SICHIMI 연합 정책 및 규정 준수 안내

• SICHIMI Federation에 참여하는 모든 회원 기관은 대한민국 개인정보보호법을 포함하여 SICHIMI 연합 정책, 기술 프로파일 및 정보보호 프로파일에서 규정된 사항을 준수해야 합니다.
• 이 정책은 ID 페더레이션 환경에서 안전한 인증 및 데이터 보호를 보장하고, 기관 간 신뢰 기반 협력을 강화하는 것을 목표로 합니다.

SICHIMI 연합 정책 주요 내용

연합 정책 개요

• SICHIMI Federation은 ID 제공자(IdP)와 서비스 제공자(SP) 간의 인증 연합을 지원하는 시스템입니다.
• 모든 참여 기관은 정책문서, 기술 프로파일, 정보보호 프로파일을 준수해야 합니다.
• 정책 위원회가 SICHIMI의 정책 운영을 담당하며, 운영센터는 실무적 운영을 담당합니다.

참여 기관의 주요 역할

• ID 제공자(IdP): 사용자 정보를 관리하고, 인증 및 속성 정보를 서비스 제공자에게 전달
• 서비스 제공자(SP): ID 제공자로부터 인증 정보를 받아 사용자에게 서비스를 제공
• 운영센터: 기술 지원 및 시스템 운영을 담당

개인정보 관리 지침 주요 내용

개인정보 보호 의무

• 모든 기관은 대한민국 개인정보보호법을 준수해야 합니다.
• 개인정보 수집 시 정보주체의 동의를 받아야 하며, 다음 사항을 고지해야 합니다.
  • 수집 목적
  • 수집 항목
  • 보유 및 이용 기간
  • 동의 거부 시 불이익
• 개인정보 제공 시 제3자 제공 동의를 받아야 합니다.
• 수집된 개인정보는 보유 기간 경과 후 즉시 파기해야 합니다.

보안 및 로그 관리

• 비밀번호 및 개인 식별 정보는 암호화하여 저장 및 전송해야 합니다.
• ID 제공자는 6개월 이상 보안 로그를 보관해야 합니다.
• 사용자가 서비스를 이용하지 않거나 탈퇴할 경우 계정을 즉시 삭제해야 합니다.

기술 프로파일 주요 내용

ID 인증 표준

• 모든 ID 제공자 및 서비스 제공자는 SAML 2.0 기반 ID 인증 프로토콜을 준수해야 합니다.
• 인증 요청(Authentication Request) 및 인증 응답(Authentication Response) 메시지는 전자 서명이 필수입니다.
• Shibboleth 및 simpleSAMLphp 소프트웨어의 사용을 권장합니다.

속성(Attribute) 정보 관리

• ID 제공자는 SP에 제공할 속성을 최소한의 범위로 제한해야 합니다.
• 속성 정보는 SICHIMI 기술 프로파일에 정의된 표준 속성 목록을 따라야 합니다.
• 기관은 SICHIMI에 새로운 속성 추가 요청이 가능합니다.

메타데이터 관리

• 모든 ID 제공자 및 서비스 제공자는 SAML 2.0 메타데이터 규격을 준수해야 합니다.
• 페더레이션 메타데이터에는 모든 기관의 정보를 포함하며, 운영센터가 이를 관리합니다.
• 모든 기관은 정기적으로 메타데이터를 갱신해야 합니다.

인증서(Certificate) 관리

• 페더레이션 메타데이터는 SICHIMI 운영센터의 서명으로 보호됩니다.
• 모든 기관은 Self-Signed Certificate 사용을 권장하며, 상용 인증서는 사용하지 않는 것이 좋습니다.
• 인증서가 분실되거나 유출된 경우 즉시 SICHIMI 운영센터에 보고해야 합니다.