Information Security

Your Data is Safe

At Airbridge, we place serious attention in securing our infrastructure and adhere to industry security standards to protect your organization's data.

Protecting your Privacy and Data

Our commitment to keeping your data secure is our number one priority. We continuously invest significant time and resources to monitor and adjust to the latest threats through our robust security frameworks, procedures, and policies. Data in Airbridge is protected with multiple layers of protection including access control, data encryption, network infrastructure security, asset security management, cloud product security, physical security, human security, monitoring and reporting protocols. Third-party security assessments are conducted to ensure that our security frameworks, procedures, and policies are maintained at the highest rigour and standards.

Compliance

AB180 Inc. complies with the relevant laws and regulations for the safe provision of Airbridge. In addition, we are strengthening information protection capabilities and enhancing service safety by audited the level of information protection management systems every year by world-class international certificate authority.

SOC 2 TYPE 2
SOC 2 is an audit conducted by an independent auditor evaluating the adequacy of internal controls in accordance with the standards for the evaluation of attestation established by the American Institute of CPAs (AICPA) and the International Auditing and Assurance Standards Board (IAASB) to check services are reliable.Airbridge has successfully completed the SOC 2 Type 2 examination performed by Deloitte Anjin LLC.
ISO/IEC 27001,
27017, 27018
Airbridge has obtained and maintains international information security certifications ISO 27001, ISO 27017, and ISO 27018 through SGS, a leading global certification organization. ISO/IEC 27001 is an international standard for information security management systems established by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC). ISO 27017 and ISO 27018 are information security and privacy certifications specialized for cloud services based on ISO 27001.
ISMS
ISMS is an Korea information security certification by the KISA(Korea Internet & Security Agency). Airbridge has successfully obtained the ISMS certification after a rigorous audit of 80 items, including the establishment and operation of the information protection management system and the requirements for protection measures.
ISMS-KISA-2023-138

Product

  1. Access Control
    Airbridge provides role-based organization roles, categorized into 'Admin', 'Manager', and 'Member', as well as granular access permission management features distinguished by 'App Owner', 'In-house Marketer', 'Agency', and 'Media Partner'.
  2. Protecting Passwords and Sensitive Data
    Sensitive data including users' passwords are encrypted then stored safely. In particular, passwords are encrypted using PBKDF2(Password-Based Key Derivation Function 2) then stored.
  3. Opt-Out on Sending Privacy Data
    For complying the <Privacy Act> of the Republic of Korea and the <General Data Protection Regulation (GDPR)> of the EU, You can use 'Opt-Out' feature for restrict sending the privacy data.

Infrastructure & Network

  1. Infrastructure on AWS
    1)  All Airbridge services run in the cloud. Airbridge does not run our own routers, load balancers, DNS servers, or physical servers.
    2)  We are using Amazon Web Services(AWS) Cloud and all infrastructure is located in AWS Tokyo region. As part of AWS's privacy policy, the location of the data center is not disclosed. Therefore, all Airbridge infrastructure operates on the basis of AWS' physical and environmental security policies. For more information, see the Security Policy page at on AWS.
    3)  Airbridge operates on at least two Availability Zones for Business Continuity and Disaster Recovery.
    4)  Airbridge complies with AWS Shared Responsibility Model and Security Best Practices as best as possible.
    5)  For more information on AWS's compliance programs, please see here
  2. Regular Vulnerability Inspection & Patch
    1)  Using AWS Inspector, we regularly inspect for known security vulnerabilities in all instances' OS level and application level.
    2)  Softwares and Libraries with security vulnerabilities are patched to the latest version in a way that is compatible with the existing systems.
    3)  All server instances operate based on standard OS images with system hardening, including default security settings.
  3. VPC & Security Group
    All servers are separated from external networks and operate in AWS's VPC(Virtual Private Cloud). We prevent unauthorized external access using multiple systems, including Security Group.
  4. Real-time Network Monitoring with Intelligent Threat Detection System
    Using AWS GuardDuty, an Intelligent Threat Detection System, we monitor Network Flow Logs, DNS Logs, AWS Console Access & API call Logs real-time.

