제 1장: 총칙
제1조 일반
① 본 주식회사 스패로우 클라우드 서비스 약관(이하 “본 약관”이라고 합니다)은 주식회사 스패로우(이하 “회사”라고 합니다)가 제공하는 공공기관 대상 클라우드 환경에서의 애플리케이션 보안 테스팅 (이하 “본 서비스”라 합니다)의 이용조건 및 요금에 관한 제반 사항을 정함을 목적으로 합니다.
② “본 서비스”의 범위는 이용자가 분석을 요청한 소스코드, 웹, 바이너리 파일에 대한 보안 테스팅, 테스팅 결과 레포팅, 이슈 관리, SBOM 생성 등 클라우드 환경에서의 애플리케이션 보안 테스팅과 이를 활용한 기술지원 등 관련 서비스를 의미합니다.
③ 본 서비스 이용에는 본 약관 이외에 주식회사 스패로우 이용약관, 이용자가 주식회사 스패로우 서비스와 관련하여 회사와 체결한 별도의 계약, 세부 이용 지침 등(이하 “주식회사 스패로우 문서”라고 합니다)이 적용됩니다.
④ 본 약관에 규정되지 않은 조건은 제3항의 주식회사 스패로우 문서의 조건이 적용되며, 본 약관과 주식회사 스패로우 문서의 조건이 상충하는 경우 주식회사 스패로우 문서에 명시적으로 다르게 규정된 바가 없는 한 본 약관의 조건들이 우선 적용됩니다.
⑤ 이용자는 회사가 이용자의 본 약관 준수 여부를 확인하기 위하여 합리적으로 요구하는 이용자 콘텐츠(클라이언트 애플리케이션의 사본 포함)와 관련된 정보 또는 기타 자료를 제공해야 합니다. 회사는 이용자의 본 약관 준수 실태를 확인하기 위하여 이용자 콘텐츠의 외부 인터페이스 (포트 등)를 모니터링 할 수 있습니다. 이용자는 회사의 모니터링을 차단하거나 방해해서는 아니되며, 다만 이용자 콘텐츠를 보호하기 위한 암호화 기술이나 방화벽을 사용할 수 있습니다. 본 서비스상의 장애가 이용자 콘텐츠 또는 이용자가 관리하는 최종 사용자의 자료에서 비롯된 것으로 회사가 합리적으로 판단하는 경우, 이용자는 문제의 원인을 파악하기 위하여 회사에 합리적인 수준에서 협력하여야 합니다.
6 회사가 본 서비스와 관련하여 이용자가 이용 가능한 복수의 할인 또는 요금 옵션을 동시에 운영하는 경우라도 이용자는 하나의 할인 또는 요금 옵션만을 이용할 수 있으며 할인 및 요금 옵션을 중복으로 적용 받을 수 없습니다.
7 회사는 수시로 스패로우 클라우드 서비스의 업그레이드, 패치, 버그 수정 또는 기타 유지보수를 적용할 수 있습니다. 회사는 이용자에게 사전에 예정된 유지보수(긴급 유지보수 제외)를 통지하기 위해 합리적인 모든 노력을 다하고, 이용자는 회사가 이용자에게 통지하는 유지보수 요건을 준수하기 위해 합리적인 노력을 합니다.
제2장 스패로우 클라우드 서비스
제2조 스패로우 클라우드 서비스의 이용
① 이용자는 본 계약에 따라 “스패로우 클라우드”에 접속하고 이를 사용할 수 있습니다. 이용자는 주식회사 스패로우 이용 약관에 정의된 서비스 약관, 이용 방침 및 기타 제반 방침들을 포함하여 이용자가 “스패로우 클라우드” 사용에 적용되는 모든 법령 및 규칙을 준수합니다.
