SaaS 보안 기본 사항

기업 SaaS 고객은 일반적으로 조달 과정에서 표준 보안 체크리스트를 기준으로 벤더를 평가합니다. 핵심적인 기대 제어 사항: SAML 2.0을 지원하는 Single Sign-On (SSO) (기업 고객이 기존 ID 공급자를 사용하여 SaaS 인증을 할 수 있도록 함); 모든 사용자 계정에 대해 Multi-Factor Authentication (MFA) 강제 적용; 저장 데이터 암호화 (AES-256을 사용한 데이터베이스 암호화) 및 전송 중 암호화 (TLS 1.2+); 기업이 각 사용자가 제품 내에서 접근할 수 있는 것을 제한할 수 있도록 세분화된 권한을 가진 role-based access control (RBAC); 감사 로그 (규정 준수 및 조사를 위해 고객 관리자가 접근할 수 있는 모든 사용자 활동의 변경 불가능한 기록); 그리고 침투 테스트 (NDA 하에 보고서가 제공되는 연간 또는 더 빈번한 제3자 보안 평가). SOC 2 Type II 인증은 이러한 제어 장치가 효과적으로 작동하고 있음을 독립 감사인이 확인해주기 때문에 기업 판매의 필수 요건이 되고 있습니다.

규정 준수 우선순위는 대상 고객 세그먼트에 따라 달라집니다. SOC 2 Type II (System and Organization Controls)는 보편적인 SaaS 기준선입니다. 이는 5가지 Trust Service Criteria (보안, 가용성, 처리 무결성, 기밀성, 개인 정보 보호)를 감사합니다. Type I (특정 시점의 제어 주장)은 얻기 더 쉽지만, Type II (6개월 이상 운영 효율성에 대한 증거)는 기업 고객이 조달 시 요구하는 것입니다. ISO 27001은 유럽 시장 및 글로벌 규정 준수 프로그램을 가진 대기업에서 선호됩니다. HIPAA 준수는 보호 건강 정보(PHI)를 처리하는 모든 제품에 필요하며, 이는 헬스케어 SaaS 기업과 관련이 있습니다. GDPR 준수는 회사 위치와 관계없이 EU 거주자의 개인 데이터를 처리하는 데 필요합니다. Product Ops는 Engineering, Legal, Sales와 협력하여 보안 검토로 인해 가장 많은 거래 손실을 초래하는 장애물을 기반으로 인증 우선순위를 정하여 규정 준수 로드맵을 소유합니다.

보안 관련 지원 상호 작용은 일반적인 제품 티켓보다 더 신중한 처리가 필요합니다. 보안 설문지 작성 (기업 조달에서 흔함): Product Ops는 표준 질문의 80%를 처리하는 미리 채워진 보안 설문지 (또는 trust.yourcompany.com에 공개 보안 문서를 포함한 전용 Trust Center)를 유지하고, 맞춤형 질문에 대해서는 보안팀으로의 명확한 에스컬레이션 경로를 마련해야 합니다. 고객 또는 연구원으로부터의 취약점 보고서: 모든 회사는 전용 보고 채널 (security@company.com)을 포함한 공개된 보안 취약점 공개 정책을 가지고 있어야 합니다. 접수된 취약점 보고서는 지원 상담원이 아닌 보안팀에서 24시간 이내에 분류해야 합니다. 일반 티켓으로 보안 취약점 보고서를 받은 지원 상담원은 특정 에스컬레이션 매크로를 사용하여 즉시 에스컬레이션해야 합니다. 고객에게 '재현해 보라'고 요청하거나 암호화되지 않은 채널에서 증거를 공유하도록 요청해서는 안 됩니다.