인증 및 준수 개요

이 개요에서는 Mattermost가 사용자들의 내부 준수 계획을 지원하는 방법을 요약하였습니다. 포함된 내용은 다음과 같습니다:

  • GDPR 준수

  • 미국 수출 준수

GDPR 준수

다음 요약에서는 Mattermost 소프트웨어가 유럽 연합의 일반 데이터 보호 규정, 즉 규정 (EU): 2016/679 (전문 보기 )를 포함한 준수 프로그램 지원에 어떻게 활용될 수 있는지, 그리고 Mattermost, Inc. 자체가 규정 요건을 준수하는 방법에 대해 요약하였습니다.

GDPR 원칙에 대한 지속적인 약속

Mattermost는 높은 신뢰를 받는 조직들을 위한 협업 허브이며, 유럽 연합 내 개인 데이터 보호를 위한 GDPR의 원칙을 지원하기 위해 노력하고 있습니다. Mattermost는 다음과 같은 방법으로 이를 실천하고 있습니다:

  • 보안 인프라: 보안, 개인정보 보호 및 준수 기능에 대한 지속적인 투자.

  • 계약 의무: 사용 약관을 통해 적절한 계약 의무 및 표준 서비스 약관 에 포함된 데이터 처리 부록 .

  • 개인정보 보호 대책: 개인정보 처리 방침 에서 개인정보 보호 대책 개요를 안내.

  • 제품 기능: 데이터 관리와 이전성 보장을 위한 다양한 제품 기능 지원.

Mattermost의 노력에 대한 최신 정보를 받으려면 정기 소식지를 구독하세요 .

보안 인프라

Mattermost는 조직이 자체 인프라를 배포할 수 있는 보안 특징을 갖춘 협업 허브를 통해 정보 및 사용자, 고객의 정보를 보호할 수 있도록 지원합니다. 이 보안 인프라의 특징은 다음과 같습니다:

  • Mattermost 오픈 소스 및 상용 제품의 보안 기능 을 통해 조직의 자체 인프라 배포를 가능하게 함.

  • 전 세계의 보안 연구원들이 의심되는 취약점을 기밀리에 보고할 수 있는 책임 있는 공개 정책 .

  • 자체 내부 보안 검토 팀과 외부 보안 연구원에 의한 보안 검토 .

  • 국제적 보안 지침과 조화를 이루기 위해 충족해야 하는 ISO 27001 표준 .

계약 의무

Mattermost는 다음과 같은 방법으로 데이터의 적절한 관리를 위한 계약 의무를 준수합니다:

  • Mattermost의 표준 약관에 포함된 GDPR 준수 데이터 처리 부록 .

  • Mattermost 개인정보 처리방침을 통한 온라인 인프라 상의 데이터 처리 방식을 안내.

개인정보 보호 대책

Mattermost는 개인정보 처리 방침 에서 고객 및 협력사가 제출한 개인 데이터의 안전을 유지하기 위한 보안 대책을 안내합니다.

제품 기능

Mattermost는 데이터 관리 및 이전성 보장을 위한 다양한 기능을 지원합니다.

데이터 관리

  • 데이터 유지: 일정 기간이 경과한 후 데이터를 자동으로 삭제하는 데이터 보존 기간 을 사용하여 적용할 수 있는 데이터 보존 기능. 팀 에디션에서는 동일한 결과를 얻기 위해 데이터베이스 스크립트를 사용할 수 있습니다.

  • 프로필 삭제: 사용자의 개인 정보를 mmctl 사용자 삭제 명령어 를 통해 삭제할 수 있습니다. 이는 해당 사용자가 생성한 모든 메시지를 포함한 모든 사용자 정보를 영구적으로 삭제합니다.

  • 자체 호스팅 푸시 알림 서비스: 자체 호스트하는 푸시 알림 서비스를 사용하거나, 보안 및 준수 정책을 준수하는 AppConfig 를 지원하는 모바일 앱을 배포할 수 있습니다. 자세한 내용은 모바일 앱 배포 문서 를 참조하세요.

데이터 이전성 보장

  • 데이터 가져오기: 기존 메시징 시스템에서 데이터를 마이그레이션하거나 새 설치에 데이터를 사전으로 채우기 위해 대량 로딩 도구 를 사용할 수 있습니다. 이 가이드를 검토하세요 .

