1. 보안

보안

Flo는 귀하의 개인 데이터 보안을 최우선 시 합니다. 당사는 귀하의 앱 프로필에 매우 민감한 개인 데이터가 들어 있을 수 있다는 점을 잘 알고 있습니다. 그러므로 우리는 업계 최상의 관행과 표준을 준수하도록 모든 노력을 다하고 있습니다.
법률 준수
Flo는 EU 일반 데이터 보호 규정(GDPR)과 그리고 캘리포니아 소비자 개인정보 보호법 및 기타 규정을 준수합니다. 우리는 이 규정과 법에 명시된 사항에 따라 개인 데이터 보안 및 보호를 유지하기 위해 최선의 노력을 다하고 있습니다.
제삼자 감사
우리는 명망이 있는 제삼자 기관의 도움을 받아서, 정기적으로 내부 보안 절차 및 정책을 심사하고 강화합니다.
물리적 보안 및 환경적 보안
Flo는 물리적 제어, 환경적 제어, 그리고 호스팅 제어에 있어서 업계 최고 표준을 준수합니다. Flo 데이터 센터는 아마존 웹 서비스(AWS)의 도움을 받아서 최신 아키텍처 및 엔지니어링 방식의 장점을 활용할 수 있습니다.
제품 보안
서버 및 네트워킹

당사는 아마존 웹 서비스(AWS)를 사용하여 모든 프로덕션 환경을 호스팅합니다. AWS는 당사의 애플리케이션 인프라를 구축하기 위해 설계된 것입니다. 따라서 당사의 앱 인프라는 보안이 뛰어나고,  성능이 높으며, 강하고, 효율적입니다.  AWS 데이터 센터는 보안 설계가 되었으며, SOC 1, SOC 2, SOC 3 인증을 받았습니다. 당사의 모든 프로덕션 서버는 변경이 불가하며 그 시스템은 지속적 패치 도커입니다. 당사는 또한 VPC(AWS 가상 사용자 클라우드), AWS 다중 계정 인프라, EKS(AWS 엘라스틱 쿠버네티스 서비스)와 같은 서비스를 추가로 활용합니다. 네트워크 상의 통신 보안을 유지하기 위해서, 당사는 HTTPS 프로토콜을 사용합니다.  이 프로토콜은 TLS(전송 레이어 보안)를 사용하여 암호화되어 있습니다.

당사는 아마존 웹 서비스(AWS)를 사용하여 모든 프로덕션 환경을 호스팅합니다. AWS는 당사의 애플리케이션 인프라를 구축하기 위해 설계된 것입니다. 따라서 당사의 앱 인프라는 보안이 뛰어나고,  성능이 높으며, 강하고, 효율적입니다.  AWS 데이터 센터는 보안 설계가 되었으며, SOC 1, SOC 2, SOC 3 인증을 받았습니다. 당사의 모든 프로덕션 서버는 변경이 불가하며 그 시스템은 지속적 패치 도커입니다. 당사는 또한 VPC(AWS 가상 사용자 클라우드), AWS 다중 계정 인프라, EKS(AWS 엘라스틱 쿠버네티스 서비스)와 같은 서비스를 추가로 활용합니다. 네트워크 상의 통신 보안을 유지하기 위해서, 당사는 HTTPS 프로토콜을 사용합니다.  이 프로토콜은 TLS(전송 레이어 보안)를 사용하여 암호화되어 있습니다.

암호화

당사가 활용하는 KMS(AWS 키 관리 서비스)는 키를 만들고 관리하는 것입니다. 그리고 이것은 다양한 AWS 서비스 및 당사의 애플리케이션 암호 적용 문제를 관리하는 것입니다.

 

당사가 활용하는 KMS(AWS 키 관리 서비스)는 키를 만들고 관리하는 것입니다. 그리고 이것은 다양한 AWS 서비스 및 당사의 애플리케이션 암호 적용 문제를 관리하는 것입니다.

 

저장소

Flo는 제반 데이터, 예를 들면, 메타데이터, 활동, 원본 파일, 고객 데이터 같은 것을 다양한 장소에 저장합니다. 모든 데이터는 각각 해당 장소에서 KMS로 암호화됩니다.

최종 사용자에게 민감한 데이터는 로그에 두지 않습니다. 그리고  Flo 엔지니어도 이 데이터에 액세스 할 수 없습니다.

