ORGNavi 보안 정책
고객사의 소중한 조직 데이터를 안전하게 보호합니다
데이터 암호화
모든 데이터는 SSL/TLS를 통해 암호화된 상태로 전송됩니다. HTTP 접근 시 자동으로 HTTPS로 리다이렉트됩니다.
서버에 저장되는 민감 데이터는 암호화하여 보관합니다.
데이터는 정기적으로 백업되며, 장애 발생 시 신속한 복구가 가능합니다.
고객사 데이터 분리
각 고객사의 데이터는 별도의 데이터베이스로 완전히 분리되어 관리됩니다. 개발 실수 등으로 인한 데이터 혼선을 구조적으로 차단합니다. (설치형 ORGNavi)
고객사 A의 계정으로는 고객사 B의 데이터에 접근할 수 없습니다. 애플리케이션 레벨에서 엄격히 통제됩니다.
인증 및 접근 제어
관리자 / 편집자 / 뷰어 등 역할별로 접근 가능한 기능과 데이터를 세분화하여 통제합니다.
일정 시간 미사용 시 자동으로 로그아웃되어 방치된 세션으로 인한 보안 위협을 차단합니다.
연속 로그인 실패 시 계정을 일시 잠금하여 무차별 대입(Brute Force) 공격을 방어합니다.
Google Authenticator 등 OTP 기반 2단계 인증을 지원합니다. 비밀번호 유출 시에도 추가 인증이 없으면 접근이 불가합니다.
Google, MS 등 소셜 계정 로그인을 통해 해당 플랫폼의 보안 체계를 활용할 수 있습니다.
네트워크 및 인프라 보안
ORGNavi의 모든 서비스는 AWS 서울 리전(ap-northeast-2)에서 운영됩니다. 고객사 데이터가 국내에서만 처리·저장되어 국내 규정 준수에 유리하며, 낮은 레이턴시를 제공합니다.
AWS RDS(Relational Database Service)를 활용해 데이터베이스를 운영합니다. 자동 백업, 멀티 AZ 이중화, 자동 패치 적용 등 AWS의 관리형 인프라로 구조적 안정성을 확보합니다.
DB 및 내부 서비스는 퍼블릭 인터넷과 분리된 VPC(가상 사설 클라우드) 안에서만 운영됩니다. 외부에서의 직접 접근은 구조적으로 불가능합니다.
AWS Shield를 통해 비정상적인 대량 트래픽 공격에 대한 방어 체계를 운영합니다.
고객사 관리자가 허용 IP 주소를 직접 등록할 수 있습니다. 등록되지 않은 IP에서의 접근을 차단하거나 추가 인증을 요구할 수 있습니다.
애플리케이션 보안
모든 DB 쿼리는 파라미터 바인딩 방식으로 처리되어 SQL 인젝션 공격을 원천 차단합니다.
사용자 입력값에 대한 철저한 검증 및 이스케이프 처리로 크로스사이트 스크립팅 공격을 방어합니다.
모든 API 요청은 인증 토큰 검증을 거칩니다. 토큰 만료 및 갱신 정책을 통해 탈취된 토큰의 악용을 최소화합니다.
정기적으로 보안 취약점을 점검하고 패치를 적용합니다.
모니터링 및 감사
누가 언제 어디서 로그인했는지 모든 접근 이력이 기록됩니다.
새로운 IP, 비정상적인 시간대 접근 등 이상 징후 탐지 시 관리자에게 알림을 발송합니다.
엔터프라이즈 전용 옵션
대기업/보안 민감 고객을 위해 전용 서버 인스턴스를 별도 운영합니다. 하나의 인스턴스에서 여러 계열사(사이트)를 함께 운영할 수 있어 효율적입니다. 월 추가 비용이 발생합니다.
전용 인스턴스 환경에서 고객사 내부 네트워크와 VPN 터널을 구성합니다. 고객사 네트워크 외부에서는 접근이 구조적으로 차단됩니다.
고객사 자체 서버에 직접 설치하는 방식입니다. 모든 데이터가 고객사 내부에서만 운영되어 외부 유출 가능성이 없습니다.