 저장소에서 Cohesity가 개발한 코드 및 바이너리와 타사 코드 및 바이너리를 정기적으로 스캔하여 오픈 소스 소프트웨어(OSS)의 사용을 식별합니다. 식별된 보안 취약점과 OSS의 잘못된 사용은 모두 Cohesity의 정책에 따라 해결됩니다.
침투 테스트
Cohesity는 출시 주기에 통합된 다양한 자동화 기법을 사용하여 내부 침투 테스트를 지속적으로 수행합니다. 또한 Cohesity는 정기적인 외부 제3자 침투 테스트를 수행합니다. 침투 테스트에서 발견된 취약점은 Cohesity의 취약점 관리 정책에 따라 완화됩니다.
Cohesity REDLab
Cohesity는 Cohesity 인프라를 보호하면서 위협 테스트를 허용하도록 설계된 에어 갭 환경에서 실시간 멀웨어, 지능형 익스플로잇 및 최신 공격 기술을 사용하여 제품의 실제 레질리언스를 엄격하게 검증합니다. Cohesity REDLab에 대해 자세히 알아보십시오.
취약점 관리
Cohesity는 제품 및 내부 운영 환경에서 정기적인 취약점 평가를 수행합니다. 취약점 발견은 정기적으로 수행되며 결과는 개발 및 배포에 다시 반영되어 위험을 해결합니다. Cohesity는 취약점 관리 정책에 따라 취약점을 해결합니다.
소프트웨어 공급망 검증
오픈 소스 및 상용 라이선스 패키지, 소스 코드, 바이너리, 라이브러리, OEM 펌웨어를 포함하여(이에 국한되지 않음) Cohesity 코드 베이스에 통합된 모든 타사 구성 요소는 취약점 및 기타 보안 위험이 있는지 정기적으로 테스트됩니다. 위험 완화 관행 및 제3자 취약점 패치는 Cohesity의 취약점 관리 정책을 따릅니다.
엔지니어링 인프라 도구는 구성된 보안 보호 기능을 통해 최신 상태로 유지됩니다. 컴파일러 및 링커에 대한 보안 검사 및 옵션이 적용됩니다.
앱 에코시스템 및 마켓플레이스 보안
Cohesity는 고객 데이터의 무결성과 Cohesity Marketplace 내의 앱 보안을 보장하기 위해 다수의 제어와 관행을 사용합니다. 이러한 제어에는 다음이 포함됩니다.
- 온보딩 전에 Cohesity Marketplace용 앱을 개발하려는 모든 개발자와 ISV는 먼저 Cohesity의 심사를 통과합니다.
- Cohesity는 디자인 및 취약점 스캔을 포함하여 Cohesity Marketplace에 게시되기 전에 모든 앱의 자격을 평가합니다.
- Cohesity 플랫폼에서 사용하기 위한 모든 Marketplace 앱은 Cohesity가 디지털 방식으로 서명합니다. Cohesity 플랫폼은 서명되지 않았거나 부적절하게 서명된 앱은 실행하지 않습니다. Cohesity는 디지털 서명된 마켓플레이스 앱을 마켓플레이스 이외의 채널을 통해 배포하지 않습니다.
- Cohesity 플랫폼에서의 앱 사용은 기본적으로 비활성화되어 있습니다. 명시적 옵트인이 필요합니다.
- 앱은 항상 Cohesity 플랫폼의 네트워크, 스토리지 및 마이크로서비스 수준에서 여러 수준의 격리로 실행됩니다.
- Cohesity 플랫폼에서 실행되는 다른 앱은 기본적으로 서로 통신하거나 상호 작용할 수 없습니다.
- 앱은 Cohesity 플랫폼의 역할 기반 접근 제어 프레임워크 내에서 실행됩니다.
보안 표준 및 프로그램
Cohesity는 취약점 관리, 보안 제품 개발 수명 주기 관리, 그리고 사고 대응에 관한 업계 표준 프레임워크를 따릅니다.
CVSS(Common Vulnerability Scoring System) 및 CVE(Common Vulnerabilities and Exposure)
Cohesity는 CVSS(Common Vulnerability Scoring System) 버전 3을 사용하여 확인된 취약점을 평가하고 우선순위를 지정합니다. Cohesity는 확인된 보안 취약점에 CVE(Common Vulnerabilities and Exposure) 식별자를 할당합니다.
