인증 및 컴플라이언스 개요
이 개요는 Mattermost가 내부 컴플라이언스 이니셔티브를 지원하는 방법을 요약합니다. 다음 개요는 Mattermost 소프트웨어가 유럽 연합의 개인정보 보호 규정(GDPR), 즉 규정(EU): 2016/679(전문 보기)를 다루는 컴플라이언스 프로그램을 지원하는 데 어떻게 사용될 수 있는지, 그리고 Mattermost, Inc.
이 개요는 Mattermost가 내부 컴플라이언스 이니셔티브를 지원하는 방법을 요약합니다. 다음 항목을 포함합니다:
- GDPR 컴플라이언스
- 미국 수출 컴플라이언스
GDPR 컴플라이언스#
다음 개요는 Mattermost 소프트웨어가 유럽 연합의 개인정보 보호 규정(GDPR), 즉 규정(EU): 2016/679(전문 보기)를 다루는 컴플라이언스 프로그램을 지원하는 데 어떻게 사용될 수 있는지, 그리고 Mattermost, Inc. 자체가 규제 요건을 어떻게 준수하는지를 요약합니다.
GDPR 원칙에 대한 지속적인 약속#
Mattermost는 신뢰도가 높은 조직을 위한 협업 허브로서 유럽 연합 내 사람들의 데이터를 보호하기 위한 GDPR 원칙 지원에 전념합니다. Mattermost는 다음을 통해 이 사명을 준수합니다:
- 보안 인프라: 보안, 개인정보 보호 및 컴플라이언스 기능에 대한 지속적인 투자.
- 계약 의무: 표준 이용 약관에 포함된 데이터 처리 부록을 포함한 적절한 계약 의무.
- 개인정보 보호 조치: 개인정보 보호 조치는 개인정보 처리방침에 설명되어 있습니다.
- 제품 기능: 데이터 관리 및 데이터 이동성 보장.
보안 인프라#
Mattermost는 조직이 사용자와 고객의 정보를 보호할 수 있도록 높은 보안 표준으로 개발된 자체 호스팅 커뮤니케이션 인프라를 통해 정보를 보호합니다. 이 보안 인프라의 기능은 다음과 같습니다:
- 보안 기능: 조직 자체 인프라 배포를 가능하게 하는 Mattermost 오픈소스 및 상업적 제품의 보안 기능.
- 책임 있는 공개 정책: 전 세계 보안 연구원들이 의심되는 취약점을 기밀로 보고하여 Mattermost 소프트웨어 업데이트에서 해결할 수 있도록 하는 정책.
- 보안 검토: 내부 보안 검토 팀과 외부 보안 연구원 모두에 의해 수행되는 보안 검토.
- ISO 27001 표준: 국제 보안 지침과의 일치를 달성하기 위해 충족되는 표준.
계약 의무#
Mattermost는 다음을 통해 데이터의 적절한 관리를 위한 계약 의무를 준수합니다:
- GDPR 준수 데이터 처리 부록: Mattermost 표준 약관에 포함됨.
- Mattermost 개인정보 처리방침: Mattermost, Inc.가 관리하는 온라인 인프라에서 데이터가 어떻게 처리되는지 공유.
개인정보 보호 조치#
Mattermost는 개인정보 처리방침에서 고객 및 파트너가 제출한 개인 데이터의 안전을 유지하기 위한 보안 조치를 설명합니다.
제품 기능#
Mattermost는 데이터 관리 및 데이터 이동성을 보장하는 기능을 지원합니다.
데이터 관리#
- 데이터 보존: 일정 기간 후 데이터를 자동으로 삭제하는 데이터 보존을 사용하세요. 이 기능은 삭제권 원칙을 충족합니다. Team Edition에서는 데이터베이스 스크립트를 사용하여 동일한 결과를 얻을 수 있습니다.
- 프로필 삭제: mmctl user delete를 통해 사용자의 개인 정보를 삭제하세요. 이는 사용자가 작성한 메시지를 포함하여 모든 사용자 정보를 영구적으로 삭제합니다.
- 자체 호스팅 푸시 알림 서비스: 자체 푸시 알림 서비스를 호스팅하거나, 보안 및 컴플라이언스 정책을 충족하기 위해 AppConfig를 지원하는 EMM 공급업체와 함께 모바일 앱을 배포하세요. 자세한 내용은 모바일 앱 배포 문서를 참조하세요.
