인증 및 규정 준수 개요

원본 보기

인증 및 규정 준수 개요

이 개요는 Mattermost가 다음을 포함한 내부 규정 준수 이니셔티브를 지원하는 데 사용자에게 어떻게 도움이 될 수 있는지 요약합니다:

  • GDPR 준수

  • 미국 수출 규정 준수

GDPR 준수

다음 개요는 유럽연합의 일반 데이터 보호 규정(Regulation (EU): 2016/679)(전문 보기)을 다루는 규정 준수 프로그램에서 Mattermost 소프트웨어가 어떻게 사용될 수 있는지, 그리고 Mattermost, Inc. 자체가 어떻게 규제 요건을 준수하는지에 대해 요약합니다.

GDPR 원칙에 대한 지속적인 약속

Mattermost는 높은 신뢰를 받는 조직들을 위한 협업 허브로서, 유럽연합 내 개인의 데이터를 보호하기 위해 GDPR 원칙을 지원하는 데 전념하고 있습니다. Mattermost는 다음을 통해 이러한 사명을 실천하고 있습니다:

  • 보안 인프라: 보안, 개인정보보호 및 규정 준수 역량에 대한 지속적인 투자.

  • 계약상 의무: 표준 이용약관데이터 처리 부록을 포함한 서비스 약관을 통한 적절한 계약상 의무.

  • 개인정보보호 조치: 개인정보보호 조치는 개인정보처리방침에 명시되어 있습니다.

  • 제품 기능: 데이터 관리 및 데이터 이동성을 보장하기 위함.

저희의 노력에 대한 최신 정보를 받아보시려면, 정기 뉴스레터를 구독해 주세요.

보안 인프라

Mattermost는 조직이 높은 보안 표준으로 개발된 자체 호스팅 통신 인프라를 통해 자신들의 정보와 사용자 및 고객의 정보를 보호할 수 있도록 지원합니다. 이 보안 인프라의 특징은 다음과 같습니다:

  • 보안 기능 - Mattermost 오픈소스 및 상용 제품에서 제공되는 기능으로, 조직 고유의 인프라 배포를 가능하게 합니다.

  • 책임감 있는 공개 정책 - 전 세계 보안 연구자들이 의심되는 취약점을 기밀로 보고할 수 있도록 하며, 이는 Mattermost 소프트웨어 업데이트에서 해결될 수 있습니다.

  • 보안 검토 - 자체 내부 보안 검토 팀과 외부 보안 연구자 모두에 의해 수행됩니다.

  • ISO 27001 표준 - 국제 보안 가이드라인과의 일치를 달성하기 위해 충족되는 표준입니다.

계약상 의무

Mattermost는 다음을 통해 적절한 데이터 관리를 보장하기 위한 계약상 의무를 준수합니다:

  • GDPR 준수 데이터 처리 부록 - Mattermost의 표준 약관에 포함되어 있습니다.

  • Mattermost 개인정보 보호정책 - Mattermost, Inc.에서 관리하는 온라인 인프라에서 데이터가 어떻게 처리되는지를 공유합니다.

개인정보 보호 조치

Mattermost는 고객과 파트너가 제출한 개인 데이터의 안전을 유지하기 위한 보안 조치를 개인정보 보호정책에서 설명하고 있습니다.

제품 기능

Mattermost는 데이터 관리 및 데이터 이식성을 보장하는 기능을 지원합니다.

데이터 관리

  • 데이터 보존: 데이터 보존 기능을 사용하여 설정된 기간 후에 데이터를 자동으로 삭제할 수 있으며, 이는 삭제권 원칙을 충족하는 기능입니다. Team Edition에서는 데이터베이스 스크립트를 사용하여 동일한 결과를 얻을 수 있습니다.

  • 프로필 삭제: mmctl user delete를 통해 사용자의 개인 정보를 삭제합니다. 이는 사용자가 생성한 메시지를 포함하여 모든 사용자 정보를 영구적으로 삭제합니다.

  • 자체 호스팅 푸시 알림 서비스: 자체 푸시 알림 서비스를 호스팅하거나, AppConfig를 지원하는 EMM 공급업체와 함께 모바일 앱을 배포하여 보안 및 규정 준수 정책을 충족할 수 있습니다. 자세한 내용은 모바일 앱 배포 문서를 참조하세요.

