CircleCI 보안

SOC 2 Type II는 CircleCI에 업계 표준을 준수할 수 있는 기회를 제공하고, 고객에게 업계에서 인정받는 표준화된 보고서에 액세스에 할 수 있는 조직 권한을 줍니다. 이 보고서는 업계 내 여러 서비스 간에 비교할 수 있습니다. SOC 2 Type II를 준수한다는 것은 CircleCI가 위험을 줄이는 데 필요한 절차와 보안 정책을 시행 및 준수하고, 해당 프로세스를 요청하고 감사할 수 있다는 것을 의미합니다. 다음 웹사이트에서 SOC 2 Type II에 대해 자세히 알아보세요. https://www.aicpa.org/.

FedRAMP Tailored 지정은 CircleCI가 미국 정부 데이터 보안 표준을 준수하고 미국 정부 기관 내에서 사용할 수 있도록 승인되었다는 것을 의미합니다. 다음 웹사이트에서 FedRAMP 인증에 대해 자세히 알아보세요. https://www.fedramp.gov/.

이 인증은 CircleCI가 EU-미국 및 스위스-미국 Privacy Shield 프레임워크에 따라 미국, EU 및 스위스의 모든 데이터 전송 보안 표준을 준수하도록 보장합니다. 다음 웹사이트에서 Privacy Shield에 대해 자세히 알아보세요. https://www.privacyshield.gov/welcome.

CircleCI는 Chargify, Stripe, Zuora의 PCI 규정 준수를 활용합니다.

CircleCI는 Cloud Security Alliance에서 규정한 클라우드 데이터 보안에 대한 엄격한 표준을 충족하는 보안 통제를 문서화했습니다. 다음 웹사이트에서 CircleCI의 Star Registry 답변 사본을 다운로드하세요. https://cloudsecurityalliance.org/.

모든 CircleCI 직원과 계약자는 신원 조회를 통과하고 기밀유지 계약에 서명해야 합니다.

CircleCI의 모든 신입 직원은 보안 모범 사례를 다루는 과정에 참석해야 합니다.

엔지니어는 추가 기술 보안 워크샵에 참석해야 합니다.

CircleCI는 보안 관리 팀에서 관리하고 전달하는 다양한 보안 정책을 보유하고 있습니다.

CircleCI의 모든 파트너와 타사 공급업체는 보안 설문지를 작성해야 합니다. PII를 취급하는 파트너와 공급업체도 데이터 처리 부록에 서명해야 합니다.

CircleCI는 CircleCI가 보안 취약점을 식별하는 데 도움을 준 사람들이 등재된 보안 명예의 전당을 운영합니다. 보안 우려 사항 신고

CircleCI는 전담 사고 대응 팀을 운영합니다.

CircleCI는 중요한 상황에서 의사 결정을 내리기 위해 사고 대응 정책 및 실행 지침서를 관리합니다.

네트워크 및 보안 사고는 https://status.circleci.com/에 게시되어 있습니다.

CircleCI 본사에서는 24시간 출입문을 관리하는 보안 직원을 고용하고 있으며 출입을 위해 상시적으로 배지가 필요합니다. 방문객은 언제나 서명 후 관리자의 안내를 받아 입장해야 합니다.

덴버, 토론토, 보스턴, 일본, 런던에 있는 CircleCI의 원격 사무소에는 샌프란시스코 본사와 유사한 물리적 보안 통제 시스템이 구현되어 있습니다.

CircleCI는 Linux 플릿에 Amazon Web Services를, 보조 컴퓨팅에 Google Cloud Platform을 사용합니다. 두 공급업체 모두 보안 및 개인 정보 보호 분야에서 업계 리더입니다.

CircleCI는 밀워키의 Milwaukee Colo 데이터센터에 있는 macOS 플릿을 소유 및 운영하고 있습니다. CircleCI 직원은 시스템에 물리적으로 액세스할 수 없으며 모든 관리는 원격으로 수행됩니다. 시스템 프로비저닝, 업데이트 또는 디프로비저닝에 액세스할 수 있는 사람은 데이터센터 엔지니어로 제한됩니다. 연방 규제당국은 2019년에 시설의 보안, 가용성, 무결성을 평가하기 위해 종일 현장 감사를 완료했습니다. 다양한 배지, 액세스 로깅 및 기타 보안 통제 시스템이 구축되어 있으며, 이러한 모든 사항은 SOC 2 Type II 준수에 따라 감사 및 승인되었습니다.

CircleCI는 소프트웨어 개발 CI/CD 프로세스에서 도커 중심 취약성 검사 도구를 실행합니다. CircleCI 클라우드 서비스의 패칭 타임라인:
심각 - 14~30일 | 높음 - 14~30일 | 중간 - 45~90일 | 낮음 - 90~180일. 월간 검사는 진행 중인 FedRAMP 규정 준수의 일환으로 연방 당국에 제출됩니다.

CircleCI는 애플리케이션 이벤트, 시스템 이벤트, 하드웨어 이벤트, 물리적 액세스를 제어하는 공식적인 감사 정책을 보유합니다. 여기에는 어떤 이벤트가 언제 어디에서 발생했는지와 이벤트 소스, 이벤트 개체, 이벤트 결과 및 관련자에 대한 정보가 포함됩니다.

CircleCI의 아키텍처는 DMZ, 요새 호스트, iptables를 포함한 여러 계층의 데이터 보안으로 구성됩니다.

CircleCI의 사이트 안정성, 지원 및 엔지니어링 팀이 연중무휴 지원을 위해 전 세계에 배치되어 있습니다.

CircleCI는 각 사용 후 손상되는 격리된 샌드박스에서 모든 빌드를 실행합니다.

전송 중인 모든 데이터는 TLS 및 SSH를 통해 암호화됩니다.

환경 변수는 유휴 및 전송 중인 상태에서 암호화되며 작업을 시작할 때 런타임 환경에 주입됩니다. 키, 토큰 및 기타 자격 증명과 같은 모든 중요한 기밀은 CircleCI 내에 환경 변수로 저장되어야 합니다.

소스 코드는 전송 중 상태에서 TLS 및 SSH를 통해 항상 암호화되지만, 유휴 상태에서는 암호화되지 않습니다. 유휴 상태의 소스 코드는 DMZ, 요새 호스트, iptables와 같은 여러 계층의 아키텍처 보안을 통해 보호됩니다.

CircleCI는 일반적인 업계 타임라인 내에서 복원 기능을 필요로 하는 데이터 백업 및 스냅샷 정책을 보유합니다.

소프트웨어 개발 주기 정책은 전달, 검토, 병합 프로세스를 명령하여 롤백, 다운타임, 디자인 결함, 보안 사고를 최소화합니다.

CircleCI는 사이트 안정성 엔지니어 팀을 통해 CircleCI 애플리케이션 보안 계층을 일관되게 유지합니다.

CircleCI의 웹 애플리케이션은 주입, 손상된 인증 및 세션 관리, 사이트 간 스크립팅(XSS), 안전하지 않은 직접 객체 참조, 누락된 기능 수준 액세스 제어, 사이트 간 요청 위조(CSRF), 검증되지 않은 리디렉션 및 전달과 같은 OWASP Top 10 문제를 감수할 수 있도록 설계되었습니다.

타사 침투 테스터가 CircleCI 애플리케이션, 네트워크, 인프라, 신제품의 취약점을 테스트하기 위해 분기별로 고용됩니다. 범위는 OWASP Top 10부터 신제품 기능의 위협 모델링에 이르기까지 다양합니다.