다분야 보안 제품 개발 수명 주기
Cohesity는 보안 제품 개발 수명 주기에 따라 각 제품의 수명 주기 전반에 걸쳐 보안을 제공하고 유지합니다. Cohesity는 다음 6가지 관행을 따릅니다.
- 보안 교육
- 설계 보안
- 위협 모델
- 취약점 관리
- 보안 소프트웨어 릴리스
- 제품 보안 대응
보안 사고 대응 서비스 프레임워크
Cohesity는 보안 사고 및 이벤트를 신속하고 효과적으로 탐지, 대응 및 복구하도록 설계된 보안 사고 대응 프로그램을 구현합니다. 보안 사건은 정보 보안 부서에 보고되어 문제가 해결될 때까지 추적 및 모니터링됩니다. 대기 중인 대응 팀은 정기적으로 테스트된 대응 플레이북과 절차를 통해 보안 및 가용성 이벤트를 관리합니다.
제품 사고 대응
Cohesity는 제품의 취약점 분석, 완화 및 복구를 지원하는 제품 사고 대응 계획을 채택합니다. 이 플랜은 또한 제3자 연구자 및 고객의 책임 있는 공개를 보장합니다.
보안 교육
Cohesity는 개발자, 아키텍트, 개발 관리자, 릴리스 관리자, QA 엔지니어, 제품 관리자들이 제품 개발 수명 주기 전반에 걸쳐 보안 관행을 적용하도록 이들에게 보안 교육 및 자료를 제공하고 있습니다. Cohesity는 제품 개발 시 보안 모범 사례를 다루는 보안 코딩 교육을 분기마다 실시하고 있으며, 이는 모든 엔지니어가 의무적으로 이수해야 합니다.
책임 있는 공개 표준
Cohesity는 제품 수명 주기 전반에 걸쳐 취약점을 발견하고, 조사하며, 해결하기 위해 위험 기반 접근 방식을 활용하는 업계 모범 사례를 따릅니다. Cohesity의 전담 제품 보안 팀은 모든 잠재적 보안 취약점 보고에 대해 즉시 조사하고 대응하며, Cohesity의 제품 사고 대응 계획을 통해 제품 내 취약점을 분석하고, 완화하며, 해결하는 과정을 지원하고 있습니다. 이 계획에는 제3자 연구원, 고객 또는 파트너가 문제를 보고했을 경우의 책임감 있는 공개 절차도 포함되어 있습니다.
확인된 취약점 평가 및 우선순위 지정
Cohesity는 CVSS(Common Vulnerability Scoring System) 버전 3을 사용하여 확인된 취약점을 분류하고 우선순위를 지정하며 각 심각도 등급에 대한 대응 SLA를 유지합니다.
보안 취약점 해결
Cohesity의 식별된 취약점 개선은 중요도와 영향(Cohesity의 취약점 관리 정책에 따름)에 따라 일정 기간 동안 해결됩니다.
확인된 취약점 식별
Cohesity는 확인된 보안 취약점에 CVE(Common Vulnerabilities and Exposure) 식별자를 할당합니다.
지원되는 제품 버전의 취약점 해결
지원되는 모든 제품 버전에서 확인된 취약점은 Cohesity의 취약점 관리 정책에 따라 해결됩니다.
누적 취약점 수정
Cohesity 제품의 최소, 주요, 경미, 장기 지원(LTS) 릴리스에는 이전 릴리스의 누적 취약점 수정 사항이 포함됩니다.
중요하고 영향력이 큰 취약점에 대한 신속 유지보수 릴리스
Cohesity는 중요한 위험, 영향력이 큰 취약점에 대해 Cohesity의 취약점 관리 정책에서 확립된 SLA보다 주기적으로 유지보수 릴리스 또는 지원되는 제품 버전의 패치를 신속하게 처리할 수 있습니다.
고객에게 취약점 통지
Cohesity는 지원 포털 알림, 이메일 및/또는 현장 통지를 통해 고객에게 취약점을 사전에 알립니다. 기술 자료 기사는 특정 취약점의 영향을 문서화하고 필요한 조치를 요약하기 위해 게시됩니다.
문제 보고
고객, 파트너 및 제3자 연구원은 Cohesity 제품 및 서비스의 취약점에 대해 Cohesity 보안 팀에 연락하여 보고할 수 있습니다.
