보안 FAQ
보안 관련 잦은 고객 문의 사항을 FAQ로 제공합니다.
- GDPR이란 무엇입니까?
- GDPR(General Data Protection Regulation)은 2018년 5월 25일부터 시행되는 새로운 유럽연합의 개인정보 보호법입니다. GDPR은 EU 데이터 보호 지침(Directive 95/46/EC)을 대체하게 되며, 각 EU 회원국에 구속력이 있는 단일 데이터 보호법을 적용함으로써 EU 전체에 포괄적으로 적용하는 강력한 프라이버시 관련 법률입니다.
- GDPR 준수 대상은 누구 입니까?
- GDPR은 개인정보를 처리하는 (1)EU 내에 설립된 모든 사업장과 (2)EU 내에 설립되어 있지 않더라도 EU 정보주체에게 제품이나 서비스를 제공하거나, EU내 활동을 모니터링 하는 조직에 적용됩니다.
즉, 유럽 뿐만 아니라, 전세계 기업에 적용 가능합니다.
- 이전 EU Directive와 비교시, GDPR 시행으로 달라진 점은 무엇입니까?
- 기존 Directive는 권고 차원의 규정인데 반해, GDPR은 모든 회원국에 동일하게 적용되는 구속력 있는 법률입니다. 규정내용에서는 DPO(Data Protection Officer) 지정, 개인정보 처리 활동의 기록∙유지, 개인정보 영향평가 실시, 역내 대리인 지정 등 기업의 책임성 강화 내용과 처리 제한권, 정보 이동권 등 정보주체 권리를 신설하는 내용이 추가 되었습니다.
- 네이버 클라우드 플랫폼은 GDPR에 대비하여 어떤 준비를 하고 있습니까?
- 네이버 클라우드 플랫폼은 GDPR 이전에도 보안과 개인정보 보호를 최우선에 두고 대한민국 및 해외 관련 법률 준수 및 자체적인 정책과 기술에 많은 투자를 해왔습니다.
더불어 GDPR에 대비하여 네이버 클라우드 플랫폼에서 처리되는 개인정보 현황을 점검하고, GDPR 요구사항을 충족시키도록 하는 NCP서비스의 준비상태를 검토했습니다. 또한, GDPR 규정을 충족하는 데이터 처리 계약을 고객에게 제공하여 GDPR을 준수해야 하는 모든 고객에게 자동 적용 됩니다.
GDPR에 따른 고객의 개인정보 보호를 위해 네이버 클라우드 플랫폼은 프로세서(processor)로서의 적절한 기술 및 조직적 조치 이행을 보증하기 위해 최우선으로 보안과 규정 준수에 투자하고 있으며, 이를 증명하기 위한 ISO/IEC 27001, 27017, 27018 인증 및 SOC(Service Organization Control) 1, 2, 3 인증, PCI DSS(PCI Security Standard Council) 인증을 획득하였습니다. 그리고, 대한민국 클라우드 서비스 제공사로는 처음으로 CSA STAR Certification 인증을 획득하였습니다.
- 네이버 클라우드 플랫폼에서 고객이 GDPR을 준수하는데 도움이 되도록 제공하는 서비스에는 어떤 것이 있습니까?
- 고객은 NCP 상의 고객의 비즈니스 자산에 포함된 제3자의 개인정보에 대한 컨트롤러로서, 적절한 보안수준을 보장하기 위해 적절한 기술적/관리적 조치를 이행해야 합니다.
(1) 개인정보의 가명처리 및 암호화
(2) 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장할 능력
(3) 물리적 또는 기술적 사고가 발생하는 경우 개인정보의 가용성 및 접근을 적시에 복원할 능력
(4) 처리의 보안을 보장하는 기술적 및 관리적 조치의 효율성을 정기적으로 시험하고 평가하는 과정
NCP는 고객이 이러한 GDPR 요구사항을 충족하는데 도움이 되는 다음의 특정 기능과 서비스를 제공하고 있습니다.
O 암호화(개인정보 및 데이터의 암호화 지원을 통해 기밀성 보장)
Key Management Service, SSL VPN, IPsec VPN, Data Teleporter 등
O 모니터링 및 로깅(NCP 자산에 대한 개요 제공 및 보안 모니터링과 그 로그를 통해 무결성 및 가용성 보장)
Basic Security, Security Monitoring, App Safer, File Safer, Web Security Checker, System Security Checker, App Security Checker, Cloud Log Analytics 등
- GDPR을 준비하기 위해 고객이 할 수 있는 일은 무엇입니까?
- GDPR 적용 여부 및 GDPR 규정 준수를 위한 개선 소요시간 등을 고려하여 전략적으로 3단계로 나누어 준비할 수 있습니다.
개인정보 처리 현황을 점검 하여 GDPR 적용 대상인지 확인 => GDPR 적용대상인 경우, GDPR 규정 중 즉시 개선 가능한 규정부터 이행 => GDPR 기준에 적합한 개인정보 처리 절차 및 근거 획득 등 내부 정책 및 기술적 조치 등에 소요되는 예산, 조직 등 보완의 절차를 고려할 수 있습니다.
다음은 GDPR 준수를 위해 도움이 될 수 있는 핵심 사항 입니다.