데이터 이동성#
- 데이터 가져오기: 대량 로딩 도구를 사용하여 기존 메시지 시스템에서 데이터를 마이그레이션하거나, 새 설치를 데이터로 사전 채울 수 있습니다. 다양한 접근 방식을 요약하고 데이터 이동권 원칙을 충족하는 Slack에서 마이그레이션 안내를 검토하세요.
- 데이터 내보내기: 컴플라이언스 내보내기를 사용하여 공개, 비공개 및 다이렉트 메시지 채널의 대화를 XML 또는 EML 형식으로 내보낼 수 있습니다. Team Edition 사용자는 PostgreSQL 및 MySQL 모두에서 데이터베이스에서 직접 대화를 내보낼 수 있습니다.
접근성 컴플라이언스#
자세한 내용은 접근성 컴플라이언스 정책 문서를 참조하세요.
접근성 표준 준수는 다음과 같은 방법으로 지원됩니다:
- 508 컴플라이언스: 508 컴플라이언스를 확인하려는 고객, 파트너 및 기타 이해관계자의 요청에 따라 VPAT가 제공됩니다.
- WCAG 2.0L: 웹 콘텐츠 접근성 가이드라인 2.0(WCAG) 충족을 위해 Mattermost는 제3자로부터 "A" 등급을 받았으며 "AA" 등급을 향해 노력하고 있습니다.
- ADA: 미국 장애인법(ADA)에 대한 Mattermost 컴플라이언스는 접근성 도구를 위한 인터페이스로서 Mattermost의 온라인 경험을 통해 VPAT 및 WCAG 2.0 가이드라인에 명시된 접근성 지원을 제공하여 달성됩니다.
- 수정 조치: 제품 문서에 명시된 접근성 등급 준수를 방해하는 현재 또는 향후 제품 릴리즈의 기술적 문제는 제품 결함으로 간주되며 Mattermost는 이를 해결하기 위해 결함에 대한 공개 이슈 보고를 환영합니다.
미국 무역 컴플라이언스#
Mattermost, Inc.는 미국 무역 컴플라이언스 법률을 준수하기 위한 여러 제어 및 프로세스를 구현합니다.
- IP 차단: 저희는 IP 차단을 사용하여 특정 국가에서 상업 시스템(예: 상업적 및 독점 제품 가입)에 대한 액세스를 거부합니다.
- 자동화된 컴플라이언스 스캔: 저희는 Descartes라는 자동화된 수출 컴플라이언스 도구를 사용합니다. Salesforce 계정 레코드의 우측 상단에 안전 수준을 나타내는 눈에 띄는 Descartes 박스가 있습니다. 플래그가 지정된 계정은 법무팀 또는 담당자가 Descartes 시스템 내에서 승인해야 합니다.
- 수동 컴플라이언스 검토: 때로는 제재 규정 변경에 대한 공지가 수출 컴플라이언스 도구의 적응 속도보다 빠르게 이루어집니다. 제재가 발표된 경우 자동화 솔루션이 업데이트되기 전에 비즈니스를 능동적으로 검토하고 제재를 시행하기 위한 변경을 할 수 있습니다.
- 법적 제한: 저희 상업 소프트웨어에는 미국 무역 법률을 위반하는 사용을 금지하는 관리자와 최종 사용자 모두에게 적용되는 법적 조항이 포함되어 있습니다.
여기서 참조된 미국 무역 법률은 https://www.bis.gov 및 https://ofac.treasury.gov/ 에서 온라인으로 찾을 수 있습니다.
조직이 미국 무역 법률 또는 제재 하에 잘못 분류되었다고 생각하시면 compliance@mattermost.com으로 이메일을 보내주세요.
새로운 미국 무역 법률 또는 제재로 인해 고객 관계를 종료하는 프로세스는 무엇인가요?#
고객은 compliance@mattermost.com 참조와 함께 수동으로 또는 자동화된 프로세스를 통해 이메일로 연락을 받으며, 해당 통신은 기록 보존을 위해 SFDC에 작성됩니다.
미국 수출 컴플라이언스 개요#
요약표#
| Mattermost 제품 | 수출 통제 분류 번호(ECCN) |
|---|---|
| Mattermost Enterprise Edition (Mattermost Professional 및 Enterprise 포함) | ECCN 5D002 라이선스 예외 ENC 적용 가능 |
| Mattermost Team Edition | 소프트웨어가 공개적으로 제공되고 https://github.com/mattermost/ 의 공개 소스 코드에서 완전히 컴파일할 수 있으므로 미국 수출 관리 규정(EAR)의 적용을 받지 않음 |
개요#
미국 정부는 국가 안보, 경제 및/또는 외교 정책 관점에서 미국에 전략적으로 중요하다고 여겨지는 정보, 상품, 기술 및 소프트웨어의 이전을 규제합니다. 미국 외의 많은 국가들도 동일한 이유로 유사한 수출 통제를 시행합니다.
