인증 및 규정 준수 개요#

이 개요는 Mattermost가 다음을 포함한 내부 규정 준수 이니셔티브를 지원하는 데 어떻게 도움이 될 수 있는지 요약합니다:

  • GDPR 규정 준수

  • 미국 수출 규정 준수

GDPR 규정 준수#

다음 개요는 Mattermost 소프트웨어가 Regulation (EU): 2016/679로도 알려진 유럽 연합의 일반 데이터 보호 규정(전문 보기)을 다루는 규정 준수 프로그램을 지원하는 데 어떻게 사용될 수 있는지와 Mattermost, Inc. 자체가 규제 요구사항을 어떻게 준수하는지 요약합니다.

GDPR 원칙에 대한 지속적인 약속#

Mattermost는 높은 신뢰도를 가진 조직을 위한 협업 허브이며 유럽 연합 시민들의 데이터를 보호하기 위해 GDPR 원칙을 지원하는 데 전념하고 있습니다. Mattermost는 다음을 통해 이 사명을 준수합니다:

  • 보안 인프라: 보안, 개인정보 보호 및 규정 준수 기능에 대한 지속적인 투자.

  • 계약상 의무: 표준 서비스 약관 에 포함된 데이터 처리 부록 을 포함한 서비스 약관을 통한 적절한 계약상 의무.

  • 개인정보 보호 조치: 개인정보 보호 조치는 당사의 개인정보 보호정책 에 설명되어 있습니다.

  • 제품 기능: 데이터 관리 및 데이터 이동성을 보장하기 위해.

우리의 노력에 대한 최신 정보를 받아보시려면 정기 뉴스레터 를 구독해 주세요.

보안 인프라#

Mattermost는 높은 보안 표준으로 개발된 셀프 호스팅 통신 인프라를 통해 조직이 자신의 정보와 사용자 및 고객의 정보를 보호할 수 있도록 합니다. 이 보안 인프라의 기능은 다음과 같습니다:

  • 조직의 자체 인프라 배포를 가능하게 하는 Mattermost 오픈소스 및 상용 제품의 보안 기능.

  • 전 세계 보안 연구원들이 의심되는 취약점을 기밀로 보고할 수 있는 책임있는 공개 정책 으로, 이는 Mattermost 소프트웨어 업데이트를 통해 해결될 수 있습니다.

  • 자체 내부 보안 검토 팀과 외부 보안 연구원이 수행하는 보안 검토.

  • 국제 보안 지침과의 정렬을 달성하기 위해 충족하는 ISO 27001 표준.

계약상 의무#

Mattermost는 다음을 통해 데이터의 적절한 관리를 보장하기 위한 계약상 의무를 준수합니다:

  • Mattermost의 표준 약관에 포함된 GDPR 준수 데이터 처리 부록.

  • Mattermost, Inc.가 관리하는 온라인 인프라에서 데이터가 처리되는 방식을 공유하는 Mattermost 개인정보 보호정책.

개인정보 보호 조치#

Mattermost는 개인정보 보호정책 에서 고객과 파트너가 제출한 개인 데이터의 안전을 유지하기 위한 보안 조치를 설명합니다.

제품 기능#

Mattermost는 데이터 관리와 데이터 이동성을 보장하는 기능을 지원합니다.

데이터 관리#

  • 데이터 보존: 삭제권 원칙을 충족하는 기능인 데이터 보존 을 사용하여 설정된 기간 후에 데이터를 자동으로 삭제합니다. Team Edition에서는 데이터베이스 스크립트를 사용하여 동일한 결과를 얻을 수 있습니다.

  • 프로필 삭제: mmctl user delete 를 통해 사용자의 개인 정보를 삭제합니다. 이는 사용자가 작성한 메시지를 포함한 모든 사용자 정보를 영구적으로 삭제합니다.

  • 셀프 호스팅 푸시 알림 서비스: 보안 및 규정 준수 정책을 충족하기 위해 자체 푸시 알림 서비스를 셀프 호스팅하거나 AppConfig 를 지원하는 EMM 공급자와 함께 모바일 앱을 배포하세요. 자세한 내용은 모바일 앱 배포 문서 를 참조하세요.

데이터 이동성#

  • 데이터 가져오기: 대량 로딩 도구 를 사용하여 기존 메시징 시스템에서 데이터를 마이그레이션하거나 새로운 설치에 데이터를 미리 채웁니다. 다양한 접근 방식을 요약하고 데이터 이동권 원칙을 충족하는 이 가이드를 검토하세요 .

