보안 및 데이터 보호

시프티는 고객 여러분이 안심하고 서비스를 사용할 수 있도록 높은 보안수준을 유지하고 있으며 보안강화를 위해 지속적으로 노력하고 있습니다.

보안 인증

시프티는 보안 규정, 개인정보보호 및 정보보호 관련 법률을 준수하며 국제 보안 인증 획득을 통해 고객에게 안전한 서비스를 제공할 수 있도록 최선을 다하고 있습니다.

ISO 27001:2013 인증 획득

ISO 27001:2013은 정보보안경영시스템 요구사항을 정의한 국제 표준으로, 조직의 소중한 정보 자산 관리와 보호를 지원합니다.

지속적인 정보보안 테스트

시프티는 전문 보안 컨설턴트를 통해 정보보호 취약점을 테스트하고 언제나 '최우수 등급'을 유지하고 있습니다.

전 세계 300,000+ 기업과 사업장에서 시프티와 함께 더 나은 근무환경을 만듭니다.


시프티의 정보보호 방식

시프티는 근태관리 용도 외의 개인정보를 수집하지 않으며,
모든 데이터는 상시 암호화된 형태로 저장됩니다.

제한적인 정보 수집

시프티는 근태 전문 솔루션으로, 사용자의 민감한 개인정보는 수집하지 않습니다.


수집정보

이름
이메일 주소
사원번호(선택)
전화번호(선택)

암호화 알고리즘

데이터를 알아볼 수 없도록 암호화하여 외부의 접근으로부터 정보를 보호합니다.


AES-256 알고리즘

시프티 데이터베이스 암호화 방식

강력한 비밀번호 알고리즘

OpenBSD, Linux Distribution 등에서 사용되는 해독 불가한 알고리즘 적용

위치기반서비스사업자 등록

방송통신위원회에서 인증하는 위치기반서비스사업자로 등록되어 있습니다.


위치정보 수집의 건

시프티는 제한적인 시점(출근/퇴근)에만 위치 정보를 수집하며, 출퇴근 여부 확인 후 데이터를 즉시 폐기합니다.

안전성이 보장된 클라우드 서비스

AWS 클라우드 보안

국내외 유수기업들에서 사용되는 아마존 웹서비스에 데이터를 저장합니다. 시프티는 AWS Seoul 리전을 사용합니다.

AWS Service Ready

AWS의 Service Ready 프로그램을 통해 전문성과 성공적인 고객사례 등을 입증하였습니다.

DDoS 공격 방어

AWS는 오늘날 가장 유연하고 안전한 클라우드 웹서비스로, 안정적인 보안 체계를 유지하여 외부공격을 완화합니다.

강력하고 다양한 보안 기능 제공

시프티는 SAML Single Sign-on(SSO) 기능을 제공하고 있어, 고객의 사내 시스템 내 인증 정보를 활용하여 별도의 추가 로그인 정보를 입력하지 않고도 이용자 인증이 가능합니다.
시프티는 이용자가 특정 IP 주소 범위 내에서만 접근할 수 있도록 제어할 수 있는 IP 접근제어 기능을 제공하고 있습니다. 고객이 이용자를 신뢰할 수 있는 사내 IP(Public)에서만 접근할 수 있도록 하여 비인가자의 접근을 예방할 수 있습니다.
시프티는 관리자 권한을 세부적으로 분리하여 제공하고 있습니다. 고객은 분리된 권한 수준을 활용하여 허가된 이용자에게만 앱 설정, 데이터 조회 및 변경 권한 등을 부여할 수 있습니다.
시프티는 관리자 권한이 부여된 이용자의 데이터 생성/수정/삭제 등을 확인할 수 있는 감사로그를 제공하고 있습니다. 제공되는 감사로그를 활용하여 고객은 관리자 활동에 대한 기록을 확인할 수 있습니다.

클라우드 및 애플리케이션 보안

시프티는 ISO, CSA, SOC, K-ISMS 등과 같은 신뢰할 수 있는 보안 규정을 준수하며 보안 인증을 획득 및 유지하고 있는 AWS 데이터센터에 서비스 데이터를 호스팅하고 있습니다.
시프티의 데이터는 국내 (AWS 서울 리전) 데이터센터에서 처리/저장되고 있습니다
시프티는 장애 및 재해에 신속히 대응할 수 있는 체계를 갖추고 있습니다. 시프티의 시스템과 데이터는 3개의 AWS 가용 영역에 분산되어 있어 1개의 데이터 센터에 장애 및 재해가 발생할 경우에도 중지 없는 서비스 제공이 가능합니다. 또한, 시프티는 데이터를 정기적으로 분산 백업하고 있어 장애 및 재해 발생에도 데이터 손실을 최소화합니다.
시프티는 DDoS 공격 완화와 악성 트래픽 및 네트워크 공격을 모니터링하고 이를 차단할 수 있는 시스템을 운영하고 있습니다.
시프티의 데이터는 AES-256 알고리즘으로 암호화하여 저장하고 있으며 비밀번호는 일방향 해시함수를 사용하여 암호화하고 있습니다. 데이터 전송 시 HTTPS/TLS(TLS 1.2 이상)를 이용한 암호화 전송을 통해 데이터 및 트래픽을 안전하게 보호하고 있습니다.
시프티는 애플리케이션에서 발생하는 접속기록과 같은 활동 내역에 대한 로그를 상시 모니터링하고 있으며 관련 로그는 접근이 제한된 클라우드 저장소를 이용하여 보관하고 있습니다.
시프티는 직원들의 시스템 및 고객 데이터 접근 권한을 업무를 위해 필요한 최소한의 인원으로 제한하고 필요한 최소한의 권한만을 부여하고 있습니다. 제한적으로 발급한 계정들은 IP를 이용한 접근제어와 OTP 등을 이용한 2단계 인증(2FA) 및 강력한 비밀번호 정책을 통해 보호하고 있습니다.
시프티는 설계 단계부터 보안 요구사항을 정의하여 반영하고 있습니다. 시프티는 안전한 프레임워크와 코딩 방법을 활용하고 있으며 개발된 코드는 내부 코드 리뷰를 통해 다시 한번 확인 절차를 거치고 있습니다. 리뷰가 완료된 코드는 운영환경과 분리된 별도의 환경에서 수차례 테스트를 진행한 후 보안 검토를 거쳐 최종적으로 운영환경에 반영합니다. 시프티는 테스트 시 운영 데이터를 사용하지 않습니다.
시프티는 정기적으로 시스템 및 애플리케이션에 대한 취약점을 점검하고 발견된 취약점을 조치하고 있습니다. 취약점 점검은 전문성을 갖춘 인원이 수행하고 있으며 발견된 취약점은 엔지니어링팀과의 협력을 통해 조치방안을 마련하여 빠르게 조치하고 있습니다.

인적 보안

시프티는 안전한 업무 수행을 위해 다양한 부분에 적용할 수 있는 정보보호 정책을 수립하였습니다. 정보보호 정책은 시프티 직원 및 협력업체에 적용 및 공유합니다.
시프티의 직원들은 매년 정보보호 및 개인정보보호 교육을 이수하고 있습니다.
시프티의 직원들은 업무 수행 전 비밀유지계약서에 서명하고 있습니다.

정보보안과 관련하여 더 궁금한 사항이 있으신가요?

시프티 고객지원팀이 도와드리겠습니다.