F5 준수

정보 보안 등록 평가자 프로그램(IRAP)을 통해 호주 정부 고객은 공급업체가 호주 사이버 보안 센터(ACSC)에서 제작한 호주 정부 정보 보안 매뉴얼(ISM) 요구 사항을 준수하는지 확인할 수 있습니다.  

F5 분산 클라우드 서비스는 적용 가능한 ISM 통제에 대해 독립적인 IRAP 평가자에 의해 평가되었습니다. 이 평가의 목적은 분산 클라우드 플랫폼에 구현된 보안 제어가 보호 분류 수준까지 정보를 저장, 처리 및 전달하는 데 효과적인 것으로 판단되었기 때문에 달성되었습니다. 

클라우드 서비스를 조달하고 활용할 때 가장 중요한 고려 사항은 호주 정부 데이터를 무단 접근 및 공개로부터 보호하는 것입니다. F5는 고객이 F5 서비스의 안전한 제공을 신뢰하고 있으며, 안전한 환경을 구축할 수 있는 기능이 중요하다는 사실을 인식하고 있습니다. F5는 서비스 제공 시 보안을 우선시하고, 견고한 통제 환경을 구축하며, 광범위한 보안 서비스와 기능을 사용 가능하게 함으로써 고객이 이러한 목표를 달성할 수 있도록 지원합니다. 자세한 내용은 F5 IRAP 보고서를 공유할 수 있는 F5 계정 관리자에게 문의하세요.

클라우드 컴퓨팅 준수 기준 카탈로그(C5)는 독일 연방정보보안청(Bundesamt für Sicherheit in der Informationstechnik 또는 BSI)에서 발행하며 안전한 클라우드 컴퓨팅에 대한 최소 요구 사항을 명시합니다. C5와 ISO/IEC 27001 및 SOC-2 유형 II 보안 제어 사이에는 상당한 중복이 있습니다.

F5는 현재 C5 제어의 설계 및 운영 효율성을 평가하고 있습니다. 이 인증에는 F5 Distributed Cloud, Bot Defense 및 Silverline 서비스가 C5 기준을 준수하는 내부 통제 시스템을 적절하게 구현했다는 외부 감사원의 의견이 포함됩니다. 이 C5 보고서는 2024년 5월 말부터 NDA에 따라 고객과 공유할 수 있습니다.

몇 가지 주요 차이점을 제외하면 유럽의 일반 데이터 보호 규정(GDPR)과 유사한 캘리포니아의 데이터 개인 정보 보호법은 소비자의 민감한 개인 정보를 보호하는 데 도움이 되도록 설계된 정부적 프레임워크입니다. 지난 10년 동안 디지털 환경이 발전함에 따라 기술 분야의 소비자 권리에 대한 개념도 확장되었습니다. 특히 민감한 데이터의 경우 더욱 그렇습니다. 최근 몇 년 동안 공개성이 높은 민감한 데이터 침해 사고가 여러 건 발생하면서 주민등록번호부터 신용카드 정보까지 개인 정보를 그 어느 때보다 더 철저히 보호할 필요가 생겼습니다. CCPA로 알려진 캘리포니아의 데이터 개인 정보 보호법은 바로 그러한 노력의 일환입니다. 이는 기업이 고객의 민감한 개인 데이터를 적절하게 보호하도록 돕기 위해 고안된 정부 프레임워크입니다.

F5는 CCPA가 발효되기 전부터 사용자 데이터에 대한 엄격한 표준을 준수해 왔습니다. 당사는 개인정보 수집을 최소화하며, 수집된 개인정보는 수집된 목적에 한해서만 사용합니다. 당사는 개인 정보를 비밀로 유지하겠다고 약속했으므로, 누구에게도 사용자의 개인 정보를 판매하거나 임대하지 않았습니다. 당사는 사람들에게 개인 정보에 접근하고 이를 수정하거나 삭제할 수 있는 권한을 부여합니다. 또한 데이터 처리자로서의 당사의 역할에 맞게 당사 제품을 통해 수집된 정보에 대한 통제권을 고객에게 부여합니다.