  • 데이터 내보내기: 규정 준수 내보내기 를 사용하여 공개, 비공개 및 다이렉트 메시지 채널의 대화를 XML 또는 EML 형식으로 내보냅니다. Team Edition 사용자는 PostgreSQL과 MySQL 모두에서 데이터베이스에서 직접 대화를 내보낼 수 있습니다.

접근성 규정 준수#

자세한 내용은 접근성 규정 준수 정책 문서를 참조하세요.

접근성 표준 준수는 다음과 같은 방식으로 지원됩니다:

  • 508 규정 준수: 508 규정 준수를 확인하고자 하는 고객, 파트너 및 기타 이해관계자의 요청 시 VPAT를 제공합니다.

  • WCAG 2.0L: 웹 콘텐츠 접근성 지침 2.0(WCAG) 충족을 위해 Mattermost는 제3자로부터 “A” 등급을 받았으며 “AA” 등급을 향해 노력하고 있습니다.

  • ADA: Mattermost의 미국 장애인법(ADA) 준수는 Mattermost의 온라인 경험을 접근성 도구의 인터페이스로 하여 VPAT 및 WCAG 2.0 지침에 상세히 기술된 접근성 지원을 제공함으로써 달성됩니다.

  • 문제 해결: 현재 또는 향후 제품 출시에서 제품 문서에 명시된 접근성 등급 준수를 방해하는 모든 기술적 문제는 제품 결함으로 간주되며, Mattermost는 이를 해결하기 위해 결함에 대한 공개 이슈 보고서 제출 을 환영합니다.

미국 무역 규정 준수#

Mattermost, Inc.는 미국 무역 규정 준수 법률을 준수하기 위해 다양한 통제 및 프로세스를 구현합니다.

  1. IP 차단: 상용 및 독점 제품 가입과 같은 상용 시스템에 대한 특정 국가의 접근을 차단하기 위해 IP 차단을 사용합니다.

  2. 자동화된 규정 준수 스캐닝: Descartes라는 자동화된 수출 규정 준수 도구를 사용합니다. Salesforce 계정 기록에는 우측 상단에 안전 수준을 나타내는 눈에 띄는 Descartes 박스가 있습니다. 플래그가 지정된 계정은 법무팀 또는 그 지정인이 Descartes 시스템 내에서 해제해야 합니다.

  3. 수동 규정 준수 검토: 제재 규정 변경에 대한 발표가 수출 규정 준수 도구가 적응할 수 있는 것보다 빠르게 이루어지는 경우가 있습니다. 제재가 발표된 경우, 자동화된 솔루션이 업데이트되기 전에 선제적으로 비즈니스를 검토하고 제재를 시행하기 위한 변경을 할 수 있습니다.

  4. 법적 제한: 당사의 상용 소프트웨어에는 관리자와 최종 사용자 모두에게 적용되는 미국 무역법을 위반하는 사용을 금지하는 법적 조항이 포함되어 있습니다.

여기서 참조된 미국 무역법은 https://www.bis.govhttps://ofac.treasury.gov/ 에서 온라인으로 확인할 수 있습니다.

귀하의 조직이 미국 무역법이나 제재 하에서 잘못 분류되었다고 생각되면, compliance@mattermost.com으로 이메일을 보내주시기 바랍니다.

새로운 미국 무역법이나 제재로 인해 고객 관계를 종료하는 절차는 어떻게 됩니까?#

고객에게 compliance@mattermost.com이 참조된 수동 또는 자동화된 프로세스를 통해 이메일로 연락하며 기록 보관을 위해 해당 커뮤니케이션은 SFDC에 다시 기록됩니다.

미국 수출 규정 준수 개요#

요약 표#

Mattermost 제품

수출 통제 분류 번호(ECCN)

Mattermost Enterprise Edition (Mattermost Professional 및 Enterprise 포함)

ENC 라이선스 예외가 적용되는 ECCN 5D002

Mattermost Team Edition

소프트웨어가 공개적으로 사용 가능하고 https://github.com/mattermost/ 에서 공개적으로 사용 가능한 소스 코드로부터 완전히 컴파일할 수 있기 때문에 미국 수출관리규정(EAR)의 적용을 받지 않습니다.

