보안 & 정책

Hexamind Platform이 고객 데이터를 어떻게 보호하는지, 그리고 보안 취약점 발견 시 어떻게 신고하고 대응하는지 설명합니다.

보안 아키텍처

Hexamind Platform은 정보보안 SaaS로서 기본적인 격리, 보호, 감사 원칙을 적용합니다.

고객 데이터 보호

분석 대상 소프트웨어와 산출물은 고객 범위별로 분리된 컨텍스트에서 관리되며, 다른 조직의 프로젝트나 결과에 섞여 노출되지 않도록 설계되어 있습니다.

업로드된 산출물, SBOM, 보고서 등은 보호된 저장 영역에 보관되며, 민감도가 높은 데이터는 정책에 따라 추가 보호 조치를 적용할 수 있습니다.

고객별 분리 보관

저장 데이터 보호

분석 결과 보호

권한 범위 내 접근

AI 분석에 사용되는 정보

공급망 분석 정보만 사용: SBOM, 오픈소스 컴포넌트 목록, 패키지 버전, 라이선스, 취약점 식별자 같은 분석 중심 데이터가 사용됩니다.

개인정보는 분석 대상 제외: 이름, 이메일, 연락처 같은 개인정보는 AI 분석 데이터에 포함하지 않습니다.

조직 시스템 전체 정보는 기본 분석 범위가 아님: 공급망 판단에 필요한 최소 정보 위주로 사용합니다.

Hexamind AI의 목적은 사람을 들여다보는 것이 아니라 소프트웨어 공급망 위험을 이해하도록 돕는 것입니다.

감사 로그

보안 및 컴플라이언스 감사를 위해 플랫폼 내 주요 작업은 감사 가능한 형태로 기록됩니다. 이를 통해 누가 언제 어떤 작업을 수행했는지 사후에 확인할 수 있습니다.

생성 작업

프로젝트, 산출물, 분석 작업 생성

변경 작업

상태 변경, 설정 수정

삭제 작업

주요 자원 삭제

공유 및 내보내기

리포트, 산출물, 공유 링크 관련 작업

분석 데이터 보호 원칙

Hexamind AI가 데이터를 다루는 기본 원칙을 다시 한 번 요약합니다.

소스코드 원문 미보관: 소스코드 원문 대신 SBOM과 구성요소 정보를 분석 기준으로 사용합니다.

산출물 보호 저장: 업로드한 산출물과 결과는 보호된 저장 영역에서 관리됩니다.

공급망 분석 정보 중심: 오픈소스 구성요소, 버전, 라이선스, 취약점 식별자가 핵심 입력입니다.

개인정보와 조직 전체 정보 제외: 사람 자체나 조직 전체를 분석하는 서비스가 아닙니다.

오픈소스 사용 현황 자체가 규제 대응의 핵심이므로 SBOM과 감사 이력이 중요한 근거가 됩니다.

요약

Hexamind AI는 오픈소스 컴포넌트 목록과 공급망 분석 정보 중심으로 동작합니다. 소스코드 전체나 개인정보, 조직 기밀 전체를 분석 대상으로 삼지 않으며 필요한 정보만 사용하도록 설계되어 있습니다.

취약점 공개 정책 (Vulnerability Disclosure Policy)

Hexamind Platform에서 보안 취약점을 발견하셨다면 책임 있는 방식으로 신고해 주시기 바랍니다.

취약점 신고

보안 취약점은 [email protected]로 신고해 주세요.

신고 대상

• Hexamind Platform 웹 애플리케이션

• API 엔드포인트

• TrustBOM 공개 검증 페이지

• 인증 관련 취약점

신고 제외 대상

• 서비스 중단을 유도하는 DoS 공격

• 사회공학 공격

• 이미 공개된 서드파티 이슈

• 테스트 환경 전용 설정 이슈

대응 프로세스

접수

확인

신고 수신 확인 및 담당자 배정

취약점

검증

내부 검증과 심각도 평가

수정:

패치 개발 및 배포

공개

고지

패치 완료 후 내용 공지

신고 시 주의사항

신고 과정에서 다른 사용자의 데이터에 접근하거나, 서비스를 의도적으로 중단시키거나, 취약점을 악용하는 행위는 삼가 주세요.

이전 페이지

컴플라이언스

다음 페이지

규제 준수