아르헨티나 데이터 프라이버시

개요

행정 명령 제1558/2001호 및 보완 규정을 포함하여, 아르헨티나의 개인 데이터 보호법("PDPL") 제25,326호는 아르헨티나 내에서 및 개인 데이터가 처리를 위해 국제적으로 전송되는 경우 개인 데이터 보호법에 적용되는 아르헨티나 연방법입니다. 2018년 7월에 아르헨티나 데이터 보호국(Agencia de Acceso a la Información Pública, “ADPA”)은 PDPL에 따른 결의안 제47/2018호(“결의안 47”)를 공표하였고, 그에 따라 데이터 컨트롤러(즉, AWS 고객)이 개인 데이터 처리 시 고려해야 할 보안 조치와 관련된 처분 제11/2006호가 폐지되었습니다. 결의안 47에서는 국제 모범 사례 및 표준에 맞는 새로운 권장 보안 조치를 설명하고, 데이터 처리 시 수집부터 삭제에 이르기는 모든 과정에서 기밀과 통합성을 보호하는 것을 목적으로 합니다. 특히, 이 새로운 결의안은 개인 데이터 처리 시 보안을 관리, 계획, 제어하고 개선하기 위해 권장되는 조치 및 제어 목록을 업데이트하였습니다. 이 권장 보안 조치는 데이터 수집, 액세스 제어, 변경 관리, 백업 및 복구, 취약성 관리, 데이터 제거/삭제, 보안 사고, 개발 환경 등의 처리 관련 카테고리로 분류됩니다. 또한, 결의안 47에는 “민감한 데이터”(PDPL에 정의된 내용에 따름)에 적용되는 보안 조치 목록이 포함됩니다.

AWS는 고객의 프라이버시 및 데이터 보안에 대한 경계를 늦추지 않습니다. AWS의 보안은 핵심 인프라에서 시작됩니다. 클라우드용으로 사용자 지정되고 세계에서 가장 엄격한 보안 요구 사항을 충족하기 위해 설계된 AWS의 보안은 고객 데이터의 기밀성, 무결성 및 가용성을 보장하기 위해 연중무휴 24시간 모니터링됩니다. 또한 이러한 인프라를 모니터링하는 세계적 수준의 보안 전문가들이 고객의 보안 및 규정 요구 사항 충족을 간소화하도록 도울 수 있는 다양한 종류의 혁신적 보안 서비스를 구축 및 유지합니다. 규모 또는 위치에 관계 없이 AWS 고객은 가장 엄격한 타사 보증 프레임워크에 대하여 테스트된 당사 경험의 모든 이점을 상속받습니다.

AWS는 ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 및 SOC 1, 2 및 3을 포함하여, 전 세계적으로 인정받는 보안 보증 프레임워크 및 인증에 따라 AWS 클라우드 인프라 서비스에 적용되는 기술적 및 조직적 보안 대책을 구현하고 유지합니다. 기술적 및 조직적 보안 대책은 독립적인 타사 평가자에 의해 검증되고 고객 콘텐츠의 무단 액세스 또는 공개를 방지하도록 설계됩니다.

예를 들어 ISO 27018은 클라우드에서의 개인 정보 보호를 집중적으로 다루는 첫 번째 국제 행동 규범입니다. ISO 27002는 ISO 정보 보안 표준 27002를 기반으로 하며, 퍼블릭 클라우드 서비스에서 처리하는 개인 식별 정보(PII)에 적용되는 ISO 27002에 대한 실행 지침을 제공합니다. 또한, AWS가 고객 콘텐츠의 개인 정보 보호를 전문적으로 처리하는 통제 시스템을 갖추고 있음을 고객에게 보여줍니다.

이러한 포괄적인 AWS의 기술적 및 조직적 대책은 개인 데이터를 보호하기 위한 PDPL 및 PDPL 하의 결의안 47의 목적과 일치합니다. AWS 서비스를 사용하는 고객은 자신의 콘텐츠에 대한 제어를 유지하며 콘텐츠 분류, 암호화, 액세스 관리 및 보안 자격 증명 등 특정한 요구에 기반하여 추가적인 보안 대책을 구현할 책임이 있습니다.

AWS는 고객이 AWS에 저장하는 콘텐츠 유형에 대해서는 정확히 알 수 없으며 해당 데이터에 PDPL이 적용되는지 확인할 수 없으므로 고객께서 PDPL 및 관련 규정 준수에 대해 최종적인 책임을 지셔야 합니다. 이 페이지의 내용은 고객의 요건을 AWS 공동 책임 모델에 부합시키도록 돕기 위해 기존 데이터 프라이버시 리소스를 보완합니다.

• 고객은 본인의 콘텐츠 보안에서 어떤 역할을 합니까?

