1. 보안에 대한 약속

Haesung Construction은 웹사이트, 시스템, 그리고 사용자의 개인정보 보안을 보호하기 위해 최선을 다하고 있습니다. 사업의 규모와 특성에 적합한 합리적인 보안 조치를 시행하여 무단 접근 및 데이터 침해를 방지합니다.

2. 데이터 보호 조치

당사는 데이터 보호를 위해 다음과 같은 보안 조치를 시행하고 있습니다:

• 암호화: 브라우저와 서버 간 모든 데이터 전송은 TLS/SSL(HTTPS) 프로토콜로 암호화됩니다.
• 접근 제어: 역할 기반 접근 제어(5단계: 최고관리자, 관리자, 직원, 일반사용자, 게스트)를 통해 권한이 부여된 인원만 데이터에 접근할 수 있습니다.
• 인증: 강력한 비밀번호 정책으로 사용자 계정을 보호합니다. 관리자 계정에는 이메일 기반 2단계 인증(2FA)을 제공합니다.
• CSRF 보호: 세션 기반 토큰을 사용하여 모든 양식에 교차 사이트 요청 위조 방지가 적용됩니다.
• 입력 검증: 사용자 입력은 인젝션 공격(SQL 인젝션, XSS)을 방지하기 위해 검증 및 살균됩니다.
• SVG 살균: 업로드된 SVG 파일은 악성 스크립트 포함 여부를 검사합니다.

3. 인프라 보안

현재 보안 인프라는 다음을 포함합니다:

• 모든 통신에 대한 HTTPS/TLS 암호화
• 세션 기반 CSRF 보호
• CodeIgniter Shield를 통한 역할 기반 인증
• 사용자 제출 콘텐츠에 대한 스팸 감지
• 파일 업로드 유형 및 MIME 검증
• 인증 엔드포인트에 대한 속도 제한

향후 계획: 사업 성장에 따라 클라우드 기반 웹 애플리케이션 방화벽(WAF) 및 DDoS 방어 서비스, 자동 취약점 스캐닝, 강화된 모니터링 기능을 구현할 계획입니다.

4. 데이터 백업

데이터베이스 및 업로드 파일의 정기적인 백업을 수행하고 있습니다. 시스템 장애나 데이터 손실 시 복구를 보장하기 위해 자동 일일 백업 절차를 구현하고 있습니다.

5. 침해 대응

개인정보와 관련된 보안 사고 발생 시:

1. 즉시 사고를 조사하고 범위를 차단합니다
2. 침해의 범위와 영향을 평가합니다
3. 관련 주 및 연방법에 따라 가능한 가장 신속한 시간 내에, 불합리한 지연 없이 영향을 받는 사용자에게 통지합니다
4. 재발 방지를 위한 시정 조치를 취합니다
5. 필요 시 관련 당국에 협조합니다

Georgia주 거주자: Georgia 개인정보 보호법(O.C.G.A. § 10-1-910 et seq.)에 따라 통지가 이루어집니다.

6. 수집하는 정보

당사 웹사이트는 제한된 개인정보를 수집합니다:

• 계정 등록: 이메일 주소 및 비밀번호(암호화 해시로 저장)
• 문의 양식: 이름, 이메일, 전화번호, 문의 내용
• 댓글: 작성자 이름, 이메일, IP 주소
• 방문 기록: IP 주소, 브라우저 유형, 방문 페이지(분석용)

당사 웹사이트를 통해 주민등록번호, 금융 계좌 정보 또는 기타 민감한 개인정보는 수집하지 않습니다.

7. 사용자의 책임

모든 사용자는 다음을 통해 보안 유지에 협조해 주시기 바랍니다:

• 계정에 강력하고 고유한 비밀번호를 사용해 주세요
• 로그인 정보를 타인과 공유하지 마세요
• 특히 공용 기기에서는 매 세션 후 로그아웃해 주세요
• 의심스러운 활동을 발견하면 팀에 보고해 주세요
• 브라우저와 운영 체제를 최신 상태로 유지해 주세요

8. 취약점 신고

웹사이트에서 보안 취약점을 발견하시면 info@haesung.io로 연락 주시기 바랍니다. 시스템 보안 유지에 도움을 주셔서 감사드리며, 신고를 신속히 확인하겠습니다.

9. 제3자 서비스

당사는 제3자 오픈소스 소프트웨어를 사용합니다(오픈소스 라이선스 페이지 참조). 신뢰할 수 있는 소프트웨어를 선택하고 의존성을 최신으로 유지하지만, 사이트에서 연결된 외부 서비스의 보안을 보장할 수는 없습니다.

10. 정책 변경

본 보안 정책은 보안 관행의 변경 또는 법적 요구사항에 따라 수시로 업데이트될 수 있습니다. 최신 버전은 항상 이 페이지에서 확인하실 수 있습니다.