  • 데이터 내보내기: 준수 익스포트 를 사용하여 XML 또는 EML 형식으로 공개, 비공개 및 다이렉트 메시지 채널에서 대화를 내보낼 수 있습니다. 팀 에디션 사용자는 PostgreSQL 또는 MySQL에서 직접 대화를 내보낼 수 있습니다.

접근성 준수

접근성 표준 준수는 다음과 같은 방법으로 지원됩니다:

  • 508 준수: 미국 공공 부문 기관들이 508 준수를 확인하려는 경우 Mattermost는 온라인에서 자발적 제품 접근성 템플릿 (VPAT)을 공유합니다 .

  • WCAG 2.0L: 웹 콘텐츠 접근성 지침 2.0 (WCAG)를 준수하기 위해 Mattermost는 제3자로부터 “A” 등급을 받았으며 “AA” 등급을 향해 노력하고 있습니다.

  • ADA: Mattermost는 미국 장애인 보호법 (ADA) 준수를 위해 VPAT 및 WCAG 2.0 지침에 따른 접근성 지원을 제공함으로써 접근성 도구에 대한 온라인 경험을 제공합니다.

  • 개선: 제품 설명서에서 명시된 접근성 등급을 준수하지 못하는 현재 또는 미래 제품 릴리스의 경우 제품 결함으로 간주되며, 해당 결함에 대한 공개적인 문제 보고서를 환영합니다 .

미국 무역 준수

Mattermost, Inc.는 미국 무역 준수 법률을 준수하기 위해 여러 제어 및 프로세스를 실행하고 있습니다.

  1. IP 차단: 상업용 및 소유 오퍼링에 등록하는 경우 특정 국가의 액세스를 거부하기 위해 IP 차단을 사용합니다.

  2. 자동 준수 검사: 우리는 Descartes라는 자동 수출 준수 도구를 사용합니다. Salesforce 계정 레코드에는 안전 수준을 나타내는 Descartes 상자가 상단 오른쪽에 있습니다. 규정에 따라 표시된 계정은 법률 부서나 그들의 지정인에 의해 Descartes 시스템에서 해제되어야 합니다.

  3. 수동 준수 검토: 때로는 제재 규정에 대한 변경 사항에 대한 발표가 자동 수출 준수 도구의 조치보다 빠르게 발생합니다. 제재가 발표된 경우, 자동 솔루션이 업데이트되기 전에 우리의 비즈니스를 사전적으로 검토하고 변경을 가할 수 있습니다.

  4. 법적 제한: 상용 소프트웨어에는 미국 무역 법을 위반하는 사용을 금지하는 관리자 및 최종 사용자에게 적용되는 법적 조항이 포함되어 있습니다.

여기서 언급된 미국 무역 법은 다음 링크에서 온라인으로 찾아볼 수 있습니다: https://www.bis.doc.gov/https://ofac.treasury.gov/.

조직이 미국 무역 법이나 제재 조치에 잘못 분류되었다고 생각되는 경우 compliance@mattermost.com으로 이메일을 보내주십시오.

새로운 미국 무역법이나 제재로 인해 고객과의 관계를 종료하는 절차는 무엇인가요?

고객은 compliance@mattermost.com을 참조로하는 메일을 통해 수동이나 자동화된 프로세스로 연락을 받으며, 이러한 의사소통은 기록 보관을 위해 SFDC에 기록됩니다.

미국 수출 규정 개요

요약 표

Mattermost 제품

수출 통제 분류 번호 (ECCN)

Mattermost 엔터프라이즈 에디션 (Mattermost 프로페셔널 및 엔터프라이즈 포함)

ECCN 5D002 with a License Exception available of `ENC < https://www.bis.doc.gov/index.php/documents/regula tion-docs/415-part-740-license-exceptions/file>`__

Mattermost 팀 에디션

미국 수출 행정 규정 (EAR)의 적용을 받지 않으며, 공개 소스 코드에서 완전히 컴파일 가능한 소프트웨어로 공개적으로 이용 가능합니다. https://github.com/mattermost/ 에서 확인 가능합니다.

개요

미국 정부는 미국의 국가 안보, 경제 및/또는 외교 정책 이익을 위해 전략적으로 중요하다고 여기는 정보, 상품, 기술 및 소프트웨어의 이전을 규제합니다. 미국 외의 많은 국가들도 동일한 이유로 수출에 대해 유사한 통제를 가지고 있습니다.

