인증 및 규정 준수 개요

원본 보기

인증 및 규정 준수 개요

이 개요는 Mattermost가 사용자의 내부 규정 준수 이니셔티브를 지원하는 방법을 요약합니다:

  • GDPR 규정 준수

  • 미국 수출 규정 준수

GDPR 준수

다음 개요는 유럽연합의 개인정보 보호 규정(일명 규정 (EU): 2016/679)(전문 보기)을 다루는 규정 준수 프로그램에서 Mattermost 소프트웨어가 어떻게 지원할 수 있는지, 그리고 Mattermost, Inc. 자체가 어떻게 규제 요구사항을 준수하는지 요약합니다.

GDPR 원칙에 대한 지속적인 약속

Mattermost는 높은 신뢰를 받는 조직을 위한 협업 허브이며, 유럽연합 내 사람들의 데이터를 보호하기 위해 GDPR 원칙을 지지하는 데 전념하고 있습니다. Mattermost는 다음의 사용을 통해 이러한 사명을 준수합니다:

  • 보안 인프라: 보안, 개인정보보호 및 컴플라이언스 역량에 대한 지속적인 투자.

  • 계약상 의무: 데이터 처리 부록을 포함한 표준 서비스 약관의 서비스 약관을 통한 적절한 계약상 의무.

  • 개인정보보호 조치: 개인정보보호 조치는 개인정보처리방침에 명시되어 있습니다.

  • 제품 기능: 데이터 관리 및 데이터 이동성을 보장하기 위함.

우리의 노력에 대한 최신 정보를 받아보시려면 정기 뉴스레터를 구독해 주세요.

보안 인프라

Mattermost는 높은 보안 표준으로 개발된 자체 호스팅 커뮤니케이션 인프라를 통해 조직이 자신들의 정보와 사용자 및 고객의 정보를 보호할 수 있도록 지원합니다. 이 보안 인프라의 특징은 다음과 같습니다:

  • 보안 기능 - Mattermost 오픈소스 및 상용 제품에서 조직의 자체 인프라 배포를 가능하게 하는 보안 기능을 제공합니다.

  • 책임 있는 공개 정책 - 전 세계 보안 연구자들이 의심되는 취약점을 기밀로 보고할 수 있으며, 이는 Mattermost 소프트웨어 업데이트를 통해 해결될 수 있습니다.

  • 보안 검토 - 자체 내부 보안 검토 팀과 외부 보안 연구자 모두에 의해 수행됩니다.

  • ISO 27001 표준 - 국제 보안 가이드라인과의 일치를 달성하기 위해 충족되는 표준입니다.

계약상 의무

Mattermost는 다음을 통해 데이터의 적절한 관리를 보장하는 계약상 의무를 준수합니다:

  • GDPR 준수 데이터 처리 부록 - Mattermost의 표준 약관에 포함됨.

  • Mattermost 개인정보 보호정책 - Mattermost, Inc.가 관리하는 온라인 인프라에서 데이터가 어떻게 처리되는지를 공유함.

개인정보 보호 조치

Mattermost는 고객과 파트너가 제출한 개인 데이터의 안전성을 유지하기 위한 보안 조치를 개인정보 처리방침에 명시하고 있습니다.

제품 기능

Mattermost는 데이터 관리 및 데이터 이식성을 보장하는 기능을 지원합니다.

데이터 관리

  • 데이터 보존: 데이터 보존 기능을 사용하여 설정된 기간 후 데이터를 자동으로 삭제할 수 있으며, 이는 삭제권 원칙을 충족하는 기능입니다. Team Edition에서는 데이터베이스 스크립트를 사용하여 동일한 결과를 얻을 수 있습니다.

  • 프로필 삭제: mmctl user delete를 통해 사용자의 개인정보를 삭제할 수 있습니다. 이는 사용자가 생성한 메시지를 포함하여 모든 사용자 정보를 영구적으로 삭제합니다.

  • 자체 호스팅 푸시 알림 서비스: 자체 푸시 알림 서비스를 호스팅하거나, AppConfig를 지원하는 EMM 제공업체를 통해 모바일 앱을 배포하여 보안 및 규정 준수 정책을 충족할 수 있습니다. 자세한 내용은 모바일 앱 배포 문서를 참조하세요.

데이터 이식성

  • 데이터 가져오기: 대량 로딩 도구를 사용하여 기존 메시징 시스템에서 데이터를 마이그레이션하거나 새로운 설치에 데이터를 미리 채워 넣으세요. 다양한 접근 방식을 요약하고 데이터 이식성 권리 원칙을 충족하는 Slack에서 마이그레이션 가이드를 검토하세요.