미국 기관들의 복잡한 네트워크와 상호 연관된 규정이 총칭하여 "수출 통제"라고 불리는 수출을 관리합니다.
Mattermost의 정책은 사업을 영위하는 모든 국가에서 모든 수출 컴플라이언스 법률을 준수하는 것입니다. Mattermost는 미국에 기반을 둔 글로벌 회사이기 때문에, 소프트웨어, 장비, 자재 및 서비스를 포함하여 총칭하여 "상품"이라고 하는 저희 제품은 사업을 수행하는 모든 국가의 수출 법률 및 규정의 적용을 받습니다. 수출 통제 규정의 불이행은 Mattermost 및 그 고객, 직원, 비즈니스 파트너를 포함한 계열사에 형사 및 민사 처벌, 자산 압류, 수출 특권 박탈, 정부 계약 정지 또는 제명을 초래할 수 있습니다.
이러한 이유로 운영하는 관할 구역의 적용 가능한 수출(및 수입) 통제에 친숙해지는 시간을 가지시기 바랍니다. Mattermost가 수출 관련 조언을 제공할 수는 없지만, 이 웹 페이지는 Mattermost 제품을 수출하는 데 필요한 정보를 제공합니다.
이 개요는 미국 수출 관리 규정(EAR)에 특화되어 있지만, 비즈니스 운영에 따라 국제 무기 거래 규정과 같은 다른 규정의 적용을 받을 수 있습니다.
일반 정보#
먼저 미국 산업 보안국 웹사이트를 살펴보세요. 그런 다음 규정이 다루는 내용과 734.2 하에서 "EAR의 적용을 받는" ("수출 통제") 항목을 이해하기 위해 미국 수출 관리 규정의 Part 730으로 이동하세요.
수출 분류 및 라이선스#
수출 관리 규정의 적용 범위는 매우 광범위하지만, 모든 거래에 수출 라이선스가 필요하다는 의미는 아닙니다. 하드웨어, 소프트웨어 및 기술과 관련된 수출 통제를 이해하는 기초는 10개 카테고리(0-9)로 구성된 긍정 목록인 상업 통제 목록 (CCL)에서 찾을 수 있습니다. 첫 번째 단계는 수출할 항목이 EAR의 적용을 받는지 확인하는 것입니다.
Mattermost에서 완전히 오픈소스로 공개적으로 이용 가능한 소프트웨어는 공개적으로 이용 가능한 암호화 소스 코드에서 파생되고 소스 코드(https://github.com/mattermost/)와 바이너리 버전 모두의 완전한 소프트웨어 패키지가 공개적으로 이용 가능하기 때문에 EAR의 범위 밖에 있습니다. Mattermost 엔터프라이즈 소프트웨어는 통신 및 정보 보안 항목(하드웨어, 소프트웨어 및 기술)으로서 CCL의 카테고리 5, Part 2에 있습니다. 이 카테고리의 대부분 항목은 암호화 기능을 가지고 있습니다.
종종 상업 통제 목록 항목이 ECCN(수출 통제 분류 번호)별로 이용 가능한 라이선스 예외를 여러 요소의 조합에 기반하여 나열하는 경우, Part 740 하에서 라이선스 예외가 이용 가능한 경우가 있습니다.
Mattermost Enterprise Edition(Mattermost Professional 및 Enterprise 포함)은 ECCN 5D002 하에 있으며, 오픈소스 소프트웨어에서 파생된 암호화 기능이 있는 엔터프라이즈 및 프로페셔널 소프트웨어에 대해 "ENC"의 라이선스 예외가 이용 가능합니다. 수출 규정 하에서 암호화 제품은 여러 수준의 제어 및 요건을 가집니다. BIS는 검토할 수 있는 암호화 및 수출 관리 규정(EAR) 하에서 암호화를 다루는 개요와 많은 링크를 포함한 별도의 웹사이트 섹션을 가지고 있습니다. 이 가이드라인에는 항목이 암호화 통제의 적용을 받는지 결정하는 데 도움이 되는 플로우 차트, 표 및 기타 세부 정보가 포함되어 있습니다.