Cohesity는 자체적으로 관리하는 클라우드 서비스와 서비스형 소프트웨어(SaaS) 제품에 대해 엄격한 보안, 개인정보 보호 및 레질리언스 표준을 유지하고 있습니다. Cohesity가 Helios 플랫폼, 서비스 및 고객 데이터를 항상 안전하고 이용 가능하게 유지하기 위해 따르고 있는 핵심 관행에 대해 자세히 알아보세요.
Helios 관리
고객은 자체 관리하는 제품 및 서비스에 대해 중앙 집중식 관리 및 분석 기능을 제공하는 클라우드 기반 Helios 플랫폼(Helios 관리 서비스)을 관리할 수도 있습니다.
Helios 관리 서비스의 사용 여부는 배포된 Cohesity 제품 또는 서비스에 따라 고객에게 필수적일 수도 있고, 선택사항일 수도 있습니다.
관리 서비스
Cohesity가 운영하는 Helios 관리 서비스는 고객에게 자체 관리 Cohesity 제품 및 Cohesity 관리 데이터 관리 서비스에 대한 중앙 집중식 관리 및 분석을 제공합니다. 고객이 자체 관리 제품을 Helios 관리 서비스에 등록하는 것은 필수가 아닙니다.
고객이 등록을 선택하는 경우, 고객의 제품은 Helios 관리 서비스와 통신하여 서비스를 제공하고 클라우드 기반 중앙 집중식 관리 및 분석을 제공하는 데 필요한 제품 원격 측정을 제공합니다. Helios 관리 서비스에 대한 자세한 내용은 Cohesity 문서 포털에 있는 Helios SaaS 보안 개요를 참조하십시오.
데이터 관리 서비스
Cohesity 관리 데이터 관리 서비스는 고객이 Cohesity의 클라우드 기반 인프라에서 데이터를 저장, 관리 및 보호할 수 있는 SaaS 제품군입니다. 고객은 Helios 관리 서비스를 통해 이러한 서비스를 관리해야 합니다. Cohesity의 데이터 관리 서비스는 구독 방식으로 고객에게 제공됩니다.
SaaS 커넥터
일부 Cohesity 데이터 관리 서비스의 일환으로 Cohesity는 고객에게 Helios SaaS 커넥터를 배포하도록 요구할 수 있습니다. 이 SaaS 커넥터는 고객 데이터 센터에 배포된 온프레미스 VM이며 온프레미스 데이터 소스를 Cohesity의 데이터 관리 서비스와 연결하기 위한 보안 채널을 설정합니다.
보안 아키텍처 및 테넌트 격리
Helios 데이터 관리 환경은 관리 서비스와 데이터 서비스가 논리적으로 서로 분리되어 있습니다.
Cohesity가 관리하는 Helios 서비스는 기본적으로 멀티테넌트(Multitenant) 방식으로, 각 테넌트는 독립적인 고유 조직으로 구현됩니다. 이 조직들은 논리적으로 분리되어 있어, 데이터, 정책, 관리자 등 해당 조직의 리소스는 해당 조직 내로만 접근이 제한됩니다
전용 테넌트 데이터 저장소를 사용하므로 고객 데이터는 다른 고객의 데이터로부터 완전히 격리되도록 보장됩니다.
클라우드 인프라
Cohesity는 Helios 관리 서비스와 Cohesity가 관리하는 데이터 관리 서비스를 포함한 클라우드 인프라에 대한 무단 접근이나 침해를 방지하기 위해 제로 트러스트 원칙에 기반한 접근 제어 기능을 적용하여 논리적 보안을 확보하고 있습니다.
고객 인증 및 접근 제어
Helios 관리 서비스는 고객이 강력한 보안 표준 및 자체 보안 정책에 따라 사용자 계정과 할당된 접근 권한을 관리할 수 있는 폭넓은 제어 기능을 제공합니다. 각 테넌트 조직에서는 관리자(Admin)가 해당 조직 내 다른 사용자들을 관리합니다. 이 관리자(Admin)는 역할 기반 접근 제어(RBAC)를 통해 사용자를 추가하고 관리할 수 있습니다. 최소 권한 원칙과 책임 분리 원칙은 표준 및 맞춤형으로 정의된 역할에 대한 세분화된 제어를 통해 달성할 수 있습니다. 테넌트 관리자(Admin)는 Helios 관리 서비스를 기존 ID 공급자(Identity Provider)와 통합할 수도 있습니다. 이를 통해 각 조직은 비밀번호 정책, 다단계 인증(MFA) 등을 포함한 자체적인 인증 제어를 적용할 수 있습니다.