② 행위의 주체가 이용자, 이용자의 직원 또는 제3자(이용자의 계약업체 또는 대리인 포함)인지의 여부와 무관하게, 이용자의 계정에서 발생한 모든 활동에 대한 책임은 이용자가 부담하고, “회사”와 그 관계인은, “회사”가 본 계약을 위반함으로써 야기된 경우를 제외하고, 이용자 계정의 무단 접속에 대한 어떠한 책임도 지지 아니합니다. 이용자 계정이 제3자에 의해 무단으로 사용되고 있다고 판단되거나 이용자 계정의 정보가 분실 또는 유출된 경우 이용자는 즉시 “회사”에 연락해야 합니다.
③ 이용자의 의무: 이용자 ID와 비밀번호에 관한 모든 관리의 책임은 이용자에게 있으며 이용자는 ID와 비밀번호를 제 3자가 알 수 있도록 해서는 안되며 다음 행위를 하여서는 안됩니다.
④ 회사의 의무: 회사는 관련 법령을 준수하고 서비스 약관이 정하는 바에 따라 지속적이고 안정된 서비스를 제공하여야 하며 다음 사항을 준수한다.
제3조 스패로우 클라우드의 변경
① “회사”는 수시로 “스패로우 클라우드”의 일부(또는 전부 포함)를 변경, 중단, 또는 대체(deprecate)하거나 “스패로우 클라우드” 특징이나 기능을 변경 또는 제거할 수 있습니다. 서비스 내용이 중대하게 변경되거나 중단되는 경우, “회사”는 이용자에게 이를 통지해야 합니다.
② “회사”는 수시로 본 서비스를 위한 API를 변경, 중단, 또는 대체(deprecate)할 수 있으나, 변경, 중단, 대체가 이루어진 API의 구 버전에 대해 변경, 중단, 또는 대체가 있은 날로부터 12개월 동안 계속하여 지원이 유지되도록 상업적으로 합당한 노력을 기울여야 합니다(단, 그렇게 하는 것이 (a) 보안 또는 지식재산 관련 문제를 야기하는 경우, (b) 경제적 또는 기술적으로 부담이 큰 경우, 또는 (c) 법률이나 정부기관의 요청을 따르기 위해 필요한 경우에는 예외로 합니다).
③ 이용자는 사이트 내 이용자 정보 관리페이지에서 언제든지 본인의 정보를 열람 및 변경할 수 있습니다. 다만 이용자 ID는 변경할 수 없습니다.
④ 이용자는 계약 시 고지한 사항이 변경되었을 경우 즉시 “회사”에 알려 이용자 정보를 변경하여야 합니다. “회사”는 이용자가 이용자 정보 변경을 요청하지 아니하여 발생한 손해에 대하여 책임을 부담하지 않습니다.
제4조 지적 재산권의 보호
본 조에서 달리 정하지 않는 한, 이용자와 “회사”는 각자 개발 또는 수집한 소프트웨어, 정보, 검색 방법, KNOW-HOW 등에 대한 지적재산권을 보유합니다.
“회사”는 “스패로우 클라우드”에 대한 특허권, 저작권, 기타 일체의 지적재산권을 보유하며, 본 계약에서 달리 명시한 경우를 제외하고는 “스패로우 클라우드”에 대한 지적재산권 및 모든 법적 권리는 이용자 또는 이용자의 이용자에게 이전되지 않습니다.
이용자는 회사의 사전 서면 동의 없이 “스패로우 클라우드”에 대해 일체의 수정, 변경, 분석, 해독 등을 하거나 회사의 지적재산권 및 기타 권리를 침해하지 않습니다.
이용자는 “스패로우 클라우드”를 이용해 2차적 저작물 또는 대체물을 만들 수 없으며, “회사”의 “스패로우 클라우드” 지적재산권 귀속에 관한 표시, 마크, 라벨을 제거할 수 없습니다.