Data Storage, Transfer, Permissions & Access Control

  1. Encrypted Storage on Cloud
    All user data is stored in AWS Infrastructure located in Tokyo Region. Sensitive data is encrypted using AWS SSE-S3(AES-256) and stored, and data decryption and access log are recorded and audited.
  2. Encrypted Transit
    All data communications are encrypted using TLS 1.2 or higher protocol.
  3. Regular Back-up
    We regularly back-up data to prevent data loss.
  4. Access Control
    All employees can only access data for appropriate business purposes after the CISO's approval and must receive education in handling sensitive data. Existing access permission is assessed to check if appropriate for the job and managed periodically.

Application & Development

  1. Complying S-SDLC(Secure Software Development Life Cycle)
    We comply with S-SDLC(Secure Software Development Life Cycle) in every stages of planning, development, testing, deployment and operation to guarantee security, stability, and reliability.
  2. Automated Testing and Deployment
    All applications can only be deployed on Production Stage after automated testing. Therefore, if a single test fails, the new feature is not deployed. This process guarantees fast feature development and product stability.

Application Monitoring, Business Continuity & Disaster Recovery

  1. Real-time Monitoring about System Status
    We monitor all systems and components of all data pipelines in the infrastructure 24/7/365 to minimize damage in failures and breaches, and to recover them as soon as possible. In particular, we manage failures by tickets using third-party tools like PagerDuty so that engineers can quickly resolve the issue. Customers using our service can always check the system status and planned system maintenance at System Status Page
  2. Monitoring for Sensitive Data
    Access, modifications and downloads are all recorded and audited regularly.
  3. Risk Assessment
    Regularly assess technical & non-technical risks depending on frequency, effect of risk and the importance of asset to progressively remove risk according to DoA(Degree of Acceptance).
  4. Building DR(Disaster Recovery) Scenario
    We build Disaster Recovery scenarios and regularly train related employees.

Security Audits

  1. Internal Audit
    Under the CISO's lead, we conduct internal audits of technical and non-technical data protection logs daily, weekly, monthly, quarterly, semiannually or annually, depending on the task.
  2. Third-Party Audit
    If a third-party is in charge of development, infrastructure maintenance, or personal information processing, we thoroughly audit to check if the privacy and personal data protection procedure standards are met.
  3. Regular Pen-Test
    We conduct product pen-test in accordance to SDLC and regular internal pen-tests. We also pen-test the entire system once a year with a trusted third-party security company.

Physical & HR

  1. Education and Training
    The information protection committee checks every month if the policies are complied.
  2. Security Policies
    All information security compliance is defined and published in internal policies, guidelines, and procedures documents. Policies documents are managed by the information protection committee composed of in house C-Levels including the CEO, and the information protection committee checks every month if the policies are complied.
  3. Information Protection Pledges
    All employees and outsourced employees must prepare information protection pledges when they sign an employment or service contract, to define their responsibility for information protection according to their work.
  4. SSO & 2FA
    External solutions used by executives and employees (e.g. GSuite, GitHub, AWS) must activate SSO and 2FA to prevent accidental hacking incidents.
  5. DLP & Anti-virus
    All business PCs are protected from MalWare with a centrally managed Anti-Virus solution, and Data Loss Prevention (DLP) solutions help prevent data leakage.

Customer Responsibilities

  1. Do not leak Airbridge log-in information and token values. If you think the data has been leaked, please let the AB180 Security & Privacy team know immediately.
  2. Please make sure to log-out after using our service in public PC.
  3. Do not share one log-in account with others. If multiple users need to access the Airbridge Dashboard, please do so with feature.
  4. Only invite a new App Admin when absolutely necessary. When inviting an Agency as App Admin, the customer might request the agency for documents such as a security pledge, in accordance with the customer's compliance. Please regularly delete App Admin accounts that are no longer required.
  5. Please regularly audit Airbridge Dashboard's Activity History to prevent and monitor accidents. If you find an unintended action, please let the AB180 Security & Privacy team know immediately.
  6. Please comply the data protection laws to legally consign and store user data in Airbridge. In particular, if you are providing service in Korea, you must get agreement about 'Personal Information Processing Consignment' and 'Personal Information Transfer' according to the Privacy Act. Also if you are providing service in EU area or to EU citizen, you can not send the privacy data to Airbridge without certain agreement from the user. If you do not have agreement, you must use the Opt-Out feature on Airbridge SDK.
  7. Do not send the privacy data of children under 14 years old using the SDK's Opt-Out feature.
  8. Do not perform Airbridge System pen testing, security vulnerability check, and etc. without the approval of AB180 Security & Privacy Team.
정보 보호
Your Data is Safe
에어브릿지는 정보 보안 및 고객 데이터 보호를 매우 중요하게 생각합니다.
Protecting your Privacy and Data
에어브릿지는 고객의 데이터를 안전하게 지키기 위해 최선의 노력을 다합니다.
에어브릿지는 각종 보안 정책과 지침, 보안 솔루션 등을 통해 유무형의 모든 보안 위협을 상시 모니터링하고 관리하기 위해 지속적인 투자를 아끼지 않습니다. 에어브릿지는 제품, 시스템 인프라와 네트워크, 데이터 보관과 전송, 접근 통제, 개발, 모니터링, 업무연속성과 재해복구, 내외부 감사, 물리 및 인적 보안과 같은 다양한 계층에서 정보 보호를 수행합니다.

