1. 소개
2. 데이터 보호 조치
암호화
- 전송 중: 모든 데이터는 TLS 1.2 이상으로 암호화됩니다.
- 저장 시: API 키 및 결제 정보 등 민감 정보는 AES-256 표준으로 암호화됩니다.
- 비밀번호: bcrypt 등 해시 및 솔트 방식으로 안전하게 저장됩니다.
인프라 보안
- 클라우드 호스팅: AWS, Google Cloud, Azure에 엔터프라이즈급 방화벽, IDS, DDoS 보호 기능 적용.
- 네트워크 분리: 데이터베이스 및 결제 시스템을 공개 서버와 분리하여 격리.
- 주기적 패치: 자동 업데이트를 통해 보안 취약점이 해결됩니다.
3. 취약점 관리
침투 테스트
- 내부 스캔: Nessus 또는 Qualys를 사용하여 매주 취약점 스캔 수행.
코드 보안
- 안전한 개발: SAST/DAST 분석 및 피어 리뷰 후 코드 배포.
- 의존성 점검: Snyk, Dependabot 등을 통해 외부 라이브러리 취약점 감지.
4. 사고 대응 계획
탐지 및 보고
- 24/7 모니터링: SIEM 도구를 사용하여 비정상 행위 (무단 로그인, 데이터 유출 등) 감지.
- 사용자 신고: “SECURITY INCIDENT”라는 제목으로 sales@magictradebot.com에 신고해 주세요.
대응 절차
- 격리: 영향을 받는 시스템을 분리하여 확산 방지.
- 조사: 원인, 범위, 영향을 파악.
- 통보: GDPR/CCPA 대상 사용자에게 72시간 내 통보.
- 복구: 패치 적용, 인증 정보 재설정, 백업 복원.
- 사후 평가: 교훈 정리 및 보안 정책 개선.
5. 제3자 위험 관리
- 공급자 평가: ISO 27001 또는 SOC 2를 준수하는 업체(Stripe, AWS 등)와만 협력.
- API 보안: OAuth 2.0 또는 HMAC 서명 요청을 통한 거래소 연동.
- 데이터 공유: 계약조건에 따라 사용자 데이터 보호 및 비인가 사용 금지.
6. 사용자 책임
- 계정 보안: 강력하고 고유한 비밀번호를 사용하고 MFA를 활성화하세요.
- API 키 관리: 당사는 키를 요청하지 않으며, 셀프 호스팅 시 키 보안은 전적으로 사용자 책임입니다.
- 피싱 경계: MagicTradeBot 사칭 이메일은 sales@magictradebot.com으로 신고해 주세요.
7. 규제 준수 및 감사
- 연례 감사: GDPR, CCPA 등 규정 준수를 독립적으로 검증합니다.
- 규제 협력: 법 요청이 있을 경우 정해진 법적 기준에 따라 협력합니다.
8. 데이터 보존 및 삭제
- 보존 기간: 서비스 제공 및 규정 준수를 위해 필요한 기간 동안만 데이터 보관.
- 안전한 삭제: 요청 시 또는 계정 해지 시 NIST 800‑88 표준에 따라 완전 삭제합니다.