보안 컴플라이언스 및 개인 정보 보호 | 설명 |
ISO/IEC 27001: 2013 정보 보안 관리 표준 | ISO/IEC 27001: 2013은 국제적으로 인정된 정보 보안 관리 시스템에 대한 기본 표준입니다. TRTC는 ISO 27001:2013 인증을 받았으며, 이는 보안에 대한 기업의 노력을 나타내고, 기업 정보 보안 관리를 위한 일련의 과학적이고 효과적인 시스템을 보유하고 있으며, 신뢰할 수 있는 정보 서비스를 제공할 수 있음 입증합니다. |
ISO/IEC 27017: 2015 클라우드 서비스 제공 및 사용에 적용되는 정보 보안 제어 가이드 | ISO/IEC 27017: 2015는 클라우드 서비스 공급자 및 고객을 위한 특정 보안 제어 및 구현 가이드를 제공하는 클라우드 서비스의 정보 보안을 위한 실용적인 표준입니다. ISO 27017은 ISO 27002의 보완 표준입니다. 클라우드 공급업체를 위한 클라우드 기반 개발, 운영 및 보안 규범을 제공하도록 설계되었습니다. TRTC는 ISO/IEC 27017 인증을 받아 충분한 정보 보안 관리 및 보호 기능을 입증하였습니다. |
| ISO/IEC 27018: 2019는 퍼블릭 클라우드 개인 식별 정보 보호를 위한 실행 규범입니다. ISO/IEC 27001 정보 보안 표준을 기반으로 퍼블릭 클라우드에서 개인 식별 정보 보호에 적용할 수 있는 보완 제어를 제공하고 개인 식별 정보 보호를 위한 퍼블릭 클라우드 기능을 강화합니다. TRTC는 ISO 27018 인증을 통과했으며, 이는 기업이 기업 데이터, 지적 재산, 문서 및 클라우드 IT 시스템의 보안을 보호하는 업계 모범 사례의 높은 표준에 도달했음을 입증합니다. |
CSA STAR 인증 | 국제 비영리단체인 CSA(Cloud Security Alliance)의 CCM(Cloud Control Matrix)을 기반으로 하는 CSA STAR(Security Trust Assurance and Risk)는 클라우드 컴퓨팅 공급업체가 클라우드 컴퓨팅 보안 분야의 특정 요구 사항 충족 여부를 검증하는 글로벌 클라우드 컴퓨팅 보안 인증입니다. 정보 보안 관리 시스템에 대한 ISO/IEC 27001의 향상된 버전으로 클라우드 보안 문제를 시각화하고 클라우드 벤더가 보안 관리 기능을 평가할 수 있는 직관적인 프레임워크를 제공합니다. TRTC는 클라우드 서비스 보호 기능을 입증하는 CSA STAR 인증을 받았습니다. |
SOC 감사 | SOC 리포트(System and Organization Controls Reports)는 AICPA(American Institute of Certified Public Accountants)의 해당 지침에 따라 전문적인 제 3자 회계 법인이 발행하는 서비스 조직의 내부 통제와 관련된 일련의 리포트입니다.
선도적인 클라우드 서비스 공급자인 Tencent Cloud는 2017년 SOC 감사에서 2017년 버전의 신뢰 서비스 기준을 채택하여 2017년 버전을 따르는 중국 최초의 공급자가 되었습니다. 서비스 인증 보고서는 TRTC가 효과적인 내부 통제를 수립하고 구현했으며 인증 보고서의 요구 사항을 준수하는지 확인하기 위해 정기적으로 제 3자 감사에 제출할 것임을 검증합니다. |
사이버 보안 분류 보호 인증 | CCP 2.0(Cybersecurity Classified Protection 2.0)은 2019년 12월 1일부터 시행되었습니다. CCP 2.0은 능동적 보호뿐만 아니라 보안 및 신뢰성, 동적 인식, 수동적 보호에서 이벤트 전, 중간 및 이벤트 후 프로세스 전체에 이르기까지 전체 감사에 중점을 두고 있으며, 기존 정보 시스템, 기본 정보 네트워크, 클라우드 컴퓨팅, 모바일 인터넷, IoT, 빅 데이터 및 산업 제어 시스템들을 완벽하게 다룹니다. CCP 2.0 및 해당 규정에 따라 Tencent Cloud 퍼블릭 클라우드 TRTC PaaS 서비스 플랫폼은 CCP 레벨 3 컴플라이언스에 대해 등록 및 평가되었으며, 이는 클라우드 플랫폼에서 다양한 산업 및 비즈니스에 종사하는 기업 사용자에게 CCP 컴플라이언스에 필요한 서비스를 제공함을 나타냅니다. |
