컴플라이언스

액세스 가능성

베리타스는 디지털 오퍼링의 액세스 가능성을 우선적으로 고려하여 WCAG(Web Content Accessibility Guidelines), 즉 World Wide Web Consortium에서 가이드라인을 철저히 준수합니다.보편적인 액세스 가능성을 구현하는 것은 쉽지 않지만, 베리타스는 당사의 플랫폼을 정기적으로 평가하여, 발견된 문제를 신속하게 해결하면서 누구나 포용할 수 있는 사용자 경험을 제공하는 데 최선을 다합니다.

AWS GovCloud

미국 정부 기관 고객과 파트너를 위해 개발된 AWS GovCloud(US)는 안전한 클라우드 솔루션 환경을 제공하면서, 다음을 비롯해 여러 엄격한 표준 및 규제 프레임워크에 대한 컴플라이언스를 보장합니다.

• FedRAMP High Baseline
• 미국 법무부의 CJIS(Criminal Justice Information Systems) 보안 정책
• 미국 국제 무기 거래 규정(ITAR)
• 수출 관리 규정(EAR)
• 미국 국방부(DoD) 클라우드 컴퓨팅 보안 요건 가이드(SRG) -Impact Level 2, 4, 5
• FIPS 140-2
• IRS-1075

사용자는 정부 기관의 고유한 니즈에 부합하는 컴플라이언스, 보안, 유연성을 모두 갖춘 클라우드 인프라스트럭처 환경에서 운영할 수 있습니다.

Azure Government

Microsoft Azure Government는 미국 정부 기관의 엄격한 컴플라이언스 표준을 준수하기 위해 개발되었으며, 다음과 같은 중요 프레임워크의 승인 및 인증을 취득했습니다.

• FedRAMP(Federal Risk and Authorization Management Program)
• 미국 국방부(DoD) 클라우드 보안 요건 가이드(SRG) -Impact Level 2, 4, 5

Azure Government는 특정 미국 정부 관할 지역(애리조나, 텍사스, 버지니아)에서 다음 인증을 취득했습니다.

• JAB(Joint Authorization Board)의 FedRAMP High PATO(Provisional Authorization to Operate)
• DISA(Defense Information Systems Agency)에서 발급한 DoD IL2, IL4, IL5 PA(Provisional Authorization) 및 DISA에서 발급한 IL5 PA

CMMC

• CMMC(Cybersecurity Maturity Model Certification)는 미국 국방부(DoD)에서 방위 산업 기지(DIB) 내 방위 계약업체 및 하청업체의 사이버 보안 태세를 평가하고 강화하기 위해 개발한 프레임워크입니다. CMMC에 따르면, 계약업체는 기본적인 사이버 보안 관리부터 고급 프랙티스에 이르기까지 다양한 성숙도 레벨에서 국방부 계약 입찰을 위한 구체적인 사이버 보안 표준 및 프랙티스를 이행해야 합니다.

공통 기준

IT 보안 평가를 위한 공통 평가 기준(Common Criteria for IT Security Evaluation)은 그에 상응하는 IT 보안 평가를 위한 공통 방법론(Common Methodology for IT Security Evaluation)과 함께 국제 공통 평가 기준 인정 협정의 기초를 구성합니다. 구체적으로 다음 사항을 보장합니다.

• 제품은 독립적인 공인 시험 기관의 평가를 통해 구체적인 보안 기능을 검증합니다.
• 문서는 다양한 기술 유형에 해당 기준과 방법론을 적용하는 절차를 자세히 설명하면서 해당 인증 프로세스를 안내합니다.
• 평가 대상 제품의 보안 속성을 검증하는 인증서는 평가 결과에 따라 수많은 인증 체계(Certificate Authorizing Scheme)를 기준으로 배포될 수 있습니다.
• 모든 CCRA 서명 주체는 이러한 인증서를 인정합니다.

CISA(Cybersecurity & Infrastructure Security Agency)

• EO 14028
  행정 명령(Executive Order, EO) 14028은 미국의 사이버 보안을 강화하기 위해 2021년 5월 12일에 발효되었습니다. 이 EO에 따라 각 기관은 사이버 보안 및 소프트웨어 공급망의 무결성을 강화해야 합니다. EO 14028에서는 미국 정부와 거래하는 모든 소프트웨어 벤더가 자체 제품 제작 시 사용한 구성 요소 목록을 소프트웨어 자재 명세서(SBOM)와 함께 제출하도록 규정합니다. 아울러 EO 14028에는 각 기관이 사용할 제품에 대해 다중(Multi-factor) 인증, 데이터 저장 및 전송 시 암호화(FIPS 140-2), 제로 트러스트 아키텍처를 적용하는 요건도 포함되어 있습니다.

• IPv6/USGv6
  USG(United States Government) 버전 6는 각 연방 기관이 최신 버전의 IP(Internet Protocol ) 버전 6를 채택하고 배포하는 데 도움을 주고자 미국 정부가 개발한 일련의 기술 요건 및 권장 사항입니다. 이 USGv6 프로필에서는 연방 기관이 IPv6 관련 의무 및 정책으로 상호 운용성, 보안, 컴플라이언스를 보장하기 위해 이행해야 할 구체적인 표준 및 구성을 간략하게 설명합니다.