Mattermost 소프트웨어나 기술의 수출과 관련하여 알아야 할 다른 주요 영역은 다음과 같습니다:
제재: 쿠바, 이란, 북한, 시리아 및 우크라이나 크림반도, 도네츠크, 루한스크 지역, 벨라루스, 러시아, 베네수엘라, 미얀마/버마, 캄보디아와 같은 특정 금지 사항이 있는 다른 국가/지역에 대한 포괄적인 제재가 있습니다. 세부 사항은 BIS에서 확인할 수 있습니다. 국가 및 제재는 변경될 수 있습니다.
대량파괴무기(WMD): Mattermost, 고객 및 비즈니스 파트너는 미국 수출 관리 규정("EAR") 하에서 다른 금지된 최종 사용과 함께 대량파괴무기의 확산에 관여하는 당사자에게 수출할 수 없습니다.
일반 금지 사항: EAR 하에서 일반 금지 사항에 관한 정보는 여기에서 확인할 수 있습니다. 이러한 일반 금지 사항의 적용 가능성은 상품 분류, 목적지, 최종 사용자, 최종 용도 및 행위를 포함한 여러 요소의 조합에 기반합니다.
제한된 당사자: 미국 정부의 제한된 당사자 목록에 등록된 당사자에게는 수출할 수 없으며, 수출 전에 이에 대한 심사를 수행해야 합니다. 미국 정부가 제공하는 통합 심사 목록은 export.gov에서 무료로 심사에 사용할 수 있습니다. 또한 군사 최종 사용자 및 군사 정보 최종 사용자에 대한 수출에는 특정 제한이 있습니다.
간주 수출: 미국 내 외국인에게 통제된 기술을 공개하는 것은 해당 인물의 국적 국가 또는 국가에 대한 수출로 "간주"되며, EAR의 734.2(b)에 규정되어 있습니다. BIS 웹사이트의 수출 관리 규정에서 이에 대해 읽을 수 있습니다.
고객 파악: BIS 웹사이트를 검토하면 "고객 파악"과 "경고 신호"에 주의를 기울이는 것이 매우 중요하다는 것을 알 수 있습니다. 컴플라이언스를 보장하기 위해 비즈니스 파트너와 고객을 심사하세요.
면책 조항#
Mattermost는 이 데이터를 정보 제공 목적으로만 제공합니다. 이는 최신 법적 동향을 반영하지 않을 수 있으며, Mattermost는 완전하거나 정확하거나 최신 정보임을 진술, 보증 또는 보장하지 않습니다. 이 정보는 사전 통지 없이 변경될 수 있습니다. 이 사이트의 자료는 법적 조언을 구성하거나 특정 법적 조언의 대체물로 사용되도록 의도된 것이 아닙니다. 이 사이트의 정보를 기반으로 특정 사실과 상황에 관한 전문적인 조언을 구하지 않고 행동(또는 행동을 자제)해서는 안 됩니다.
자주 묻는 질문#
GDPR을 준수하려면 이메일 알림에서 메시지 내용을 제거해야 하나요?#
GDPR 해석에 따르면 다음과 같은 이유로 컴플라이언스를 유지하기 위해 이메일 알림에서 메시지 내용을 숨길 필요가 없습니다:
- 모든 사용자는 설정에서 이메일 알림을 비활성화할 수 있습니다. 따라서 모든 사용자는 이메일을 통해 정보를 전송할지 여부에 대한 최종 권한을 가집니다. 이 옵션은 대부분의 다른 제품과 일치하지만, 저희는 이 영역에서 변경이 필요한지 확인하기 위해 GDPR 해석 업데이트를 면밀히 추적할 것입니다.
- Mattermost는 Mattermost 서버와 SMTP 이메일 서버 간의 통신을 보호하기 위한 TLS 암호화를 제공합니다.
- 처음 두 가지 사항이 GDPR 컴플라이언스를 충족하는지 확실하지 않은 경우 Mattermost 서버에서 알림을 완전히 비활성화할 수 있습니다. 이메일 알림 없이 프로덕션에서 Mattermost를 사용하려면 "미리보기 모드" 알림 배너도 비활성화해야 합니다.
Mattermost 관리자 어드바이저 알림에서 문의하기를 선택하면 어떤 정보가 공유되나요?#
Mattermost 관리자 어드바이저에서 문의하기를 선택하면 저희에게 일부 정보가 전송됩니다. 여기에는 Mattermost 계정과 연결된 이메일 주소와 이름, 시스템에 등록된 사용자 수, 사이트 URL 및 Mattermost 진단 서버 ID 번호가 포함될 수 있습니다. 이 정보는 요청하신 대로 연락하고 귀하의 필요를 더 잘 이해하는 데 사용됩니다.
