정보보호 인증 보유 현황 (2024년 03월 기준)
플렉스 주식회사(이하 ‘플렉스팀’)는 정보보호 및 개인정보보호 관리체계 수준을 지속적으로 개선하고 있으며 외부 인증 기관으로부터 이러한 활동 및 성과를 인정받고 있습니다.
2024년 3월 현재 플렉스팀이 취득 및 운영중인 정보보호 인증을 소개합니다.
ISO/IEC 인증
회사는 ISO/IEC 27001, 27701 인증을 보유하고 있습니다.
ISO/IEC 27001
ISO27001 SoA (Statement of Applicability, 적용성 보고서)
ISO/IEC 27701
ISO27701 SoA (Statement of Applicability, 적용성 보고서)
ISO/IEC 27001 인증 (정보보호 관리체계)
ISO/IEC 27001은 정보보호 관리체계 (ISMS, Information Security Management System)의 국제규격 인증으로 flex 서비스의 전체적인 정보보호 수준이 국제 표준 기준으로 인정 받았음을 의미합니다.
ISO/IEC 27701 인증 (개인정보보호 관리체계)
ISO/IEC 27701은 ISO/IEC 27001을 기반으로 하여 개인 식별 정보 (PII, Personal Identifiable Information)에 대한 보호조치 요구사항을 확장 반영한 기준입니다. 개인정보의 총 집합체라고 할 수 있는 고객사 구성원의 인사정보를 안전하게 관리 및 운영하기 위해 플렉스팀은 국제 기준의 개인정보보호 관리체계를 갖추고 있음을 인정 받았습니다.
플렉스팀의 인증관리
flex 서비스는 클라우드 환경에서 개발 및 운영 하고 있는 SaaS 제품으로 정보보호 관리체계 구축 시, ISO/IEC 27001, 27701, ISMS-P 기준 및 타사의 best practice 등을 기반 및 참고하여 클라우드에 환경에 적합한 보안통제를 적용하여 운영하고 있습니다. 2021년 최초 인증 취득 후 매년 인증을 갱신하고 있으며 정보보호 관리체계 수준을 높이기 위한 다양한 방안을 고민하고 적용하고 있습니다.
ISMS 인증
플렉스팀은 flex 서비스 개발 및 운영에 대해 ISMS 인증을 2024년 2월에 취득하였습니다.
적용성 보고서
[인증범위]
인증번호: ISMS-KISA-2024-018
인증범위: HR (Human Relations) 플랫폼 서비스 개발 및 운영
유효기간: 2024.02.07. ~ 2027.02.06.
ISMS 인증 (정보보호 관리체계 인증)
ISMS 인증은 정보보호를 위해 필요한 모든 보안조치와 활동이 ISMS 인증기준을 만족하는 지 여부를 인증기관의 심사를 통해 확인하는 제도로서 기업의 지속적인 정보보호 활동 수행 여부와 국내 관련 법령을 준수하고 있는 지 등을 확인할 수 있는 기준으로 사용되고 있습니다.
플렉스팀의 인증관리
회사는 ISMS 인증 의무 대상 기업은 아니나 flex 서비스를 이용하는 고객들에게 ISO/IEC 인증과 함께 국내 기준의 정보보호 및 개인정보보호 관리체계 구축 및 운영의 적정성 여부를 확인받기 위하여 2021년 12월에 ISMS-P 인증을 취득 하였으며 2022년 첫번째 사후심사를 완료했습니다. 2023년 하반기, “HR (Human Relations) 플랫폼 서비스 개발 및 운영”의 범위로 ISMS 인증 심사를 완료했으며 2024년 2월에 인증을 취득했습니다. 앞으로 매년 사후심사 등을 통해 지속적으로 정보보호 관리체계를 개선 및 발전시킬 것입니다.
클라우드 공동 책임 (AWS Vs. 플렉스팀 Vs. 고객)
flex는 SaaS (Software as a Service) 형태로 HR 플랫폼을 제공하고 있습니다. ’클라우드 공동 책임 모델’이란 SaaS HR 플랫폼에 위치한 고객의 정보를 안전하게 보호할 수 있도록 서비스 제공자와 고객이 역할 및 책임을 나누는 것입니다.
플렉스팀은 AWS 환경에서 flex 서비스 제공자로서 맡은 역할과 책임을 다하기 위해 최선을 다하고 있습니다. 자세한 내용은 AWS의 클라우드 공동 책임 모델을 참고해 주세요.
flex Security & Data Protection의 주요 내용
플렉스 주식회사 (이하 ‘플렉스팀’)는 다음과 같은 정보보호 조치를 적용 및 운영하고 있습니다.
