Navigation SearchNavigation ContactNavigation Products

차별화된 초점:
보안 및 무결성

DDI는 창립 이래로 데이터 무결성에 가장 높은 가치를 두었습니다.  DDI는 믿음과 신뢰를 증진하는 방식으로 비즈니스를 운영하기 위해 최선을 다하고 있습니다. 이를 위해 DDI는 구성원과 고객, 공급업체가 제공하는 개인 데이터를 올바르게 사용하고 관리합니다.  전세계 모든 DDI 구성원은 고객 데이터를 보호에 도움이 되는 데이터 보안 모범 사례에 관해 교육받았습니다.

보안에 대한 DDI의 미션

  • 데이터를 완전히 투명한 방식으로 이용하고 관리합니다.
  • 잠재적 위험은 최소화하면서 고객이 데이터의 이점을 극대화할 수 있도록 지원합니다.
  • 글로벌 모범 사례를 활용하여 데이터 정책을 수립하고 규정을 준수합니다.
  • 고객의 데이터를 최고 수준으로 보호하고 기밀을 유지합니다.

데이터 보안에 대한 접근 방식

DDI는 사용자 데이터(지원자, 참가자, 학습자, 관리자, 고객 정보)를 보호하고 무단 접근, 변경, 파괴를 방지하기 위해 정보 보안에 관해 다층적인 접근 방식을 채택하고 있습니다.  당사의 정책과 프로세스는 다음 목적으로 설계되었습니다.

  • 데이터 보호 및 남용 방지를 위한 메커니즘 정의
  • DDI 구성원에게 안전한 데이터 관리와 잠재적인 보안 위협에 대한 인식의 중요성 교육
  • 본 정책과 관련 시스템에 대한 외부 질의용 커뮤니케이션 채널 제공

보안 거버넌스

DDI는 데이터 무결성을 확보하기 위해 글로벌 표준을 정기적으로 모니터링하는 데이터 보안 사무소 및 데이터 보호 책임자 지정을 비롯하여, 데이터 보호를 위한 전담 리소스, 정책 및 프로세스를 보유하고 있습니다. 

DDI의 데이터 보호 책임자(DPO)는 글로벌 일관성을 목표로 회사의 보안 및 규정 준수 프로그램을 위한 비전과 전략을 수립, 실행합니다. 이를 통해 적절하게 리스크를 관리하고 목표 달성 현황을 확인합니다.

안 교육

DDI는 구성원을 대상으로 데이터 개인정보 보호, 기밀성, 보안 모범 사례에 관한 정기 교육을 실시합니다.   최종 사용자는 피싱 공격, 사회 공학 트랩, 악의적인 링크, 다운로드를 인지하고 이를 피하기 위한 교육을 받습니다.

데이터 처리

DDI는 비즈니스 상황에 따라 데이터 통제자 또는 처리자의 역할을 맡습니다.  데이터가 마케팅, 영업 또는 DDI가 주도하는 연구 상황에서 수집 및 처리되는 경우, DDI는 데이터 통제자의 역할을 수행하며 해당 역할에 지정된 모든 데이터의 보안 책임과 요구 사항을 준수합니다.  고객이 유료로 서비스에 접근하는 상황에서 수집 및 처리되는 경우에는, 고객이 데이터 통제자의 역할을 맡습니다.  DDI는 “데이터 처리자" 역할을 수행하며 해당 역할에 지정된 모든 데이터 보안 책임과 요구 사항을 준수합니다. 

파트너십의 보안

고객 데이터의 보안 및 기밀성에 관해 DDI와 고객은 책임을 공유합니다.  DDI는 고객이 액세스하여 데이터를 활용할 수 있는 안전한 플랫폼을 제공합니다.  또한 DDI는 서비스 사용 주기 전반에 걸쳐 고객의 데이터 보안 확보에 필요한 도구, 서비스, 지원, 리소스 등을 제공합니다. DDI의 개인정보 보호방침을 확인하십시오.