① “회사”또는 “회사”의 관계인 또는 라이센스는 “스패로우 클라우드”에 대한 모든 권리, 소유권 및 권익을 보유합니다. “회사”는 본 계약 기간 동안 (i) 오직 본 계약에 의거하여 본건 서비스에 접속하고 이를 사용하고, (ii) 오직 이용자에게 허용된 본건 서비스의 이용과 관련하여 “회사” 정보를 복제하고 사용할 수 있는 한정적이고, 취소 가능하고, 비 독점적이고, 서브라이센스를 부여할 수 없으며 양도 불가능한 라이센스를 이용자에게 부여합니다. 본 계약과 여하한 별도의 라이센스 간에 상충하는 사항이 있는 경우, 해당 “스패로우 클라우드”와 관련하여서는 해당 별도의 라이센스가 우선합니다.
② 이용자 또는 어떠한 최종 사용자도 본 계약에 의하여 명시적으로 허용된 사항 이외의 방식 또는 목적으로 “스패로우 클라우드”를 사용할 수 없습니다. 이용자 또는 어떠한 최종 사용자도 (a) “스패로우 클라우드”에 포함된 여하한 소프트웨어를 변경, 변형, 조작 또는 수리하거나, 그에 대한 2차적 저작물을 제작하는 행위 (“스패로우 클라우드”에 포함된 소프트웨어가 2차적 저작물의 제작을 명시적으로 허용하는 별도의 라이센스에 의거하여 이용자에게 제공되는 경우는 제외함), (b) “스패로우 클라우드”를 역설계, 분해 또는 해체하거나, “스패로우 클라우드”에 포함된 여하한 소프트웨어의 소스코드를 추출하기 위하여 여타의 프로세스 또는 절차를 적용하는 행위, (c) 요금의 발생 또는 이용 한도 또는 할당량 초과를 회피하기 위한 의도로 “스패로우 클라우드”에 접속하거나 이를 이용하는 행위, 또는 (d) “스패로우 클라우드”을 재판매하거나 이에 대한 서브라이센스를 부여하는 행위를 하거나 그러한 행위를 시도하지 않도록 합니다. 본 계약상 이용자에게 부여되는 모든 라이센스는 이용자가 본 계약을 계속 준수한다는 것을 조건으로 하며, 이용자가 본 계약의 여하한 조건을 준수하지 아니하는 경우 즉시 자동적으로 해지됩니다. 계약기간 동안 및 계약기간 이후, 이용자는 이용자가 사용한 여하한 “스패로우 클라우드”과 관련하여 어떠한 특허권 침해 또는 기타 지식재산권의 침해 청구도 “회사” 및 “회사”의 관계인, 이용자, 판매업체, 사업 파트너 또는 라이센스를 상대로 주장하거나 제3자가 그러한 주장을 하는 행위를 허가, 지원 또는 독려할 수 없다. 이용자는 오직 상표 사용 가이드라인에 의거하여 “회사” 표장을 사용할 수 있습니다.
③ 이용자가 “회사” 또는 “회사”의 관계인에게 여하한 제안을 제공하는 경우, 이용자가 해당 제안을 기밀 사안으로 지정한 경우에도”회사”는 그러한 제안에 대한 모든 권리, 소유권 및 권익을 보유합니다. “회사” 및 “회사”의 관계인은 제약 없이 해당 제안을 사용할 권한이 있습니다. 이용자는 이에 제안에 대한 모든 권리, 소유권 및 권익을 취소 불능한 방식으로 “회사”에게 양도하며, “회사”가 제안에 대한 “회사”의 권리를 문서화, 개선 및 유지하기 위하여 요청하는 여하한 지원을 제공하기로 동의합니다.
제5조 데이터 저장, 소유권 및 폐기 정책
회사는 이용자가 서비스 사용 신청 및 사용 중 생성한 고객 정보 및 자료를 아래와 같이 저장, 관리하며, 데이터에 대한 소유권과 서비스/계약이 해제, 해지 또는 종료된 경우 다음의 폐기 정책에 따라 데이터를 완전 삭제 합니다.
② 데이터의 소유권: 본 서비스를 이용하면서 발생하는 데이터의 소유는 이용자에게 있으며 회사는 법령이 정하는 바에 따라 데이터를 보호하여야 한다.