직원 인증 및 접근 제어
Cohesity는 Helios 관리 서비스에 대한 내부 접근에 매우 엄격한 접근 제어를 유지하고 있습니다. 접근은 시스템 관리 및 유지보수 직무와 관련하여 엄격한 '알아야 할 필요성' 원칙에 기반하여 허용됩니다. Cohesity는 최소 권한 원칙과 책임 분리 원칙을 준수하고, 내부 접근 및 인가 통제 정책을 적용합니다. 사용자는 특정 역할로 로그인하기 전에 반드시 정해진 자격 기준을 충족해야 하며, 모든 경우 사전에 문서화된 경영진의 승인을 받아야 합니다. 모든 Cohesity 사용자는 고유한 사용자 ID와 다단계 인증(MFA)을 필수로 사용해야 합니다.
데이터 격리
Helios 관리 서비스의 경우, 각 테넌트의 데이터와 메타데이터는 다른 테넌트의 것과 논리적으로 분리되고 격리됩니다. Cohesity가 관장하는 데이터 관리 서비스에서는 각 테넌트에게 고유한 저장소 공간을 할당하여, 한 테넌트의 콘텐츠가 다른 테넌트와 공유되거나 접근할 수 없도록 보장하고 있습니다.
데이터 레질리언스 및 가용성
Helios 관리 서비스는 예정되었거나 긴급한 유지보수 기간을 제외하고 99.9%(쓰리 나인)의 가용성을 유지합니다. Helios 데이터 관리 서비스는 Amazon Web Services (AWS) S3 서비스를 기반으로 하며, 고객이 정한 지역 내에서 최소 3개 이상의 가용 영역(Availability Zones)으로 나뉘어 운영되며, 이 가용 영역들은 같은 AWS 지역 내에서 수 마일씩 떨어져 있습니다. AWS S3 서비스는 데이터 내구성 99.999999999%(일레븐 나인)를 보장합니다. 재해가 발생하는 경우, Helios 관리 서비스는 S3에 저장된 데이터만을 사용하여 데이터 관리 서비스 시스템에 보관된 데이터를 재구성(복구)할 수 있습니다
데이터 암호화
Helios 관리 서비스의 메타데이터와 데이터 관리 서비스 자체의 모든 고객 데이터는 강력한 업계 표준 암호화 알고리즘과 프로토콜을 사용하여 저장 시 및 전송 중에 암호화됩니다.
전송 중
Helios 관리 서비스 및 데이터 관리 서비스로 송수신되는 모든 고객 데이터는 기밀성을 최대한 보장하고 무단 공개 또는 수정을 방지하기 위해 이동 중에는 암호화됩니다. Cohesity는 전송 계층 보안을 위해 TLS 1.2 및 mTLS 프로토콜을 활용하며, Perfect Forward Secrecy(PFS) 보호 기능을 갖춘 FIPS가 승인한 암호 제품군만 사용합니다.
저장 시
Helios 관리 서비스 및 데이터 관리 서비스의 모든 고객 데이터는 저장 시 AES-256 암호화를 사용하여 암호화됩니다. 모든 암호화 키는 외부 키 관리 시스템(KMS)에 안전하게 저장됩니다. 또한 Cohesity 관리 데이터 관리 서비스를 사용하는 고객은 Cohesity의 관리형 키 관리 서비스(KMS)를 사용하거나 Amazon Web Services KMS를 통해 자체 키를 관리하는 등 암호화 키를 안전하게 관리할 수 있는 여러 가지 옵션이 있습니다.
인프라 공격 방어
Cohesity는 분산 서비스 거부(DDoS) 공격, 침입 및 악성 코드 공격에 대응하기 위한 여러 가지 수단을 마련해 두고 있습니다. 이러한 안전 장치들은 당사가 Helios 환경을 관리하기 위해 구현한 모니터링 인프라에 내장되어 있습니다 Cohesity는 방화벽을 사용하여 연결 상태를 지속적으로 모니터링하고 이상 징후를 감지합니다. 이상 징후가 감지되면 Cohesity는 Helios 제어 평면(control plane) 환경으로의 연결을 차단하고 상황을 평가합니다. Helios 제어 평면 환경 내의 서버, 컨테이너 및 인프라에 대해서는 취약점을 감시하여 정기적으로 해결 조치를 취하게 됩니다.
데이터 센터 보안
Cohesity의 Helios 관리 서비스와 데이터 관리 서비스는 Amazon Web Services(AWS)에서 호스팅됩니다. AWS 데이터 센터 보안 제어에 대한 더 자세한 정보가 필요하다면, https://aws.amazon.com/compliance/data-center/controls/를 방문하시기 바랍니다.
