보안 정책

인증 및 평가

다음 보안 인증을 유지하고 정기적인 평가를 받습니다:

• SOC 2 Type II 인증(진행 중)
• 연간 제3자 침투 테스트
• 지속적인 취약성 스캔
• 독립적인 회사의 정기적인 보안 감사

자세한 보안 보고서는 apilium.com/security에서 확인할 수 있습니다

코드 데이터 흐름

Apilium Forge IDE를 사용할 때 코드는 안전한 인프라를 통해 흐릅니다:

• 코드는 TLS 1.3을 사용하여 전송 중에 암호화됩니다
• 요청은 AWS에 호스팅되는 백엔드 서버를 통해 처리됩니다
• AI 처리는 제로 보존 계약을 맺은 모델 제공업체가 수행합니다
• 프라이버시 모드가 활성화되면 요청 완료 후 일반 텍스트 코드가 저장되지 않습니다

인프라 파트너

암호화

전송 중 데이터: Apilium Forge와 서버 간에 전송되는 모든 데이터는 강력한 암호 제품군을 사용하는 TLS 1.3으로 암호화됩니다

저장 데이터: 저장된 모든 데이터는 AES-256-GCM 암호화로 암호화됩니다

암호화 키는 90일마다 자동 교체되는 AWS KMS를 사용하여 관리됩니다

엔터프라이즈 고객의 경우 귀하만 복호화 키를 보유하는 엔드투엔드 암호화를 제공합니다

액세스 제어

• 모든 직원 계정에 대한 다단계 인증(MFA) 필요
• 권한 액세스를 위한 하드웨어 보안 키(FIDO2/WebAuthn)
• 최소 권한 원칙을 사용하는 역할 기반 액세스 제어(RBAC)
• 프로덕션 시스템을 위한 적시 액세스 프로비저닝
• 분기별 액세스 검토 및 퇴사 시 즉시 프로비저닝 해제
• 관리 액세스를 위한 IP 허용 목록 및 VPN 요구 사항

네트워크 보안

• 맞춤형 규칙 세트를 갖춘 웹 애플리케이션 방화벽(WAF)
• 엔터프라이즈급 DDoS 완화(Cloudflare Magic Transit)
• 민감한 서비스를 위한 전용 서브넷이 있는 네트워크 분할
• 침입 탐지/방지 시스템(IDS/IPS)
• 지속적인 네트워크 트래픽 모니터링 및 이상 탐지
• 정기적인 외부 및 내부 침투 테스트

애플리케이션 보안

• 보안 게이트를 갖춘 보안 소프트웨어 개발 수명 주기(SSDLC)
• 보안 중심 체크리스트를 사용한 필수 코드 리뷰
• CI/CD 파이프라인의 정적 애플리케이션 보안 테스트(SAST)
• 배포된 애플리케이션을 위한 동적 애플리케이션 보안 테스트(DAST)
• 종속성 취약성을 위한 소프트웨어 구성 분석(SCA)
• 모든 개발자를 위한 정기적인 보안 교육
• OWASP Top 10 및 SANS Top 25 취약성에 대한 보호

클라이언트(IDE) 보안

Apilium Forge IDE는 보안을 염두에 두고 구축되었습니다:

• 모든 플랫폼(Windows, macOS, Linux)에 대한 코드 서명 바이너리
• 롤백 기능이 있는 자동 보안 업데이트
• 샌드박스 확장 실행 환경
• 캐시된 데이터 및 자격 증명의 로컬 암호화
• 허용 목록 도메인으로 구성 가능한 네트워크 액세스
• AI 처리에서 민감한 파일을 제외하는 .apiliumignore 지원

직원 보안 교육

모든 Apilium 직원은 포괄적인 보안 교육을 받습니다:

• 온보딩 중 보안 인식 교육
• 분기별 보안 교육 업데이트 및 평가
• 월별 피싱 시뮬레이션 연습
• 엔지니어를 위한 역할별 보안 교육
• 연간 사고 대응 탁상 연습

보안 정책

포괄적인 보안 정책을 유지하고 시행합니다:

• 정보 보안 정책 및 표준
• 허용되는 사용 및 액세스 제어 정책
• 사고 대응 및 커뮤니케이션 계획
• 비즈니스 연속성 및 재해 복구 계획
• 공급업체 보안 평가 요구 사항
• 데이터 분류 및 처리 지침
• 변경 관리 및 릴리스 절차

직원 심사

고객 데이터에 액세스할 수 있는 모든 직원은 역할과 관할권에 적합한 신원 조회를 받고 기밀 유지 계약에 서명합니다.