Compliance

주식회사 에이비일팔공은 에어브릿지의 안전한 제공을 위해 관련 법과 규제를 준수하고 있습니다. 더불어 세계적인 국제 인증 기관으로부터 매년 정보보호 관리 체계의 수준을 점검받음으로써 정보보호 역량을 강화하고 서비스 안전성을 제고하고 있습니다.

SOC 2 Type 2
SOC 2는 안정적인 서비스의 제공을 위해 미국공인회계사회(AICPA) 및 국제감사인증기준위원회(IAASB)에서 제정한 인증업무평가기준에 따라, 독립된 감사인이 관련 내부통제의 적절성을 평가하고 확인하는 제도입니다. 주식회사 에이비일팔공은 딜로이트 안진 회계법인을 통해 에어브릿지의 SOC 2 Type 2 감사를 성공적으로 완료했습니다.
ISO/IEC 27001, 27017, 27018
에어브릿지는 세계적인 인증 기관인 SGS를 통해 국제 정보보호 인증인 ISO 27001, ISO 27017, ISO 27018을 획득하여 유지하고 있습니다. ISO/IEC 27001은 국제표준화기구(ISO) 및 국제전기기술위원회(IEC)가 제정한 정보보호 관리체계 국제규격 인증이며, ISO 27017 및 ISO 27018은 ISO 27001을 기반으로 클라우드 서비스에 특화된 정보보호 및 개인정보보호 인증입니다.
ISMS
ISMS는 한국인터넷진흥원(KISA)이 주관하는 국내 보안인증제도입니다. 에어브릿지는 정보보호 관리체계 수립 및 운영, 보호대책 요구사항 등 80개 항목에 대한 엄격한 심사를 거쳐 ISMS인증을 획득했습니다.
ISMS-KISA-2023-138

Product

  1. 접근 권한 분리
    에어브릿지는 ‘어드민’(Admin), ‘매니저(Manager)’, ‘멤버(Member)’로 구분되는 조직 역할, 그리고 ‘앱 오너(App Owner)’, ‘사내 마케터(In-house Marketer)’, ‘대행사(Agency)’, ‘미디어 파트너(Media Partner)’로 구분되는 세분화 된 접근 권한 관리 기능을 제공합니다.
  2. 비밀번호 및 민감한 데이터의 보관
    사용자 비밀번호를 비롯한 민감한 개인 정보는 암호화되어 보관됩니다. 특히 비밀번호는 PBKDF2(Password-Based Key Derivation Function 2)를 이용해 암호화 한 뒤 저장합니다.
  3. 개인정보의 취사 전송 (Opt-Out)
    대한민국의 <개인정보 보호법>과 EU의 <GDPR(General Data Protection Regulation)>에 따라, 정보 주체가 개인 정보 위탁 처리를 원하지 않거나 만 14세 미만의 아동인 경우에는 SDK의 Opt-Out 기능을 활용해 개인정보를 취사 전송할 수 있습니다.