디지털 운영 회복력 법(DORA)은 EU 금융 부문을 위한 구속력 있고 포괄적인 정보 및 통신 기술(ICT) 위험 관리 프레임워크를 만드는 유럽 연합(EU) 규정입니다. DORA는 EU 내 모든 금융 기관 및 ICT 서비스 제공자(총칭하여 FI)에 적용됩니다. 금융기관은 DORA가 시행되기 전까지 2025년 1월 17일까지 DORA를 준수해야 합니다. 

F5의 분산 클라우드(XC) 플랫폼은 금융기관이 DORA를 준수하도록 지원합니다. XC DDoS Mitigation, XC WAF, XC API Security, XC Bot Defense와 같은 서비스는 금융기관이 웹 및 모바일 애플리케이션과 데이터, 네트워크 인프라에서 발생하는 사이버 위협과 비정상적인 활동을 탐지, 기록하고 완화하는 데 도움이 됩니다. 분산 클라우드 플랫폼을 통해 금융기관은 ICT 위험 관리 활동을 모니터링, 감사 및 보고하고 DORA의 거버넌스 및 감독 요구 사항을 준수할 수도 있습니다. F5 분산 클라우드 플랫폼을 활용함으로써 금융기관은 운영적 회복력을 확보하고, 고객과 평판을 보호하며, 사이버 위협과 ICT 중단이 증가하는 상황에서도 규제 제재를 피할 수 있습니다. 

디지털 서비스법으로 더 잘 알려진 EU 규정 2022/2065는 "중개 서비스"에 여러 가지 요구 사항을 부과합니다. 이 법에서는 중개 서비스를 '단순 매개체', '캐싱' 및 '호스팅'의 세 가지 유형으로 정의합니다. 모든 중개 서비스는 불법 콘텐츠를 제거하거나 접근을 차단하라는 관련 당국의 명령을 준수하고, EU에 담당자를 지정하고, 서비스 약관에 대한 정보를 게시해야 합니다. 호스팅 서비스, 특히 "온라인 플랫폼"과 "매우 대규모 온라인 플랫폼"에는 더 큰 의무가 부과됩니다.

"캐싱" 서비스인 F5 Distributed Cloud CDN을 제외하고 F5의 모든 상용 서비스는 "단순한 통로" 역할을 합니다. F5는 DSA 목적을 위해 아일랜드 코크 사우스 몰 89/90, 3층, NGINX T12 RPP0를 유럽 연합 내 대표로 지정했습니다. 당사 서비스 이용에 대한 약관 및 조건은 당사의 허용 가능한 사용 정책 에 자세히 명시되어 있습니다. 

EU 규정 2022/1925는 디지털 시장법으로 더 잘 알려져 있으며, 디지털 부문에서 공정한 경쟁을 보장하도록 설계되었습니다. 이를 위해 유럽 위원회에서 "게이트키퍼"로 지정한 회사는 제3자 서비스와 상호 운용하고 "고정"을 방지하기 위한 일반 경쟁 규칙에 더하여 특별한 의무를 갖습니다.

F5는 유럽 위원회로부터 게이트키퍼로 지정되지 않았으며 가까운 미래에도 그렇게 지정될 것으로 예상하지 않습니다. F5는 클라우드 컴퓨팅 제품과 함께 "핵심 플랫폼 서비스"를 제공하지만 게이트키퍼로 간주될 수 있는 수익 및 사용자 임계값을 충족하지 못하고 클라우드 컴퓨팅 서비스 시장에서 "확고하고 지속 가능한 위치"를 누리고 있지도 않습니다.  따라서 DMA에 따른 게이트키퍼의 강화된 의무는 F5에는 적용되지 않습니다.

Distributed Cloud Bot Defense에서 생성 또는 수집된 데이터는 각 고객이 선택한 다음 위치 중 하나에 지속적으로 저장됩니다. 미국, 캐나다, EU. 24시간 연중무휴 보안 운영 센터(SOC) 지원을 위해 데이터는 폴란드, 미국, 캐나다, 멕시코, 인도, 싱가포르 등 F5의 글로벌 SOC 위치에서 쿼리됩니다. 전체 목록과 자세한 내용은 데이터 상주 및 처리 참조를 참조하세요.