엔터프라이즈 프라이버시 옵션

• 완전한 데이터 주권을 위한 온프레미스 배포
• 다른 고객과 격리된 전용 인프라
• 맞춤형 데이터 거주 요구 사항(EU 전용, 특정 지역)
• 자체 키 가져오기(BYOK) 암호화
• 개인 네트워크 연결(AWS PrivateLink, VPN)

데이터 분류

민감도 수준에 따라 모든 데이터를 분류합니다:

• 공개: 마케팅 자료, 공개 문서
• 내부: 내부 프로세스, 비민감한 비즈니스 데이터
• 기밀: 고객 계정 데이터, 지원 커뮤니케이션
• 제한: 고객 코드, 자격 증명, 보안 구성

백업 및 복구

강력한 백업 및 재해 복구 기능을 유지합니다:

• 암호화되고 지리적으로 분산된 백업
• 데이터베이스에 대한 시점 복구(최대 35일)
• 복구 시간 목표(RTO): 4시간
• 복구 시점 목표(RPO): 1시간
• 분기별 재해 복구 테스트
• 다중 지역 페일오버 기능

사고 대응 프로세스

구조화된 사고 대응 프로세스를 따릅니다:

• 탐지: 24/7 자동 모니터링 및 경보
• 분류: 15분 이내에 보안팀 평가
• 격리: 영향을 받은 시스템의 즉각적인 격리
• 조사: 근본 원인 분석 및 영향 평가
• 제거: 위협 제거 및 시스템 강화
• 복구: 서비스의 통제된 복원
• 사후 검토: 교훈 및 프로세스 개선

침해 알림

데이터에 영향을 미치는 보안 침해가 발생한 경우 다음을 약속합니다:

• 확인된 침해 후 72시간 이내에 영향을 받은 사용자에게 알림
• 영향을 받은 데이터에 대한 명확한 세부 정보 제공
• 사고를 해결하기 위해 취하는 조치 설명
• 자신을 보호하기 위해 취할 수 있는 단계에 대한 지침 제공
• 법률에서 요구하는 대로 관련 규제 당국에 알림
• 사고가 해결될 때까지 정기적인 업데이트 제공

범위 내

• Apilium Forge IDE(모든 플랫폼)
• api.apilium.com 및 모든 하위 도메인
• portal.apilium.com(고객 포털)
• apilium.com(웹사이트)

보고 방법

보안 취약점을 발견한 경우:

• [email protected]으로 자세한 취약점 정보를 이메일로 보내기
• 재현 단계, 잠재적 영향 및 개념 증명 포함
• 민감한 보고서의 경우 PGP 키 사용(보안 페이지에서 사용 가능)
• 공개 공개 전에 최대 90일의 해결 시간 허용

당사의 약속

보안 연구원에게 약속합니다:

• 24시간 이내에 수령 확인
• 5영업일 이내에 초기 평가 제공
• 해결 진행 상황에 대해 계속 알려드림
• 보안 인정에서 신용 제공(익명을 선호하지 않는 한)
• 선의의 보안 연구에 대해 법적 조치를 취하지 않음

적격 취약점에 대한 바운티를 제공합니다. 현재 프로그램 세부 정보는 당사에 문의하세요.

공급업체 보안 요구 사항

고객 데이터에 액세스할 수 있는 모든 공급업체는 보안 요구 사항을 충족해야 합니다:

• 보안 설문지 및 위험 평가 작성
• SOC 2 Type II 또는 동등한 인증
• GDPR 규정 준수 조항이 포함된 데이터 처리 계약(DPA)
• 연간 보안 검토 및 재인증
• 즉각적인 침해 알림 요구 사항

하위 처리자

고객 데이터에 액세스할 수 있는 현재 하위 처리자:

• AWS(인프라) - 미국/EU
• Anthropic, OpenAI(AI 모델) - 제로 보존을 갖춘 미국
• Stripe(결제 처리) - 미국/EU
• Cloudflare(CDN/보안) - 글로벌
• MongoDB Atlas(데이터베이스) - EU
• SendGrid(이메일) - 미국

새 하위 처리자를 추가하기 30일 전에 고객에게 알립니다. 현재 목록은 apilium.com/compliance에서 확인할 수 있습니다