Mattermost 관리자 어드바이저 알림은 v5.35 이후 비활성화됩니다.
IP 주소를 포함하는 서버 접근 로그가 GDPR 컴플라이언스 문제인가요?#
GDPR 제49조 해석에 따르면 네트워크 및 정보 보안을 보장하기 위한 개인 데이터 처리는 허용됩니다. 또한:
- 시스템 콘솔 및 서버에 대한 제한된 접근을 통해 로그에 대한 접근을 제어할 수 있습니다.
- 자체 호스팅 소프트웨어로서 필요에 맞는 제거 일정을 설정할 수 있는 기능을 포함하여 로그의 완전한 제어 및 소유권을 갖습니다.
- 역방향 프록시를 사용하여 IP 주소를 난독화할 수 있습니다.
연방 또는 국방부(DOD) 인증을 보유하고 있나요?#
운영 권한(ATO) 및 네트워크 인증서(CON) 인증을 취득하는 과정에 있습니다.
유럽 연합 내에서 개인 데이터가 유지되도록 어떻게 보장하나요?#
고객의 Mattermost 설치가 자체 호스팅인 경우 Mattermost는 유럽 연합 내 데이터 개인 정보 보호 법률 관할권 하에서 어떠한 개인 데이터도 처리하지 않습니다. Mattermost 지원 팀은 미국 내에서 Mattermost 정보를 호스팅하는 Zendesk 고객 서비스 소프트웨어를 활용합니다. Zendesk에 대한 자세한 내용은 그들의 개인정보 보호 및 데이터 보안 페이지를 참조하세요.
Zendesk의 개인 정보 보호 및 데이터 보안 조치에도 불구하고, 지원 서비스 제공은 Mattermost와 고객 간의 계약 의무의 일부입니다. Mattermost가 이러한 지원을 제공하기 위해서는 고객이 라이선스 사용자로 식별되어야 하므로 지원 담당자에게 개인 데이터를 제공해야 합니다. 지원 담당자의 위치에 관계없이 개인 데이터는 EU 외부에서 호스팅됩니다.
그러나 GDPR 제49조 (b)항에 따라 "데이터 주체와 컨트롤러 간의 계약 이행에 필요한" 개인 데이터 이전은 제3국 또는 국제 기구로 이전될 수 있습니다. 따라서 이러한 이전은 GDPR 요건에 따라 수행됩니다. 자세한 내용은 Mattermost 개인정보 처리방침 페이지를 참조하세요.
*면책 조항: MATTERMOST는 제품을 "보장된 컴플라이언스 솔루션"으로 포지셔닝하지 않습니다. MATTERMOST 제품을 사용하여 규제 컴플라이언스를 달성할 것을 보장하지 않습니다. 규제 컴플라이언스 달성에 있어 귀하의 성공 수준은 적용 가능한 규정에 대한 귀하의 해석과 요건을 준수하기 위해 취하는 조치에 따라 다릅니다. 이러한 요소는 개인과 사업체에 따라 다르기 때문에 귀하의 성공을 보장할 수 없으며 귀하의 모든 행동에 대해 책임지지 않습니다. MATTERMOST 사용이나 저희 웹사이트에 포함된 모든 권장 사항으로부터 특정 컴플라이언스 결과를 달성할 것이라는 보장은 없으며, 따라서 이는 이러한 사항에 대한 귀하의 법률 및 컴플라이언스 담당자와의 상담을 대체해서는 안 됩니다.
IPv6을 준수하나요?#
예, Mattermost 플랫폼은 오디오 및 화면 공유가 비활성화된 경우 자체 호스팅 및 클라우드 제품 모두에서 IPv6을 준수합니다.
오디오 및 화면 공유에 대한 IPv6 준수는 향후에 추가할 계획입니다.
508을 준수하나요?#
예, Mattermost 플랫폼은 508을 준수합니다. 자세한 내용은 접근성 컴플라이언스 정책 문서를 참조하세요.
라이브 데모 예약이나 Mattermost 전문가와 상담을 통해 조직의 안전한 협업 요구에 맞는 맞춤형 솔루션을 살펴보세요. 또는 1시간 미리보기로 Mattermost를 직접 사용해 보며 라이브 샌드박스 환경에 즉시 액세스하세요.