– 회사는 적절한 수준의 보안서비스를 제공하고 사고를 방지할 의무가 있으며 이용자는 이용자의 주의의무위반으로 인한 이용자 정보의 도용 및 유출 등에 대해서 책임을 진다.
회사는 이용자가 서비스 사용 신청 및 사용 중 생성한 고객 정보 및 자료를 서비스/계약이 해제, 해지 또는 종료된 경우 다음의 폐기 정책에 따라 데이터를 완전 삭제합니다. 이용자가 요청 시 복구가 불가능한 방법으로 파기한 것을 증명할 수 있는 근거자료를 제공해야 한다.
③ 데이터 폐기 유형
④ 데이터 폐기 세부 정책
데이터 범주 | 데이터 분류 | 설명 | 정책 |
이용자 데이터 | DB Object Storage | 이용자 개인 및 계정 정보 분석 정보 | 수동 삭제 회원 탈퇴시 삭제 |
제6조 손해배상
①회사는 서비스에 대한 업무 연속성 유지, 안전성 유지 등의 원활한 운영에 대한 책임을 가진다. 회사의 책임 있는 사유로 장애가 발생하여 월 가용률(아래 정의) 구간 미만을 제공하여 이용자가 손해를 입은 경우 이용자의 청구에 의해서 손해를 배상합니다. 이용자가 손해배상을 청구하고자 하는 경우 이에 대한 사유, 청구액 및 산출근거, 장애의 상세 내용(이중화 구성 포함)을 기재하여 서면으로 신청하여야 합니다. 이용자는 안정적인 서비스 구성을 위하여 server 등 이중화 구성의 의무가 있으며, 이는 손해배상 시의 요건이 됩니다.
※ 월 가용률(%)=100x[1-{서비스를 이용한 한 달 동안 회사의 귀책사유로 인한 장애로 서비스를 이용하지 못하는 장애시간(분)의 합/서비스를 이용한 한 달(분)}] (“분”은 시간단위인 분(分)을 의미함).
※ 장애시간: 서비스를 이용하지 못한 사실을 이용자가 회사에 통지한 때(이용자의 통지 전에 회사가 그러한 사실을 알게 된 경우는 회사가 그러한 사실을 알게 된 때)로부터 측정됨.
② 서비스가 제1항에서 제시된 월 가용률을 만족하지 못할 때 손해액은 서비스 별로 아래 금액을 기준으로 하여 이용자와 협의하여 결정합니다.
가. 가용률 및 손해 배상 기준
가용률 기준 | 손해 배상 |
가용률 99.9 미만 ~ 99.5% 이상 | 월 계약 금액의 10% |
가용률 99.5 미만 ~ 99.0% 이상 | 월 계약 금액의 20% |
가용률 99.0 미만 | 월 계약 금액의 30% |
월 가용률(%) = 100 X (1-회사 귀책사유로 인한 장애로 서비스를 이용하지 못한 장애시간의의 합)
서비스를 이용한 한 달
회사는 서비스 관련하여 아래와 같은 응답성 기준을 제공하나 이에 대한 별도 배상 정책은 제공하지 않음.
응답시간 상세 내용 | 응답시간 수준 |
인증 메일 확인 이후 서비스 활성화까지 소요 시간 | 10분 이내 |
각 페이지 선택시 로딩 시간 | 5초 이내 |
분석 결과 시간 | 분석 시간은 URL 수, 파일 크기 등에 따라 변경이 되기에 응답시간 제시 불가능 |
③ 회사는 서비스 관련하여 아래와 같은 장애가 발생하면 이용자에게 통보하여야 한다.
통지내용
④ 장애발생 시 장애 처리 절차는 다음의 ‘장애 대응 프로세스’ 를 따르며 장애 처리 시간은 접수 기준으로 24시간 대응을 목표로 한다. 불가피하게 대응이 불가능한 경우 고객에게 통보한다.
