기술 및 조직 대책 성명서

이전 버전의 콘텐츠 기여자 계약과 그 외 다른 정책은 정책 보관소(새 디자인 탭 또는 창에서 열기)에서 확인할 수 있습니다.

본 기술 및 조직 대책 성명서는 참조를 통해 데이터 처리 부록에 통합됩니다. 본 성명서는 Canva가 구독 서비스 계약(새 디자인 탭 또는 창에서 열기)에 따라 Canva 서비스에 적용하는 최소 보안 표준을 설명합니다. 본 기술 및 조직 대책 성명서에서 정의되지 않고 사용된 “데이터”(의심의 여지를 피하기 위해 회원님과 Canva의 계약에 달리 명시되지 않는 한 기업 고객 데이터로 제한됨)를 비롯한 대문자 표시 용어는 데이터 처리 부록(새 디자인 탭 또는 창에서 열기)에서 사용된 것과 같은 의미를 갖습니다.

1. 개인 데이터 가명화 및 암호화 대책

Canva는 고객과 Canva 애플리케이션 간에 공용 네트워크를 통해 전송된 데이터를 TLS 1.2 이상을 사용하여 암호화합니다. Canva의 서버에 저장된 고객 데이터는 AES 256보다 강력한 방식을 사용하여 암호화됩니다.


2. 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 대책

Canva에는 보안 및 개인정보보호의 감독을 담당하는 직원이 있습니다. Canva에서는 위험 등록 대장에서 관리되는 개인정보보호 및 보안 위험에 관해 분기별로 논의하는 정보 보안 위원회와 함께 보안, 개인정보 및 데이터 부문 책임자를 지명했습니다.


3. 물리적 또는 기술적 사건이 발생하는 경우 개인 데이터의 가용성 및 액세스를 신속하게 복원할 수 있는 기능을 보장하기 위한 대책

서비스의 가용성을 지원하기 위해 Canva에서는 AWS(Amazon Web Services) 자동 크기 조정, AWS 가용성 영역, 확장 애플리케이션 및 인프라 모니터링, 연중무휴 24시간 애플리케이션 지원 명단을 활용합니다.

Canva는 Canva 애플리케이션의 핵심 기능을 지원하는 고객 데이터를 비롯한 데이터 저장소의 백업을 유지합니다. 백업은 기본 데이터 저장 공간 위치와 지리적으로 분리된 위치에 저장됩니다.

Canva는 데이터 관련 보안 사건에 대한 문서화된 개인 데이터 사건 대응 계획을 포함하는 보안 사건 대응 기능을 유지합니다. 여기서는 Canva가 사건을 포함, 대응, 평가, 전달하는 방식을 정의할 뿐 하나리 Canva 담당자의 역할과 책임 및 사건 후 검토에 대한 요구 사항도 정의합니다.


4. 처리의 보안을 보장하기 위해 기술 및 조직 대책의 효과를 정기적으로 테스트 및 평가하기 위한 프로세스

Canva는 전문적인 제삼자 보안 테스터를 고용하여 애플리케이션 및 인프라에 대한 연간 침투 테스트를 수행합니다. 또한 제삼자 애플리케이션 취약성 스캔 서비스를 이용하고 공개 취약점 제보 프로그램을 실시합니다.


5. 사용자 식별 및 인증을 위한 대책

고객의 계정에 인증을 위한 비밀번호가 포함된 경우 Canva에서는 업계 표준 비밀번호 해싱 기능을 사용하여 솔트되고 해시된 비밀번호를 저장합니다. Canva는 SAML(Security Assertion Markup Language)을 사용하여 고객 ID 제공자와의 통합 인증(SSO) 통합을 지원합니다.


6. 전송 중 데이터의 보호를 위한 대책

항목 1에 따라, Canva는 고객과 Canva 애플리케이션 간에 공용 네트워크를 통해 전송된 데이터를 TLS 1.2 이상을 사용하여 암호화합니다.


7. 저장 중 데이터의 보호를 위한 대책

항목 1에 따라, Canva의 서버에 저장된 고객 데이터는 AES 256보다 강력한 방식을 사용하여 암호화됩니다.


8. 개인 데이터가 처리되는 위치에 대한 물리적 보안을 보장하기 위한 대책

AWS(Amazon Web Services)에서 제공하는 데이터 센터 내에 서비스가 호스트되고 데이터가 저장됩니다. 이와 같이 Canva는 AWS의 물리적, 환경적 및 인프라 제어를 활용합니다. Canva는 AWS에서 데이터 센터 제어의 효과와 관련하여 제공하는 인증 및 제삼자 증명을 정기적으로 검토합니다.