고객은 DDI 서비스 이용 중 및 이용 후에 본인 데이터의 보안에 대한 책임을 DDI와 공동으로 집니다.  고객은 데이터가 DDI 시스템 내에서 수집 및 저장된다는 점을 이해하고 적절한 데이터 공유 정책을 정의하여 해당 데이터가 접근 권한이 있는 자와만 공유될 수 있도록 해야 합니다.  데이터 공유 정책은 해당 데이터의 중요성 및 분류와 상응하는 위험 및 규정 준수 요구 사항과 일맥상통해야 합니다.

데이터 분류

  • 인 데이터는 개인을 식별할 수 있는 모든 정보를 포함합니다. 당사는 유효하고 적절한 비즈니스 목적을 위해서만 개인 데이터를 수집, 접근, 이용 또는 공개합니다. 당사는 이러한 정보를 적절히 보호하며 회사 내외부를 막론하고 업무상 필요성이 인정되지 않을 경우 이를 공유하지 않습니다.
  • 민감한/기밀 데이터란 유출 방지를 위한 법적 요구 사항이 있거나 해당 정보의 공개 시 개인의 기밀성이 심각하게 저해될 수 있는 모든 정보 자산을 뜻합니다.  기밀 데이터는 계약한 비즈니스 서비스 그리고/또는 보안 관리를 이행 위해 해당 데이터가 필요한 DDI 내부 사용자만 접근할 수 있습니다.  DDI SaaS(Software as a Service) 애플리케이션은 기밀 정보 자산을 획득하거나 저장하지 않습니다
  • 진단/성능 데이터는 고객에 대한 계약상 의무를 이행하는 과정에서 고객이 요구, 인정한 맥락 하에 수집됩니다.  DDI 애플리케이션 데이터 저장소는 엄격하게 통제되머 권한 없는 당사자에 대한 데이터 유출을 방지하기 위해 엄격하게 통제됩니다.  데이터에 대한 접근은 계약된 비즈니스 서비스 그리고/또는 보안 관리를 이행하기 위해 해당 데이터가 필요한 DDI 내부 사용자와 고객이 자체 데이터 공유 정책에 따라 신원을 파악하고 권한을 부여한 사용자로 한정됩니다.
  • 공개 데이터는 공개적으로 전파할 수 있거나 공개된 소스에서 액세스할 수 있는 정보를 뜻합니다.  그러나 개인에 대한 대부분의 정보는 공개되어 있는 경우에도 기밀 또는 민감한 정보에 해당합니다.

최소 권한 접근

데이터 대상

(분류와 관계없이) 모든 데이터에 대한 접근은 최종 사용자, 고객 관리자, 다양한 DDI 및 고객 지원 팀과 같이 비즈니스상 합법적인 필요성이 있는 이들에게 권한을 부여하는 “최소 권한” 보안 모델을 통해 제공됩니다.  각 분류의 요구 사항에 맞게 데이터 보안을 확보할 수 있도록 추가 조치를 취할 수 있습니다.  접근 권한을 부여받을 수 있는 개인은 다음과 같습니다.

최종 사용자

최종 사용자는 온라인 프로세스(테스트 또는 평가) 참여자, 설문 작성자, 설문 응답자 등을 의미합니다.

클라이언트 관리자

클라이언트 관리자는 DDI 애플리케이션 시스템 내의 계정과 작업흐름 프로세스를 관리하는 시스템 최종 사용자로서, 채용 담당자, 직원 역량 개발 전문가, 기타 HR 담당자 등이 있습니다.  관리자는 고객 또는 지원자를 대신해 개인 정보를 입력하는 고객측 직원 또는 DDI 직원일 수 있으며, 다양한 프로세스 단계에서 이를 진행할 수 있습니다. 

지원 담당자

사용자는 DDI 제품 지원 팀에 기술 지원을 요청할 때 지원 담당자에게 계정에 대한 임시 접근 권한을 부여할 수 있습니다.  지원 팀은 문제 해결 지원의 일환으로 개인 사용자의 테스트, 진단 또는 설문 자료를 확인해야 할 수 있습니다.