장애발생 시 서버관리자는 정보보호관리자에게 보고한 후 장애원인을 파악하여 조치를 강구하여야 한다. 포함되어야 할 내용은 다음과 같다
⑤ 장애원인이 명확하지 않거나 원인 규명에 시간이 소요된다고 판단되는 경우는 정보보호관리자에게 보고한 후, 긴급조치를 취하여 장애를 최소화하고, 사후에 상세 원인 분석하여야 한 다.
6 다음 각 호의 경우에는 원인규명을 생략할 수 있다.
7 장애처리 및 복구를 수행 시 절차는 다음 각 호와 같다.
8 이용자는 회사의 서비스 제공에 다음과 같은 경우 계약해지를 요구할 수 있다.
제7조 서비스에 영향을 미치는 제3자 및 하도급 관계에 대한 정보
회사는 서비스 제공에 있어 필요한 업무 중 일부를 외부 업체로 하여금 수행하도록 업무를 위탁하고 있으며, 위탁받은 업체가 관계 법령을 준수하도록 관리·감독하고 있습니다.
① CSAP 클라우드 서버의 이용
– 수탁사 : 네이버클라우드(주)
– 위탁목적 : CSAP 인증된 클라우드 플랫폼 서비스 이용
– 세부내용 : DB, API서버 등의 시스템 구축/운영과 보안 서비스의 이용. 물리적 위치는 국내로 한정
② petra DB 접근제어 프로그램 이용
– 수탁사 : 신시웨이
– 위탁목적 : 보안
– 세부내용 : DB, API서버 등의 시스템 구축/운영과 보안 서비스의 이용
③ 사전인증이 필요한 제품군은 CC인증, 보안기능확인서 등을 받은 제품을 도입한다.
제8조 보안요구사항
① 회사는 공공기관의 보안 요구사항이 반영된 보안서비스 수준 협약을 체결하고 제공하는 서비스 관련 정보보호 정보를 공공기관에 제공하여야 한다.
② 서비스 제공 범위는 회사에서 개발한 소프트웨어 애플리케이션 SaaS 서비스로 한정합니다. 무료 서비스 또는 이벤트 등으로 이용기관이 무료로 이용하는 서비스에는 적용하지 않습니다.
③ 사고 또는 장애 발생 시 대내·외 관련 기관 및 전문가와 협조체계를 구성하여 대응하고, 국가정보원 및 이용기관의 사고·장애 대응 및 예방보안 활동 등에 협조한다.
④ 클라우드 컴퓨팅 서비스 망 운용 관리에 따른 보안 취약점 개선·발굴, 사이버공격 위협에 대한 예방, 대응, 실태평가, 안전성 및 보안대책의 적합성과 이행여부 확인 등의 목적으로 클라우드 사업자 시설에 대한 현장실사 방문, 안전성 보안 측정 실시, 보안진단·점검 등 수행이 필요 시 협조한다.
⑤ 회사는 현장실사, 안전성 보안측정 실시, 보안점검 등 수행 목적으로 기술적 지원을 요청할 시에 모니터링 도구, 로그 수집 기술 등의 제반 환경을 제공한다.
6 클라우드 서비스를 이용하는 이용자가 모의훈련에 대한 결과를 요청할 경우 모의훈련 결과를 문서화하여 제공하여야 한다.
7 국가기관이 장애 대응 절차 및 침해사고 대응 절차에 근거한 사고 발생 보고서를 요청할 경우 제공하여야 한다.
8 이용기관이 영역 분리 및 영역 분리를 위한 보호조치 등에 대한 증적 자료등을 요청할 경우 회사는 이를 위한 자료를 제공하여야 한다.
제9조 사업 종료
① 회사는 그 사업의 전부 또는 일부를 종료하려는 경우에는 법 제27조제4항에 따라 이용자에게 사업 종료일부터 30일 전까지 다음 각 호의 사항을 알립니다.