데이터 이식성

  • 데이터 가져오기: bulk loading tool을 사용하여 기존 메시징 시스템에서 데이터를 마이그레이션하거나, 새로운 설치 환경에 데이터를 미리 채워넣을 수 있습니다. Slack에서 마이그레이션하기 가이드를 검토하여 다양한 접근 방법을 확인하고 데이터 이식성 권리 원칙을 준수하세요.

  • 데이터 내보내기: compliance exports을 사용하여 공개, 비공개 및 직접 메시지 채널의 대화를 XML 또는 EML 형식으로 내보낼 수 있습니다. Team Edition 사용자는 PostgreSQL과 MySQL 모두에서 데이터베이스로부터 직접 대화를 내보낼 수 있습니다.

접근성 규정 준수

자세한 내용은 접근성 규정 준수 정책 문서를 참조하세요.

접근성 표준 준수는 다음과 같은 방식으로 지원됩니다:

  • 508 규정 준수: 508 규정 준수를 확인하고자 하는 고객, 파트너 및 기타 이해관계자를 위해 요청 시 VPAT을 제공합니다.

  • WCAG 2.0L: 웹 콘텐츠 접근성 가이드라인 2.0(WCAG) 준수를 위해 Mattermost는 제3자로부터 "A" 등급을 받았으며 "AA" 등급을 위해 노력하고 있습니다.

  • ADA: 미국 장애인법(ADA)에 대한 Mattermost 규정 준수는 접근성 도구와의 인터페이스로 Mattermost의 온라인 경험과 함께 VPAT 및 WCAG 2.0 가이드라인에 명시된 접근성 지원을 제공함으로써 달성됩니다.

  • 개선 조치: 현재 또는 향후 제품 릴리스에서 제품 문서에 명시된 접근성 등급 준수를 방해할 수 있는 기술적 문제는 제품 결함으로 간주되며, Mattermost는 문제가 해결될 수 있도록 결함에 대한 공개적인 문제 보고서 제출을 환영합니다.

미국 무역 컴플라이언스

Mattermost, Inc.는 미국 무역 컴플라이언스 법률을 준수하기 위해 다양한 통제 및 프로세스를 구현하고 있습니다.

  1. IP 차단: 특정 국가에서 상업용 및 독점 제품 가입과 같은 당사의 상업 시스템에 대한 접근을 차단하기 위해 IP 차단을 사용합니다.

  2. 자동화된 컴플라이언스 스캔: Descartes라는 자동화된 수출 컴플라이언스 도구를 사용합니다. Salesforce 계정 기록에는 우측 상단에 안전 수준을 나타내는 눈에 띄는 Descartes 박스가 있습니다. 플래그가 지정된 계정은 법무팀 또는 지정된 담당자가 Descartes 시스템 내에서 해제해야 합니다.

  3. 수동 컴플라이언스 검토: 때때로 제재 규정 변경에 대한 발표가 당사의 수출 컴플라이언스 도구가 적응할 수 있는 속도보다 빠르게 발생합니다. 제재가 발표된 경우, 자동화된 솔루션이 업데이트되기 전에 당사 비즈니스를 사전에 검토하고 제재를 시행하기 위한 변경을 수행할 수 있습니다.

  4. 법적 제한: 당사의 상업용 소프트웨어에는 관리자와 최종 사용자 모두에게 적용되는 법적 조건이 포함되어 있으며, 이는 미국 무역법을 위반하는 사용을 금지합니다.

여기서 언급된 미국 무역법은 다음 사이트에서 온라인으로 확인할 수 있습니다: https://www.bis.govhttps://ofac.treasury.gov/.

귀하의 조직이 미국 무역법이나 제재 하에서 잘못 분류되었다고 생각되면, compliance@mattermost.com으로 이메일을 보내주세요.

새로운 미국 무역법이나 제재로 인해 고객 관계를 종료하는 절차는 무엇인가요?

고객에게는 수동 또는 자동화된 프로세스를 통해 이메일로 연락하며, compliance@mattermost.com이 참조로 포함되고, 해당 커뮤니케이션은 기록 보관을 위해 SFDC에 다시 기록됩니다.

미국 수출 규정 준수 개요

요약 표

Mattermost 제품

수출 통제 분류 번호 (ECCN)

Mattermost Enterprise Edition (Mattermost Professional & Enterprise 포함)

ECCN 5D002 라이센스 예외 ENC 적용 가능

Mattermost Team Edition

소프트웨어가 공개적으로 이용 가능하고 https://github.com/mattermost/에서 공개된 소스 코드로부터 완전히 컴파일 가능하므로 미국 수출관리규정(EAR)의 적용 대상이 아님

개요

미국 정부는 국가 안보, 경제 및/또는 외교 정책적 이익을 위해 미국에 전략적으로 중요하다고 여겨지는 정보, 상품, 기술 및 소프트웨어의 이전을 규제합니다. 미국 외 많은 국가들도 동일한 이유로 수출에 대한 유사한 통제를 가지고 있습니다.