비즈니스 연속성 및 재해 복구
Cohesity는 사업 운영과 재해 복구 대응을 아우르는 사업 연속성 계획을 유지하고 있습니다. 당사는 사업에 미칠 수 있는 위험들을 정기적으로 평가하고, 이를 허용 가능한 수준으로 관리하기 위한 적절한 처리 계획을 적용합니다. 이 계획에는 핵심 사업 프로세스를 식별하고, 사업 중단을 야기할 수 있는 위협들을 문서화하며, Cohesity가 고객에게 약속한 의무를 이행할 수 있도록 연결성 및 지원 시스템 복구 방안을 마련하는 내용이 포함됩니다.
취약점 관리
Cohesity는 벤더사에서 확인했거나, 연구원들이 보고했거나, 또는 취약점 스캔이나 침투 테스트 혹은 Cohesity 직원의 식별을 통해 내부적으로 발견된 취약점들을 지속적으로 모니터링하기 위해 위협 및 취약점 관리 프로그램을 운영하고 있습니다. 이러한 위협에는 심각도 수준에 따라 순위가 매겨지며, 필요에 따라 해결을 위한 조치가 할당됩니다
모니터링 및 알림
Helios는 서비스의 보안과 가용성 모두에 대해 지속적인 모니터링을 구현하고 있습니다.
모니터링은 모든 서비스에 공통된 기능으로, 주요 성능 지표(KPI)와 측정 항목들이 처음부터 내장되어 있습니다. 대시보드와 측정 항목들은 모니터링 및 대응 팀에 의해 추적하게 되며, 경고(Alert)는 개발 과정에서 설계에 반영됩니다. 경고는 클라우드 운영 팀과 개발 팀이 함께 검토하여, 운영 환경에 배포하는 동안 임계값이 설정되어 있고 잘 모니터링되는지 확인하도록 하고 있습니다.
Cohesity의 기업 보안 관행은 Cohesity 및 고객 자산의 보안, 안전 및 규정 준수를 보장하려는 당사의 노력을 분명하게 보여줍니다. Cohesity는 고객 정보의 보안을 매우 중요하게 생각하며, 여기에서 설명하는 통제(보안 제어) 장치는 당사가 고객, 파트너 및 다른 이해관계자들과의 관계에서 어떻게 신뢰를 구축하는지를 잘 보여주고 있습니다.
정보 보안 조직
Cohesity 정보 보안 팀은 Cohesity의 CISO(정보보안최고책임자)가 이끌고 Cohesity 보안 위원회의 감독을 받는 전담 전문가 팀입니다. 이 팀은 Cohesity의 시스템, 프로세스, 데이터, 직원 그리고 고객이 맡긴 자산의 보안, 안전 및 규정 준수를 보장하는 임무를 맡고 있습니다.
정보 보안 정책
Cohesity의 정보 보안 정책들은 조직, 직원 및 정보 자산을 포괄하여 다룹니다. 해당 정책들은 업계 표준에 부합하며, 여기에는 보안 조직, 자산의 허용 가능한 사용, 접근 제어, 정보 분류 및 처리와 같은 영역들이 포함됩니다. 이 정책들은 Cohesity 정보 보안 팀에서 정기적으로 검토하고 필요에 따라 업데이트합니다.
보안 인식 교육
Cohesity 정보 보안 팀은 정보 보안 교육 요구 사항을 정립하고 모든 직원이 교육을 이수하며 자신의 책임을 이해하도록 할 책임이 있습니다. 정보 보안 교육은 신입 직원의 온보딩 과정에 포함되며, 매년 필수적으로 재교육을 받아야 합니다. 교육은 정기적인 발표, 소통 활동, 그리고 특정 주제에 대한 학습 세션으로 보강됩니다. 적절한 경우, 각 사업부 직원들은 자신들의 역할과 직무 책임에 맞는 전문화된 교육을 받게 되는데, 예를 들어 엔지니어링 팀원들은 보안 원칙과 안전한 개발 관행을 다루는 정기 교육을 받는 식으로 진행합니다.
