보안
Vekada 제품과 수집된 데이터의 보안을 유지하는 방법
보안
보안에 대한 당사의 약속은 다음 원칙들로부터 시작됩니다.
Verkada의 클라우드 관리형 IoT(Internet of Things) 장치에 대한 '제로 트러스트' 접근 방식은 근본적으로 당사 시스템이 인증 및 허가 없이 어떠한 사용자, 네트워크 또는 장치도 신뢰할 수 없다고 가정합니다. 이러한 방식은 IoT 장치의 확장성과 상호 연결성이라는 특성에 내재된 위험을 완화합니다. 만약 완화하지 못한다면 잠재적인 사이버 공격의 진입 지점을 생성할 수 있습니다.
Verkada 직원은 Verkada의 ID 공급자가 제공하는 SAML SSO를 통해서만 Verkada 제품 인프라 또는 코드에 접근할 수 있습니다.
Verkada의 제품 인프라 ID 공급자는 Verkada의 기업 ID 공급자와 분리되어 있으며 하드웨어 키를 포함하는 다중 인증을 필수로 요구합니다.
Verkada의 지원 도구를 통해 고객 데이터에 접근하는 Verkada 지원 직원은 먼저 지원 권한 시스템을 통해 관련 고객으로부터 시간이 제한된 동의를 받아야만 합니다.
Verkada는 모든 제품 인프라, 고객 데이터 및 Verkada 장치 접근에 있어 최소 권한 역할 기반의 접근 제어를 적용합니다. 다시 말해 당사는 사용자의 역할에 필요한 접근 수준을 기반으로 가능한 가장 낮은 수준의 접근 권한만을 제공합니다. 높은 권한의 접근이 필요한 역할은 요청에 따라 높은 수준으로 감독되는 제한된 시간 동안만 허가됩니다.
공용 네트워크에서 이루어지는 Verkada 제품 및 시스템의 모든 통신은 TLS 1.2 이상 버전의 최신 암호화 세트 구성을 사용합니다.
Verkada의 제품과 인터페이스는 보안이 강화된 제한된 인터페이스 세트를 통해 새로운 유형의 데이터를 라우팅할 수 있도록 설계되었습니다. 이러한 방식은 잠재적인 공격에 대비하여 보호해야 하는 진입 지점의 수를 줄이고 보안 리소스를 각 진입 지점에 집중할 수 있도록 합니다.
당사는 SSO 인증을 위한 별도의 ID 공급자까지 제품 인프라를 회사의 나머지 부분으로부터 격리합니다.
당사는 최소화된 운영 체제 및 가능한 적은 구성 요소로 장치 펌웨어를 구축하여 잠재적인 공격 지점을 최소화합니다.
당사는 모든 관리 명령어에 대해 Verkada Command 플랫폼의 보안 API 게이트웨이 아웃바운드 네트워크 호출로 설정된 장치의 보안 채널만 사용합니다.
당사는 Verkada 보안 프로그램의 모든 측면을 자동화 우선 방식으로 개발합니다. 이를 통해 당사 정책 구현 방식에서 공백을 최소화하고 확장하는 경우에도 Verkada 보안 프로그램의 효과를 유지할 수 있습니다.
당사의 '코드형 구성' 접근 방식은 강화를 위한 업계 표준에 일치하는 보안 구성 패턴을 일관적으로 적용할 수 있도록 보장합니다.
당사의 '코드형 정책' 접근 방식은 소프트웨어가 따라야 할 규칙으로서의 Verkada 정책을 정의하여 Verkada의 정책 준수를 향상시킵니다.
알려진 취약성에 대한 패치가 최소 2주마다 인프라 서비스에 자동으로 적용됩니다.
당사 규정 준수 자동화 플랫폼은 보안 및 개인 정보 보호 표준에 따른 규정 준수를 지속적으로 모니터링합니다.
당사는 지속적인 보안 로그 모니터링 및 잠재적인 보안 사고의 자동 감지를 지속적으로 시행하고 있습니다.
Verkada는 계층화된 심층 방어 접근 방식을 통해 소프트웨어 개발 수명 주기 전반에 걸쳐 보안을 통합하여 취약성을 방지하고 악용의 영향을 완화합니다.
당사 소프트웨어 엔지니어링 팀은 Verkada의 보안 팀원들과 협력하여 제품 및 기능 구성부터 완성까지 보안 모범 사례를 따릅니다.
당사는 올바른 결정을 미리 내릴 수 있도록 하는 보안 구성 및 기본값을 통해 완벽한 완성도로 Verkada의 소프트웨어를 구현합니다.
당사는 보안 불변성을 유지하기 위해 가드레일을 적재적소에 배치하여 설계 및 구현 단계에서 안전하지 않은 선택이 발생하는 것을 방지합니다.