수출을 규제하는 미국 기관들과 상호 연관된 규정들의 복잡한 네트워크가 있으며, 이는 통칭 "수출 통제"라고 불립니다.

Mattermost는 사업을 수행하는 모든 국가에서 모든 수출 준수 법률을 준수하는 것을 정책으로 합니다. Mattermost는 미국에 기반한 글로벌 기업이므로, 소프트웨어뿐만 아니라 장비, 자재 및 서비스를 포함하여 통칭 "상품"이라고 하는 우리의 제품들은 우리가 사업을 수행하는 모든 국가의 수출 법률 및 규정의 적용을 받습니다. 수출 통제 규정을 준수하지 않을 경우 Mattermost와 고객, 직원 및 비즈니스 파트너를 포함한 계열사들이 형사 및 민사 처벌, 자산 압류, 수출 특권 거부, 정부 계약으로부터의 정지 또는 배제의 대상이 될 수 있습니다.

이러한 이유로, 귀하가 운영하는 관할 구역에서 적용되는 수출(및 수입) 통제에 대해 숙지하는 시간을 가지시기 바랍니다. Mattermost는 수출 문제에 대한 조언을 제공할 수는 없지만, 이 웹 페이지는 Mattermost 제품을 수출하기 위해 필요한 정보를 제공합니다.

이 개요는 미국 수출관리규정(EAR)에 특정한 것이지만, 비즈니스 운영으로 인해 국제무기거래규정과 같은 다른 규정의 적용을 받을 수 있습니다.

일반 정보

먼저 U.S. Bureau of Industry and Security 웹사이트를 살펴보세요. 그다음 미국 수출관리규정의 Part 730으로 이동하여 규정이 다루는 범위와 734.2에서 "EAR의 적용 대상"("수출 통제")이 무엇인지 이해하세요.

수출 분류 및 라이선스

수출관리규정의 적용 대상이 매우 광범위하지만, 모든 거래에 수출 라이선스가 필요한 것은 아닙니다. 하드웨어, 소프트웨어 및 기술과 관련된 수출 통제를 이해하는 기초는 10개 카테고리(0-9)로 구성되고 포지티브 리스트로 설정된 Commerce Control List (CCL)에서 찾을 수 있습니다. 첫 번째 단계는 수출될 항목이 EAR의 적용을 받는지 확인하는 것입니다.

Mattermost에서는 완전한 오픈 소스이며 공개적으로 이용 가능한 소프트웨어가 EAR 범위 밖에 있습니다. 이는 공개적으로 이용 가능한 암호화 소스 코드에서 파생되었으며, 소스 코드(https://github.com/mattermost/) 및 바이너리 버전 모두에 대한 완전한 소프트웨어 패키지가 공개적으로 이용 가능하기 때문입니다. Mattermost 엔터프라이즈 소프트웨어는 통신 및 정보 보안 항목(하드웨어, 소프트웨어 및 기술)으로 CCL의 카테고리 5, 파트 2에 해당합니다. 이 카테고리의 대부분의 항목에는 암호화가 포함되어 있습니다.

종종 Part 740 하에서 라이선스 예외가 이용 가능하며, Commerce Control List 항목이 요인들의 조합에 기초하여 수출통제분류번호(ECCN)에 특정한 이용 가능한 라이선스 예외를 나열하는 경우입니다.

Mattermost Enterprise Edition (Mattermost Professional 및 Enterprise 포함)은 ECCN 5D002 하에 분류되며, 오픈 소스 소프트웨어에서 파생된 암호화 기능을 가진 Enterprise 및 Professional 소프트웨어에 대해 "ENC"로부터 라이선스 예외가 이용 가능합니다. 수출 규정 하에서 암호화 제품은 여러 수준의 통제와 요구사항을 가지고 있습니다. BIS는 암호화 및 수출관리규정(EAR) 하에서 암호화를 다루는 개요와 많은 링크가 있는 별도의 웹사이트 섹션을 가지고 있으므로 검토하시기 바랍니다. 이 가이드라인에는 항목이 암호화 통제 대상인지 판단하기 위한 유용한 흐름도, 표 및 기타 세부사항이 포함되어 있습니다.