사이버 위험 관리
Cohesity는 시스템 인프라, 네트워크, 엔드포인트, 데이터 및 지식재산을 포함한 IT 자산에 대한 위험을 식별하고, 우선순위를 정하며, 이를 관리하기 위해 사이버 위험 관리 프로그램을 활용합니다. 이 사이버 위험 관리 프로그램을 통해 Cohesity는 내부 및 외부 사이버 위험과 그 발생 가능성, 그리고 잠재적 영향을 식별합니다. Cohesity는 Cohesity의 위험 수용 수준에 따라 위험 담당자와 협력하여 위험을 완화하고 시정합니다.
벤더 위험 관리
Cohesity의 공급업체 위험 관리 프로그램은 신규 공급업체 온보딩 이전에 제3자 공급업체의 보안 태세를 검토하고 검증하며, 설정된 공급업체 등급에 따라 후속 평가를 수행합니다. Cohesity는 Cohesity의 보안 태세, 고객에 대한 약속, 그리고 해당 규제 요건에 부합하도록 위험 관리 프로그램을 통해 공급업체 보안 위험을 관리하고 모니터링합니다.
위협 인텔리전스 및 취약점 관리
Cohesity 정보 보안 부서는 Cohesity의 제품과 인프라에 대한 위협을 줄이기 위해 취약점을 식별하고, 이를 시정하기 위해 통제 책임자와 협력하는 취약점 관리 프로그램을 운영합니다. 또한, 해당되는 Cohesity 자산을 대상으로 침투 테스트를 수행하며, Cohesity의 보안 태세를 최적화하기 위한 시정 조치의 우선순위를 정합니다.
인시던트 대응
Cohesity 정보 보안 부서는 대응 작업을 위한 구조와 지침을 제공하는 절차가 포함된 사고 관리 정책을 유지합니다. 이 정책의 사고 대응 절차는 보안 이벤트와 취약점을 신속하게 탐지하고, 사고의 식별, 평가, 격리, 완화 및 복구를 포함하여 보안 사고에 대한 신속한 대응을 촉진하기 위해 Cohesity 임직원이 따라야 할 단계들을 규정하고 있습니다.
직원 보안
입사 시에는 신원 조회를 실시합니다. 또한 임직원은 회사의 행동 강령, 각종 정책 및 비밀유지협약서를 수령하고 이에 대한 확인 절차를 거칩니다.
물리적 보안
Cohesity의 각 사무실은 경비 인력 또는 로비 담당 인력을 이용하여 물리적으로 보호합니다. 출입 배지를 이용한 접근 제어는 중앙에서 관리 및 유지합니다. 보안 구역에 대한 접근에는 상위 권한이 필요합니다. 카메라 시스템이 설치되어 있습니다. 모든 사무실은 연중무휴 24시간 경비 및 출입 통제가 이루어지며, 카메라와 조명 시스템을 갖추고, 지정된 인원에 한해 배지를 착용하고 출입해야 합니다. Cohesity는 SOC 2 인증을 보유하고 있으며, 요청 시 제공할 수 있습니다.
Cohesity는 개인 데이터 기밀유지 지침을 준수하며, 해당되는 데이터 보호 법규 및 규정에 따라 개인 데이터를 처리합니다. 모든 개인 데이터는 고객의 소유로 남습니다. Cohesity의 보안 준수 및 인증에 관한 정보는 여기에서 확인할 수 있습니다. 또한, 당사의 데이터 처리 부록(www.cohesity.com/agreements 참조)에는 고객에게 적용되는 다양한 법적, 기술적, 조직적 보호 조치가 명시되어 있습니다.
개인정보처리방침
당사의 개인정보 보호 정책은 www.cohesity.com/agreements에서 확인할 수 있습니다.
처리 위치
Cohesity는 유럽경제지역(EEA) 외부에서 개인 데이터를 처리할 수도 있습니다. 이러한 처리의 예로는 고객이 Cohesity와 개인 데이터를 공유하기로 선택하는 경우 제공되는 연중무휴 24시간 지원 서비스가 있습니다. 이러한 데이터 이전을 허용하기 위해 사용되는 법적 메커니즘은 표준 계약 조항(Standard Contractual Clauses, SCC)이며, 자세한 내용은 www.cohesity.com/agreements에서 확인할 수 있는 Cohesity의 데이터 처리 부록에 명시되어 있습니다.
지원 위치
Cohesity는 현재 미국, 아일랜드, 인도, 캐나다, 일본에 지원 센터를 운영하고 있습니다.
국가 간 데이터 전송
국경 간 데이터 이전에 관한 내용은 www.cohesity.com/agreements에서 확인할 수 있는 데이터 처리 부록에 자세히 설명되어 있습니다.