국제적으로 인증받은 cloud service provider 이용
flex 플랫폼은 AWS (Amazon Web Services) 서울 리전에 구축되어 있습니다. AWS는 유연하고 안전한 컴퓨팅 환경으로 설계되어 있으며 국제 수준의 보안 표준과 규정 준수 인증 및 적용을 지원합니다.
AWS 클라우드 보안에 대한 자세한 내용은 AWS 홈페이지를 참고해주세요.
데이터 암호화
고객의 데이터를 외부 네트워크를 통해 송수신하는 경우 TLS 1.2 이상을 적용하고 있으며 모든 고객의 데이터는 AES-256으로 암호화하고 있습니다. (단, 비밀번호는 일방향 암호화 알고리즘 적용)
이에 따라, 플렉스팀 개발자를 포함한 모든 구성원이 고객의 개인정보를 plain text (복호화된 상태)로 확인할 수 없습니다.
인프라 및 데이터 이중화
flex 서비스는 AWS Seoul 리전 내 다중 AZ (Availability Zones)을 이용하여 데이터 및 application을 이중화하고 있습니다. 데이터의 경우, 스냅샷 형태로 정기적으로 백업한 후 일정기간 보관하고 있으며 재해 발생 시 최신 스냅샷으로 복구가 가능합니다. 이에 따라 재해 등 발생 시 AWS가 제공하는 AZ 아키텍쳐를 활용하여 복원성을 지원하고 고가용성을 보장합니다. 아울러, 플렉스팀은 최소 연 1회 재해 복구 절차의 적정성과 효과성을 확인하고 있습니다. (참고) AWS Seoul 리전은 총 4곳의 AZ을 개설하여 운영하고 있으며 AZ의 물리적 위치는 AWS 정책에 따라 공유하고 있지 않습니다. (리전과 AZ에 관한 상세 내용은 AWS 홈페이지 참고)
사용자 접근 및 권한 통제
flex 서비스가 운영되는 AWS에 대한 계정은 IAM (Identity and Access Management)와 SG (Security Group)으로 통제되며 Okta 인증 (다중 인증)을 통해 내부 인가를 받은 자에 한해 접근이 됩니다.
EC2와 RDS는 서버 접근제어 솔루션과 DB 접근제어 솔루션으로 통제하고 있으며, 사용자가 수행한 모든 내용을 모니터링하고 있습니다.
개발자의 경우, 운영환경을 임의로 생성, 변경, 삭제 할 수 없으며 개발 환경에 한정되어 접근이 가능합니다.
플렉스팀은 정기적인 계정 및 권한 검토를 통해 권한의 적정성을 확인하며 불필요한 계정이 발견된 경우, 즉시 삭제합니다.
보안 모니터링
flex 서비스에 사용되는 AWS 정보시스템 인프라는 IaC (Infrastructure as Code)로 관리되며 정기적인 스캐닝을 통해 보안 취약점이 있는 지 확인하고 발견된 취약점에 대해 개선작업을 진행합니다.
AWS 환경은 AWS에서 제공하는 Security Component (예. Cloudtrail, WAF, Shield Standard, GuardDuty, Security Hub, Config. 등)를 사용하여 보호 및 모니터링을 하고 있습니다.
보안 취약점 관리
flex 서비스는 내부적으로는 개발 완료된 프로그램 소스에 대한 보안 취약점을 스캐닝하고 대응합니다. 또한, 매년 외부 기관을 통해 보안 취약점 점검을 받고 있으며 발견된 취약점에 대해 내부 개선 계획을 수립 및 진행하여 flex 서비스의 보안 수준을 높이고 있습니다.
정보보호 규정 수립 및 운영
플렉스팀은 전사 구성원이 일정 수준의 정보보호 기준을 준수하기 위해 정보보호 정책, 지침, 가이드라인을 수립하고 공포합니다. 매년 1회 이상, 정보보호 규정 내용을 검토하고 국내외 정보보호 및 개인정보보호 법령, 현황에 맞춰 내용을 개정합니다.
구성원의 정보보호 책임 및 정보보안 인식교육 진행
플렉스팀 구성원은 입사 시, 보안 서약서 작성을 통해 정보보호에 대한 책임을 확인 받고 있습니다.
또한, 다음과 같은 정보보안 인식교육을 진행하여 담당하는 업무에 따라 준수해야 하는 정보보안 및 개인정보보호 기준을 숙지하고 준수할 수 있도록 합니다.
전직원 대상 정보보안 인식교육
신규 입사자 대상 정보보안 인식교육
개인정보 취급자 대상 개인정보보호 교육
개발자 대상 시큐어 코딩 교육
엔드포인트 보안
플렉스팀 구성원의 업무기기에는 MDM (Mobile Device Management)과 anti-virus software, 개인정보파일 암호화 솔루션이 기본적으로 설치됩니다. 또한, 고객의 개인정보를 취급하는 일부 부서 (예. 고객 대응, 컨설팅 등) 구성원의 업무기기에는 ITM (Insider Threat Management) 솔루션이 적용되어 있습니다.