9. 이벤트 로깅을 보장하기 위한 대책

Canva는 애플리케이션 및 인프라 보안 감사 로그를 유지합니다. 감사 로그를 분석하여 비정상 활동을 감지합니다.


10. 기본 구성을 비롯한 시스템 구성을 유지하기 위한 대책

Canva는 일반적인 업계 표준을 기반으로 하는 강화 표준을 사용하여 서버 인프라를 강화합니다. Canva는 취약성 측정 절차에 따라 서버에 보안 패치를 적용합니다.


11. 내부 IT 및 IT 보안 거버넌스 및 관리를 위한 대책

고객 데이터에 대한 Canva 직원의 액세스 권한은 최소 권한의 원칙에 따라 역할을 기반으로 지정됩니다. 직원은 담당 업무를 효과적으로 이행하는 데 필요한 정도의 고객 데이터에 대한 액세스 권한만 제공받습니다. Canva 시스템에 대한 원격 네트워크 액세스는 보안 프로토콜과 다단계 인증을 사용한 암호화된 통신을 통해 이루어져야 합니다. Canva에서는 비밀번호를 각 개인의 개인 정보로 유지하고 권한이 없는 사람이 액세스할 수 없도록 보장하기 위해 직원의 비밀번호 관리를 위한 절차를 마련했고 앞으로도 유지할 것입니다. 이 절차는 최소한 다음 사항을 포함합니다.

- 비밀번호를 컴퓨터 시스템에 저장하거나 네트워크를 통해 전송할 때 암호로 보호

- 공급업체에서 제공하는 기본 비밀번호 변경

- 비밀번호 모범 사례에 대한 교육

프로덕션 인프라에 대한 직원 액세스를 위해서는 다단계 인증(MFA)이 필요합니다.

Canva 직원은 비밀 유지 의무와 개인 데이터 처리 정책을 따라야 합니다. Canva의 직원은 고용 시작 시점과 이후 매년 정보 보안 인식 교육을 받아야 합니다. 또한 직원은 매년 개인정보보호법 교육도 받아야 합니다(학생 데이터의 경우 COPPA 및 FERPA 준수 포함).

Canva는 개인정보 영향 평가를 포함하되 이에 제한되지 않는 개인정보보호를 의도적으로 구현합니다.


12. 프로세스 및 제품의 인증/보증을 위한 대책

Canva는 ISO 27001 인증을 유지합니다. 이를 위해 정기적인 외부 감시와 재인증 감사를 통해 ISMS(정보 보안 관리 시스템)가 이 표준의 요구 사항을 충족하는지 확인합니다.

Canva는 ISO 27001 표준의 요건을 충족하는 정보 보안 정책, Canva의 ISMS 및 정보 보안 제어를 평가하는 내부 감사 프로그램, Canva의 ISMS(정보 보안 관리 시스템)에 대한 감독을 담당하는 관리 위원회를 유지합니다.


13. 데이터 최소화를 보장하기 위한 대책

Canva에서는 방문자가 플랫폼의 특정 기능을 익명으로 사용하도록 허용하고 고객에게 요구하는 데이터를 요청된 서비스를 제공하는 데 필요한 정도로만 최소화합니다.


14. 데이터 품질을 보장하기 위한 대책

Canva는 canva.com 플랫폼에 가입하는 이메일의 검증을 통해 데이터 품질을 보장합니다. 또한 Canva는 사용자가 계정의 정보를 직접 업데이트하거나 고객 지원 기능인 고객만족팀에 요청하여 업데이트할 수 있도록 허용합니다.


15. 제한된 데이터 보존을 보장하기 위한 대책

Canva는 법적 요구 사항, Canva의 정당한 이익 및 수집 목적을 기반으로 다양한 데이터 유형에 대한 보존 기간을 명시하는 데이터 보존 정책을 유지합니다.


16. 책임을 보장하기 위한 대책

Canva는 유럽과 영국에 지역 담당 사무실을 두었습니다. Canva의 유럽 경제 지역 담당 사무실 EDPO(European Data Protection Office)의 등록 주소는 Avenue Huart Hamoir 71, 1030 Brussels, Belgium입니다. Canva의 영국 담당 사무실 EDPO UK(European Data Protection Office UK)의 등록 주소는 8 Northumberland Avenue, London WC2N 5BY, United Kingdom입니다. 고위험 처리 활동에 대해서는 데이터 보호 영향 평가를 수행하며 Canva는 해당 처리 활동에 대한 기록을 유지합니다.


17. 데이터 이식성을 허용하고 삭제를 보장하기 위한 대책

Canva는 요청 시 고객 데이터를 28일 내에 삭제하기 위한 자동 프로세스를 제공하며 대체 서비스 제공업체를 제공하기 위해 고객 데이터 다운로드를 지원합니다.