보안은 약속이 아니라,
체계입니다.

슈퍼레이블은 글로벌 B2B 거래를 전제로
보안을 기능이 아닌 플랫폼의 기본 전제로 설계합니다.

Security Principles

슈퍼레이블만의
3S 정보보안 원칙

모든 데이터와 거래는 명확한 보안 기준(Standard)에 따라 관리됩니다.

모든 접근과 처리는 안전하게 보호(Secure)되며, 무단 접근을 방지합니다.

모든 행위는 기록·관리되어 감독 및 검증(Supervisable)이 가능합니다.

Security Policy

슈퍼레이블은 고객 및 파트너사의 정보를
안전하게 보호하기 위해
정보보호 및
개인정보보호 관리체계를 운영하고 있으며,
ISMS-P 인증 기준을 참고해
정책 · 절차 · 기술 통제를 정비하고 있습니다.
(ISMS-P 인증 준비 중)

정보보호 책임은 CTO(직책) 및 관련 부서가
역할과 책임(R&R)에 따라 수행합니다.

개인정보 유출 0건을 목표로 하며,
취약점·보안 이벤트는 정의된 SLA 내 조치합니다.
정량 목표는 내부 운영지표로 관리합니다.

Security Practices

관리자/내부 시스템 보호중심 (최소권한 및 안전한 접근수단)

관리자 2FA 인증
어드민 접속 시 2차 인증(OTP/2FA) 적용
어드민 접속 시 2차 인증(OTP/2FA) 적용
세션 보안 통제
세션 타임아웃, 비정상 로그인 시도 탐지/차단 정책 운영
세션 타임아웃, 비정상 로그인 시도 탐지/차단 정책 운영
행동 추적 감사로그
어드민에서 사용자별 주요 행위 (조회/수정/다운로드 등) 감사로그 기록
어드민에서 사용자별 주요 행위 (조회/수정/다운로드 등) 감사로그 기록

전송 · 저장 · 표시 단계별 보호 적용

HTTPS(TLS 1.3)
고객/파트너가 이용하는 서비스 구간은 TLS기반 암호화 통신을 적용합니다.
고객/파트너가 이용하는 서비스 구간은 TLS기반 암호화 통신을 적용합니다.
개인정보 KMS 기반 암호화
AWS KMS를 활용한 AES-256 기반 저장 데이터 암호화(개인정보 필드 중심) 적용
AWS KMS를 활용한 AES-256 기반 저장 데이터 암호화(개인정보 필드 중심) 적용
권한 기반 열람 통제
관리자 권한에 따라 개인정보 열람 가능/불가를 분리합니다.
관리자 권한에 따라 개인정보 열람 가능/불가를 분리합니다.
어드민 화면 마스킹
이름, 전화번호, 계좌번호는 권한에 따라 마스킹 처리하여 불필요한 노출을 최소화 합니다.
이름, 전화번호, 계좌번호는 권한에 따라 마스킹 처리하여 불필요한 노출을 최소화 합니다.
마스킹 예시
이름: 홍*동
전화번호: 010-****-1234
계좌번호: 110-****-****-12

네트워크 분리, 엣시 보호, 모니터링/감사 중심

VPC 기반 네트워크 분리
Public/Private Subnet 분리 및 라우팅 (IGW/NAT Gateway) 구성으로 내부 자원 직접 노출을 최소화 합니다.
Public/Private Subnet 분리 및 라우팅 (IGW/NAT Gateway) 구성으로 내부 자원 직접 노출을 최소화 합니다.
ELB(로드밸런싱) + EC2 애플리케이션
외부 트래픽은 ELB를 통해 애플리케이션으로 전달되며, 보안그룹으로 포트/대상을 제한합니다.
외부 트래픽은 ELB를 통해 애플리케이션으로 전달되며, 보안그룹으로 포트/대상을 제한합니다.
Aurora/RDS 데이터 보호
DB는 Private 영역에 두고, 최소 권한/암호화/ 백업 정책으로 보호합니다.
DB는 Private 영역에 두고, 최소 권한/암호화/백업 정책으로 보호합니다.
S3 보안 정책
정적 자산용 버킷 공개 범위를 최소화하고 (필요 시 Read-Only), 민감데이터는 Private로 분리 운영합니다.
정적 자산용 버킷 공개 범위를 최소화하고 (필요 시 Read-Only), 민감데이터는 Private로 분리 운영합니다.
CloudWatch/CloudTrail 기반 관측·감사
어드민에서 사용자별 주요 행위(조회/수정/다운 로드 등) 감사로그 기록
어드민에서 사용자별 주요 행위 (조회/수정/다운로드 등) 감사로그 기록