애플리케이션 대상

애플리케이션은 역할 기반 보안 모델을 사용해 접근 권한을 결정합니다. 고객 데이터는 사이트, 문서, 사용자 및 기타 조건에 기반해 논리적으로 분리됩니다.  시스템 변경 사항은 모범적인 변경 관리 프로세스를 통해 제어됩니다.

계정 대상

최종 사용자는 작업을 효과적이고 효율적으로 수행하기 위해 '최소 우선 접근' 권한을 부여받습니다.  DDI는 모든 관리 업무 및 계정 관리를 엄격하게 통제합니다. 사용자 계정에는 강력한 비밀번호와 비밀번호로 보호되는 화면 보호기를 지정해야 합니다.  계정 접근 권한은 과도한 로그온 실패 또는 고용 종료 시 자동으로 비활성화됩니다.

데이터베이스 대상

데이터베이스 수준의 접근 권한은 당사 엔지니어링 팀의 담당 구성원에게 제공됩니다. 이 접근 권한은 원격 백업 생성과 데이터 복원 작업에 사용됩니다. 이런 작업은 모두 데이터 열람 없이 진행됩니다.

데이터 센터 또는 백업 대상

데이터 센터에 대한 물리적 접근 권한은 명단에 있는 DDI 직원에게만 제공됩니다. 물리적 접근은 데이터 접근과 다릅니다. 물리적 매체는 잠긴 캐비닛 안에 있는 서버에 존재합니다. 원격 백업은 보안실의 내화성의 금고에 보관됩니다. 보안실은 접근이 제한되어 있으며 모든 접근이 기록됩니다.

안전한 전송

DDI 애플리케이션을 사용하는 경우 일반적으로 세 중요 당사자(고객, 고객측 직원/후보, DDI)가 데이터를 주고 받습니다.  DDI 애플리케이션에 접근한 최종 사용자가 제공한 정보는 안전하게 암호화된 (HTTPS) 방식을 통해 제출됩니다.  당사의 애플리케이션 서버가 처리한 데이터는 보관을 위해 당사의 데이터베이스 서버로 제출됩니다. 웹/애플리케이션 및 데이터베이스 서버는 방화벽으로 보호되는 별도의 논리적 그리고 물리적 네트워크에 위치합니다.

DDI는 안전한 HTTPS 애플리케이션 데이터 접근을 위해 SSL/TLS 1.2를 사용합니다. SSL 기술은 모든 DDI 애플리케이션에 표준으로 제공되며 모든 백업 테이프는 256비트 AES 암호화를 사용하여 암호화됩니다. 암호화는 애플리케이션 데이터베이스에 저장된 비밀번호에 적용됩니다.  (기밀 여부에 상관없이) 모든 파일은 DDI 노트북에서 외부 저장 기기로 복사 시 암호화된 상태를 유지합니다.

제품 개발 프로세스 및 코드 관리

개발 릴리스 주기

DDI는 애자일(Agile) 개발 모델을 사용합니다.  애자일 모델은 소프트웨어 개발을 위한 반복적 접근 방식으로, DDI가 고객의 요구에 신속하게 대응할 수 있도록 매우 민첩한 기능을 제공합니다.  DDI는 계획된 신규 코드 릴리스 주기를 따르며 통상적으로 해당 주기는 일주일입닏. 이는 DDI가 거의 매주 새로운 기능과 업그레이드를 출시한다는 의미입니다.  애자일 개발 모델을 사용하면 기존 기능 개선 그리고/또는 새 기능 추가 기회를 자주 가질 수 있습니다. 이러한 주기 외에도 "긴급 해결"이 필요한 경우 즉시 릴리스할 수 있습니다.

개발 (디지털) 환경

DDI는 업데이트된 코드 테스트를 위한 별도 애플리케이션 인스턴스 뿐만 아니라 초기 후보 코드 및 릴리스 후보 소프트웨어를 위한 별도의 인스턴스를 사용합니다. 이 접근 방식은 아직 개발 중에 있는 코드가 데이터를 제어하거나 데이터에 접근할 수 없도록 보호합니다.  모든 개발 코드는 "견본 데이터베이스"를 대상으로 실행됩니다.