국제 규정 준수
Cohesity는 개인 데이터를 처리함에 있어 모든 적용 가능한 데이터 보호 법규와 규정을 준수합니다. 여기에는 유럽연합(GDPR), 유럽경제지역 및 회원국, 스위스 및 영국의 법과 규정, 캘리포니아 소비자 개인정보 보호법(CCPA), 캐나다 개인정보 보호 및 전자문서법(PIPEDA) 등이 포함되며, 각 법령은 개인 데이터 처리와 관련하여 Cohesity에 해당되고 적용되는 범위 내에서 적용됩니다. 자세한 내용은 www.cohesity.com/agreements에서 확인할 수 있는 당사의 데이터 처리 부록에서 확인할 수 있습니다.
일반 정보 보호 규정(GDPR)
GDPR과 같은 해당 데이터 보호법 및 규정에 따라 고객이 Cohesity의 제품 및 서비스를 사용하고 Cohesity와 개인 데이터를 공유하는 경우, 고객은 일반적으로 데이터 컨트롤러로 간주되고 Cohesity를 데이터 처리자 역할을 하도록 임명합니다.
CCPA
캘리포니아 소비자 개인정보 보호법(CCPA) 준수는 www.cohesity.com/agreements에 있는 데이터 처리 부록에서 자세히 다룹니다.
데이터 처리 계약
Cohesity의 데이터 처리 부록은 www.cohesity.com/agreements에서 확인 가능합니다. 이는 Helios SaaS를 이용하는 모든 고객에게 자동으로 적용되며, Cohesity의 Helios SaaS 서비스 이용 약관에 포함되어 있습니다(www.cohesity.com/agreements에서도 확인 가능). 고객이 데이터 처리 부록을 다른 활동에도 적용해야 한다고 판단되는 경우, Cohesity 법무 팀에 문의하시기 바랍니다.
Cohesity는 업계, 미국 정부 및 국제 표준에 따라 고객의 데이터 기밀성, 무결성, 가용성을 보호하도록 설계된 포괄적인 보안 인증 프로그램을 운영합니다. 또한 Cohesity의 제품과 서비스는 다양한 보안 표준을 충족하는지 확인하기 위해 독립적인 제3자 감사기관의 인증을 받아 왔습니다. Cohesity의 보안 및 실사 센터는 여기에서 접근할 수 있습니다.
SOC 2 Type II 보고서
Cohesity Helios SaaS 플랫폼에 대해서는 매년 Service Organization Controls 2(SOC 2) Type II 감사를 실시하여 신뢰 서비스 기준과 관련된 보안, 가용성, 기밀성 측면에서 정보 보안 시스템 통제를 평가합니다.
ISO27001
Cohesity 클라우드 서비스를 지원하는 정보 보안 관리 시스템(ISMS)은 ISO/IEC 27001:2022 인증을 획득하였습니다.
HIPAA
Cohesity의 제품과 서비스는 건강보험 이동성과 책임에 관한 법(HIPAA)의 가이드라인에 일치하는 보안 기준과 요구 사항을 준수합니다.
무역협정법 준수
Cohesity는 무역협정법(Trade Agreements Act, TAA)을 준수하며, 하드웨어는 캘리포니아주 산호세에서 출하됩니다. Cohesity 화이트 라벨 시스템은 무역협정법(TAA)을 준수하는 지정된 국가에서 제조 및 조립됩니다.
2019년 국방수권법
Cohesity는 2019년 국방수권법(NDAA) 섹션 889를 준수합니다.
미국 국방부 정보 네트워크 승인 제품 목록
Cohesity 플랫폼은 미국 국방부(DoD) 산하 기관인 국방정보시스템국(DISA)으로부터 DoDIN(국방 정보 네트워크) 승인 제품 목록(APL)에 포함될 수 있도록 인증을 받았습니다. DoDIN APL은 국방부 네트워크에 배치하기 위해 요구되는 엄격한 사이버보안 및 상호운용성 인증 요건을 충족한 제품들로 구성된 단일 통합 목록입니다.
FedRAMP
FedRAMP는 연방 정부 전반에서 보안이 확보된 클라우드 서비스의 도입을 촉진하기 위해 클라우드 기술과 연방 기관을 대상으로 보안 및 위험 평가에 대한 표준화된 접근 방식을 제공하는 범정부 프로그램입니다.
Cohesity는 FedRAMP Moderate 인증을 획득하였습니다.
