개인 데이터 전송 보안

해외 전송을 평가하는 중요한 요소는 개인 데이터를 안전하게 유지하기 위한 기술적 및 조직적 조치를 분석하는 것입니다. Shopify는 개인정보보호 규정(GDPR) 및 기타 적용되는 데이터 보호법에 따라 판매자와 고객의 개인 데이터를 안전하게 유지하기 위해 포괄적인 기술적 및 조직적 조치를 배포합니다.

이 페이지에서는 보안 프로그램에 대한 요약을 제공하며 자세한 내용은 보안에서 확인 할 수 있습니다.

물리적 보안

Shopify는 업계 표준 보안 인증을 통해 데이터 센터에 저장된 가상 호스팅 환경을 활용합니다. 사이트는 경보, CCTV 감시, 연중무휴 온프레미스 보안 직원, 다단계 식별, 보안 케이지 및 실제 잠금장치가 있는 경계 보안 및 다단계 보안 구역에 의해 물리적으로 보호됩니다. 하드 드라이브는 데이터 센터를 떠날 수 없습니다. 대신, 현장에서 안전하게 폐기됩니다. 서버는 다음 인증서를 획득한 데이터 센터에서 호스팅됩니다.

아키텍처

Shopify 플랫폼은 성능과 회복력에 최적화된 멀티 테넌트 아키텍처를 기반으로 합니다. 판매자 개인 데이터는 애플리케이션 수준 제어에 의해 분리됩니다. 변경 사항이 적용되면 각 서버의 애플리케이션 환경(애플리케이션, 애플리케이션의 의존성 및 구성 파일)이 대체되어 맬웨어 지속성에 대한 벡터가 제거됩니다.

애플리케이션

애플리케이션 보안을 유지 관리하는 것은 개발 프로세스에 중요합니다. 개발자는 애플리케이션 보안 모범 사례에 대해 정기적으로 교육을 받고 있으며, 이러한 취약점에 대한 모니터링을 합니다. 스토어 소유자는 추가 보안 기능을 설정할 수도 있습니다. 예를 들어 계정 소유자는 다음을 할 수 있습니다.

  • 계정에서 다단계 인증을 활성화합니다.
  • 사용자의 최근 로그인 활동을 포함한 활동 로그를 봅니다.
  • 역할 기반 액세스 수준을 설정합니다.
  • 세부 API 범위 권한을 적용합니다.

2단계 인증

2단계 인증과 같은 기능은 추가적인 보안 단계 역할을 하므로 권한이 없는 사람이 판매자 계정에 액세스하는 것이 더 어려워집니다. 이 추가 단계를 통해 계정 탈취 가능성을 줄일 수 있습니다.

로그인을 시도하는 경우 별도의 두 가지 단계를 완료해야 합니다.

  1. 이메일 주소와 비밀번호를 입력하고
  2. 모바일 장치나 보안 키를 사용하여 로그인을 인증합니다.

이렇게 하면 다른 사람이 비밀번호를 알게 되더라도 두 번째 단계를 거치지 않고는 로그인할 수 없습니다.

Shopify에서는 SMS, 인증자 앱, 보안 키를 포함한 다양한 2단계 인증 방법을 제공합니다.

자세한 내용은 2단계 인증을 사용한 계정 보호를 참조하세요.

암호화

전송 중인 정보는 다음 업계 표준 암호화 프로토콜을 사용하여 암호화됩니다.

  • SSH
  • HTTPS-TLSv1.2

Shopify는 결제, 상점 및 관리자 페이지에 대해 HTTPS 프로토콜을 사용합니다. 운영 데이터 스토어의 신용 카드 세부 정보 및 기타 민감한 정보는 암호화됩니다. 저장될 때 비크립트 해시 알고리즘을 사용하여 모든 사용자 비밀번호를 솔팅 및 해싱합니다.

Shopify는 인터넷 통신을 안전하게 보호하는 데 사용되는 암호화 프로토콜인 TLS(전송 계층 보안)을 사용하여 판매자 관리자 및 스토어에 대한 모든 연결을 보호합니다. https://로 시작하는 URL 옆에 있는 브라우저의 주소 표시줄에 자물쇠 아이콘이 표시되면 해당 연결이 TLS를 사용된다는 것을 의미합니다. TLS는 판매자 연결 및 판매자 고객 연결을 포함하여 Shopify에 대한 모든 연결을 보호합니다. Shopify는 TLS 프로토콜의 버전 TLS 1.2 이상을 지원합니다.

TLS 인증서는 판매자 스토어에 다음과 같은 이점을 제공합니다.

  • 고객 개인 데이터를 암호화하여 보안 계층을 추가합니다.
  • 온라인 스토어 URL 옆에 자물쇠 아이콘을 표시하여 고객에게 신뢰를 줍니다.