코드 검토

프로그래머는 개인 및 팀 단위로 새 코드를 개발합니다.  각 개발 주기가 막바지에 도달하면, 생산 환경과 분리된 QA 환경에서 해당 코드를 동료들이 함께 검토, 검증합니다.  이 테스트 기간을 통해 생산 과정에 투입하기 전에 대부분의 버그를 바로 잡을 수 있습니다.  NTOSpider 툴을 사용하여 코드의 알려진 취약점을 프로그램적으로 검사할 수도 있습니다.

코드 관리

Git는 소프트웨어 개발 프로세스를 관리하는 데 사용되며 소스 코드 저장소 역할을 합니다.  Git 도구 및 관련 프로세스를 사용하면 동일한 모듈 내 여러 개발자의 변동으로 인해 변경 사항이 덮어쓰이지 않도록 할 수 있습니다.  변경 관리 프로세스는 다음을 포함한 개발, QA, 구동 과정의 다양한 수준에 존재합니다.

  • 애플리케이션 소유자에 의한 모든 변경 사항의 검토, 승인, 문서화를 포함한 변경 요청 문서화 및 소유
  • 개발에서 QA, QA에서 스테이징, 스테이징에서 생산으로의 코드 프로모션을 위한 게이트 승인 프로세스
  • 다중 위상 소프트웨어 테스트 및 QA 프로세스(유닛 테스트 후 시스템 테스트, 사용자 수용 테스트) 개발 및 유닛 테스트는 시스템 릴리스 전에 소프트웨어 개발자가 별도의 개발 시스템에서 수행하며 사용자 승인 테스트 역시 별도의 QA 시스템에서 수행합니다.

인프라 보안

전한 호스팅 시설

DDI는 이중화된 SSAE18, SOC 2 Type II, ISO / IEC 27001:2013, HIPAA/HITECH, PCI DSS 3.1 데이터 센터에서 고객 대면 애플리케이션을 호스팅합니다.

DDI의 서버 인프라는 밀폐된 8' x 16'의 전용 구역에 수납되어 있습니다.  이 구역은 애플리케이션 서버 및 네트워크 구성 요소 관리를 담당하는 DDI 직원만 접근할 수 있습니다. 데이터 센터 시설은 보안과 물리 설비 보호를 위해 광범위한 시스템을 사용합니다. 

서버는 공격 대상이 될 수 있으므로 DDI는 서버를 위해 적절한 보안을 확보합니다.  서버 보안을 개선하기 위한 DDI의 프로세스에는 다음과 같은 조치가 포함됩니다.  [보안상의 이유로 서버 보안 제어에 관한 모든 세부 정보를 제공할 수는 없습니다.]

  • 불필요한 서비스, 애플리케이션, 네트워크 프로토콜의 비활성화 또는 제거
  • 불필요한 사용자 계정 비활성화 및 기본 계정의 이름 변경
  • DDI 비밀번호 정책을 준수하도록 비밀번호 요구 사항 구성
  • 서버 로깅 및 감사 추적 활성화
  • 최신 정의 파일로 바이러스 백신/안티 맬웨어 소프트웨어 설치
  • 테스트 플랫폼에서 테스트를 완료한 최신 보안 패치로 구성

연속성

데이터 센터 시설의 핫싱크 평행/중복 시스템은 무정전 전원 장치(UPS)와 예비 발전기를 통해 이중화된 전원 공급 장치를 제공합니다.  이중화된 인터넷 접속을 위해 여러 통신 회사의 네트워크와 연결되어 있으며 연결을 로드 밸런싱하여 둘 이상의 ISP로부터 제공받습니다.

재해 복구

DDI는 대규모 시스템 장애 발생 시 비즈니스 서비스 복구를 위해 세부적인 재해 복구 계획을 유지관리하고 있습니다. 이 계획은 시스템 인프라 또는 운영 웹 팜 구성이 변경될 경우 그에 따라 업데이트됩니다.