고객사의 구성원 개인정보 처리에 관한 의무
flex를 이용하여 회사 구성원 (임직원, 계약직 등 flex를 통해 관리하는 모든 인원, 이하 ‘정보주체’)의 정보를 처리하는 공공기관, 법인, 단체 및 개인은 개인정보 보호법상 ‘개인정보처리자’이며 개인정보처리자는 법에서 명시된 아래 내용에 대한 책임이 있음을 확인합니다.
💡 ※ 참고문서※ (개인정보보호위원회 페이지 내 검색)
⌜개인정보 보호 가이드라인 (인사 • 노무 편) (2023.1 개정)⌟
최소한의 개인정보 수집
‘개인정보 처리자’는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하며 그 목적 외의 용도로 활용해서는 안됩니다.
정보주체의 동의를 받거나 법적 의무를 준수하기 위해, 법률 규정에 따라, 혹은 정보주체와의 계약 (예. 근로계약 등 )의 체결 및 이행에 따라 불가피하게 개인정보를 수집을 하는 경우에도 “최소한의 개인정보 수집”은 동일하게 적용되어야 합니다.
개인정보 수집 및 이용 동의
‘개인정보처리자’는 ‘정보주체’로부터 동의를 받는 경우, flex에서 처리하는 개인정보와 flex 사용 중 발생하는 이용 기록 (예. 근태 기록, 급여 정산 기록, 각종 정보의 조회, 변경, 삭제 등), 서비스 개선 및 문제 대응을 위해 필요한 정보 (모바일 기기 정보, 쿠키 정보, 방문 기록 등)를 고지해야 합니다.
동의받은 목적외로 개인정보를 추가적으로 이용하는 경우, 이에 대해 정보주체로부터 추가 동의를 받아야 합니다.
💡 ※ 참고문서※ (개인정보보호위원회 페이지 내 검색)
⌜알기쉬운 개인정보 처리 동의 안내서 (2022-03-03)⌟
고유식별정보 및 민감정보, 수집 시 별도 동의
‘개인정보처리자’가 인사관리 목적으로 고유식별정보 (주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)를 수집하는 경우, 수집하는 법적 근거를 고지하고 ‘정보주체’로부터 별도 동의를 받고 수집해야 합니다.
민감정보 (예. 사상 • 신념, 노동조합 • 정당의 가입 및 탈퇴, 정치적 견해, 건강 정보 등)의 수집은 기본적으로 금지입니다. 그러나 업무 목적, 인사 관리 등의 목적으로 부득이하게 수집하는 경우, 별도 동의를 받고 수집해야 합니다.
법령 준수를 위한 개인정보 수집
‘개인정보처리자’가 근로기준법, 고용보험법, 국민연금법 등 법적 근거에 따라 필수적으로 수집 및 처리해야 하는 개인정보에 대해서는 해당 법적 근거를 고지해야 합니다. (단, 고유식별정보는 별도 동의가 필요)
가족 수당 등을 위해 가족관계 및 연령 확인 등을 위해 가족의 개인정보를 수집하는 경우, 관련 법령을 고지해야 합니다.
개인정보의 제3자 제공
‘개인정보처리자’는 법령에 근거나 정보주체의 동의 없이는 제3자에게 개인정보를 제공해서는 안되며 사전 동의가 필요합니다.
개인정보의 안전한 저장과 파기
flex를 통해 추출 및 다운로드한 개인정보는 ‘암호화’하여 안전하게 저장하고 이용 목적 달성 후엔 복구가 불가능하도록 즉시 파기합니다.
개인정보보호 책임자 지정
‘개인정보처리자’는 ‘정보주체’의 개인정보의 안전한 취급 기준을 정의, 모니터링, 가이드 할 담당자를 지정합니다.
정보보안 관련 팀이 없는 경우, ‘정보주체’의 개인정보를 주로 이용하는 부서의 장으로 지정
정보주체를 위한 개인정보 처리방침 고지
‘개인정보처리자’는 ⌜개인정보 처리방침⌟을 작성하여 ‘정보주체’가 확인하기 쉬운 위치에 공개해야 합니다.
→ flex 내 “회사 문서” 기능 활용 가능
💡 ※ 참고문서※ (개인정보보호위원회 페이지 내 검색)
⌜개인정보 처리방침 작성 지침 (2022.3월 개정)⌟
개인정보보호를 위한 최소한의 기술적, 관리적 보호조치
(flex 계정 • 권한 관리) ‘개인정보처리자’는 flex에서 제공하는 기능을 이용하여 인가된 사용자에게 적절한 계정을 부여하고 업무 목적으로 필요한 최소한의 권한을 부여하는 데 책임이 있습니다.