  • 데이터 내보내기: 규정 준수 내보내기를 사용하여 공개, 비공개 및 직접 메시지 채널의 대화를 XML 또는 EML 형식으로 내보내세요. Team Edition 사용자는 PostgreSQL과 MySQL 모두에서 데이터베이스에서 직접 대화를 내보낼 수 있습니다.

접근성 준수

자세한 내용은 접근성 준수 정책 문서를 참조하세요.

접근성 표준 준수는 다음과 같은 방식으로 지원됩니다:

  • 508 준수: VPAT는 508 준수를 확인하고자 하는 고객, 파트너 및 기타 이해관계자의 요청에 따라 제공됩니다.

  • WCAG 2.0L: 웹 콘텐츠 접근성 가이드라인 2.0 (WCAG) 준수를 위해 Mattermost는 제3자로부터 "A" 등급을 받았으며 "AA" 등급을 위해 노력하고 있습니다.

  • ADA: 미국 장애인법(ADA)에 대한 Mattermost의 준수는 Mattermost의 온라인 경험을 접근성 도구 인터페이스로 하여 VPAT 및 WCAG 2.0 가이드라인에 명시된 접근성 지원을 제공함으로써 달성됩니다.

  • 개선: 제품 문서에 명시된 접근성 등급 준수를 방해하는 현재 또는 향후 제품 릴리스의 기술적 문제는 제품 결함으로 간주되며, Mattermost는 이를 해결할 수 있도록 해당 결함에 대한 이슈 보고서의 공개 제출을 환영합니다.

미국 무역 규정 준수

Mattermost, Inc.는 미국 무역 규정 법률을 준수하기 위해 다수의 통제 및 프로세스를 구현하고 있습니다.

  1. IP 차단: 특정 국가에서 상업용 및 독점 서비스 가입과 같은 당사의 상업 시스템에 대한 액세스를 거부하기 위해 IP 차단을 사용합니다.

  2. 자동화된 규정 준수 스캔: Descartes라는 자동화된 수출 규정 준수 도구를 사용합니다. Salesforce 계정 레코드의 우측 상단에는 안전 수준을 표시하는 눈에 띄는 Descartes 박스가 있습니다. 플래그가 표시된 계정은 법무팀 또는 지정된 담당자가 Descartes 시스템 내에서 해제해야 합니다.

  3. 수동 규정 준수 검토: 때때로 제재 규정 변경에 대한 발표가 당사의 수출 규정 준수 도구가 적응할 수 있는 속도보다 빠르게 이루어집니다. 제재가 발표된 경우, 자동화된 솔루션이 업데이트되기 전에 당사 비즈니스를 사전에 검토하고 제재를 시행하기 위한 변경사항을 적용할 수 있습니다.

  4. 법적 제한: 당사의 상업용 소프트웨어에는 관리자와 최종 사용자 모두에게 적용되는 법적 조항이 포함되어 있어 미국 무역법을 위반하는 사용을 금지하고 있습니다.

여기서 언급된 미국 무역법은 다음 온라인에서 확인할 수 있습니다: https://www.bis.govhttps://ofac.treasury.gov/.

귀하의 조직이 미국 무역법 또는 제재 하에서 잘못 분류되었다고 생각하시면, compliance@mattermost.com으로 이메일을 보내주시기 바랍니다.

새로운 미국 무역법이나 제재로 인해 고객 관계를 종료하는 절차는 무엇인가요?

고객에게는 수동 또는 자동화된 프로세스를 통해 compliance@mattermost.com이 참조된 이메일로 연락하며, 기록 보관을 위해 해당 커뮤니케이션이 SFDC에 다시 작성됩니다.

미국 수출 컴플라이언스 개요

요약 표

Mattermost 제품

수출 통제 분류 번호 (ECCN)

Mattermost Enterprise Edition (Mattermost Professional & Enterprise 포함)

ECCN 5D002 와 함께 ENC 라이선스 예외 이용 가능

Mattermost Team Edition

소프트웨어가 공개적으로 이용 가능하고 https://github.com/mattermost/에서 공개적으로 이용 가능한 소스 코드로부터 완전히 컴파일 가능하므로 미국 수출 관리 규정(EAR)의 적용 대상이 아님

개요

미국 정부는 국가 보안, 경제 및/또는 외교 정책적 관심사에 따라 미국에 전략적으로 중요하다고 간주되는 정보, 상품, 기술 및 소프트웨어의 이전을 규제합니다. 미국 외 많은 국가들도 동일한 이유로 수출에 대한 유사한 통제를 시행하고 있습니다.