이러한 서비스에서 생성 또는 수집된 데이터는 30일간 프랑스에 저장되고, 암호화된 백업은 BC/DR 목적으로 최대 1년간 독일에 저장됩니다. 24시간 연중무휴 보안 운영 센터(SOC) 지원을 위해 데이터는 폴란드, 미국, 캐나다, 멕시코, 인도, 싱가포르 등 F5의 글로벌 SOC 위치에서 쿼리됩니다. 전체 목록과 자세한 내용은 데이터 상주 및 처리 참조를 참조하세요.

일반 데이터 보호 규정(GDPR)은 위치에 관계없이 유럽 경제 지역(EEA, EU의 27개 회원국과 아이슬란드, 노르웨이, 리히텐슈타인)에 있는 사람들의 개인 데이터를 상품이나 서비스를 제공하거나 행동을 모니터링하는 맥락에서 처리하는 모든 조직에 적용되는 유럽 연합 법률입니다. GDPR에 따라 조직은 개인 데이터 처리를 위한 법적 근거를 파악하고, 수집되는 데이터와 그 사용 방법을 개인에게 알리고, 개인이 본인에 대한 정보에 접근하거나 이를 수정 또는 삭제하도록 요청하는 경우 이를 존중하고, 개인 데이터를 무단 접근으로부터 보호하기 위한 적절한 보안 수단을 사용하고, 개인과 당국에 데이터 침해 사실을 알리고, 데이터 보호 책임자를 임명하고, 활동을 시작할 때부터 개인정보 보호를 고려해야 하며, 나중에 생각해서는 안 됩니다. GDPR은 수신 관할권에서 본질적으로 동등한 보호를 보장하는 안전장치가 마련되지 않는 한, EEA 외부로 개인 데이터를 전송하는 것을 제한합니다.

F5는 개인정보 보호정책 에 자세히 설명된 대로 GDPR을 준수합니다.  F5는 통제자인 분산 클라우드 플랫폼 고객에게 프로세서로서 서비스를 운영합니다(또는 프로세서인 고객에게 하위 프로세서로서). 따라서 F5는 각 분산 클라우드 제품에 대해 제28조를 준수합니다. F5는 유럽 위원회가 미국 내 참여 기업으로의 데이터 전송에 대해 적절한 보호를 제공한다고 결정한 EU-US 데이터 개인 정보 보호 프레임워크에 참여하고 있으며, 지원 목적으로 글로벌 SOC 위치로 전송되는 개인 데이터를 보호하기 위해 표준 계약 조항을 활용합니다. 더욱이 F5는 고객이 GDPR에 따른 의무를 이행할 수 있도록 강력한 개인 정보 보호 및 보안 프로그램을 갖추고 있습니다. F5에서 매년 발행하는 SOC 2 Type II 보고서 사본을 요청하려면 영업 담당자에게 문의하세요. 이 보고서는 NDA에 따라 제공되며 GDPR에 따른 요구 사항에 대한 통제를 매핑한 표가 포함되어 있습니다.

1996년 건강보험 양도성 및 책임법(HIPAA)에 따라 채택된 보안 및 데이터 침해 통지 규칙은 의료 서비스 제공자, 보험사, 의료 정보 처리 기관(포함된 기관) 및 비즈니스 파트너로 알려진 포함된 기관에 서비스를 제공하는 회사가 보유한 보호된 건강 정보(PHI)의 기밀성과 무결성을 보호합니다.

F5는 고객을 대신하여 건강 관련 데이터를 저장하거나 처리하지 않지만, 특정 IP 주소를 가진 사용자와 해당 기관인 F5 고객 간의 연관성 등 당사가 보유한 일부 데이터가 PHI를 구성할 수 있을 가능성이 있습니다. 규정 준수를 보장하기 위해 당사는 보안 규정에서 요구하는 수준을 뛰어넘는 보안 통제를 구현했으며(외부 감사원이 SOC 2 유형 2 보고서를 통해 당사의 규정 준수 상태를 평가했습니다), 최고 정보 보안 책임자를 HIPAA 보안 담당자로 지정했으며, 이 데이터를 보유할 수 있는 공급업체와 사업 파트너 계약(BAA)을 체결했습니다. 또한, 요청 시 고객과 계약을 체결하기 위한 표준 BAA도 제공합니다.