Infrastructure & Network

  1. AWS 상의 시스템 인프라
    1)  에어브릿지의 모든 서비스는 클라우드에서 동작합니다. 에어브릿지는 자체적인 라우터, 로드밸런서, DNS 서버 그리고 물리 서버를 운영하지 않습니다.
    2)  클라우드는 Amazon Web Services(이하 AWS)를 이용하며, 모든 인프라는 AWS의 Tokyo Region에 위치하고 있습니다. AWS의 보안정책에 따라 물리 장비의 위치는 공개되지 않습니다. 따라서 에어브릿지의 모든 인프라는 AWS의 물리적/환경적 보안 정책을 기반으로 운영됩니다. 자세한 내용은 AWS의 보안 정책 페이지를 참고해주십시오.
    3)  에어브릿지는 업무 연속성(BC)과 재해 복구(DR)를 위해 최소 2개 이상의 가용 영역(Availability Zone)에서 운영됩니다.
    4)  에어브릿지는 AWS의 공동 책임 모델보안 Best Practice를 주어진 상황 하에 최대한 준수합니다.
    5)  AWS가 준수하고 있는 컴플라이언스 프로그램은 이 링크를 확인해주십시오.
  2. 정기적 취약점 검사 및 패치
    1)  AWS Inspector를 활용하여 모든 인스턴스의 OS 레벨과 어플리케이션 레벨의 알려진 보안 취약점을 정기적으로 검사합니다.
    2)  보안 취약점이 발견된 소프트웨어와 라이브러리는 기존 시스템과의 호환성을 고려하여 최신 버전으로 패치합니다.
    3)  모든 서버 인스턴스는 기본 보안 설정을 포함한 시스템 하드닝이 완료된 표준 OS 이미지를 기반으로 운영됩니다.
  3. VPC와 Security Group
    모든 서버는 AWS의 VPC(Virtual Private Cloud)에 외부 네트워크로부터 분리되어 운영됩니다. Security Group을 포함한 여러가지 장치를 통해 인가되지 않은 외부 접근을 방지합니다.
  4. 지능화된 위협 탐지 도구로 실시간 네트워크 감시
    지능형 위협 탐지 도구인 AWS GuardDuty를 이용해, 네트워크 흐름 로그, DNS 로그, AWS 콘솔 접근 및 API 호출 로그를 실시간으로 감시합니다.

Data Storage, Transfer, Permissions & Access Control

  1. 클라우드 암호화 보관
    모든 고객 데이터는 일본(Tokyo Region)에 있는 AWS의 인프라에 보관됩니다. 민감한 데이터는 AWS SSE-S3(AES-256)을 이용해 암호화되어 보관되며, 데이터에 대한 복호화 및 접근 기록은 모두 남아 감사됩니다.
  2. 암호화된 통신구간
    모든 데이터 통신은 TLS 1.2 이상의 프로토콜을 이용하여 암호화 됩니다.
  3. 주기적 백업
    데이터 유실을 방지하기 위해 주기적 데이터 백업을 시행합니다.
  4. 데이터에 대한 강력한 접근 통제
    모든 임직원은 반드시 업무 목적에 따라 CISO의 인가 후 데이터에 접근할 수 있으며, 민감한 데이터 취급에 대한 교육을 필수적으로 이수해야 합니다. 기존에 부여된 접근 권한은 업무와 적합한지 주기적으로 평가 및 관리됩니다.

Application Monitoring, Business Continuity & Disaster Recovery

  1. 시스템 상태에 대한 실시간 모니터링
    인프라 내부의 모든 데이터 파이프라인에 포함되는 시스템과 컴포넌트들을 24/7/365 모니터링하여, 장애 및 침해사고 발생시 피해를 최소화하고 최대한 빠른 시일내에 복구할 수 있도록 합니다. 특히 PagerDuty와 같은 서드파티 툴을 이용해 사고를 티켓 단위로 관리하여, 엔지니어가 빠르고 책임감 있게 이슈를 해결할 수 있도록 합니다. 서비스를 이용하는 고객사는 System Status 페이지를 통해 언제든 시스템 상태와 예정된 시스템 유지보수 작업 계획을 확인할 수 있습니다.
  2. 민감한 정보 접근에 대한 모니터링
    민감한 정보에 대한 접근, 수정, 다운로드는 모두 기록되어 주기적으로 감사됩니다.
  3. 주기적 위험 평가
    발생 빈도, 위험 크기, 자산의 중요도에 따라 기술적 & 비기술적 보안 위험을 주기적으로 평가하여, DoA(Degree of Acceptance)에 따라 현실적으로 위험을 점진적 제거합니다.
  4. 재해복구 시나리오 구축
    재해복구 시나리오를 구축해두고, 관련 담당자들이 충분히 숙지할 수 있도록 주기적 대응 연습을 진행하고 있습니다.

