SFIN PAY 보안정책
Security Policy
SFIN PAY는 정보보안을 최우선 가치로 두고, 안전한 결제·정산·납부 서비스 제공을 위한 기술적·관리적 보호조치를 지속적으로 강화하고 있습니다.
Article 1
보안 정책의 목적
고객·가맹점·거래 정보의 위·변조·유출을 방지하기 위한 회사의 보안 원칙입니다.
정책 목적
본 보안정책은 SFIN PAY가 제공하는 결제/정산/납부 서비스와 관련하여 회사가 준수하는 보안 기준, 역할, 책임, 기술적 조치를 정의합니다.
Article 2
접근 통제 (Access Control)
1) 권한 분리 및 최소 권한 원칙
- 업무 역할에 따른 최소 권한 원칙 적용
- L1 → L2 → 팀장 레벨의 점진적 권한 구조
- 정산/가맹점 정보/결제 데이터 영역은 권한별 접근 분리
2) 관리자 인증 절차
- MFA(2단계 인증) 적용
- IP 기반 접근 제한(IP Allowlist)
- 비인가 단말기 접근 차단
Article 3
데이터 보안 (Data Security)
1) 개인정보·거래정보 암호화
- 전송 구간 TLS/HTTPS 암호화
- 정산 계좌·카드 식별정보 마스킹 및 암호화
- 비밀번호/토큰은 단방향 암호화 또는 안전한 저장소에 보관
2) 데이터 분리 저장
- 업무 데이터·로그·결제 정보 물리적/논리적 분리
- 고객 정보와 민감 거래 정보는 별도 DB에 저장
Article 4
이상징후 감지 및 모니터링
1) 실시간 관제
- 오류율·지연율·웹훅 실패율 실시간 모니터링
- FDS 기반 이상 거래 탐지
- 오입금·중복 납부 자동 감지
2) 로그 무결성 보장
- 중요 로그 위·변조 방지 저장
- 접근 로그·거래 로그 1년 이상 보관
- 포렌식 추적이 가능하도록 상세 로그 수집
Article 5
위협 대응 및 취약점 관리
1) 취약점 점검
- 정기적 취약점 스캔 및 패치
- OWASP Top 10 기반 웹 취약점 점검
- 외부 보안 전문기관 진단 수행
2) 장애 대응 및 SEV 관리
- SEV-1/2/3 기준의 인시던트 대응 체계 유지
- 대응 절차: 감지 → 통지 → 완화 → 복구 → RCA 공개
- 대규모 장애 시 상태 페이지/문자/이메일 공지
Article 6
인프라 보안
1) 네트워크 보안
- WAF(Web Application Firewall) 적용
- 도메인/HTTPS 인증서 자동 갱신
- 클라우드 보안 그룹(Security Group) 제한 적용
2) 백업 및 재해복구
- DB 정기 백업 및 암호화 저장
- 재해복구(DR) 절차 보유
- 정산·거래 데이터는 다중 가용 영역에 저장
Article 7
내부 보안 및 교육
내부 보안 규정
- 보안 서약서/기밀 유지 서약서 작성 의무
- 반기별 정보보안 교육 실시
- 퇴사자 계정 즉시 회수 및 접근 차단
Article 8
보안 문의처
문의 및 신고
보안 관련 문의·신고는 아래 채널을 통해 가능합니다:
- 이메일: woojinplatform@gmail.com
- 대표번호: 010-2952-2667
- 주소: 서울특별시 영등포구 여의대방로 67길11 5층 에이 5-41호
Addendum
부칙
시행일
본 보안정책은 2025년 1월 1일부터 시행합니다.
마지막 업데이트: 2025-01-01