당사는 버그 제보 포상 프로그램을 지속적으로 진행하여 잠재적인 보안 문제를 발견하고 보고하는 외부 보안 연구자들에게 금전적인 보상을 제공합니다.
당사는 독립적인 보안 컨설턴트를 고용하여 지속적인 위험 관리 및 고객 보증의 일환으로 최소 매 분기마다 독립적인 보안 평가를 수행합니다.
구매 가능 여부
당사의 제품 및 시스템 가용성 유지 방법
당사는 전 세계 최고의 기업들이 저희 제품과 서비스를 필요한 순간 이용할 수 있기를 기대한다는 사실을 잘 알고 있습니다. 따라서 당사에서는 매월 플랫폼 가용성을 99.99% 이상으로 제공할 것을 약속하고 있으며 이를 당사 서비스 수준 표준을 통해 이러한 약속을 보장합니다. 고객은 Verkada의 Command 플랫폼 상태, 사고 상태 및 내역을 실시간으로 status.verkada.com에서 조회할 수 있습니다. 이 페이지에서 고객은 상태 업데이트 수신도 구독할 수 있습니다.
안정성
당사의 제품 및 시스템 신뢰성 유지 방법
당사는 고객이 필요한 순간 제품 및 서비스를 이용할 수 있을 것으로 기대함은 물론 예상치 못한 상황에서도 당사 제품과 서비스에 의존해야 한다는 사실을 잘 알고 있습니다. 그렇기 때문에 최대한 신속하게 서비스를 복구할 수 있도록 이중화된 프로세스, 표준 및 복구 시스템을 구축했습니다.
Verkada Command는 일차적으로 Amazon Web Service(AWS)에서 호스팅하며 AWS 데이터 센터의 신뢰성 제어를 활용합니다. Verkada는 AWS Well-Architected Framework의 신뢰성 원칙에 명시된 설계 원칙과 모범 사례를 따르고 있습니다.
Verkada 클라우드 인프라는 수요 충족을 위해 연산 리소스를 동적으로 획득하여 인프라 또는 서비스 중단으로부터 복구할 수 있으며 잘못된 구성 또는 일시적 네트워크 문제와 같은 중단을 완화할 수 있습니다. 구성은 변경 관리를 위해 코드형 구성으로 관리되며 자동화되어 있습니다.
고객 데이터는 AWS S3 또는 Backblaze를 사용하는 Verkada의 클라우드 인프라 내에 보관되며 이는 최소 99.999999999%의 데이터 내구성을 자랑합니다.
Verkada는 비즈니스 연속성 및 사고 대응 계획을 유지하여 비즈니스 중단 또는 보안 사고를 신속하게 해결하고 고객에 미치는 영향을 최소화합니다. 당사는 이러한 계획을 탁상 훈련과 직접적인 코딩 및 제품 구축 테스트를 사용하여 최소 매년 시험하고 모든 공백을 확인하고 해결합니다.
Verkada는 고객 데이터의 정기적인 백업을 실시하고 정보 보안 정책의 사전 정의된 일정에 따라 보관합니다. 카메라 백업 기능이 활성화된 경우 클라우드에 카메라 비디오를 지속적으로 백업합니다. 이 과정은 데이터 손실 위험을 최소화하기 위한 필수 중복 요소를 생성하며 중단, 시스템 오류 또는 천재지변과 같은 이벤트에서 파일과 데이터를 빠르게 복구합니다.
거버넌스, 위기, 규정 준수(GRC)
당사의 규정 준수 방법 및 당사 제품이 고객의 규정 준수를 지원할 수 있는 방법
각 새 제품, 기술 또는 파트너십에는 답변해야 할 새로운 질문과 보안과 개인 정보 보호를 위해 내려야 할 결정이 따라옵니다. 견고한 GRC 프레임워크는 Verkada가 규정을 준수하고 위기를 효과적으로 관리하며 건전한 의사 결정 및 성과 관리를 촉진하는 강력한 거버넌스를 구축하여 결정을 내릴 수 있도록 지원합니다.
Verkada의 최고 정보 보호 책임자(CISO)는 당사 보안 프로그램을 감독하며 Verkada의 보안 팀을 이끌고 당사 최고 기술 책임자(CEO에 보고하는 담당)에 직접 보고합니다. CISO는 또한 분기별로 Verkada의 이사회에 당사 보안 프로그램의 상태와 성과에 대한 업데이트를 제공합니다.
Verkada는 당사 보안 전략 및 위기 관리를 관리하고 보안 프로그램의 성과를 모니터링하는 선임 리더십이 포함된 보안 거버넌스 위원회를 보유하고 있습니다.
Verkada의 보안 팀은 정기적인 규정 준수 감사를 수행하고 지속적인 규정 준수 모니터링을 통해 캡처한 정보를 공유합니다.
다음과 같은 보안 표준에 대한 문서는 여기에서 확인할 수 있습니다.