네트워크 보안

<당사의 네트워크 인프라는 이중 HA 기기 쌍으로 구성되어 로드 밸런싱 및 가속 기능을 제공하며 TCP 포트 80 또는 443을 통해 (SSL 수준을 바탕으로) 웹사이트의 외부 IP 주소로 들어오는 요청을 수신합니다.  DDI가 사용하는 호스트 기반 및 네트워크 기반 감지 시스템은 연중무휴 24시간 모니터링과 대응이 이뤄집니다.

맬웨어/바이러스 방지

당사의 모니터링 환경은 근무 직원에게 연중무휴 24시간 자동으로 알림을 보내도록 설계되었습니다.  PC, 서버, 게이트웨이 시스템 등을 포함하여 해당하는 모든 시스템은 중앙에서 관리 및 업데이트하는 Microsoft의 엔드포인트 보호 바이러스 백신 및 “Zero-day Protection" 소프트웨어로 보호됩니다. 

데이터 보존 및 폐기

DDI는 개인 데이터를 관리하고 보호하기 위한 포괄적인 보존 정책을 실시합니다.  모범 사례를 기준으로 DDI는 계약 그리고/또는 법적 의무를 충족하는 데 필요한 기간을 초과하여 개인 데이터를 보존하지 않습니다.  당사의 정책은 (1) 5년 이하의 보존 기간이 만료된 개인 데이터의 경우 삭제/제거하거나 익명화하며 (2) 데이터가 개인화되지 않은 형식인 경우 비즈니스 및 연구 목적으로 영구 보존할 수 있도록 하고 있습니다.

2018년 5월 25일까지는 모든 애플리케이션 및 고객 데이터를 보존하고 데이터 손실 또는 재해 발생 시 복원이 가능하도록 매일밤 데이터를 점진적으로 백업할 예정입니다.  그 후에는 해당 백업 자료가 30일 동안만 유지합니다.

백업 스케줄 및 데이터 보존

  • 물리 파일 서버 및 DB 서버 백업: (디스크에 35일간 보존)
  • 운영 VM: (디스크에 35일간 보존)
  • SharePoint 고객 사이트: (디스크에 35일간 보존)
  • 월간 테이프 복사: (테이프에 1년간 보존)
  • 연간 테이프 복사: (테이프에 5년간 보존)

보안 사건 대응

DDI는 침입 감지, 스캔, 기타 효과적이고 적절한 방법을 포함한 포괄적인 보안 사건 탐지 및 대응 계획을 실시합니다. 가장 일반적인 것은 컴퓨터 관련 사건이나, 컴퓨터와 관련되지 않은 사건도 핫라인을 통해 신고하거나 DDI의 DPO 또는 기업 법률 담당자에게 알릴 수 있습니다.  DDI는 보안 침해 사건 발견 시 72시간 내에 영향 범위에 있는 고객과 적절한 정부 기관에 의심되는 사건 또는 실제 보안 사건을 보고할 것입니다.  사건이 해결되고 이를 적절히 알린 후에는 사건의 재발 방지를 위해 개인정보 통제 개선 조치를 취할 것입니다.

규정 준수

인증

SSAE-18: DDI는 중립적인 연례 SAS 70 Type II 감사를 받은 데이터 센터에만 데이터를 저장합니다.  SAS 70은 SSAE(Statement on Standards for Attestation Engagements) No. 18로 대체되었으며 당사의 데이터 센터는 해당 표준에 대한 인증을 받았습니다.

ISO 27001: DDI는 국제 표준화 기구에서 개발하여 세계적으로 널리 채택된 이 보안 표준을 준수하며 주기적 평가와 연례 인증 절차를 통해 규정 준수를 인증받은 데이터 센터만 사용합니다.

SOC 1/ SOC 2 – DDI는 SOC 1 또는 SOC 2 인증을 받지 않았습니다.  하지만 DDI의 데이터 호스팅 공급자는 현재 SOC 2 인증을 유지하고 있습니다. 

기밀 정보

모든 DDI 직원은 채용 시 기밀 정보 취급에 관한 우려 사항과 위험을 구체적으로 명시한 비밀 유지 계약서에 서명해야 합니다.  이 정책을 위반한 것으로 확인된 직원은 즉시 해고되거나 적용 가능한 법적 조치를 받게 됩니다.