(기술적 보호조치) ‘개인정보처리자’는 flex를 이용하는 ‘정보주체’의 개인정보가 해킹 등으로 유출되지 않도록 백신 프로그램 설치, 단말기 접근 통제 등 관련 법령에서 요구하는 최소한의 안정성 확보조치를 준수합니다.
(정보주체의 정보보안 인식 제고) ‘개인정보처리자’는 flex를 이용하여 개인정보를 취급하는 사용자를 대상으로 정보보안 인식교육을 진행합니다.
(개인정보 유출 시 통보) ‘개인정보처리자’는 ‘정보주체’의 개인정보가 유출된 경우, 해당 ‘정보주체’에게 즉시 통보합니다.
💡 ※ 참고문서※ (개인정보보호위원회 페이지 내 검색)
⌜개인정보의 기술적 • 관리적 보호조치 기준 해설서 (2022.10.)⌟
⌜개인정보의 안전성 확보조치 기준 해설서 (2020.12.)⌟
flex Security의 상세 운영 현황
관리적 보호조치
관리적 보호조치
개인정보보호 (생명주기 기반)
개인정보보호 (생명주기 기반)
기술적 보호조치
기술적 보호조치
flex Security (English Version)
Compliance
flex Corp. complies with Korea and global information security and data protection frameworks.
K-ISMS
Korea government operates ‘Certification of Information Security Management Systems (K-ISMS)’ in accordance with ‘Act on Promotion of Information and Communications Network Untilization and Information Protection’ in Korea. Through the K-ISMS certification, companies and institutions can measure if they comply with local and global information security requirements.
The K-ISMS is operated and issued by KISA (Korea Internet and Security Agency) and the validity period of the K-ISMS is 4 years. The companies and institutions holding the K-ISMS certification should go through yearly assessment during the validity period to maintain the certification.
flex Corp. holds K-ISMS certification with scope of “Development and Operations of HR Platform Services”.
ISO 27001
flex Corp. has ISO 27001 certification, demonstrating how we make a hard effort to operate mature information security management system for our services.
ISO 27701
In addition to ISO 27001, flex Corp.’s ISO 27701 demonstrates how we operates privacy protection controls (programs) to protect personal data of customer’s employees.
Summary of flex Security
Secure Cloud Service Provider
flex is developed and operated on AWS (Seoul Region).
For AWS security, please refer to AWS Cloud Security.
Data Encryption
All data sent to or from flex is encrypted using TLS 1.2 or above and most personal data (i.e. name, SSN, address, email address, salary amount and etc.) at rest is encrypted using AES 256.
Based on local regulation, password is encrypted using one-way encryption algorithm.
Redundancy of Infrastructure and Data
We guarantee high availability of flex service through AWS AZ (Availability Zones). All data is daily backed up with snapshot in AWS and the snapshots are retained for a certain period of time.
Also, we perform a BCP drill on a yearly basis to assess and improve an internal recovery plans/processes.
Strict Access Control
Access to overall flex systems is controlled through our identity provider, AWS managed services such as IAM.
Access to EC2 and RDS is controlled and monitored through the third party access control solution.
flex security team regularly checks if there is any unnecessary account and access authority of the systems.
Security Monitoring
All resources on AWS are monitored and configured based on internal security standards. We implement IaC (Infrastructure as Codes) and the IaC is scanned on a regular basis to identify security vulnerabilities.
AWS infrastructure is protected and monitored using AWS security components including CloudTrail, WAF, Shield Standard, GuardDuty and etc. Also, with the third party vendors, 24x7 security monitoring is available.
Control of Security vulnerabilities
We implement SAST, DAST in our CI/CD pipeline to identify security vulnerabilities.
When the vulnerabilities are detected, supplementary measures are applied based on internal security standards to minimize security risks.
Information Security Policy and Standards
We establish and maintain information security policy and standards (’Security Documents’) based on K-ISMS and ISO 27001 certification requirements.
The Security Documents are reviewed and updated, applying recent security trends and legal requirements on a yearly basis.
Security Awareness Training
flex Corp. provides security awareness trainings to all employees as below:
General awareness training for all employees (Yearly)
Training on personal data protection for employees who handle/process personal data (Yearly)
Secure coding training for product engineer (Yearly)
Onboarding security awareness training (Monthly)
Endpoint Security
By default, Anti-virus software and privacy protection solution are installed on the devices.
Any suspicious activities are automatically alarmed to security team for prompt response.