개요#

미국 정부는 국가 안보, 경제 및/또는 외교 정책상의 이유로 미국에 전략적으로 중요하다고 간주되는 정보, 상품, 기술 및 소프트웨어의 이전을 규제합니다. 미국 외 많은 국가들도 동일한 이유로 수출에 대해 유사한 통제를 하고 있습니다.

“수출 통제”로 통칭되는 수출을 관리하는 미국 기관들과 상호 연관된 규정들의 복잡한 네트워크가 있습니다.

Mattermost는 사업을 수행하는 모든 국가의 수출 규정 법률을 준수하는 것을 정책으로 합니다. Mattermost는 미국 기반의 글로벌 기업이기 때문에, “상품”으로 통칭되는 우리의 제품(소프트웨어와 장비, 자재 및 서비스 포함)은 우리가 사업을 수행하는 모든 국가의 수출법과 규정의 적용을 받습니다. 수출 통제 규정을 준수하지 않을 경우 Mattermost와 그 계열사, 고객, 직원 및 비즈니스 파트너는 형사 및 민사상 처벌, 자산 압류, 수출 특권 거부, 정부 계약의 정지 또는 배제를 받을 수 있습니다.

이러한 이유로, 귀하가 운영하는 관할 지역의 해당 수출(및 수입) 통제에 대해 숙지하는 시간을 가져주시기 바랍니다. Mattermost는 수출 관련 사항에 대해 조언을 제공할 수 없지만, 이 웹 페이지는 Mattermost 제품을 수출하는 데 필요한 정보를 제공합니다.

이 개요는 미국 수출관리규정(EAR)에 특화되어 있습니다. 하지만 비즈니스 운영상 국제무기거래규정 과 같은 다른 규정의 적용을 받을 수 있습니다.

일반 정보#

미국 산업안보국 웹사이트를 먼저 살펴보세요. 그런 다음 미국 수출관리규정의 Part 730 으로 이동하여 규정이 다루는 내용과 734.2 (“수출 통제”) 하에서 “EAR의 적용을 받는” 것이 무엇인지 이해하세요.

수출 분류 및 라이선스#

수출관리규정의 적용 대상이 매우 광범위하지만, 모든 거래에 수출 라이선스가 필요하다는 의미는 아닙니다. 하드웨어, 소프트웨어 및 기술과 관련된 수출 통제를 이해하는 기초는 10개의 카테고리(0-9)로 구성되어 있고 포지티브 리스트로 설정된 상무통제목록 (CCL)에서 찾을 수 있습니다. 첫 번째 단계는 수출하려는 품목이 EAR의 적용을 받는지 여부를 결정하는 것입니다.

Mattermost에서는 완전히 오픈 소스이고 공개적으로 사용 가능한 소프트웨어는 공개적으로 사용 가능한 암호화 소스 코드에서 파생되었고 소스 코드(https://github.com/mattermost/)와 바이너리 버전 모두에 대한 완전한 소프트웨어 패키지가 공개적으로 사용 가능하기 때문에 EAR의 범위를 벗어납니다. Mattermost 엔터프라이즈 소프트웨어는 CCL의 카테고리 5, 파트 2 에서 통신 및 정보 보안 항목(하드웨어, 소프트웨어 및 기술)으로 분류됩니다. 이 카테고리의 대부분의 항목은 암호화를 포함하고 있습니다.

여러 요소의 조합을 기반으로 상무통제목록 항목이 수출통제분류번호(ECCN)에 특정한 사용 가능한 라이선스 예외를 나열하는 경우 파트 740 에 따른 라이선스 예외가 자주 제공됩니다.

Mattermost Enterprise Edition(Mattermost Professional 및 Enterprise 포함)은 오픈소스 소프트웨어에서 파생된 암호화 기능을 갖춘 Enterprise 및 Professional 소프트웨어에 대해 “ENC” 의 라이선스 예외가 적용되는 ECCN 5D002 에 속합니다. 수출 규정에 따른 암호화 제품에는 여러 수준의 통제와 요구사항이 있습니다. BIS는 웹사이트에 암호화 및 수출관리규정(EAR) 에 대한 개요와 많은 링크를 포함하는 별도의 섹션을 두고 있으며, 검토해 보시기를 권장합니다. 이 지침에는 항목이 암호화 통제 대상인지 판단하는 데 도움이 되는 순서도, 표 및 기타 세부 정보가 포함되어 있습니다.