배경 조사

DDI는 일반적으로 선발 과정의 제안 단계에서 타 대행사를 통해 구직 지원자의 배경을 조사합니다. 대행사가 수집할 수 있는 정보 유형에는 개인의 고용 이력, 교육, 성격, 재무, 평판 등이 있으며 이에 국한되지 않습니다. 모든 배경 조사 작업은 관련 연방 및 주 법을 준수하여 진행됩니다.

SSN 확인

미국에 거주하는 모든 직원은 합법적인 미국 근로자로서 사회 보장 번호 또는 취업 허가를 확인받았습니다.

EU 데이터 보호 규정

DDI는 미국에 본사를 둔 기업으로서 전 세계 고객에게 서비스를 제공하며 유럽에서 미국으로 확실하게 데이터를 전송하는 메커니즘을 통해 개인정보 보호(Privacy Shield, Safe Harbor를 대체), EU 모델 계약 조항 및 최종 사용자 동의를 포함한 EU 데이터 보호 규정에 필요한 법적 보호를 제공합니다.  개인정보 보호 프로그램에 따른 DDI 인증은 개인정보 보호 실드 사이트( https://www.privacyshield.gov/)에서 확인할 수 있습니다.

EU 모델 조항

EU 모델 조항은 DDI 및 고객과 같은 서비스 공급업체 간의 표준 계약 조항으로, EEA를 떠나는 모든 개인 데이터가 EU 데이터 보호 법을 준수하여 전송되고 EU Data Protection Directive 95/46/EC의 요구 사항을 충족하도록 보장하기 위해 고안되었습니다.

일반 데이터 보호 규정

2018년 5월 25일, 일반 데이터 보호 규정(GDPR)이라는 새로운 개인정보 보호 원칙이 법제화됩니다.  GDPR은 EU 주민의 사생활 보호 권리를 확장하고 EU의 개인 데이터를 저장 및 처리하는 DDI와 같은 서비스 공급업체에 새로운 의무를 부과합니다.  DDI는 GDPR이 자체적으로 그리고 고객과 함께 개인정보 보호에 대한 DDI의 노력을 심화하고 데이터 보호 모범 사례를 더 깊이 적용할수 있는 기회라고 생각합니다.

다른 법적 요구 사항과 함께 GDPR을 준수하기 위해서는 DDI 및 외주 처리업체, DDI 고객 간의 파트너십이 필요합니다. DDI는 고객에게 서비스를 제공함에 있어 GDPR을 준수하는 동시에 고객의 규정 준수를 돕기 위해 최선을 다하겠습니다. DDI는 GDPR의 요구 사항을 면밀히 분석하였으며 당사와 고객이 GDPR을 준수하도록 지원하기 위해 당사의 제품, 계약, 문서를 개선하고 있습니다.   

타사 공급업체

DDI는 당사의 계약에 명시된 대로 고객 서비스 제공을 위해 타사 공급업체를 활용합니다.  당사는 데이터 처리 매개변수와 요구 사항을 지속적으로 정렬시키기 위해 엄격한 적용, 검토, 감사 프로세스를 실시합니다.  모든 타사 공급업체는 DDI의 데이터 처리, 보호, 보안 표준을 준수해야 합니다.

당사의 외주 처리업체 목록은  https://www.ddiworld.com/thirdpartyproviders에서 확인하실 수 있습니다.

전문가 상담: GISP
* 요구되는 필드 보기
 *
 *
 *
 *
 *
 *
 *
 *
Consent to DDI Marketing *

본인은 DDI가 본인에게 서비스를 제공하고 마케팅 및 연구를 실시하기 위한 목적으로 본인의 개인 데이터를 수집하고 처리하는 데 동의합니다. 본인은 본인의 권리 및 DDI 데이터 개인정보 보호정책에 명시된 바에 따른 본인 데이터의 사용 방식에 대해 인지하고 있습니다.

이미지의 번호를 입력해 주세요.
 Security code