YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.
고객 데이터 보호, 플랫폼 가용성 유지, EU GMP Annex 11, 21 CFR Part 11 및 GDPR 준수 방법
YARDtwin은 노르웨이 동부 컴퓨팅 및 스웨덴 중부 데이터·레지스트리·시크릿 저장을 갖춘 Microsoft Azure에서 운영됩니다. 모든 고객 데이터는 EU/EEA 내에 보관되며 GDPR 제44조~제49조를 준수합니다.
| 통제 항목 | 구현 방식 | 상태 |
|---|---|---|
| TLS | Azure를 통한 AES-256-GCM 방식의 TLS 1.3 | 확인됨 |
| WAF | Azure Front Door WAF (차단 모드) | 활성 |
| HSTS | preload 포함 2년 max-age | 확인됨 |
| HTTPS 전용 | App Service 적용 | 확인됨 |
| DB 방화벽 | Azure 전용 + 관리자 IP 허용 목록 | 확인됨 |
| 통제 항목 | 구현 방식 | 상태 |
|---|---|---|
| 비밀번호 정책 | 8자 이상, 대문자, 소문자, 숫자, 특수문자 포함 | 적용됨 |
| 유출 여부 확인 | 가입/변경 시 HIBP k-익명성 조회 | 활성 |
| MFA | TOTP (Google/Microsoft Authenticator) | 사용 가능 |
| SSO/SAML | SAML 2.0 (Azure AD, Okta, Google Workspace) | 활성 |
| 무차별 대입 공격 | 5회 시도 후 15분 잠금 (429) | 활성 |
| JWT 토큰 | 액세스 1시간, 갱신 7일 | 활성 |
| RBAC | 라우트 수준 적용이 포함된 8개 역할 | 활성 |
| 테넌트 격리 | 모든 쿼리에 tenant_id 필터 적용 | 확인됨 |
| 통제 항목 | 구현 방식 | 상태 |
|---|---|---|
| 저장 데이터 암호화 | Azure PostgreSQL AES-256 | 활성 |
| 전송 중 데이터 암호화 | TLS 1.3 | 활성 |
| 비밀번호 해싱 | bcrypt (12라운드) | 활성 |
| 매개변수화된 SQL | 쿼리 154개, 문자열 연결 0건 | 확인됨 |
| 시크릿 | Azure Key Vault | 활성 |
| 감사 추적 | 추가 전용, ALCOA+ 준수 | 활성 |
요청별 nonce를 사용한 엄격한 CSP 적용(스크립트에 no unsafe-inline 없음). 모든 응답에 전체 보안 헤더 반환: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.
2026년 4월 17~18일 독립적 침투 테스트 실시(OWASP 카테고리 10개, 페이로드 36개): 취약점 0건.2026년 4월 11일 기능 보안 테스트 실시 — 예약 270건에 걸쳐 1,890건 이상의 API 호출 검증: 실패 0건.연간 제3자 침투 테스트 예정 및 SOC 2 Type II 감사 진행 중.
보안 연구자의 제보를 환영합니다. 발견 내용 및 재현 절차를 기재하여 이메일로 보내주세요: admin@yardtwin.com수신 후 2영업일 이내에 확인 회신을 드리며, 심각한 문제는 7일 이내 패치를 목표로 합니다. 저희가 조치할 기회를 갖기 전에 취약점을 공개적으로 공표하지 마십시오.
최종 업데이트: 2026년 4월 · yardtwin.com