Mattermost 소프트웨어나 기술의 수출에 대해 알아야 할 다른 주요 영역들은 다음과 같습니다:

제재: 쿠바, 이란, 북한, 시리아에 대한 포괄적 제재와 크림반도, 우크라이나의 도네츠크 및 루한스크 지역, 벨라루스, 러시아, 베네수엘라, 미얀마/버마, 캄보디아와 같은 특정 금지 조치가 있는 기타 국가/지역이 있습니다. 세부사항은 BIS에서 확인할 수 있습니다. 국가들과 그들의 제재는 변경될 수 있습니다.

WMD (대량살상무기): Mattermost, 그 고객 및 비즈니스 파트너는 미국 수출관리규정("EAR") 하의 기타 금지된 최종 용도와 함께 대량살상무기의 확산에 관련된 당사자들에게 수출할 수 없습니다.

일반적 금지사항: EAR 하의 일반적 금지사항에 대한 정보는 여기에 있습니다. 이러한 일반적 금지사항의 적용 가능성은 요인들의 조합에 기초합니다. 여기에는 상품의 분류, 목적지, 최종 사용자, 최종 용도 및 행위가 포함됩니다.

제한 당사자: 미국 정부의 제한 당사자 목록에 등재된 당사자들에게는 수출할 수 없으며, 수출 전에 이들을 대상으로 심사를 실시해야 합니다. export.gov에서 미국 정부가 무료로 제공하는 통합 심사 목록이 있어 심사에 사용할 수 있습니다. 또한, 군사 최종 사용자 및 군사 정보 최종 사용자에 대한 수출에는 특정 제한이 있습니다.

간주 수출: 미국 내 외국인에게 통제된 기술을 공개하는 것은 그 사람의 국적 국가로의 수출로 "간주"되며, 이는 BIS 웹사이트의 수출관리규정에서 읽을 수 있는 EAR의 734.2(b)에 명시되어 있습니다.

고객 파악: BIS 웹사이트를 검토하면 "고객을 파악"하는 것과 "위험 신호"를 인식하는 것이 매우 중요함을 알 수 있습니다. 규정 준수를 보장하기 위해 비즈니스 파트너와 고객을 반드시 심사하시기 바랍니다.

면책 조항

Mattermost는 이 데이터를 정보 제공 목적으로만 제공합니다. 이는 최신 법적 발전 사항을 반영하지 않을 수 있으며, Mattermost는 이 데이터가 완전하고 정확하며 최신임을 진술, 보증 또는 보장하지 않습니다. 이 정보는 사전 통지 없이 변경될 수 있습니다. 이 사이트의 자료는 법적 조언을 구성하거나 특정 법적 조언을 대체하기 위한 것이 아닙니다. 특정 사실과 상황에 대한 전문적 조언을 구하지 않고 이 사이트의 정보에 기반하여 행동하거나 행동을 자제해서는 안 됩니다.

자주 묻는 질문

GDPR을 준수하기 위해 이메일 알림의 메시지 내용을 제거해야 하나요?

GDPR에 대한 저희의 해석에 따르면, 다음과 같은 이유로 규정 준수를 위해 이메일 알림에서 메시지 내용을 숨길 필요는 없습니다:

  1. 모든 사용자는 설정에서 이메일 알림을 비활성화할 수 있습니다. 따라서 모든 사용자가 이메일을 통해 정보를 받을지 여부를 최종적으로 제어할 수 있습니다. 이 옵션은 대부분의 다른 제품과 일치하지만, 이 영역에서 변경이 필요한지 확인하기 위해 GDPR 해석에 대한 업데이트를 면밀히 따를 것입니다.

  2. Mattermost는 Mattermost 서버와 SMTP 이메일 서버 간의 통신을 보호하기 위해 TLS 암호화를 제공합니다.

  3. 처음 두 가지 사항이 GDPR 준수를 다루는지 확실하지 않은 경우, Mattermost 서버에서 알림을 완전히 비활성화할 수 있습니다. 이메일 알림 없이 프로덕션 환경에서 Mattermost를 사용하려면 "미리보기 모드" 알림 배너도 비활성화해야 합니다.

Mattermost Admin Advisor 알림에서 문의하기를 선택하면 어떤 정보가 공유되나요?

Mattermost Admin Advisor에서 문의하기를 선택하면 일부 정보가 저희에게 전송됩니다. 여기에는 Mattermost 계정과 연결된 이메일 주소와 이름, 시스템의 등록된 사용자 수, 사이트 URL, 그리고 Mattermost 진단 서버 ID 번호가 포함될 수 있습니다. 이 정보는 요청에 따라 연락드리고 고객의 요구사항을 더 잘 이해하는 데 사용됩니다.