전송 네트워크 보안 제어 | 설명 |
암호화 전송 | TRTC는 전송 중 오디오/비디오 데이터의 기밀성을 보장하기 위해 전송 연결을 위한 내장 암호화 및 사용자 정의 암호화를 제공합니다. 내장 암호화는 TRTC PaaS에 기본적으로 전역적으로 활성화되어 있으며, 전체 데이터 연결을 포괄하여 데이터 전송의 암호화 보안을 보장합니다. |
리소스 격리 | TRTC는 각 TRTC 애플리케이션(SdkAppId)에 전용 리소스를 할당하여 다른 프로젝트와의 독립성을 보장하고 컴퓨팅 리소스의 안전하고 안정적인 보장을 제공합니다. 개발자와 사용자는 TRTC 콘솔에 등록한 후 콘솔(Console)에서 간단한 작업만 수행하면 TRTC 애플리케이션(SdkAppId)을 만들고 해당 리소스를 할당할 수 있습니다. |
방 격리 | TRTC는 각 유형의 오디오, 비디오 또는 메시지 데이터 전송을 위해 독립적인 격리 채널(Roomid)을 생성합니다. 모든 방은 논리적으로 분리되어 있으며 사용자가 동일한 SdkAppid 및 동일한 방 이름으로 TRTC 애플리케이션을 사용하는 경우에만 사용자가 동일한 채널에 참여할 수 있습니다. 방은 세션이 시작되면 생성되고 세션이 종료되면(마지막 사용자가 나갈 때) 종료됩니다. 이러한 방식으로 전송 격리가 방 레벨에서 구현됩니다. |
실명 인증 | 사용자가 TRTC 애플리케이션을 사용하고 TRTC PaaS 서비스에 연결하면, TRTC는 SdkAppid + 키를 기반으로 생성된 인증 정보를 사용하여 방 입장에 대한 인증을 수행하여 개발자와 사용자가 강력한 인증을 통해 사용자를 인증할 수 있도록 도와줍니다. |
SDK 보안 지원 | 설명 |
SDK 보안 및 컴플라이언스 | TRTC SDK의 신뢰성과 보안은 TRTC 기능을 보장하는 기반 중 하나입니다. TRTC는 기능 반복 중에 Tencent Cloud의 컴플라이언스와 개인 정보 및 보안 위험 측면에서 기능 요구 사항의 합리성을 충분히 평가하여 컴플라이언스 및 개인 정보 보호 정책을 준수하도록 합니다.
기능 구현 중에 TRTC는 적절하고 필요한 품질 보안 테스트를 수행하고 타사 SDK 또는 라이브러리 파일을 가져오거나 통합하는 보안 검사, 특히 컴플라이언스 확인을 수행합니다. |
SDK 콘텐츠 암호화 | TRTC SDK는 AES 128 대칭 키를 사용하여 데이터 수준에서 모든 오디오/비디오 데이터 스트림 및 메시지를 암호화할 수 있습니다. 암호화된 데이터는 Tencent Cloud 프라이빗 전송 프로토콜을 통해 TRTC 방의 노드로 전송되고 최종적으로 수신 터미널에서 해독되어 렌더링됩니다. 전송 중 데이터 보안 및 기밀성을 보장합니다. |
개발자에 대한 SDK 보안 및 컴플라이언스의 이점 | TRTC는 개발자를 위해 안전하고 합법적인 고품질 오디오/비디오 PaaS 서비스를 제공하기 위해 최선을 다하고 있습니다. TRTC SDK에는 보안 암호화가 내장되어 있어 개발자와 사용자가 TRTC의 데이터 보안 및 개인 정보 컴플라이언스를 개선하고 고객의 보안 및 개인 정보 보호 요구 사항을 최대한 충족하며 개발 비용을 절감할 수 있도록 지원합니다. |
컴퓨팅 리소스 보안 | 설명 |
IDC 장치 보안 관리 | TRTC는 IDC에서 장치의 일상적인 관리를 위한 완전한 관리 규범을 제정했습니다. 이 규범은 물리적 환경 보안, 일상적인 점검, 예외 모니터링 및 리포팅, IDC의 전력 리소스 지원에 완전히 반영되고 TRTC의 보안 컴플라이언스 및 기본 보안 개발 요구 사항을 충족하는 세부 관리 조치 및 서비스 구현 표준을 정의합니다. |
서버, 데이터베이스, 미들웨어 등 컴퓨팅 리소스 보안 | CPU, 메모리, 디스크 등 TRTC 운영에 필요한 리소스는 비즈니스 부하에 따라 합리적으로 스케쥴링 및 할당됩니다. TRTC는 실제 보안 운영에서 적절한 보안 기준 및 취약성 관리 지침을 개발하고 심층 위협 탐지를 구현하여 기본 서비스 시나리오에서 기본 컴퓨팅 리소스의 부하 보안을 완벽하게 보장합니다. |