미국에는 "수출 통제"라고 통칭되는 수출을 관리하는 복잡한 정부 기관 네트워크와 상호 연관된 규정들이 있습니다.

Mattermost는 사업을 영위하는 모든 국가의 수출 규정 준수 법률을 준수하는 것을 정책으로 합니다. Mattermost는 미국 기반의 글로벌 회사이므로, "상품"이라고 통칭되는 우리의 제품들(소프트웨어뿐만 아니라 장비, 자료 및 서비스 포함)은 우리가 사업을 수행하는 모든 국가의 수출 법률 및 규정의 적용을 받습니다. 수출 통제 규정을 준수하지 않을 경우 Mattermost와 그 계열사(고객, 직원 및 비즈니스 파트너 포함)가 형사 및 민사 처벌, 자산 압류, 수출 권한 거부, 정부 계약으로부터의 정지 또는 배제의 대상이 될 수 있습니다.

이러한 이유로, 귀하가 운영하는 관할권의 해당 수출(및 수입) 통제에 익숙해지는 시간을 가져주시기 바랍니다. Mattermost는 수출 문제에 대한 조언을 제공할 수 없지만, 이 웹페이지는 Mattermost 제품을 수출하기 위해 필요한 정보를 제공합니다.

이 개요는 미국 수출관리규정(EAR)에 특화되어 있습니다. 그러나 비즈니스 운영으로 인해 국제무기거래규정과 같은 다른 규정의 적용을 받을 수 있습니다.

일반 정보

먼저 U.S. Bureau of Industry and Security 웹사이트를 살펴보세요. 그 다음, 미국 수출 관리 규정의 Part 730으로 이동하여 규정이 다루는 범위와 734.2 하에서 "EAR의 적용을 받는" 것("수출 통제")이 무엇인지 이해하세요.

수출 분류 및 라이센싱

수출관리규정의 적용 대상은 매우 광범위하지만, 모든 거래에 수출 라이센스가 필요하다는 것은 아닙니다. 하드웨어, 소프트웨어 및 기술과 관련된 수출 통제를 이해하는 기초는 10개 카테고리(0-9)로 구성되고 포지티브 리스트로 설정된 Commerce Control List (CCL)에서 찾을 수 있습니다. 첫 번째 단계는 수출할 품목이 EAR의 적용 대상인지 확인하는 것입니다.

Mattermost에서 우리의 완전한 오픈소스, 공개적으로 이용 가능한 소프트웨어는 공개적으로 이용 가능한 암호화 소스 코드에서 파생되고 소스 코드(https://github.com/mattermost/) 및 바이너리 버전 모두에 대한 완전한 소프트웨어 패키지가 공개적으로 이용 가능하므로 EAR의 적용 범위 밖에 있습니다. Mattermost 엔터프라이즈 소프트웨어는 통신 및 정보 보안 항목(하드웨어, 소프트웨어 및 기술)으로서 CCL의 Category 5, Part 2에 해당합니다. 이 카테고리의 대부분 항목은 암호화를 포함합니다.

종종 Part 740 하에서 라이센스 예외가 이용 가능한데, 이는 Commerce Control List 항목이 여러 요인의 조합에 기반하여 수출통제분류번호(ECCN)에 특정한 이용 가능한 라이센스 예외를 나열하는 경우입니다.

Mattermost Enterprise Edition (Mattermost Professional & Enterprise 포함)은 ECCN 5D002 하에 해당하며, 오픈소스 소프트웨어에서 파생된 암호화 기능을 가진 우리의 Enterprise 및 Professional 소프트웨어에 대해 "ENC"에서 라이센스 예외가 이용 가능합니다. 수출 규정 하에서 암호화 제품은 여러 단계의 통제 및 요구사항을 가집니다. BIS는 웹사이트의 별도 섹션에서 Encryption and Export Administration Regulations (EAR) 하에서 암호화를 다루는 개요와 많은 링크를 제공하고 있으며, 검토해보실 수 있습니다. 이 가이드라인에는 항목이 암호화 통제의 대상인지 판단하는 데 도움이 되는 플로우 차트, 표 및 기타 세부 사항이 포함되어 있습니다.