미국의 수출 규제는 “수출 통제”로 통칭되며, 여러 미국 기관과 관련 규정으로 구성되어 있습니다.

Mattermost는 사업을 진행하는 모든 국가에서 모든 수출 규정을 준수하는 것을 정책으로 삼고 있습니다. Mattermost가 본사를 둔 미국 기업이므로, 우리의 소프트웨어 뿐만 아니라 장비, 자재 및 서비스를 포함한 “상품”이 모든 수출 규정 및 규칙에 필적한다고 보도록 각 국가의 수출 법과 규정에 준수해야 합니다. 수출 통제 규정에 불이행할 경우 Mattermost 및 그 계열사, 고객, 직원 및 비즈니스 파트너는 형사 처벌과 민사 처벌, 자산 압류, 수출 특권 거부, 정부 계약의 중지 또는 제제에 처해질 수 있습니다.

이러한 이유로, 사업을 진행하는 국가의 적용 가능한 수출 (및 수입) 통제를 숙지하는 것이 중요합니다. Mattermost는 수출 문제에 대한 조언을 제공할 수 없지만, 이 웹 페이지는 Mattermost 제품을 수출하기 위해 필요한 정보를 제공합니다.

본 개요는 미국 수출 행정 규정 (EAR) 에 특화되어 있지만, 사업 운영은 International Traffic in Arms Regulations 과 같은 다른 규정에도 적용될 수 있습니다.

일반 정보

우선 미국 산업 안전 보건국 웹사이트를 참조하십시오. 그런 다음 미국 수출 행정 규정의 부분 730 으로 이동하여 규정이 무엇을 포함하며 “EAR에 따라 적용”되는지 이해하십시오.

수출 분류 및 라이선스

미국 수출 행정 규정에 따라 적용되는 대상은 매우 폭넓지만 매번 모든 거래에 수출 라이선스가 필요한 것은 아닙니다. 하드웨어, 소프트웨어 및 기술과 관련된 수출 통제를 이해하는 기초는 CCL (Commerce Control List)에 있으며, 0부터 9까지 10개 카테고리로 구성되어 있으며 긍정 목록으로 설정되어 있습니다. 먼저 수출할 품목이 EAR에 적용되는지 여부를 확인하는 것이 첫 번째 단계입니다.

Mattermost에서는 완전히 오픈 소스이고 공개적으로 이용 가능한 소프트웨어가 EAR 적용 대상이 아니라 이며, 이 소프트웨어는 공개적으로 이용 가능한 암호화 소스 코드에서 파생되었으며 소스 코드 (https://github.com/mattermost/)와 바이너리 버전의 완전한 소프트웨어 패키지가 공개적으로 이용 가능합니다. Mattermost 엔터프라이즈 소프트웨어는 통신 및 정보 보안 품목 (하드웨어, 소프트웨어 및 기술)으로 CCL의 “카테고리 5, 파트 2”에 속합니다. 이 카테고리의 대부분 품목에는 암호화가 포함되어 있습니다.

부분 740 에 따라 라이선스 예외가 가능하며, 라이선스 예외가 가능한 커머스 컨트롤 리스트 품목은 ECCN(Export Control Classification Number)에 따라 특정 라이선스 예외(s)가 목록화됩니다.

Mattermost 엔터프라이즈 에디션 (Mattermost 프로페셔널 및 엔터프라이즈를 포함)은 암호화 기능이 공개 소스 소프트웨어에서 파생되었으며 “ENC” 에서 라이선스 예외가 가능한 ECCN 5D002 에 속합니다. 수출 규정에 따라 암호화 제품에는 다수의 수준의 통제와 요구 사항이 있습니다. BIS는 이에 대한 설명과 향후 참고할 링크를 다수 포함한 별도의 웹사이트 섹션을 가지고 있으며, 이를 검토하실 것을 권장합니다.

Mattermost 소프트웨어 또는 기술을 수출하는 데 주의해야 할 다른 주요 영역은 다음과 같습니다:

제재 사항 : 특정 금지를 포함한 쿠바, 이란, 북한, 시리아 및 크라임 반도, 도네츠크, 루한스크, 벨라루스, 러시아, 베네수엘라, 미얀마/버마 및 캄보디아에 대한 상세한 제재 사항은 BISOFAC 에서 확인할 수 있습니다. 이러한 국가와 그들의 제재는 변경될 수 있습니다.