② 회사는 제1항 및 제2항에 따른 통지를 전화, 휴대전화, 우편, 전자우편, 문자메시지 또는 이와 유사한 방법 중 어느 하나 이상의 방법으로 하여야 한다.
제10조 면책조항
① 회사는 다음 각 호의 사유로 인하여 발생한 손해에 대해서는 그 책임을 지지 아니합니다.
1. 서비스 점검이 불가피하여 사전에 공지한 경우로 회사의 고의, 중과실이 없는 경우
2. 매주 일요일 01시 ~ 07시(6시간)까지 정기점검으로 서비스를 중단했을 경우
3. 국가의 비상사태, 천재지변, 전국적인 네트워크 장애 또는 이에 준하는 불가항력으로 인해 서비스를 제공할 수 없는 경우
4. 이용자 또는 제3자의 귀책사유로 인한 서비스 장애가 발생한 경우
5. 서비스의 관리영역을 벗어난 공중통신선로의 장애로 서비스 이용이 불가능한 경우
6. 전기통신서비스의 특성상 불가피한 사유가 있는 경우
7. 이용자가 법적으로 금지되거나 기타 이에 준하는 문제가 있는 응용프로그램 및 데이터를 보유하여 회사가 서비스를 중단한 경우
8. 이용자의 정보시스템에 발생한 사고의 확산을 방지할 목적으로 서비스가 중단된 경우
9. 비상연락처 등 이용자의 계약정보 변경사항 누락으로 서비스 관련 안내사항 등을 수신하지 못하여 불이익이 발생한 경우
10. 이용자가 임의로 설치한 응용프로그램의 오류 또는 이용자가 서비스를 신청하면서 서버 생성시 선택한 OS를 임의로 업그레이드 등 변경하여 서비스에 장애가 발생한 경우
11. 이용자가 무료로 서비스를 이용하는 경우
② 이용자는 보안사고(악성코드, 컴퓨터 바이러스, 해킹, 트로이목마, 스파이웨어, 논리 폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 또는 정당한 권한 없이 혹은 허용된 접근권한을 넘어 정보통신망 또는 이와 관련된 정보시스템을 공격하거나 침입하는 행위를 말한다)를 예방, 탐지, 차단하는 보안시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치 및 이용자의 임직원에 대한 관리ㆍ조직ㆍ경비의 확보 등 관리적 보호조치를 스스로 강구하여 자신이 운영 중인 서버, VDI 등 정보시스템을 안전하게 보호하여야 하며, 별도로 시스템 보안과 관련한 계약을 회사와 체결한 경우(이 경우 이용자와 회사 사이에 체결된 계약에 따름)를 제외하고는 이용자가 운영 중인 서버, VDI 등 정보시스템에 발생한 보안사고에 대하여 회사는 책임을 지지 아니합니다.
③ 이용자가 임의로 설치한 응용프로그램 및 상용 소프트웨어로 발생되는 License 비용 및 법적 분쟁은 이용자의 비용과 책임 하에 이를 해결하여야 하며, 회사는 이에 대한 일체의 책임을 지지 않습니다.
④ 이용자가 서비스를 범죄행위에 이용한 경우 이에 대한 모든 책임은 해당 이용자가 부담하며, 회사는 이에 대한 일체의 책임을 부담하지 않습니다. 만약 이로 인하여 회사가 책임을 부담하게 되는 경우에는 회사는 책임을 부담한 부분에 대하여 해당 이용자에게 구상을 청구할 수 있습니다.
⑤ server, DB서비스, cloud storage 서비스 등 서비스 이용 중에 보관한 데이터는 이용자 소유로서 이용자가 관리하여야 합니다. 회사는 데이터 유형에 상관없이 회사는 데이터에 대한 소유권을 가지지 않습니다.
<부칙>
[시행일] 이 개정 약관은 2024년 9월 9일부터 시행합니다.
2024년 9월 9일
주식회사 스패로우
대표이사 장일수 (인)
서울특별시 마포구 월드컵북로 396 13층 ( 상암동, 누리꿈스퀘어 )
