보안 및 프라이버시
보안 및 정보보호
처음부터, 고객 데이터의 보안 및 프라이버시 보호는 ThousandEyes의 최우선 과제였습니다. 고객은 사용 중인 네트워크 및 애플리케이션의 성능에 대한 정보를 Cisco가 수집 및 저장하는 것을 신뢰합니다. 여기에는 구축 시나리오 및 특정 고객 사용 사례에 따라 공용 도메인 지식을 구성하는 인터넷의 정보 및/또는 프라이빗 엔터프라이즈 네트워크의 정보가 포함될 수 있습니다. 따라서 당사는 수집된 모든 데이터를 매우 민감한 것으로 취급하며, 기밀성, 무결성, 가용성 및 프라이버시를 보장하기 위한 관리 시스템을 구현했습니다.
Cisco는 정보 보안 관리 시스템으로 널리 알려져 있고 인정받는 ISO/IEC 27001 표준을 채택하여 탄탄한 관리 기반으로 시작합니다. Cisco의 개인 정보 관리 시스템은 ISO 27701을 기반으로 하며 ISO 27701 인증을 받았습니다.
이러한 프레임워크는 엄격한 정책, 표준, 기술 및 프로세스에서 지원되는 USPMF(ThousandEyes Unified Security and Privacy Management Framework)를 형성합니다. Cisco는 고객 데이터가 항상 현재 모범 사례로 보호되도록 추가 기술 및 조직 제어를 구현하여 USPMF를 지속적으로 개선합니다.
ThousandEyes는 클라우드 서비스 제공자로서 보안 및 프라이버시에 대한 책임을 고객과 공유합니다. 아래 정보를 검토하여 보안 제어 및 운영 활동의 구현에서 귀하의 역할을 파악하십시오.
ThousandEyes에서는 고객이 각자의 비밀번호와 계정을 더욱 효과적으로 보호하기 위해 다음 지침을 준수할 것을 권장합니다.
버그 바운티 프로그램
ThousandEyes는 고객, 파트너, 커뮤니티를 위한 강력한 보안 레벨을 보증하기 위해 최선을 다하고 있습니다. Cisco ThousandEyes 취약점 보상 프로그램은 전체 보안 전략의 일부이며, 플랫폼의 안전을 유지하는 일에 외부 연구원들이 당사 보안 팀과 적극 협업하도록 장려합니다.
ThousandEyes 제품, 서비스, 웹사이트 또는 기타 인프라 중 하나에서 취약점을 발견했거나 의심되는 남용 문제를 보고하려면 bugcrowd.com/thousandeyes-og 로 발견한 내용을 제출해 주십시오. 문의를 접수하는 즉시 Bugcrowd에서 ThousandEyes 보안 팀과 협력하여 해당 요청을 분류하고 응답합니다. 고객, 파트너 및 커뮤니티를 보호하기 위해 문제와 관련된 모든 정보를 공개하고 책임감 있게 노력하는 데 있어 여러분의 협조를 부탁드립니다.
정보 보안
정보 보안 조직
ThousandEyes의 정보 보안 조직은 최고 정보 보안 책임자(CIO)가 이끌고 있습니다. 이 팀은 비즈니스, 물리적, 기술 보안 및 프라이버시와 같은 데이터 보호의 모든 측면을 감독합니다. 여기에는 감사 및 규정 준수는 물론 전반적인 위험 관리도 포함됩니다.
인적 자원 보안
Cisco는 정보 보안이 사람에서 시작한다고 믿습니다. 그래서 물리적 시스템만 보호하는 것으로는 충분하지 않습니다. 따라서 Cisco에서는 모든 직원을 대상으로 보안 인식 및 교육에 투자하여 첫날부터 Cisco 보안 및 프라이버시 관리 시스템을 지원할 수 있는 지식을 갖추도록 하고 있습니다.
자산 및 위험 관리
모든 정보는 3단계 데이터 분류 체계 내에서 기밀성을 기준으로 분류되며, 그에 따라 특정 보안 제어를 구현해야 합니다. 기존 제어가 정의된 기준을 충족하는지 확인하려면 각각의 중요한 정보 자산에 대해 위험 평가를 수행해야 합니다. 모든 고객 정보는 기본적으로 기밀로 분류되므로 항상 최고 수준의 보호가 필요합니다.
액세스 제어
정보에 대한 액세스는 알아야 하는 기준에 따라 부여되며, 새로운 액세스에 대한 권한 부여, 필요한 경우 적시 액세스 취소, 중요한 정보에 대한 액세스 목록의 주기적인 검토를 처리하는 관리 프로세스를 통해 제어됩니다.
암호화
ThousandEyes의 모든 암호화 제어는 국제 법률 규정 및 제한 사항을 준수하며 강력한 키 관리 절차가 필요합니다.