Flo는 제반 데이터, 예를 들면, 메타데이터, 활동, 원본 파일, 고객 데이터 같은 것을 다양한 장소에 저장합니다. 모든 데이터는 각각 해당 장소에서 KMS로 암호화됩니다.

최종 사용자에게 민감한 데이터는 로그에 두지 않습니다. 그리고  Flo 엔지니어도 이 데이터에 액세스 할 수 없습니다.

환경 격리

프로덕션 네트워크 환경은 다른 스테이징 환경, 개발 및 인프라 환경과 격리됩니다. 별도의 VPC 네트워크에는 별도의 AWS 계정이 있으며, 모든 환경은 이 계정에 설정됩니다. 

프로덕션 네트워크 환경은 다른 스테이징 환경, 개발 및 인프라 환경과 격리됩니다. 별도의 VPC 네트워크에는 별도의 AWS 계정이 있으며, 모든 환경은 이 계정에 설정됩니다. 

고객 결제 데이터

모든 결제는 App Store, Google Play 또는 Stripe 중 하나로 처리 되며, 결제 보안은 전적으로 이들의 책임집니다. Flo는 신용카드 정보를 저장하지 않습니다.

모든 결제는 App Store, Google Play 또는 Stripe 중 하나로 처리 되며, 결제 보안은 전적으로 이들의 책임집니다. Flo는 신용카드 정보를 저장하지 않습니다.

보안 설계
Flo 엔지니어들은 최상의 제품 개발 기술을 활용하며, 개발 과정 문서화, 품질 보증 절차 등에서 업계 표준을 고수합니다. 당사는 기밀성, 무결성, 가용성의 보안 원칙에 따라, 앱의 취약성 노출 위험을 최소화 하도록 앱을 설계하였습니다.
서비스 제 레벨 및 백업
Flo 인프라는 많은 레이어 기술을 사용하여, 자동 크기 조정, 부하 분산, 태스크 순차 조정, 전개 롤링 등, 제반 가동 시간 신뢰성을 확보하였습니다. 우리는 전체 데이터베이스를 매일 자동 백업 합니다. 모든 백업은 암호화됩니다.
시스템 모니터링 및 경고
Flo는 프로덕션 모니터링 애플리케이션 및 기본 인프라 구성 요소를 전용 모니터링 시스템을 통해 연중 무휴 24시간 모니터링합니다. 이러한 시스템에서 생성된 중요 알림은 연중 무휴 24시간 대기 서비스 담당자에게 전송되고 상부 운영 관리 부서에 사안에 맞게 보고됩니다.
취약성 (외부 침입) 테스트
Flo는 업계 최고의 사이버보안 적색 팀 회사에 의뢰해서 당사의 네트워크 구성, 인프라 및 애플리케이션 레이어에 대한 외부 침입 테스트를 정기적으로 수행합니다. 외부 침입 취약성을 테스트 할 때, 잘 알려진 웹 애플리케이션 보안 툴킷과 스캐너를 사용합니다. 그리하여 앱 출시 이전에 취약성이 있는지 미리 알아봅니다.
트래픽 관리
Flo 앱은 클라우드플레어(Cloudflare) 보안 스위트를 사용하므로, 악성 트래픽을 자동으로 차단하고 앱 안정성을 보장할 수 있습니다. Flo는 스마트 트래픽 라우팅을 사용하기 때문에, 앱 유저가 어디에 있든, 유저의 스마트 폰에서 원활하게 작동합니다. 그리고 앱 콘텐츠는 유저와 가장 가까운 위치에 있는 클라우드플레어(Cloudflare) 서버에서 유저에게 전달됩니다.
사고 조치 및 데이터 침해 고지
당 Flo 헬쓰 사는 만일의 경우 한 사고가 발생해 이것이 개인 데이터 침해 등을 포함한 사고 건으로 분류될 수 있다는 점을 인지하면, 국제 지침 및 규제법에 따라 취할 수 있는 조치 행동 요령을 마련해두었습니다.
Flo는 보안을 기업 문화로 지킵니다
Flo 헬쓰 사의 직원과 하주 업체는 보안 인식 교육을 받습니다. 이들은 1년에 적어도 한 번은 정보 보안 관련 업무 및 책임 교육을 받아서, 개인 데이터 정책, 절차 및 계약 약관을 지키도록 합니다. Flo 보안 팀은 회사 보안 프로그램 및 개인정보 보호 프로그램을 지속적으로 검토, 업데이트, 테스트, 유지 관리 및 개선합니다.