대량 살상 무기(WMD, Weapons of Mass Destruction) : Mattermost, 그 고객 및 비즈니스 파트너는 미국 수출행정규정(“EAR”) 하에서의 금지된 최종 용도와 함께 대량 살상 무기의 전파에 관여하는 당사자들에게 수출하지 않아야합니다.

일반 금지사항 : EAR 하에서의 일반 금지사항 정보는 여기 에서 확인할 수 있습니다. 이러한 일반 금지사항의 적용은 상품의 분류, 목적지, 최종 이용자, 최종 용도 및 행동 등의 조합에 기반합니다.

제한된 당사자들 : 미국 정부의 제한된 당사자 목록 에 등재된 당사자들에게 수출해서는 안 되며, 수출 전에 해당 당사자들에 대해 스크리닝을 진행해야 합니다. export.gov의 무료로 제공되는 통합 스크리닝 목록 를 사용하여 스크리닝할 수 있습니다. 또한 군사 최종 이용자 및 군사 정보 최종 이용자에 대한 특정 제한사항도 있습니다.

사실상 수출 : 미국 내 외국인에게 통제된 기술을 제공하는 것은 해당 개인의 국가 또는 국적으로의 수출로 “사실상” 간주되며, 이에 대한 정보는 BIS 웹사이트의 Export Administration Regulations 에서 확인할 수 있는 EAR의 734.2(b) 에 기술되어 있습니다.

고객 식별 : BIS 웹사이트를 검토함으로써, “고객을 알아야 한다”는 것이 매우 중요하며 “적색 깃발”을 인지해야 합니다. 귀하의 사업 파트너와 고객을 스크리닝하여 규정 준수를 보장하십시오.

면책조항

Mattermost는 이 데이터를 정보 제공 목적으로만 제공합니다. 이것은 가장 최신의 법적 발전을 반영하지 않을 수 있으며, Mattermost는 그것이 완전하거나 정확하거나 최신이라고 대표하거나 보증하거나 보증하지 않습니다. 이 정보는 사전 통지 없이 변경될 수 있습니다. 이 사이트의 자료는 법적 자문으로 구성되거나 구체적인 법적 자문으로 사용되지 않을 목적으로 제공되지 않습니다. 본 사이트의 정보에 근거하여 특정한 사실과 상황에 대한 전문적인 자문을 받지 않고는 귀하의 행동(또는 비행)을 취해서는 안 됩니다.

자주 묻는 질문

GDPR을 준수하기 위해 이메일 알림의 메시지 내용을 제거해야합니까?

저희의 GDPR 해석에 따르면, 다음과 같은 이유로 이메일 알림의 메시지 내용을 숨길 필요가 없습니다:

  1. 모든 사용자는 설정 에서 이메일 알림을 비활성화할 수 있습니다. 따라서 모든 사용자가 정보를 이메일로 전송하고 싶은지 여부를 궁극적으로 제어할 수 있습니다. 이 옵션은 대부분의 다른 제품과 일치하며, 이 분야의 해석에 대한 업데이트를 주의 깊게 따라가며 이 영역에서 변경이 필요한지 확인할 것입니다.

  2. Mattermost는 Mattermost 서버와 SMTP 이메일 서버 사이의 통신을 보호하기 위해 TLS 암호화 를 제공합니다.

  3. 첫 번째 두 가지 사항이 GDPR 준수를 충족시키지 못하는지 확신이 들 경우, Mattermost 서버에서 이메일 알림을 완전히 비활성화할 수 있습니다 . 이메일 알림을 사용하지 않고 Mattermost를 운영하려면 또한 미리보기 모드 배너를 비활성화해야 합니다 .

저희가 Mattermost Admin Advisor에서 연락하기 를 선택할 때 어떤 정보가 공유되나요?

Mattermost Admin Advisor에서 연락하기 를 선택하면 일부 정보가 저희에게 전송됩니다. 이 정보에는 Mattermost 계정과 연결된 이메일 주소 및 이름뿐만 아니라 시스템에 등록된 사용자 수, 사이트 URL 및 Mattermost 진단 서버 ID 번호도 포함될 수 있습니다. 이 정보는 요청에 따라 귀하에게 연락하고 귀하의 요구를 더 잘 이해하기 위해 사용됩니다.