Mattermost 소프트웨어 또는 기술 수출에서 알아야 할 기타 주요 영역은 다음과 같습니다:

제재: 쿠바, 이란, 북한, 시리아에 대한 포괄적 제재와 우크라이나의 크림반도, 도네츠크, 루한스크 지역, 벨라루스, 러시아, 베네수엘라, 미얀마/버마, 캄보디아 등 특정 금지 사항이 있는 기타 국가/지역이 있습니다. 세부사항은 BIS에서 확인할 수 있습니다. 국가와 그들의 제재는 변경될 수 있습니다.

WMD (대량살상무기): Mattermost, 고객 및 비즈니스 파트너는 미국 수출관리규정("EAR") 하에서 금지된 기타 최종 용도와 함께 대량살상무기 확산에 관련된 당사자에게 수출할 수 없습니다.

일반 금지사항: EAR 하에서 일반 금지사항에 대한 정보는 여기에 있습니다. 이러한 일반 금지사항의 적용성은 여러 요인의 조합에 기반합니다. 여기에는 상품의 분류, 목적지, 최종 사용자, 최종 용도 및 행위가 포함됩니다.

제한 당사자: 미국 정부의 제한 당사자 목록에 등재된 당사자에게는 수출할 수 없으며, 수출 전에 이에 대해 심사해야 합니다. export.gov에서 미국 정부가 무료로 제공하는 통합 심사 목록이 있어 심사에 사용할 수 있습니다. 또한 군사 최종 사용자 및 군사 정보 최종 사용자에 대한 수출에는 특별한 제한이 있습니다.

의제 수출: 미국 내 외국인에 대한 통제 기술의 공개는 그 사람의 국적 국가로의 수출로 "의제"되며, 이는 BIS 웹사이트의 수출관리규정에서 읽을 수 있는 EAR의 734.2(b)에 명시되어 있습니다.

고객 파악: BIS 웹사이트를 검토하면 "고객을 아는 것"이 매우 중요하며 "위험 신호"를 인지하는 것이 중요함을 알 수 있습니다. 규정 준수를 보장하기 위해 비즈니스 파트너와 고객을 반드시 심사하시기 바랍니다.

면책 조항

Mattermost는 이 데이터를 정보 제공 목적으로만 제공합니다. 이는 가장 최신의 법적 동향을 반영하지 않을 수 있으며, Mattermost는 이 정보가 완전하고 정확하며 최신임을 진술, 보증 또는 보장하지 않습니다. 이 정보는 예고 없이 변경될 수 있습니다. 이 사이트의 자료는 법적 조언을 구성하거나 특정 법적 조언을 대체하기 위한 것이 아닙니다. 특정 사실과 상황에 대한 전문적인 조언을 구하지 않고 이 사이트의 정보를 바탕으로 행동하거나 행동을 삼가해서는 안 됩니다.

자주 묻는 질문

GDPR 준수를 위해 이메일 알림에서 메시지 내용을 제거해야 하나요?

GDPR에 대한 저희의 해석에 따르면, 다음과 같은 이유로 준수를 위해 이메일 알림에서 메시지 내용을 숨길 필요는 없습니다:

  1. 모든 사용자는 Settings에서 이메일 알림을 비활성화할 수 있습니다. 따라서 모든 사용자는 이메일을 통해 정보를 받을지 여부를 궁극적으로 제어할 수 있습니다. 이 옵션은 대부분의 다른 제품과 일치하지만, 이 영역에서 변경이 필요한지 확인하기 위해 GDPR 해석에 대한 업데이트를 면밀히 따를 예정입니다.

  2. Mattermost는 Mattermost 서버와 SMTP 이메일 서버 간의 통신을 보호하기 위해 TLS 암호화를 제공합니다.

  3. 처음 두 가지 사항이 GDPR 준수를 포함하는지 확실하지 않은 경우, Mattermost 서버에서 알림을 완전히 비활성화할 수 있습니다. 이메일 알림 없이 Mattermost를 프로덕션에서 사용하려면 "미리보기 모드" 알림 배너도 비활성화해야 합니다.

Mattermost Admin Advisor 알림에서 문의하기를 선택하면 어떤 정보가 공유되나요?

Mattermost Admin Advisor에서 문의하기를 선택하면 일부 정보가 저희에게 전송됩니다. 여기에는 Mattermost 계정과 연결된 이메일 주소와 이름, 시스템의 등록된 사용자 수, 사이트 URL, 그리고 Mattermost 진단 서버 ID 번호가 포함될 수 있습니다. 이 정보는 요청에 따라 연락을 취하고 사용자의 요구 사항을 더 잘 이해하는 데 사용됩니다.