물리적 및 환경적 보안
데이터 센터와 사무실 공간 모두에 연중무휴 보안을 갖춘 액세스 제어 및 비디오 감시 시스템이 장착되어 있습니다. 데이터 센터에서 Tier III 요구 사항을 충족해야 ThousandEyes에서 이를 수락합니다.
운영 보안
모든 네트워크, 시스템 및 애플리케이션은 의도한 대로 작동할 수 있도록 안전하게 구성 및 구현되어 백업됩니다. 악성코드 차단은 모든 주요 고객 대면 시스템에 구축됩니다.
통신 보안
ThousandEyes의 모든 통신 리소스는 윤리 및 비즈니스 원칙에 부합하는 방식으로 사용되며 민감한 데이터 전송을 위한 암호화 사용과 같은 관련 통제를 구현했습니다.
시스템 인수, 개발, 유지 보수
Cisco 제어의 예로는 승인 프로세스의 중요한 단계인 침투 테스트 및 코드 검토가 있습니다. 또한 Cisco의 보안 소프트웨어 개발 라이프사이클 설계 및 구축 방법론은 현재 모범 사례를 유지하고 최신 위협을 선제적으로 차단하기 위해 지속적으로 개선되고 있습니다.
서드파티 서비스
계약을 체결한 서드파티가 당사를 대행할 경우, 당사는 내부에서 준수하는 것과 동일한 엄격한 보안 및 개인정보 보호 기준을 충족하도록 요구합니다. 해당 실사는 벤더 위험 관리 프로세스의 일부로 완료되며, 여기에는 서드파티 조직 및 해당 서비스 제공 또는 제품에 대한 포괄적인 보안 검토가 수반됩니다.
보안 모니터링 및 사고 관리
Cisco는 다양한 유형의 이벤트를 탐지하기 위해 네트워크, 시스템 및 애플리케이션을 지속적으로 모니터링합니다. 게다가, Cisco의 자체 클라우드 모니터링 솔루션은 자체 및 Cisco 기술 인프라의 기타 구성 요소를 모니터링합니다. 중요 이벤트가 등록되면 사고 대응 계획이 즉시 시작됩니다.
개인 정보 정책
Cisco 온라인 개인정보 보호정책과 본 요약본은 Cisco의 웹사이트 및 본 정책에 연결된 계열사 웹사이트에 적용됩니다.
Cisco에서는 개인 정보를 존중하며 이를 보호하기 위해 노력합니다. 당사의 개인정보 보호정책은 투명성, 공정성, 책임 등 개인 정보 처리에 대한 현재의 글로벌 원칙과 표준을 준수합니다. Cisco 온라인 개인정보 보호정책의 주요 내용을 아래에서 확인할 수 있습니다. Cisco에서 개인 정보를 처리하는 방법에 대한 자세한 내용은 프라이버시 데이터 시트, 제안 설명 또는 데이터 수집 전에 또는 수집 시점에 전달되는 기타 알림에서 확인할 수 있습니다.
개인 정보
Cisco는 주문을 처리하고, 웹사이트 및 솔루션을 프로비저닝하고, 기능을 활성화하고, 뉴스레터 구독을 제공하고, 비즈니스 및 마케팅 커뮤니케이션을 보내고, 사용자 환경을 맞춤화하고, 입사지원서를 관리하는 등 다양한 이유로 개인 정보를 수집합니다.
Cisco는 개인 정보를 수집할 때 개인 정보를 수집하는 목적을 사용자에게 알리며, 수집된 목적에 맞게 또는 관련 법의 요구 사항이나 합법적인 목적에 맞게 개인 정보를 사용하려고 노력합니다.
전체적인 정확성과 완성도를 높이고 사용자와 더욱 맞춤화된 방식으로 상호 작용하고 사용자에게 더 좋은 서비스를 제공하기 위해 Cisco는 사용자에 대해 수집한 정보를 다른 소스에서 수집한 정보와 결합할 수 있습니다.
또한 쿠키를 비롯한 다양한 기술을 통해 사용자의 웹사이트 및 웹 기반 솔루션 사용과 관련된 정보를 수집할 수 있습니다.
공지 사항 및 데이터 사용에 대한 선택 사항
Cisco는 수집된 목적에 맞게 개인 정보를 사용하며, 사용자의 허가를 구하거나 사용을 위한 법적 기준이 마련되기 전에는 다른 목적으로 사용하지 않습니다.
Cisco는 원래 제공된 이유 이외의 목적으로 또는 온라인 개인정보 보호정책에 달리 기술된 사항에 따라 서드파티와 개인 정보를 공유하는 경우 먼저 사용자의 허가를 구합니다.