F5 분산 클라우드 서비스는 ISO 27017 및 ISO 27018 확장을 통해 ISO 27001 인증을 받았습니다. 

Global Support는 ISO 27001 인증을 받았습니다.

ISO 27001 은 정보 보안을 관리하는 국제 표준입니다. 이는 정보보안 관리시스템(ISMS)에 대한 세계적으로 가장 잘 알려진 표준입니다. ISO 27001 표준은 모든 규모의 회사, 모든 활동 부문에 정보 보안 관리 시스템을 구축, 구현, 유지하고 지속적으로 개선하기 위한 지침을 제공합니다.

ISO 27001을 준수한다는 것은 조직이나 기업이 조직이 소유하거나 처리하는 데이터의 보안과 관련된 위험을 관리하는 시스템을 구축했으며, 이 시스템이 이 국제 표준에 명시된 모든 모범 사례와 원칙을 존중한다는 것을 의미합니다.

ISO 27001은 사람, 정책, 기술을 검토하여 정보 보안에 대한 종합적인 접근 방식을 장려합니다. 이 표준에 따라 구현된 정보 보안 관리 시스템은 위험 관리, 사이버 복원력 및 운영적 우수성을 보장합니다.

ISO 27001은 ISMS가 충족해야 하는 요구 사항을 정의한 유일한 감사 가능한 국제 표준입니다. 

ISO 27001은 다음으로 구성됩니다.

93개 컨트롤이 4개 도메인으로 나뉩니다.

• 조직적
• 사람들
• 물리적
• 기술적        

ISO 27017 은 클라우드 서비스를 위한 ISO 27001을 기반으로 한 정보 보안 통제를 위한 실무 강령이며, 클라우드 서비스를 사용하는 조직을 위한 정보 보안 프레임워크입니다. 클라우드 서비스 제공자는 이 표준을 준수해야 합니다. 이를 통해 일관되고 포괄적인 정보 보안 접근 방식을 제공함으로써 클라우드 서비스 고객(및 기타 사용자)의 안전을 보장할 수 있습니다.

ISO 27017에는 ISO 27002 가이드라인을 기반으로 한 37개의 통제가 포함되어 있습니다.

ISO 27018 은 PII 처리자가 공공 클라우드에서 개인 식별 정보(PII)를 보호하기 위한 실무 규정입니다. 이 표준은 퍼블릭 클라우드 서비스 제공업체(CSP)가 처리하는 개인 식별 정보(PII)를 보다 효과적으로 보호하는 방법에 대한 모범 사례를 설명합니다.

ISO 27018에는 27002를 기반으로 하는 16개의 통제 수단과 25개의 새로운 개인정보 보호 및 보안 통제 수단이 포함됩니다.

F5 분산 클라우드 서비스는 레벨 1 서비스 공급자로서 PCI-DSS 규정을 준수합니다. 

결제 카드 업계 데이터 보안 표준(PCI DSS)은 결제 카드 계좌 데이터 보안을 장려하고 강화하며, 전 세계적으로 일관된 데이터 보안 조치의 광범위한 채택을 촉진합니다. PCI DSS는 계정 데이터를 보호하도록 설계된 기술 및 운영 요구 사항의 기준을 제공합니다. PCI DSS는 결제 카드 계좌 데이터가 있는 환경에 초점을 맞춰 특별히 설계되었지만, 위협으로부터 보호하고 결제 생태계의 다른 요소를 보호하는 데에도 사용할 수 있습니다.