DDoS 공격 방어 | TRTC PaaS 서비스의 시스템 및 비즈니스 가용성에 대한 DDoS 공격의 중대한 영향을 고려하여, TRTC는 Tencent Cloud 퍼블릭 클라우드 기능을 활용하여 핵심 서비스에 DDoS 공격 방지 스키마를 배포하였습니다. 이 스키마는 네트워크 및 전송 레이어의 DDoS 공격을 실시간으로 탐지하고 방어할 수 있습니다. 실시간으로 네트워크 트래픽을 모니터링하고, 공격이 감지되는 즉시 트래픽을 정리하고, TRTC를 몇 초 안에 보호할 수 있습니다. |
보안 보호 | 설명 |
인증 | TRTC RESTful API를 사용하기 전에 개발자는 먼저 Tencent Cloud 콘솔에 로그인하고 전용 SecretId&SecretKey를 생성하여 서비스 공급자 ID의 고유성을 보장해야 합니다. |
입력 확인 | 개발자 요청 매개변수의 유효성은 TRTC 서버 백엔드에서 확인되어 유효하지 않은 매개변수를 필터링하여 일반적인 공격 취약성을 방지합니다. |
전송 보안 | RESTful API는 SSL / TLS를 사용한 모든 API 통신의 암호화를 보장하기 위해 HTTPS 프로토콜만 지원합니다. 이는 API 자격 증명 및 전송된 데이터를 보호하는 데 도움이 됩니다. |
API 속도 제한 | 서버의 API 요청 속도에 제한이 있어 정상적인 사용자 요청에 대한 응답을 보장하면서 악의적인 사용자의 API 요청을 제한합니다. |
비상 대응 메커니즘 | 설명 |
비즈니스 모니터링 및 알람 | TRTC는 비즈니스 서비스 및 시스템 운영 상태를 모니터링하기 위해 7×24시간 효율적인 모니터링 메커니즘을 갖추고 있습니다. 애플리케이션, 미들웨어, 컴퓨팅 부하, 데이터베이스 및 네트워크 장치와 같은 비즈니스 서비스와 관련된 시스템 컴포넌트의 실행 상태 및 리소스 부하와 같은 메트릭에 대한 이벤트 모니터링 및 자동 알람을 구현하기 위한 통합 모니터링 툴의 완전한 세트를 설정했습니다. 또한 봇을 활용하여 문제를 담당 직원에게 즉시 알려 문제를 신속하게 발견하고 서비스 복구 및 가용성을 보장할 수 있습니다. |
재해 복구 및 중복성 | TRTC는 다양한 극단적인 비즈니스 시나리오를 위한 인프라 레이어, 컴퓨팅 부하 및 네트워크 구조뿐만 아니라 장치의 재해 복구 보안을 고려하여 핵심 IDC의 중복 아키텍처 개발을 위한 솔루션을 개발했습니다. Tencent Cloud 퍼블릭 클라우드 서버는 예상치 못한 상황에서 TRTC의 기본 리소스 가용성을 추가로 보장하기 위해 활용됩니다. |
연속성 시뮬레이션 | TRTC는 중요한 비즈니스 시스템의 지속적이고 효율적인 운영을 보호하고 지속적으로 안정성을 개선하기 위해 IDC 네트워크, 미들웨어, 비즈니스 시스템에 대한 보안 비상 재해 복구 훈련을 정기적으로 실시하고, 각 비상 훈련의 데이터를 기반으로 검토를 수행하며, 기술 아키텍처, 운영 관리 프로세스 및 비상 계획을 개선합니다. |
프로세스 | 설명 |
채용 | 직원 채용 프로세스의 초기 단계에서 TRTC는 전문 인사 전문가를 지정하여 지원자의 교육 및 업무 경험 확인을 통해 역량을 확인합니다. |
입사 | 신입 직원은 Tencent Cloud의 보안 컴플라이언스 인식 요구 사항을 충족하기 위해 직원 보안 정책을 학습해야 합니다. Tencent Cloud는 또한 각 직원과 적절한 수준의 기밀 유지 계약을 체결합니다. 중요한 데이터에 접근할 수 있는 위치에 있는 직원은 TRTC의 일상 개발 업무에 참여하기 전에 보안 컴플라이언스 정책에 대한 엄격한 규범 학습을 완료하고 시험에 합격해야 합니다. |
재직 | 직원은 정기적으로 보안 및 개인 정보 보호 교육에 참석하고 필수 시험에 합격해야 합니다. 또한 TRTC는 내부 보안 및 개인 정보 관련 활동을 비정기적으로 진행하여 직원의 보안 의식을 지속적으로 고취하고 있습니다. |
사직 | 직원은 팀을 떠나기 전에 설정된 사직 프로세스에 따라 인계를 완료한 후에 액세스 권한을 비활성화합니다. TRTC는 기밀 유지 계약에 명시된 사전 통지 기간 동안 성과를 감사하고 직원에게 사직 후 정보 보안 및 기밀 유지 책임을 알립니다. 직원은 업무 인계 및 데이터 정리 후 승인을 거쳐 사직할 수 있습니다. |
문제 해결에 도움이 되었나요?