Cisco에서 개인 정보를 처리하는 방법 또는 개인 정보에 대해 쿠키 또는 기타 웹 기술을 사용하는 방법을 설정하는 것에 대한 자세한 내용은 전체 온라인 개인정보 보호정책을 참조하십시오.
데이터 액세스 및 무결성
개인 정보 및 커뮤니케이션 환경설정을 업데이트하려면 여기를 클릭하거나 특정 제품 또는 서비스 웹사이트를 방문하십시오.
데이터 보안
Cisco는 무단 사용 또는 공개로부터 사용자의 개인 정보를 보호하기 위해 노력합니다.
서드파티 전송
Cisco는 세계적인 기업이므로 개인 정보를 미국에 있는 Cisco 사무소, Cisco 세계 지사, 또는 데이터 수집 시 데이터 보호 표준이 다를 수 있는 국가에서 Cisco를 위해 일하는 서드파티로 개인 정보를 전송할 수 있습니다.
Cisco에서는 당사와 동일한 수준으로 정보를 보호하겠다고 약속하지 않는 서드파티에는 개인 정보를 전송하지 않습니다.
중요 정보
Cisco의 개인 데이터 보호, 개인정보 보호정책 및 사례는 전 세계 관련 법률을 준수하고 Cisco에서 신뢰를 얻고 유지하기 위해 설계되었습니다.
Cisco에서는 APEC 국가 간 프라이버시 규칙 시스템 및 개인정보 처리 수탁자의 보호 수준 인증에 따라 인증을 취득하고 APEC 회원국 간에 개인 정보를 전송합니다. 참여 범위에 대한 자세한 내용을 확인하거나 당사의 책임 대리인인 BBB National Programs를 통해 개인정보 보호 문의를 제출하려면 아래의 공식 직인을 클릭하십시오.
Cisco의 기업 규칙 바인딩 - 컨트롤러(BCR-C)를 사용하면 유럽의 개인정보는 적절한 보호를 받으며 Cisco가 컨트롤러로서 전 세계에 전송할 수 있습니다.
Cisco는 EU/EEA, 영국 및 스위스의 개인 데이터를 수집하고 이를 사용 및 처리하는 것과 관련하여 미 상무부가 정한 EU-미국 및 스위스-미국 프라이버시 실드 프레임워크를 준수함을 인증받았습니다.
본 개인정보 보호정책 또는 개인 정보 취급에 대한 질문이나 의견 또는 우려 사항이 있으면 여기를 클릭하십시오.
미결 상태의 프라이버시 또는 개인 데이터 관련 문제가 있고 Cisco가 이 문제를 만족스럽게 해결하지 못한 경우 미국에 위치한 서드파티 분쟁 조정 기관에 문의하십시오(무료).
참조
Cisco의 개인정보 보호 관행에 대해 자세히 알아보려면 Cisco 온라인 개인정보 보호정책의 전체 버전을 확인하십시오.
마지막 업데이트: 2021년 12월 1일
규정 준수
ThousandEyes 및 당사 직원들이 준수하는 수많은 법규와 규정이 있습니다.
Cisco에서는 규정 준수에 대한 2단계 접근 방식을 구현했습니다. 첫째, 모든 외부 및 내부 요구 사항이 Cisco 정책에 포함되고 기본 표준, 기술 및 프로세스에 의해 지원됩니다. 둘째, 내부 위험 평가 및 감사를 통해 모든 보안 제어가 올바르게 구현되고 효과적으로 작동하는지 확인하기 위해 정기적으로 테스트합니다.
Cisco에서는 독립적인 서드파티를 통해 12개월 기간의 보안 원칙에 대한 SOC2 Type II 보고서를 생성하는 AT 섹션 101 증명을 수행합니다. 또한 서비스 애플리케이션으로 네트워크 성능 관리 소프트웨어를 지원하는 정보 보안 관리 시스템은 독립적인 인증 기관으로부터 ISO/IEC 27001:2013 및 ISO/IEC 27018:2019 인증서를 받았습니다. 또한 서비스 애플리케이션으로 네트워크 성능 관리 소프트웨어를 지원하는 Cisco의 개인 정보 관리 시스템은 독립적인 인증 기관으로부터 ISO/IEC 27701:2019 인증서를 받았습니다. 마지막으로, 독립적인 서드파티가 Cisco의 주요 정보 리소스에 대해 매년 엔터프라이즈 위험 평가를 수행합니다.
ThousandEyes는 최고 수준의 보안 모범 사례를 유지하기 위해 다른 업계 최고의 회사와 정보를 공유하고 협업하는 Cloud Security Alliance의 기업 구성원입니다. 또한, ThousandEyes는 Center for Internet Security의 멤버이기도 한데, 이는 글로벌 IT 커뮤니티의 영향력을 활용하여 사설 및 공공 조직을 사이버 위협으로부터 보호하는 미래 지향적인 비영리 단체입니다.