Mattermost 소프트웨어 또는 기술의 수출과 관련하여 주의해야 할 다른 주요 영역은 다음과 같습니다:

제재: 쿠바, 이란, 북한, 시리아와 우크라이나의 크림, 도네츠크, 루한스크 지역, 벨라루스, 러시아, 베네수엘라, 미얀마/버마, 캄보디아와 같은 특정 금지 대상 국가/지역에 대한 포괄적인 제재가 있습니다. 자세한 내용은 BIS 에서 확인할 수 있습니다. 국가와 제재 내용은 변경될 수 있습니다.

WMD (대량살상무기): Mattermost와 그 고객 및 비즈니스 파트너는 미국 수출관리규정(“EAR”)에 따른 다른 금지된 최종 용도와 함께 대량살상무기의 확산 에 관여하는 당사자에게 수출할 수 없습니다.

일반 금지사항: EAR에 따른 일반 금지사항에 대한 정보는 여기 에서 확인할 수 있습니다. 이러한 일반 금지사항의 적용 가능성은 여러 요소의 조합을 기반으로 합니다. 여기에는 상품의 분류, 목적지, 최종 사용자, 최종 용도 및 행위가 포함됩니다.

제한 당사자: 미국 정부의 제한 당사자 목록 에 등재된 당사자에게는 수출할 수 없으며, 수출 전에 이에 대한 심사를 해야 합니다. 심사에 사용할 수 있는 통합 심사 목록 이 export.gov에서 미국 정부에 의해 무료로 제공됩니다. 또한 군사 최종 사용자 및 군사 정보 최종 사용자에 대한 수출에는 특정 제한이 있습니다.

간주 수출: 미국 내 외국인에게 통제 기술을 공개하는 것은 해당인의 국적 국가로의 수출로 “간주”되며, 이는 BIS 웹사이트의 수출관리규정에서 확인할 수 있는 EAR의 734.2(b) 에서 찾을 수 있습니다.

고객 파악: BIS 웹사이트를 검토하면 “고객을 파악”하고 “위험 신호”를 인지하는 것이 매우 중요하다는 것을 알 수 있습니다. 규정 준수를 보장하기 위해 비즈니스 파트너와 고객을 반드시 심사하십시오.

면책 조항#

Mattermost는 이 데이터를 정보 제공 목적으로만 제공합니다. 이는 최신 법적 발전 사항을 반영하지 않을 수 있으며, Mattermost는 완전성, 정확성 또는 최신성을 대표하거나 보증하거나 보장하지 않습니다. 이 정보는 사전 통지 없이 변경될 수 있습니다. 이 사이트의 자료는 법적 조언을 구성하거나 특정 법적 조언을 대체하기 위한 것이 아닙니다. 특정 사실과 상황에 대한 전문적인 조언을 구하지 않고 이 사이트의 정보에 근거하여 행동하거나 행동을 자제해서는 안 됩니다.

자주 묻는 질문#

GDPR을 준수하기 위해 이메일 알림의 메시지 내용을 제거해야 하나요?#

GDPR에 대한 우리의 해석에 따르면, 다음과 같은 이유로 규정 준수를 위해 이메일 알림에서 메시지 내용을 숨길 필요가 없습니다:

  1. 모든 사용자는 설정 에서 이메일 알림을 비활성화할 수 있습니다. 따라서 모든 사용자는 이메일을 통해 정보를 받을지 여부를 최종적으로 제어할 수 있습니다. 이 옵션은 대부분의 다른 제품과 일치하지만, 이 영역에서 변경이 필요한지 확인하기 위해 GDPR 해석에 대한 업데이트를 면밀히 따를 것입니다.

  2. Mattermost는 Mattermost 서버와 SMTP 이메일 서버 간의 통신을 보호하기 위해 TLS 암호화 를 제공합니다.

  3. 처음 두 가지 사항이 GDPR 준수를 충족하는지 확실하지 않은 경우, Mattermost 서버에서 알림을 완전히 비활성화 할 수 있습니다. 이메일 알림 없이 프로덕션 환경에서 Mattermost를 사용하려면 “미리보기 모드” 알림 배너 도 비활성화해야 합니다.