참고

Mattermost Admin Advisor 알림은 비활성화됩니다 v5.35 이후 버전에서.

IP 주소가 포함된 서버 액세스 로그가 GDPR 준수 문제인가요?

GDPR 제49조에 대한 우리의 해석에 따르면, 네트워크 및 정보 보안 확보를 목적으로 하는 개인 데이터 처리는 허용됩니다. 또한:

  • 시스템 콘솔 및 서버에 대한 제한된 액세스를 통해 로그에 대한 액세스를 제어할 수 있습니다.

  • 자체 호스팅 소프트웨어로서 로그에 대한 완전한 제어권과 소유권을 가지며, 필요에 맞게 삭제 일정을 설정할 수 있습니다.

  • 역방향 프록시를 사용하여 IP 주소를 난독화할 수 있습니다.

연방정부 또는 국방부(DOD) 인증을 보유하고 계신가요?

저희는 현재 Authority to Operate (ATO) 및 Certificate of Networthiness (CON) 인증을 취득하는 과정에 있습니다.

개인 데이터가 유럽연합 내에 머물도록 어떻게 보장하나요?

고객의 Mattermost 설치가 자체 호스팅되는 경우, Mattermost는 유럽연합 내 데이터 개인정보보호법의 관할 하에서 개인 데이터를 처리하지 않습니다. Mattermost 지원 팀은 미국 내에서 Mattermost 정보를 호스팅하는 Zendesk 고객 서비스 소프트웨어를 활용합니다. Zendesk에 대한 자세한 정보는 해당 개인정보보호 및 데이터 보호 페이지를 참조하세요.

Zendesk의 개인정보보호 및 데이터 보호 보장책에도 불구하고, 지원 서비스 제공은 Mattermost와 고객 간의 계약상 의무의 일부입니다. Mattermost가 이러한 지원을 제공하기 위해서는 고객이 라이선스 사용자로 신원을 확인할 수 있어야 하며, 따라서 사용자는 지원 담당자에게 개인 데이터를 제공해야 합니다. 지원 담당자의 위치와 관계없이 개인 데이터는 실제로 EU 외부에서 호스팅됩니다.

그러나 GDPR 제49조 (b)항에 따르면, "데이터 주체와 컨트롤러 간의 계약 이행에 필요한" 개인 데이터 전송은 제3국 또는 국제기구로 전송될 수 있습니다. 따라서 이러한 전송은 GDPR 요구사항에 부합하여 수행됩니다. 자세한 정보는 Mattermost 개인정보보호정책 페이지를 참조하세요.

*면책 조항: MATTERMOST는 자사 제품을 "보장된 규정 준수 솔루션"으로 포지셔닝하지 않습니다. Mattermost 제품을 사용하여 규제 준수를 달성할 것이라고 보장하지 않습니다. 규제 준수 달성 수준은 해당 규정에 대한 귀하의 해석과 요구사항을 준수하기 위해 취하는 조치에 달려 있습니다. 이러한 요소들은 개인과 기업에 따라 다르므로, 당사는 귀하의 성공을 보장할 수 없으며 귀하의 어떤 행동에 대해서도 책임지지 않습니다. Mattermost 사용이나 당사 웹사이트의 권장사항으로부터 특정 규정 준수 결과를 달성할 것이라는 보장은 없으며, 따라서 이는 이러한 문제에 대해 귀하의 법무 및 규정 준수 대표와 상담하는 것을 대체해서는 안 됩니다.

IPv6를 지원하나요?

네, Mattermost 플랫폼은 오디오 및 화면 공유가 비활성화된 상태에서 IPv6를 지원하며, 이는 자체 호스팅 및 클라우드 서비스 모두에 해당됩니다.

향후 오디오 및 화면 공유 기능에 대한 IPv6 지원을 추가할 예정입니다.

508 규정을 준수하나요?

네, Mattermost 플랫폼은 508 규정을 준수합니다. 자세한 내용은 접근성 준수 정책 문서를 참조하세요.

라이브 데모 예약하거나 Mattermost 전문가와 상담하여 조직의 보안 협업 요구사항에 맞는 맞춤형 솔루션을 살펴보세요. 또는 1시간 미리보기를 통해 라이브 샌드박스 환경에 즉시 접근하여 Mattermost를 직접 체험해보세요.