GovRAMP
GovRAMP는 IaaS, PaaS, 및/또는 SaaS 솔루션을 제공하는 여러 서비스 제공업체와 제3자 평가 기관, 그리고 정부 관계자로 구성하여 등록된 501(c)(6) 비영리 회원 조직입니다. StateRAMP(dba GovRAMP)는 2020년에 설립되었으며, 주 및 지방 정부에 솔루션을 제공하는 서비스 제공업체에 요구되는 사이버보안 표준에 대해 표준화된 접근 방식이 필요하다는 명확한 요구에서 출범하였습니다.
Cohesity는 GovRAMP 인증을 획득하였습니다.
운영 허가
Cohesity는 미국 국방부(DoD) 기관 네트워크, 미국 에너지부(DoE) 네트워크, 그리고 미국 정보공동체 네트워크 등 고도의 비밀로 분류된 환경에서 자사 제품을 운영하기 위한 ATO를 유지하고 있습니다. Cohesity 제품은 국방부 I급 비밀 네트워크에 배치하기 위한 보안 기술 정보 지침(STIG)을 제공합니다.
공통 기준 EAL2+
Cohesity 플랫폼은 공통 평가 기준인 EAL2+ ALC_FLR.1 인증을 획득하였습니다. 정보기술 보안 평가를 위한 공통 기준(Common Criteria)은 컴퓨터 보안 인증을 위한 국제 표준ISO/IEC 15408)입니다.
자세한 내용은 여기에서 확인할 수 있습니다.
NIST FIPS 140-2 암호화 모듈 검증
Cohesity 제품에 사용되는 암호화 모듈은 미국 국립표준기술연구소(NIST)로부터 연방 정보 처리 표준(FIPS) 140-2 레벨 1 기준에 따른 검증을 받았습니다. FIPS 140-2는 암호화 모듈의 설계와 암호 알고리즘 구현이 안전하고 정확함을 보장하기 위한 미국 정부 표준입니다.
자세한 내용은 여기에서 확인할 수 있습니다.
IPv6
Cohesity 플랫폼은 USGv6 시험 프로그램의 일환으로 미국 뉴햄프셔대학교 상호운용성 연구소(UNH-IOL)로부터 USGv6 규격 준수 인증을 획득하였습니다.
자세한 내용은 https://www.iol.unh.edu/registry/usgv6-2008?name=cohesity에서 확인할 수 있습니다.
SEC 17a‐4(f), FINRA 규칙 4511(c), CFTC 규정 1.31(c)-(d)
Cohesity 플랫폼에는 한 번 쓰고 여러 번 읽기(Write Once, Read Many, WORM) 기능이 기본적으로 내장되어 있습니다. 이 WORM 구현 방식은 Cohasset Associates의 평가를 통해 미국 증권거래위원회(SEC) 규정 17a-4(f), 금융산업규제기관(FINRA) 규칙 4511(c), 및 상품선물거래위원회(CFTC) 규정 1.31(c)~(d)를 충족하는 것으로 검증되었습니다.
자세한 내용은 여기에서 확인할 수 있습니다.
다음 자료들은 Cohesity 고객 및 파트너에게 Cohesity의 제품과 서비스 전반에 걸친 보안 및 개인정보 보호 관행에 대한 보다 상세한 정보를 제공하는 것들입니다.
데이터 보호 부록
Cohesity는 고객의 GDPR 또는 CCPA 규정 준수 요구를 지원하기 위해 데이터 처리 부속서(Data Processing Addendum, DPA)를 제공합니다.
하위 처리자 목록
Cohesity는 당사 서비스 제공을 위한 개인정보 처리와 관련하여 제3자를 (하위)처리자로 사용할 수 있습니다.
제품 및 서비스 문서
Cohesity 문서 포털은 MyCohesity를 통해 접근할 수 있습니다.
Helios SaaS 보안 브리프
Helios SaaS 보안 브리프는 Cohesity 문서 포털에서 확인할 수 있습니다.
DataPlatform 보안 백서
DataPlatform 보안 백서는 Cohesity 문서 포털에서 확인할 수 있습니다.
DataPlatform 보안 강화 가이드
또한 DataPlatform 보안 강화 지침도 Cohesity 문서 포털에서 확인할 수 있습니다.
Cohesity 랜섬웨어 보호 – 준비 및 복구
Cohesity 랜섬웨어 보호 – 대비 및 복구 백서도 Cohesity 문서 포털에서 확인 가능합니다.