SYNQRA보안 정책
SYNQRA가 고객 데이터를 보호하기 위해 운영하는 보안 통제와 절차입니다.
시행일 · 2026년 4월 25일
본 문서는 초안이며, 정식 시행 전 법무 검토가 필요합니다.
1. 보안 인증 및 컴플라이언스
SYNQRA는 글로벌 표준 보안 인증을 유지하며, 정기 외부 감사를 통해 통제 실효성을 검증합니다.
- ISO/IEC 27001 — 정보보호 관리 체계
- SOC 2 Type II — 보안·가용성·기밀성 통제
- ISMS-P — 정보보호 및 개인정보보호 관리체계
- CC EAL4+ — 핵심 모듈 공통평가기준 인증
2. 데이터 보호
- 전송 구간: TLS 1.3 의무화, HSTS 적용
- 저장 구간: AES-256 암호화, 키는 HSM 기반 KMS로 관리
- 분리: 고객별 논리적 격리, 옵션으로 전용 인스턴스 제공
- 백업: 매일 자동 백업, 90일 보관, 분기별 복구 훈련
3. 접근 통제
- 모든 직원에게 다요소 인증(MFA) 강제 적용
- 최소 권한 원칙(Least Privilege) 기반 RBAC
- 특권 계정 활동 감사 로그 1년 이상 보관
- 퇴직·이동 시 24시간 이내 권한 회수
4. 취약점 관리 및 침해 대응
SYNQRA는 연 2회 이상 외부 침투 테스트와 상시 SAST/DAST를 수행하며, CVSS 7.0 이상의 취약점은 14일 이내 패치합니다.
침해사고 발생 시 즉시 격리·분석을 수행하며, 영향받는 고객에게 72시간 이내에 통지합니다.
5. 취약점 신고
보안 취약점을 발견하신 경우 security@synqra.io 로 제보해 주십시오. 선의의 연구자에 대해서는 법적 조치를 취하지 않으며, 책임 있는 공개 정책에 따라 공로를 인정합니다.