Security Audits

  1. 내부 감사
    업무 내용에 따라 CISO의 주도 하에 매일, 주간, 월간, 분기별, 반기별, 연간 일정으로 기술적, 비기술적 정보 보호 로그에 대한 감사를 수행합니다.
  2. Third-Party에 대한 감사
    외부 업체에 개발, 인프라 유지보수, 개인정보 처리 위탁 등을 맡기는 경우, 정해진 보안 및 개인정보 보호 프로세스가 잘 지켜지는지 철저히 감사합니다.
  3. 주기적인 팬테스트
    SDLC에 따른 제품 펜테스트와, 주기적 시스템 펜테스트를 내부적으로 시행함과 동시에 공신력있는 외부 보안 업체를 통한 전체 시스템 펜테스트를 연 1회 시행합니다.

Physical & HR

  1. 전사 보안 교육 및 개인정보취급자 심화 교육
    전사 보안 교육, 개발 직군 보안 교육, 개인정보 보호 교육을 연 1회 이상 수행합니다.
  2. 사내 보안 정책 수립
    모든 정보 보안 준수 사항은 내부 정책, 지침 및 절차의 3단계로 구분한 문서로 정의 및 공표되어 있습니다. 정책은 CEO를 포함한 사내 C-Level로 구성된 정보보호위원회에서 관리하며, 정책의 내용이 실제 잘 적용되고 있는지 주기적으로 정보보호위원회에서 심의합니다.
  3. 임직원 및 외주 인력 정보보호서약서 작성
    모든 임직원과 외주 인력은 입사 혹은 용역 계약시 반드시 정보보호서약서를 작성해 업무에 따른 정보 보호 책임을 명확히합니다.
  4. 외부 솔루션 SSO, 2FA 의무화
    임직원이 사용하는 외부 솔루션(e.g. GSuite, GitHub, AWS)은 가능한 반드시 SSO와 2FA를 활성화하여 불의의 해킹 사고를 예방합니다.
  5. DLP 및 Anti-virus
    모든 업무용 PC에는 중앙에서 관리되는 Anti-Virus 솔루션을 설치하여 MalWare로 부터 보호하고, DLP(Data Loss Prevention) 솔루션을 이용해 데이터 유출을 예방합니다.

Customer Responsibilities

  1. 에어브릿지 로그인 정보 및 토큰 값을 절대로 외부에 유출하지 마세요. 정보가 유출되었다고 판단되면 즉시 에이비일팔공 Security & Privacy 팀에 알려주세요.
  2. 여럿이 사용하는 PC에서는 반드시 서비스 이용 후 로그아웃 해주세요.
  3. 하나의 로그인 계정을 여럿이서 사용하지 마세요. 사내에서 여러 사용자가 에어브릿지 대시보드에 접근해야 하는 경우에는 앱 관리자 초대 기능을 사용해주세요.
  4. 반드시 필요한 경우에 한해 앱 관리자 계정을 초대하세요. 외부 대행사(Agency)를 앱 관리자로 초대하는 경우, 고객사는 고객사의 컴플라이언스 사항에 따라 대행사에게 보안서약서와 같은 서류의 작성을 요구할 수 있습니다. 더불어 더 이상 필요하지 않은 앱 관리자 계정을 주기적으로 삭제해주세요.
  5. 사고 예방 및 감시를 위해 에어브릿지 대시보드의 Activity History를 주기적으로 감사(Auditing)해주세요. 의도하지 않은 동작이 발견된 경우 즉시 에이비일팔공 Security & Privacy 팀에게 알려주세요.
  6. 고객의 정보가 에어브릿지에 합법적으로 위탁 처리/보관될 수 있도록 컴플라이언스 사항을 준수해주세요. 특히 대한민국에서 서비스를 제공중인 고객이라면 개인정보보호법에 따른 '개인정보 처리 위탁' 및 '개인정보 국외 이전' 동의가 반드시 필요합니다. 또한 고객사가 EU 내에 설립된 법인이거나 고객이 EU 시민이라면, 정당한 고객의 동의가 없는 상태에서는 SDK의 Opt-Out 기능을 이용해 개인정보를 에어브릿지로 전송하지 마세요.
  7. 만 14세 미만의 아동의 개인정보는 SDK의 Opt-Out 기능을 이용해 에어브릿지로 전송되지 않게 해주세요.
  8. 에이비일팔공 Security & Privacy 팀의 사전 동의 없는 에이브릿지 시스템 펜테스트, 보안 취약점 검사 등을 수행하지 마세요.

모바일 앱 성장의 시작

데이터 수집부터 광고 채널 성과 측정, 분석까지
에어브릿지에서 빠르고 정확하게
전세계 마케터 2만명과 함께하세요.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.