Verkada의 보안 관행은 고객의 보안 요건을 지원하는 다양한 표준과 일치합니다.
당사는 최소 매 분기마다 Verkada 시스템에 대한 독립적인 보안 평가를 실시합니다.
SOC 2
Verkada는 보안 신뢰 서비스 기준을 위한 SOC 2 Type 2 시험을 매년 통과하고 있습니다.
ISO 27001:2022
Verkada의 Command 플랫폼은 ISO 27001:2022(정보 보안 관리 시스템) 인증을 획득했습니다.
ISO 27017:2015
Verkada의 Command 플랫폼은 ISO 27017:2015(클라우드 서비스를 위한 정보 보안 통제) 인증을 획득했습니다.
ISO 27018:2019
Verkada의 Command 플랫폼은 ISO 27018:2019(퍼블릭 클라우드에서의 개인 식별 정보(PII) 보호) 인증을 획득했습니다.
TX-RAMP
2024년 4월 22일 기준 Verkada는 TX-RAMP(텍사스 위기 및 인증 관리 프로그램) 잠정 인증을 획득했습니다.
FedRAMP
이제 AWS GovCloud용 Verkada Command 플랫폼을 사용할 수 있습니다. Verkada는 2024년 7월 2일에 중간 영향 수준에서 FedRAMP Ready를 달성했습니다. 정부 등급 솔루션에 대한 자세한 내용은 verkada.com/government를 참조하세요.
당사 시스템 개선 사항 영역을 평가하고 식별하기 위해 Verkada는 다음을 포함하는 업계 표준 질문서를 활용합니다.
CAIQ
의견 평가 이니셔티브 질문지(CAIQ)는 보안 제어 투명성을 제공하여 업계에서 인정하는 보안 제어 기능을 문서로 존치하는 방법을 제공합니다.
HECVAT
고등 교육 커뮤니티 벤더 평가 툴킷(HECVAT)은 민감한 기관 정보를 보호하기 위해 데이터 및 사이버 보안 정책이 제대로 시행되고 있는지 확인하려는 대학 및 대학교를 위해 특별히 설계되었습니다.
ISO 27701:2019
Verkada는 개인정보 보호 관리에 대한 국제적으로 인정된 표준인 ISO 27701:2019 인증을 획득했습니다.
데이터 개인정보 보호 프레임워크
Verkada는 HR 이외의 데이터에 대한 데이터 개인정보 보호 프레임워크에 따라 인증을 획득했습니다. 자세한 내용은 DPF 웹사이트에서 인증을 확인하세요.
Verkada와 당사 고객은 다양한 규정 제도 내에서 운영됩니다. 당사는 고객의 준수 요구 사항을 지원하는 방식으로 이러한 규정 의무를 해결할 수 있도록 당사 제품 및 내부 관행을 설계했습니다.
HIPAA: HIPAA하에 '보장받는 대상'인 의료 업계 고객을 위해 Verkada는 비즈니스 동반 기업으로서 HIPAA 의무를 준수할 수 있도록 지원합니다.
GDPR: Verkada 제품을 통해 처리되는 고객의 개인 데이터와 관련하여, Verkada는 데이터 처리자 역할을 합니다. 당사는 영국/유럽연합에서 미국으로 개인 데이터를 이전하는 적절한 기반을 구축하기 위해 데이터 처리 부칙에 의거한 방식을 통해 고객과 표준 계약 조항을 체결합니다.
미국 개인정보 보호법: Verkada는 미국에서 공포된 포괄적인 주별 개인정보 보호법에 의해 확립된 변화하는 표준을 충족하도록 개인정보 보호 관행을 설계합니다.
Verkada는 당사 제품이 전 세계의 준거법 및 규정을 준수할 수 있도록 지속적으로 노력하고 있습니다. 현재 카메라 및 알람을 포함한 Verkada의 제품은 미국, 캐나다, 영국, 유럽연합, 호주 및 뉴질랜드에서 판매를 위한 규정 준수 표준을 충족하고 있습니다. 요청이 있을 경우 추가적인 인증도 가능합니다.
특정 제품 및 기능에 대한 정보는 아래에 있습니다.
알람 규정 준수 및 가용성
Verkada의 알람 소프트웨어, 하드웨어 제품, 무선 제품, 셀룰러 제품 및 긴급 서비스 출동을 현재 어디에서 사용할 수 있는지 자세히 읽어보세요.
대인 분석 규정 준수 및 가용성
현재 Verkada의 대인 분석 기능을 사용할 수 없는 지역에 대해 자세히 알아보세요.
하드웨어 사양
각 카메라 또는 알람에 대한 하드웨어 인증을 비롯한 특정 제품 사양에 대한 자세한 내용은 제품 설명 링크의 '자세히 알아보기'에서 확인할 수 있습니다.