참고

Mattermost Admin Advisor 알림은 비활성화됩니다 v5.35 이후 버전에서.

IP 주소가 포함된 서버 접근 로그가 GDPR 준수 문제가 되나요?

GDPR 제49조에 대한 저희의 해석에 따르면, 네트워크 및 정보 보안 확보 목적으로 개인 데이터를 처리하는 것은 허용됩니다. 또한:

  • 시스템 콘솔과 서버에 대한 제한된 접근을 통해 로그 접근을 제어할 수 있습니다.

  • 자체 호스팅 소프트웨어로서, 로그에 대한 완전한 제어권과 소유권을 가지며, 필요에 따라 삭제 일정을 설정할 수 있습니다.

  • 리버스 프록시를 사용하여 IP 주소를 난독화할 수 있습니다.

연방 정부 또는 국방부(DOD) 인증을 보유하고 있나요?

저희는 현재 운영 권한(ATO) 및 네트워크 적합성 인증서(CON) 인증을 취득하는 과정에 있습니다.

개인정보가 유럽연합 내에 유지되도록 어떻게 보장하나요?

고객의 Mattermost 설치가 자체 호스팅되는 경우, Mattermost는 유럽연합 내 데이터 개인정보보호법의 관할권 하에서 어떠한 개인정보도 처리하지 않습니다. Mattermost 지원팀은 미국 내에서 Mattermost 정보를 호스팅하는 Zendesk 고객 서비스 소프트웨어를 활용합니다. Zendesk에 대한 자세한 정보는 해당 개인정보보호 및 데이터 보호 페이지를 참조하세요.

Zendesk의 개인정보보호 및 데이터 보호 보안장치에도 불구하고, 지원 서비스 제공은 Mattermost와 고객 간의 계약상 의무의 일부입니다. Mattermost가 이러한 지원을 제공하기 위해서는 고객이 라이선스 사용자로 식별될 수 있어야 하므로, 사용자는 지원 담당자에게 개인정보를 제공해야 합니다. 지원 담당자의 위치와 관계없이, 개인정보는 실제로 EU 밖에서 호스팅됩니다.

그러나 GDPR 제49조 (b)항에 따라, "정보주체와 컨트롤러 간의 계약 이행에 필요한" 개인정보 전송은 제3국 또는 국제기구로 전송될 수 있습니다. 따라서 이러한 전송은 GDPR의 요구사항에 맞춰 수행됩니다. 자세한 정보는 저희 Mattermost 개인정보처리방침 페이지를 참조하세요.

*면책조항: MATTERMOST는 자사 제품을 "보장된 규정 준수 솔루션"으로 포지셔닝하지 않습니다. 저희는 MATTERMOST 제품을 사용하여 규제 준수를 달성할 것이라고 보장하지 않습니다. 규제 준수 달성의 성공 수준은 해당 규정에 대한 귀하의 해석과 그 요구사항을 준수하기 위해 취하는 조치에 달려 있습니다. 이러한 요소들은 개인과 기업에 따라 다르므로, 저희는 귀하의 성공을 보장할 수 없으며 귀하의 어떠한 행동에 대해서도 책임지지 않습니다. MATTERMOST 사용이나 저희 웹사이트에 포함된 권장사항으로부터 특정한 규정 준수 결과를 달성할 것이라는 보장은 없으며, 따라서 이는 이러한 문제에 대해 귀하의 법무 및 규정 준수 담당자와 상담하는 것을 대체해서는 안 됩니다.

IPv6를 준수하나요?

네, Mattermost 플랫폼은 오디오 및 화면 공유가 비활성화된 경우 자체 호스팅 및 클라우드 제품 모두에서 IPv6를 준수합니다.

향후 오디오 및 화면 공유에 대한 IPv6 준수를 추가할 예정입니다.

508 규정을 준수하고 있나요?

네, Mattermost 플랫폼은 508 규정을 준수합니다. 자세한 내용은 접근성 준수 정책 문서를 참조하세요.

실시간 데모 예약하거나 Mattermost 전문가와 상담하여 조직의 보안 협업 요구사항에 맞춤화된 솔루션을 살펴보세요. 또는 1시간 미리보기로 실시간 샌드박스 환경에 즉시 접속하여 Mattermost를 직접 체험해보세요.