인증 및 규정 준수

강력하고 확실한 보안 프로파일을 유지하려면 기술 인증 및 업계 규정 준수를 준수하는 것이 중요합니다. 이런 이유로 FireEye는 보안 제품 및 기술이 주요 산업 인증 및 규정 준수 요구 사항을 충족하거나 초과 달성하도록 하기 위해 최선을 다하고 있습니다.

인증 및 규정 준수

FedRAMP | ISO 27001 | 안전법 | SOC 2 | PCI DSS | EU-미국 Privacy Shield | NIST

인증

FedRAMP 인증 취득

FedRAMP

FedRAMP(Federal Risk and Authorization Management Program)는 클라우드 제품 및 서비스의 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 정부 차원의 프로그램입니다. FedRAMP를 통해 기관은 이전의 안전하지 않은 레거시 IT에서 벗어나 미션을 지원하는, 안전하고 비용 효율적인 클라우드 기반 IT를 빠르게 채택할 수 있습니다. 이 인증에는 안티바이러스, 안티스팸 및 명의 도용 탐지 기능을 비롯하여 회사의 독점 AVAS 모듈을 포함하는 FireEye Email Security(ETP-GOV)의 확장된 경계가 포함됩니다.

ISO 27001 인증 취득

ISO 27001

국제적으로 가장 인정받는 정보 보안 표준 중 하나인 이 인증은 사람, 프로세스 및 시스템 보안의 모든 측면을 포괄합니다. ISO/IEC 27001:2013 인증의 범위는 FireEye Email Security Cloud Edition을 지원하는 정보 보안 관리 시스템(ISMS)으로 제한되며 2018년 6월 11일 기준의 적용 대상 규정을 따릅니다. 범위 내 인프라는 EMEA(유럽) 및 북미에 위치한 데이터 센터에 있습니다. 코로케이션 및 클라우드 호스팅 서비스는 ISMS 범위에 포함되지 않습니다.

안전법 인증 취득

안전법

안전법은 “위험 관리” 체계와 “소송 관리” 체계를 생성하여 테러를 방지하는 기술의 개발 및 배포에 대한 인센티브를 제공합니다. 이 법의 목적은 법적 책임에 대한 위협으로 인해 테러 방지 기술의 잠재적 제조업체 또는 판매자가 생명을 구할 수 있는 기술의 개발 및 상용화를 포기하지 않도록 하기 위한 것입니다. FireEye는 고객을 악성코드로부터 보호하기 위한 보안 플랫폼으로 제공되는 MVX(Multi-Vector Virtual Execution) 엔진 및 클라우드 서비스를 제공합니다. FireEye MVX 기술은 가상 머신 환경에서 의심스러운 콘텐츠를 실행하여 소프트웨어의 악성코드 및 동작을 분석합니다. 소프트웨어 업데이트는 FireEye의 클라우드 서비스를 통해 고객과 공유됩니다.

SOC 2 인증 취득

SOC 2 – 서비스 조직 및 제어

FireEye는 AICPA(American Institute of Certified Public Accountants) 가이드 보고에 명시된 기준을 사용하여 매년 독립적인 제3자 SSAE18 감사를 받습니다. 이 기준은 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호(SOC 2®) 그리고 TSP(Trust Services Principles) 세션 100A에 명시된 보안, 가용성 및 기밀성 원칙에 대한 설계 및 운영 효율성의 적합성과 관련된 서비스 조직의 제어를 다룹니다. FireEye는 비즈니스 운영상 필요한 사용자에게 아래 나열된 제품에 대한 준수 보고서(SOC2 유형 II 보고서)를 제공할 수 있습니다. 이 보고서에는 FireEye 제어 환경에 대한 설명과 AICPA 신뢰 서비스 보안, 가용성 및 기밀 유지 원칙 및 기준을 충족하는 FireEye 제어에 대한 외부 감사 결과 및 의견이 포함됩니다.

  • FireEye Cloud MVX(Multi-Vector Virtual Execution)
  • FireEye Detection On Demand
  • FireEye Dynamic Threat Intelligence Cloud
  • FireEye Email Security Cloud Edition
  • FireEye Endpoint Security Cloud
  • FireEye Helix
  • FireEye Managed Defense

컴플라이언스

PCI DSS V3.2 - 결제 카드 산업 데이터 보안 표준

PCI DSS(Payment Card Industry Data Security Standard)는 PCI Security Standards Council에서 관리하는 정보 보안 표준으로, 카드 소유자 데이터 보안을 장려하고 강화하며 카드 소유자 데이터와 관련된 기술 및 운영 구성 요소에 대한 일관된 데이터 보안 조치의 채택을 촉진하도록 설계되었습니다.

FireEye는 “QSA”(Qualified Security Assessor) 회사와 협력하여 SAQ-D(서비스 공급업체에 대한 PCI 자체 평가 설문지)에 대한 자격 기준을 연례적으로 감사하고 FireEye Managed Defense 서비스에 대한 AoC(Attestation of Compliance)를 성공적으로 받았습니다.

EU-미국 Privacy Shield, 및 스위스-미국 Privacy Shield

FireEye는 유럽 연합 회원국과 스위스에서 개인 정보를 수집, 사용 및 보관하는 것과 관련하여 미 상무부에서 정한 EU-미국 Privacy Shield 프레임워크 및 스위스-미국 Privacy Shield 프레임워크의 요건을 준수합니다. FireEye는 Privacy Shield 인증서의 범위 내에서 EU 또는 스위스로부터 미국으로 전송되는 모든 개인 정보와 관련한 통지, 선택, 제3자 전송, 보안, 데이터 무결성 및 용도의 제한, 액세스 및 청구, 공권력 집행 및 법적 책임에 대한 Privacy Shield 원칙을 준수합니다.

NIST 800-171

NIST(National Institute of Standards and Technology) 특별 간행물 800-171은 2015년 6월에 발표되었습니다. 이 간행물은 비 연방 정보 시스템 및 조직에서 CUI(Controlled Unclassified Information)의 기밀성을 보호하는 데 중점을 두고 있으며 해당 목표를 달성하기 위한 보안 요구 사항을 정의합니다. FireEye는 자체 평가를 거쳐 NIST 800-171 제어를 준수함을 확인했습니다. FireEye는 지속적으로 NIST 800-171 준수를 평가하고 있습니다.