DISA STIG

DISA(Defense Information Systems Agency)의 STIG(Security Technical Implementation Guide)는 하드웨어 및 소프트웨어의 보안을 최적화하기 위한 구성 벤치마크 역할을 수행하며, 주요 목표는 미국 국방부의 IT 인프라스트럭처를 보호하는 것입니다.

fedRamp

• 사내 하드웨어의 데이터 관리는 대개 복잡하고 상당한 시간과 비용이 듭니다. 또한 클라우드를 제대로 관리하지 않을 경우 잠재적 보안 리스크를 감수해야 합니다.
• FedRAMP, 즉 연방 위험 및 인증 관리 프로그램(Federal Risk and Authorization Management Program)은 '클라우드 제품 및 서비스의 보안 평가, 인증, 상시 모니터링을 위한 표준화된 기법을 도입합니다.
• bluesource는 베리타스와 함께 엄격한 FedRAMP 가이드라인에 부합하는 보안 클라우드 솔루션을 개발했으며, 그 취지는 Microsoft Azure 내에 안전한 환경을 마련함으로써 연방 기관이 이디스커버리 플랫폼인 Enterprise Vault와 SaaS 솔루션인 Merge1을 활용할 수 있게 하는 것입니다.
• 정부 기관은 추가 인력을 고용하지 않고도 '클라우드 스마트' 요건을 이행하고 FITARA 점수를 높이며 즉각적인 비용 절감 효과를 거둘 수 있습니다.
• 고객은 온프레미스와 마찬가지로 베리타스 소프트웨어 라이센스를 소유합니다. bluesource는 FedRAMP의 엄격한 요건에 따라 완전한 호스팅 및 관리를 제공하면서 하드웨어 및 관리 수수료를 청구합니다.
• 관련해서 견적 또는 추가 정보가 필요할 경우 bluesource(sales@bluesource.net)로 문의하시기 바랍니다.

FIPS 140-2

FIPS(Federal Information Processing Standard) 140-2는 암호화 모듈에 대한 보안 기대치를 간략하게 소개합하며, 점진적인 4개 품질 단계를 통해 각종 애플리케이션 및 관련 요소를 종합적으로 다룹니다. 주요 영역으로는 설계 사양, 포트, 인터페이스, 역할, 물리적 보안, 운영 환경, 암호화 키 관리, 전자기 고려 사항, 자체 테스트, 설계 보증, 공격 완화 등이 있습니다.

IRAP

IRAP(Information Security Registered Assessors Program)는 ACSC(Australian Cyber Security Centre)에서 주관하는 이니셔티브로, 호주 정부 기관 그리고 정부에 서비스를 제공하는 기업의 사이버 보안 태세를 강화하는 데 그 목적이 있습니다.

NIST(National Institute of Standards in Technology)

NIST(National Institute of Standards and Technology)는 미국의 혁신과 산업 경쟁력을 증진하는 미국 상무부 산하의 비규제 연방 기관입니다. NIST는 기업의 사이버 보안 리스크 관리 프로세스를 운영하고 개선하기 위한 지침을 제공하는 NIST 사이버 보안 프레임워크(CSF)와 같은 각종 사이버 보안 프레임워크 및 표준을 개발했습니다. 대표적인 SP(Special Publication)/RMF(Risk Management Framework)에는 NIST SP 800-53, NIST SP 800-37 RMF, ICD(Intelligence Community Directive) 503, NIST 800-171, NIST 800-218 등이 있습니다.

Sheltered Harbor

Sheltered Harbor는 금융 업계의 사이버 위협/운영 리스크에 대한 레질리언스 및 보안 강화를 목적으로 하는 미국의 비영리 산업 이니셔티브입니다. 이는 금융 기관을 대상으로 더욱 빈번하고 정교해지는 사이버 공격에 대응하기 위한 것으로, 금융 기관은 Sheltered Harbor 표준을 베스트 프랙티스로 채택함으로써 보다 효과적으로 고객의 자산을 보호할 뿐만 아니라 금융 시스템의 안정성 및 보안에 대한 신뢰와 확신을 공고히 할 수 있습니다.

SOC 2

SOC 2 평가는 독립적인 제3자 검증 문서를 통해 기업이 핵심 컴플라이언스 통제 및 목표를 어떻게 유지하는지 조명합니다.AICPA 트러스트 서비스 기준(Trust Services Criteria) 감사 표준 위원회와 함께 개발한 이 평가 프로그램은 기업 정보 시스템에서 보안, 가용성, 무결성, 기밀 보호, 개인 정보 보호 등의 요소에 중점을 둡니다.

TLS 1.3

TLS(Transport Layer Security) 1.3 암호화 프로토콜은 인터넷 통신 중에 데이터를 안전하게 보호하는 메커니즘을 제공합니다. TLS는 암호화, 인증, 키 교환 메커니즘을 사용하여 클라이언트와 서버 간에 보안 연결을 설정하는 방식으로 작동합니다.

WORM 컴플라이언스

FINRA(Financial Industry Regulatory Authority) 정책에 따라 데이터를 안전하게 보존 및 암호화하고 변조 불가 WORM(Write Once Read Many) 미디어에 저장해야 합니다. 이러한 데이터는 검색 가능해야 하며, 각 기업이 데이터 사용 및 삭제에 관한 통합 감사 추적을 제공할 수 있어야 합니다.