Note

v5.35 및 이후에 Mattermost Admin Advisor 알림이 비활성화되었습니다 .

IP 주소를 포함한 서버 액세스 로그는 GDPR 준수 문제입니까?

저희의 GDPR 해석에 따르면, 네트워크 및 정보 보안을 보장하기 위한 목적으로 개인 데이터를 처리하는 것은 허용됩니다. 더 나아가:

  • 시스템 콘솔 및 서버로의 제한된 접근을 통해 로그에 대한 액세스를 제어할 수 있습니다.

  • 자체 호스팅된 소프트웨어로써, 로그에 대한 완전한 통제권과 소유권을 갖고 있으며, 귀하의 요구에 맞는 정리 일정을 설정할 수 있습니다.

  • IP 주소를 모호하게 하는 역방향 프록시를 사용할 수 있습니다.

Fed 또는 국방부(DOD) 인증이 있나요?

저희는 “운영 권한(Authority to Operate, ATO)” 및 “순수 자본 가치 인증(Certificate of Networthiness, CON)” 인증을 획들하는 과정에 있습니다.

개인 데이터가 유럽 연합 내에 유지되도록 어떻게 보장하나요?

Mattermost의 고객 설치가 자체 호스팅되는 경우, Mattermost는 유럽 연합 내에서 관할되는 개인 데이터를 처리하지 않습니다. Mattermost 지원 팀은 Mattermost 정보를 미국 내에서 호스팅하는 Zendesk 고객 서비스 소프트웨어를 활용합니다. Zendesk에 대한 자세한 정보는 이들의 개인 정보 보호 및 데이터 보호 페이지에서 확인하십시오.

Zendesk의 개인 정보 및 데이터 보호 방어를 떠나, 지원 서비스 제공은 Mattermost와 고객 간의 계약 의무의 일환입니다. Mattermost가 이러한 지원을 제공하기 위해서는 고객이 라이선스 사용자로서 식별할 수 있어야하며, 따라서 사용자가 개인 데이터를 지원 요원에게 제공해야 합니다. 지원 요원의 위치에 관계없이 개인 데이터는 실제로 유럽 연합 외부에 호스팅될 것입니다.

그러나 GDPR의 제 49조(b)에 따르면, “데이터 주체와 컨트롤러 간의 계약의 이행을 위해 필요한” 개인 데이터의 이전은 제3국이나 국제 기구로 이전될 수 있습니다. 따라서 이러한 이전은 GDPR의 요구 사항과 일치하여 수행될 것입니다. 자세한 내용은 저희의 Mattermost 개인 정보 정책 페이지를 참조하십시오.

*면책: MATTERMOST는 그 제품을 “보증된 준수 솔루션”으로 위치시키지 않습니다. MATTERMOST 제품을 사용하여 귀하가 규정 준수를 달성할 것이라는 보장을 할 수 없습니다. 귀하가 적용 가능한 규정을 해석하는 방법 및 해당 규정을 준수하기 위해 취하는 조치에 따라 귀하의 규정 준수 수준은 달라집니다. 따라서 우리는 귀하의 성공을 보장할 수 없으며, 우리 웹사이트에 포함된 어떤 권고사항으로부터 MATTERMOST 제품 사용으로 인해 귀하가 어떤 구체적인 규정 준수 결과를 달성할 것이라는 어떤 보증도 하지 않습니다. 따라서 귀하가 이와 관련하여 귀하 자신의 법률 및 준수 대리인과 상의하는 것을 대체해서는 안 됩니다.***

IPv6 compliant?

네, Mattermost 플랫폼은 IPv6을 준수합니다. 오디오 및 화면 공유가 비활성화된 상태에서는 자체 호스팅 및 클라우드 제공 모두에 대해 해당됩니다.

우리는 오디오 및 화면 공유 에 대한 IPv6 준수를 향후 추가할 계획입니다.

508 준수 여부?

네, Mattermost 플랫폼은 508을 준수합니다.

자세한 내용은 508 준수를 위한 VPAT 템플릿Mattermost 제품 개발에서의 접근성 처리 방법 를 확인하십시오.