Rask AI에 대한 데이터 보호 정책
Brask Inc
목적
이 정책은 데이터 보호를 위한 절차와 기술적 통제에 대해 설명합니다.
범위
Rask AI 고객 데이터를 처리하는 프로덕션 시스템은 이 정책을 따라야 합니다.
정의
생산 데이터: 비즈니스 운영 및 고객 서비스를 위해 활발하게 사용되고 유지되는 데이터입니다.
생산 시스템: Rask AI 고객 데이터를 생성, 수신, 저장 또는 전송하는 시스템 및 인프라.
역할과 책임
Brask ML 인프라 부서에서 이 정책을 유지 관리하고 업데이트합니다. CEO와 법무 부서는 이 정책과 모든 변경 사항을 승인합니다.
정책
브래스크 정책은 이를 요구합니다:
- 분류 및 승인된 암호화 표준에 따라 데이터를 처리하고 보호하세요.
- 같은 분류의 데이터를 함께 저장하고 중요 데이터와 중요하지 않은 데이터를 혼합하지 마세요. 리포지토리에서 가장 높은 분류를 기준으로 보안 제어를 적용하세요.
- 직원은 긴급 상황(예: 포렌식 분석, 재해 복구)을 제외하고는 프로덕션 데이터에 직접 관리 액세스 권한을 갖지 못합니다.
- 모든 프로덕션 시스템에서 불필요한 서비스를 비활성화합니다.
- 프로덕션 시스템에 대한 모든 액세스를 기록합니다.
- 모든 프로덕션 시스템에서 보안 모니터링(활동 및 파일 무결성 모니터링, 취약성 검사, 맬웨어 탐지)을 사용 설정하세요.
데이터 보호 구현 및 프로세스
고객 데이터 보호
Rask AI는 중복성 및 재해 복구를 위해 여러 지역에 걸쳐 복제된 데이터와 함께 AWS를 사용합니다.
Brask 직원들은 생산 데이터를 보호하기 위해 이러한 프로세스를 따릅니다:
- 부적절한 변경이나 파기를 방지하기 위해 제어를 구현하고 검토합니다.
- 기밀 데이터를 저장하여 액세스 로그 및 자동 보안 모니터링을 지원하세요.
- 고객 생산 데이터에 대한 액세스를 세분화하고 권한이 있는 고객으로 제한합니다.
- Brask 관리 키를 사용하여 저장된 모든 프로덕션 데이터를 암호화하세요.
- 권한이 있는 계정만 주요 자료에 액세스할 수 있도록 암호화 키와 키 생성기를 무단 액세스로부터 보호하세요.
액세스
직원의 프로덕션 액세스 권한은 기본적으로 비활성화되어 있으며 승인이 필요합니다. 필요에 따라 임시 액세스 권한이 부여되며 보안팀에서 사안별로 검토합니다.
분리
- 고객 데이터는 고유한 고객 식별자를 사용하여 데이터베이스/데이터스토어 수준에서 논리적으로 분리됩니다.
- API 계층은 선택한 계정으로 클라이언트 인증을 요구하여 분리를 강제합니다.
- 인증이 완료되면 고객의 고유 식별자가 액세스 토큰에 포함됩니다.
- API는 이 토큰을 사용하여 인증된 계정에 대한 데이터 액세스를 제한합니다.
- 모든 데이터베이스/데이터스토어 쿼리에는 적절한 데이터 분리를 보장하기 위해 계정 식별자가 포함됩니다.
모니터링
Rask AI는 Amazon CloudWatch를 사용하여 클라우드 서비스를 모니터링합니다. 시스템 장애가 발생하면 주요 담당자에게 문자, 채팅 또는 이메일을 통해 알림을 보내 수정 조치를 취하도록 합니다.
기밀유지/비공지 계약(NDA)
Brask는 내부 및 외부 당사자에게 적용되는 법적으로 집행 가능한 조건으로 기밀 정보를 보호하기 위해 NDA를 사용합니다. 주요 요소는 다음과 같습니다:
- 정보 정의
- 계약 기간
- 해지 시 조치
- 무단 공개 방지를 위한 책임
- 정보 및 IP 소유권
- 허용된 사용 및 권한
- 감사 및 모니터링 활동
- 무단 공개 신고하기
- 해지 시 정보 반환 또는 파기
- 계약 위반에 대한 조치
- 정기 검토
저장된 데이터
암호화
Rask AI 암호화 정책에 따라 모든 데이터베이스, 데이터 저장소 및 파일 시스템을 암호화하세요.
리텐션
저장된 데이터를 분류하고 Rask AI 자산 관리 및 데이터 보존 정책에 따라 보존 일정을 적용하세요.
보존을 위한 고려 사항
- 법적 및 계약상 요구 사항
- 데이터 유형(예: 회계 기록, 데이터베이스 기록, 감사 로그)
- 저장 매체 유형(예: 종이, 하드 드라이브, 서버)
보관 및 폐기
미사용 데이터를 올바르게 저장하고 처리합니다. 고려 사항은 다음과 같습니다:
- 액세스 및 관리를 위한 권한 부여
- 기록 식별 및 보존 기간
- 보존 중 기술 변경 및 액세스
- 검색 기간 및 형식
- 폐기 방법
데이터 삭제
Brask의 비즈니스 목표, 법률 및 타사 계약에 따라 더 이상 필요하지 않은 민감한 데이터를 적절히 삭제합니다. 삭제 기록을 보관합니다.
전송 중인 데이터
필요성
비즈니스 프로세스에 꼭 필요한 경우에만 데이터를 전송하세요.
전송 요소
데이터 전송 방법을 선택하기 전에 다음 사항을 고려해야 합니다:
- 정보의 특성, 민감성, 기밀성 및 가치
- 데이터 크기
- 잠재적 데이터 손실의 영향
암호화
전송 중인 데이터의 안전을 보장합니다:
- 클라우드 및 타사 공급업체를 포함한 모든 외부 전송을 Brask 관리 키로 엔드투엔드 암호화합니다.
- 인터넷 및 인트라넷 연결에 강력한 프로토콜, 키 교환 및 암호를 사용합니다.
최종 사용자 메시징 채널
엔드투엔드 암호화가 활성화되어 있지 않은 경우 이메일이나 채팅과 같은 전자 최종 사용자 메시징 채널을 통해 제한적이고 민감한 데이터를 전송할 수 없습니다.