PCI DSS는 카드 소유자 데이터(CHD) 및/또는 민감한 인증 데이터(SAD)를 저장, 처리 또는 전송하거나 카드 소유자 데이터 환경(CDE)의 보안에 영향을 미칠 수 있는 모든 기관을 대상으로 합니다. 여기에는 상인, 처리업체, 인수자, 발급자 및 기타 서비스 제공자를 포함하여 지불 카드 계좌 처리에 관련된 모든 기관이 포함됩니다.

PCI DSS를 준수하면 기업이 신용카드 데이터를 처리, 저장, 전송할 때 업계 모범 사례를 준수하는 데 도움이 됩니다. PCI DSS 규정 준수는 고객과 이해관계자 간의 신뢰를 강화합니다.

PCI DSS는 계정 데이터를 보호하기 위한 최소한의 요구 사항으로 구성되어 있으며, 위험을 더욱 완화하기 위해 추가적인 통제 및 관행을 통해 강화될 수 있습니다. 아래 표는 PCI DSS 요구 사항을 개략적으로 나열한 것입니다. F5는 레벨 1 서비스 공급자 자격을 갖추고 있으며 CHD/SAD를 처리, 저장 또는 전송하지 않지만 고객의 카드 소지자 데이터 환경(CDE) 보안에 영향을 미칠 수 있습니다.

원천: 결제 카드 산업 데이터 보안 표준: 요구 사항 및 테스트 절차, v4.0

F5는 캐나다의 민간 부문 조직을 위한 연방 개인정보보호법인 개인정보 보호 및 전자문서법(PIPEDA)을 준수합니다. F5는 개인이 자신의 개인 정보에 접근하고 이를 수정하고 삭제할 수 있는 권리를 존중하며 동의, 책임, 보안의 원칙을 존중합니다. F5는 개인정보를 개인정보 취급방침 및 서비스 계약에 명시된 목적과 PIPEDA에서 허용하는 범위 내에서만 수집, 사용 및 공개합니다. F5는 개인 정보가 무단으로 접근, 사용, 공개, 변경 또는 파기되는 것을 방지하기 위해 합리적인 안전 조치를 시행하고 있습니다. F5에서 매년 발행하는 SOC 2 Type II 보고서 사본을 요청하려면 영업 담당자에게 문의하세요. 이 보고서는 NDA에 따라 제공되며, 해당 보안 조치에 대한 설명을 확인할 수 있습니다.

F5 분산 클라우드 서비스는 SOC2 Type II를 준수합니다.

SOC 2 유형 II 보고서는 미국 공인회계사 협회(AICPA) 신탁 원칙에 초점을 맞춘 서비스 조직 통제(SOC) 보고서입니다. 일반적으로 보안, 가용성, 처리 무결성, 기밀성 및 데이터 개인 정보 보호와 관련된 서비스 제공자의 내부 통제 및 시스템을 조사합니다. 이러한 보고서는 조직, 공급업체 관리 프로그램 및 규정 감독에 대한 감독을 제공하는 데 중요한 역할을 할 수 있습니다. 유형 2 보고서는 조직의 통제 적합성과 일정 기간 동안의 운영 효율성을 모두 다룹니다.

F5에서 제공하는 SOC 2 유형 II 보고서는 F5의 통제에 대한 자세한 정보와 확신을 필요로 하는 고객의 요구 사항을 충족하는 데 도움이 됩니다. 이는 당사가 말한 대로 보안 통제를 구현하고 있으며 해당 통제가 의도한 대로 작동하고 있다는 증거를 고객에게 제공합니다. 클라우드 전반에 걸쳐 눈과 귀가 없다면 제3자 공급업체의 손에 있는 정보가 얼마나 안전한지 평가하기 어렵고, SOC 2 유형 II 보고서는 이러한 마음의 평화를 제공합니다.

조직이 따를 수 있는 5가지 신뢰 원칙 중 SDC는 당사 시스템에서 처리하는 정보의 보안, 가용성 및 기밀성에 대해 인증을 받았습니다.

각 신뢰 원칙에는 조직이 이러한 통제 목표를 충족하는 방법을 결정하는 통제 목표가 나열되어 있습니다. SOC 2 신뢰 원칙은 다음을 중심으로 모델링됩니다.

• 정책
• 연락
• 절차
• 모니터링