자세한 내용은 TLS(전송 계층 보안)Shopify 스토어에 대한 보안 연결 활성화를 참조하세요.

PCI 규정 준수

Shopify는 인증된 1 PCI DSS 규정을 준수합니다. PCI 보안 표준 협회는 신용 카드 거래의 안전한 처리를 위한 표준을 유지하기 위해 전 세계적으로 인정받는 조직입니다. 이를 통해 Shopify 판매자와 같은 공급업체는 신용 카드 결제를 안전하게 처리하고 카드 소지자 정보를 보호할 수 있습니다.

Shopify에서는 귀하의 스토어를 안전하게 호스팅하는 데 진심을 다하고 있으며, Shopify의 솔루션이 PCI DSS 규정을 준수하도록 하기 위해 상당한 시간과 비용을 투자했습니다. 규정 준수를 검증하는 연례 평가에서부터 지속적인 위기 관리에까지, 당사는 쇼핑 카트 및 전자상거래 호스팅을 안전하게 유지하기 위해 열심히 노력합니다.

Shopify에서 운영하는 모든 스토어는 기본적으로 PCI DSS를 준수하기 때문에 판매자는 결제 정보 및 비즈니스 데이터를 안전하게 보호할 수 있습니다.

당사의 규정 준수는 다음 6개의 PCI 표준 목표를 충족합니다.

  • 보안 네트워크를 유지합니다.
  • 카드 소지자 데이터를 보호합니다.
  • 취약점 관리 프로그램을 유지합니다.
  • 강력한 액세스 제어를 적용합니다.
  • 네트워크를 정기적으로 모니터링하고 테스트합니다.
  • 정보 보안 정책을 유지합니다.

자세한 내용은 Shopify의 PCI 규정 준수를 참조하세요.

SOC(서비스 조직 제어)

SOC(서비스 조직 제어) 보고서는 회사가 회사 서비스의 보안 및 사용 가능성과 관련된 기준을 포함하여 독립적인 기준들을 충족하는지 인증하는 타사 감사인이 회사의 정보 시스템을 평가한 것입니다.

Shopify는 고객에게 제공하는 서비스에 대해 다음과 같은 보고서를 발행했습니다.

  • SOC 2 타입 II
  • SOC 3

자세한 내용은 규정 준수 보고서를 참조하세요. 판매자로 로그인한 사람은 해당 보고서에서 SOC 2 유형 II 보고서를 찾을 수 있습니다.

기타 보안 필수 요소

Shopify 보안 제어는 다음과 같은 다양한 필수 보안 기능이 포함합니다.

  • 타사 취약성 검사 및 침투 테스트는 잠재적인 보안 취약점을 식별하고 해결하기 위해 정기적으로 수행됩니다.
  • 프로덕션 기술팀에서 서버 및 애플리케이션 성능을 지속적으로 모니터링합니다.
  • 구성 관리 도구를 사용하면 서버에 현재 구성이 적용되도록 합니다.
  • Shopify는 해당 취약점 공개 및 보안 업데이트 소스를 모니터링하고 필요한 경우 조치를 취합니다.
  • 판매자 및 보안 계약자는 자신의 상점을 테스트할 수 있습니다.
  • 판매자는 플랫폼 조사 결과를 당사의 HackerOne 프로그램에 보고하도록 권장됩니다.
  • 당사의 시스템은 사고 발생 시 데이터의 신속한 복구를 위해 설계되었습니다. 백업 복구는 매일 테스트됩니다.
  • Shopify에는 판매자가 판매자 데이터를 사용할 수 있으며 고객이 판매자 스토어를 사용할 수 있도록 여러 수준의 중복이 있습니다.
  • 공식적인 사고 대응 및 해결 프로세스가 있습니다.
  • 직원 장치는 Shopify 보안 정책에 따라 보안 조치를 적용하고 제한하기 위해 중앙 집중식으로 관리됩니다.
  • WAF(웹 애플리케이션 방화벽) 구성이 플랫폼 전체에 존재합니다.
  • Shopify는 민감한 환경에서 침입 방지/감지 시스템(IDS/IPS) 등의 플랫폼 및 보안 모니터링을 통해 데이터 손실 방지를 제공합니다.
  • Shopify는 최소 권한 원칙을 따르는 역할을 기준으로 액세스 제어를 적용합니다.
  • 당사는 SOC 2 유형 II와 같은 독립적인 감사 보고서를 제공하여 연간 보안 검토를 지원합니다.
  • 직원은 정보 보안 인식 교육 및 계약상의 기밀 유지 의무를 받게 됩니다.

자세한 내용은 보안을 참조하세요.

Shopify와 함께 사업을 시작할 준비가 되셨습니까?

무료 체험