O 준수 범위: EU내 설립된 모든 조직 외에 EU 외부에 설립되었더라도 조직의 활동에 따라 GDPR의 적용을 받을 수 있습니다.
O 주요 원칙: 개인정보를 처리하는 6대 원칙과 그 처리의 정당성을 확보하기 위한 6가지 적법 기준을 이해하고, 이를 문서화 하는 책임성의 원칙을 준수해야 합니다.
O 정보주체 권리: 비즈니스에서 개인정보 데이터의 흐름을 식별하여, 데이터 이동권, 처리 반대권 등 정보주체 권리 행사 요구를 수용할 수 있는 정책과 기술적 조치를 취해야 합니다.
O 컨트롤러와 프로세서: GDPR 대부분이 이들의 의무사항에 대한 규정이므로, 역할을 식별하고, 각각의 주체별로 수행해야 하는 규정을 이해함이 중요합니다. 세부적으로 DPO 지정, 대리인 지정, 개인정보 처리 활동의 기록, 개인정보 영향평가, Data protection by design and by default, 개인정보 침해 사고 신고 및 통지 등의 준수 의무가 있습니다.
O 개인정보의 EU 역외 이전: GDPR에서는 개인정보의 적절한 보호 수준이 보장 된다면, 역외로의 이전을 허용하고 있습니다. 역외 이전을 위한 세부적인 규정을 이해하고 적절한 메커니즘을 선택해야 합니다.
- 네이버 클라우드 플랫폼은 GDPR에서 컨트롤러 입니까? 프로세서 입니까?
- 네이버 클라우드 플랫폼은 GDPR에서 컨트롤러이자 프로세서 입니다.
O 컨트롤러로서의 네이버 클라우드 플랫폼: 서비스의 고객 계정과 결제 정보 관련 개인정보를 수집하고, 고객 문의 및 운영 지원을 위해 수집한 개인정보의 처리 목적과 방법을 결정 하는 경우에는 네이버 클라우드 플랫폼이 컨트롤러의 역할을 합니다.
O 프로세서로서의 네이버 클라우드 플랫폼: 고객과 파트너가 본 서비스를 이용하여 고객과 파트너 비즈니스 컨텐츠 내의 개인정보를 처리 할 때는 네이버 클라우드 플랫폼은 프로세서 역할을 하게 됩니다. 고객과 파트너는 네이버 클라우드 플랫폼의 상품과 서비스를 이용하여 자사 컨텐츠내 개인정보를 처리할 수 있습니다. 이런 경우, 고객과 파트너는 컨트롤러 또는 프로세서 역할을 할 수 있고, 네이버 클라우드 플랫폼은 프로세서 또는 하위 프로세서(subprocessor) 역할을 하게 됩니다. 네이버 클라우드 플랫폼은 프로세서로서의 역할과 노력이 반영된 GDPR 관련 DPA(Data Processing Addendum)를 제공합니다.
- 네이버 클라우드 플랫폼은 GDPR 준수 DPA(Data Processing Addendum)을 제공 합니까?
- 클라우드 서비스를 이용하여 개인정보를 처리하는 모든 고객은 GDPR을 준수하려면, 클라우드 서비스 제공업체와 데이터 처리 계약을 체결해야 합니다. 네이버 클라우드 플랫폼은 고객에게 GDPR 준수 DPA를 제공합니다. 이를 통해 다음과 같은 여러가지 중요한 보증을 제공합니다.
O 네이버 클라우드 플랫폼은 고객과의 계약에 따라서만 고객의 데이터를 처리 합니다.
O 네이버 클라우드 플랫폼은 네이버 클라우드 플랫폼 제품과 서비스 이용에 대해 강력하고 유연한 기술적/관리적 보호조치를 적용하고 있습니다.
O 네이버 클라우드 플랫폼은 개인정보 유출 사고 인지시 부당한 지체 없이 고객에게 이를 통보합니다.
O 네이버 클라우드 플랫폼은 고객의 요청에 따라 개인정보 보호 및 보안 표준에 관한 인증서를 제공합니다.
- GDPR은 고객과 네이버 클라우드 플랫폼 간의 관계에 어떤 영향을 미칩니까?
- 클라우드 서비스 제공업체는 통상 IaaS, PaaS, SaaS 형태의 서비스를 고객에게 제공하고 있습니다. 이런 환경에서 보안과 규제의 준수는 클라우드 서비스 제공업체와 고객간의 공동 책임 입니다. 이러한 공유 모델을 통해 고객은 인프라 운영 뿐 만 아니라, 보안과 규제 준수 부담도 일부 덜 수 있다는 장점이 있습니다.
GDPR 이라는 규제 환경에서도 마찬가지 입니다. 네이버 클라우드 플랫폼은 프로세서 또는 서브프로세서로서, 클라우드를 지원하는 기본 인프라 - 하드웨어, 소프트웨어, 네트워크 및 물리적 시설 등 - 를 보호할 책임이 있습니다. 고객은 컨트롤러 또는 처리자 역할에서 네이버 클라우드 플랫폼에 저장하는 컨텐츠 내 모든 개인정보 처리에 대한 책임이 있습니다.