Mattermost 관리자 어드바이저 알림에서 문의하기 를 선택하면 어떤 정보가 공유되나요?#

Mattermost 관리자 어드바이저에서 문의하기 를 선택하면 일부 정보가 당사로 전송됩니다. 여기에는 Mattermost 계정과 연결된 이메일 주소와 이름, 시스템의 등록된 사용자 수, 사이트 URL 및 Mattermost 진단 서버 ID 번호가 포함될 수 있습니다. 이 정보는 요청에 따라 연락을 드리고 귀하의 요구사항을 더 잘 이해하는 데 사용됩니다.

참고

Mattermost 관리자 어드바이저 알림은 v5.35 이상에서 비활성화됩니다.

IP 주소가 포함된 서버 액세스 로그가 GDPR 준수 문제가 되나요?#

GDPR 제49조 에 대한 당사의 해석에 따르면, 네트워크 및 정보 보안을 보장하기 위한 목적으로 개인 데이터를 처리하는 것은 허용됩니다. 또한:

  • 시스템 콘솔과 서버에 대한 제한된 액세스를 통해 로그에 대한 접근을 제어할 수 있습니다.

  • 셀프 호스팅 소프트웨어로서, 필요에 맞는 삭제 일정을 설정할 수 있는 기능과 함께 로그에 대한 완전한 제어권과 소유권을 가집니다.

  • 리버스 프록시를 사용하여 IP 주소를 난독화할 수 있습니다.

연방정부 또는 국방부(DOD) 인증이 있나요?#

현재 운영 권한(ATO) 및 네트워크 적합성 인증서(CON) 취득을 진행 중입니다.

개인 데이터가 유럽 연합 내에 머무르도록 어떻게 보장하나요?#

고객의 Mattermost 설치가 셀프 호스팅인 경우, Mattermost는 유럽 연합 내의 데이터 개인정보 보호법의 관할 하에 있는 개인 데이터를 처리하지 않습니다. Mattermost 지원 팀은 미국 내에서 Mattermost 정보를 호스팅하는 Zendesk 고객 서비스 소프트웨어를 활용합니다. Zendesk에 대한 자세한 내용은 개인정보 보호 및 데이터 보호 페이지를 참조하세요.

Zendesk의 개인정보 보호 및 데이터 보호 안전장치에도 불구하고, 지원 서비스 제공은 Mattermost와 고객 간의 계약상 의무의 일부입니다. Mattermost가 이러한 지원을 제공하기 위해서는 고객이 라이선스 사용자로 식별될 수 있어야 하므로, 사용자는 지원 담당자에게 개인 데이터를 제공해야 합니다. 지원 담당자의 위치와 관계없이 개인 데이터는 EU 외부에서 호스팅됩니다.

하지만 GDPR 제49조 (b)항에 따르면, “데이터 주체와 컨트롤러 간의 계약 이행에 필요한” 개인 데이터 전송은 제3국이나 국제기구로 전송될 수 있습니다. 따라서 이러한 전송은 GDPR의 요구사항에 맞춰 수행됩니다. 자세한 내용은 Mattermost 개인정보 보호정책 페이지를 참조하세요.

*면책 조항: MATTERMOST는 자사 제품을 “규정 준수가 보장된 솔루션”으로 내세우지 않습니다. 당사는 MATTERMOST 제품을 사용하여 규제 준수를 달성할 것이라는 보장을 하지 않습니다. 규제 준수 달성의 성공 수준은 해당 규정에 대한 귀하의 해석과 요구사항을 준수하기 위해 취하는 조치에 따라 달라집니다. 이러한 요소들은 개인과 기업에 따라 다르기 때문에, 당사는 귀하의 성공을 보장할 수 없으며 귀하의 행동에 대해 책임지지 않습니다. MATTERMOST 사용 또는 당사 웹사이트에 포함된 권장사항으로부터 특정 규정 준수 결과를 달성할 것이라는 보장은 없으며, 따라서 이는 이러한 문제에 대해 귀하의 법률 및 규정 준수 담당자와 상담하는 것을 대체할 수 없습니다.

IPv6를 준수하나요?#

예, Mattermost 플랫폼은 오디오 및 화면 공유가 비활성화된 경우 셀프 호스팅 및 클라우드 제품 모두에서 IPv6를 준수합니다.

향후 오디오 및 화면 공유 에 대한 IPv6 준수를 추가할 계획입니다.

508을 준수하나요?#

예, Mattermost 플랫폼은 508을 준수합니다. 자세한 내용은 접근성 준수 정책 문서를 참조하세요.