보안 정책

최종 업데이트: 2025년 5월 23일

  • 보안 정책

1. 소개

2. 데이터 보호 조치

암호화

  • 전송 중: 모든 데이터는 TLS 1.2 이상으로 암호화됩니다.
  • 저장 시: API 키 및 결제 정보 등 민감 정보는 AES-256 표준으로 암호화됩니다.
  • 비밀번호: bcrypt 등 해시 및 솔트 방식으로 안전하게 저장됩니다.

인프라 보안

  • 클라우드 호스팅: AWS, Google Cloud, Azure에 엔터프라이즈급 방화벽, IDS, DDoS 보호 기능 적용.
  • 네트워크 분리: 데이터베이스 및 결제 시스템을 공개 서버와 분리하여 격리.
  • 주기적 패치: 자동 업데이트를 통해 보안 취약점이 해결됩니다.

3. 취약점 관리

침투 테스트

  • 내부 스캔: Nessus 또는 Qualys를 사용하여 매주 취약점 스캔 수행.

코드 보안

  • 안전한 개발: SAST/DAST 분석 및 피어 리뷰 후 코드 배포.
  • 의존성 점검: Snyk, Dependabot 등을 통해 외부 라이브러리 취약점 감지.

4. 사고 대응 계획

탐지 및 보고

  • 24/7 모니터링: SIEM 도구를 사용하여 비정상 행위 (무단 로그인, 데이터 유출 등) 감지.
  • 사용자 신고: “SECURITY INCIDENT”라는 제목으로 sales@magictradebot.com에 신고해 주세요.

대응 절차

  • 격리: 영향을 받는 시스템을 분리하여 확산 방지.
  • 조사: 원인, 범위, 영향을 파악.
  • 통보: GDPR/CCPA 대상 사용자에게 72시간 내 통보.
  • 복구: 패치 적용, 인증 정보 재설정, 백업 복원.
  • 사후 평가: 교훈 정리 및 보안 정책 개선.

5. 제3자 위험 관리

  • 공급자 평가: ISO 27001 또는 SOC 2를 준수하는 업체(Stripe, AWS 등)와만 협력.
  • API 보안: OAuth 2.0 또는 HMAC 서명 요청을 통한 거래소 연동.
  • 데이터 공유: 계약조건에 따라 사용자 데이터 보호 및 비인가 사용 금지.

6. 사용자 책임

  • 계정 보안: 강력하고 고유한 비밀번호를 사용하고 MFA를 활성화하세요.
  • API 키 관리: 당사는 키를 요청하지 않으며, 셀프 호스팅 시 키 보안은 전적으로 사용자 책임입니다.
  • 피싱 경계: MagicTradeBot 사칭 이메일은 sales@magictradebot.com으로 신고해 주세요.

7. 규제 준수 및 감사

  • 연례 감사: GDPR, CCPA 등 규정 준수를 독립적으로 검증합니다.
  • 규제 협력: 법 요청이 있을 경우 정해진 법적 기준에 따라 협력합니다.

8. 데이터 보존 및 삭제

  • 보존 기간: 서비스 제공 및 규정 준수를 위해 필요한 기간 동안만 데이터 보관.
  • 안전한 삭제: 요청 시 또는 계정 해지 시 NIST 800‑88 표준에 따라 완전 삭제합니다.

9. 정책 업데이트

10. 문의처