  AWS 공유 책임 모델에 따라, 온프레미스 데이터 센터의 애플리케이션을 보호할 때와 마찬가지로 콘텐츠, 플랫폼, 애플리케이션, 시스템 및 네트워크를 보호하기 위해 어떤 보안을 구현할지는 AWS 고객이 제어합니다. 고객은 자사의 규정 준수 요구 사항을 관리하기 위해 AWS에서 제공되는 기술적 및 조직적 보안 대책 및 제어를 기반으로 구축할 수 있습니다. 고객은 AWS Identity and Access Management와 같은 AWS 보안 기능 이외에도, 암호화 및 멀티 팩터 인증 등 친숙한 방법을 사용하여 데이터를 보호할 수 있습니다.

  클라우드 솔루션의 보안을 평가할 때 고객이 다음의 차이를 이해하고 구별하는 것이 중요합니다.

  • AWS가 구현 및 운영하는 보안 조치 – "클라우드의 보안"

  • 고객 콘텐츠 및 AWS 서비스를 사용하는 애플리케이션의 보안과 관련하여 고객이 구현 및 운영하는 보안 조치 – "클라우드에서의 보안"
    

  

• 누가 고객 콘텐츠에 액세스할 수 있습니까?

  고객은 자신의 고객 콘텐츠에 대한 소유권 및 제어권을 유지하고 고객 콘텐츠를 처리, 저장 및 호스팅할 AWS 서비스를 선택합니다. AWS는 고객 콘텐츠에 대한 의미 있는 가시성을 갖지 않으며 고객이 선택한 AWS 서비스를 제공하거나 법 또는 법적 구속력이 있는 지시를 준수해야 하는 경우를 제외하고 고객 콘텐츠를 액세스하거나 사용하지 않습니다.

  AWS 서비스를 사용하는 고객은 AWS 환경 내에서 콘텐츠에 대한 제어를 유지합니다. 다음과 같이 할 수 있습니다.

  • 스토리지 환경 유형, 해당 스토리지의 지리적 위치 등 콘텐츠가 위치할 장소를 결정합니다. 
  • AWS가 제공한 암호화 또는 고객이 선택한 타사 암호화 메커니즘을 사용하여 평문, 마스킹, 익명화, 암호화 등 콘텐츠 형식을 제어합니다. 
  • 자격 증명, 액세스 관리, 보안 자격 증명 등 기타 액세스 제어를 관리합니다. 
  • SSL, Virtual Private Cloud 및 기타 네트워크 보안 조치를 제어하여 승인되지 않은 액세스를 방지합니다.

  이를 통해 AWS 고객은 콘텐츠 분류, 액세스 제어, 보존 및 폐기를 비롯해 AWS에서 콘텐츠의 전체 수명 주기를 제어하고, 자체 특정 요구 사항에 따라 콘텐츠를 관리할 수 있습니다.
  

• 고객 콘텐츠는 어디에 저장됩니까?

  AWS 글로벌 인프라는 워크로드를 실행하는 방법과 실행하는 위치를 선택할 수 있는 유연성을 제공하며 동일한 네트워크, 제어 플레인, API 및 AWS 서비스를 사용하여 워크로드를 실행할 수 있습니다. 애플리케이션을 글로벌로 실행하려는 경우 원하는 AWS 리전과 가용 영역을 선택할 수 있습니다. 고객은 자신의 고객 콘텐츠를 저장할 AWS 리전을 선택합니다. 이를 통해 특정 지리적 요구 사항에 따라 자신이 선택한 위치에서 AWS 서비스를 배포할 수 있습니다. 예를 들어, 호주에 있는 AWS 고객이 자신의 데이터를 호주 내에만 저장하려는 경우 AWS 서비스를 아시아 태평양(시드니) AWS 리전에만 배포하도록 선택할 수 있습니다. 다른 유연한 스토리지 옵션을 알아보려면 AWS 리전 웹 페이지를 참조하세요.
  

  고객은 둘 이상의 AWS 리전에서 고객 콘텐츠를 복제 및 백업할 수 있습니다. AWS에서는 법률을 준수하거나 정부 기관의 법적 효력이 있는 명령이 있을 경우를 제외하고 고객의 동의 없이 고객이 선택한 AWS 리전 외부로 콘텐츠를 이동하거나 복제하지 않습니다. 하지만 모든 AWS 서비스를 모든 AWS 리전에서 사용할 수 있는 것은 아님을 유의해야 합니다. 어떤 AWS 리전에서 어떤 서비스를 사용할 수 있는지 자세히 알아보려면 AWS 리전 서비스 웹 페이지를 참조하세요.
  

• AWS에서는 데이터 센터의 보안을 어떻게 유지합니까?

  AWS 데이터 센터 보안 정책은 고객의 정보를 보호할 수 있도록 확장 가능한 보안 제어 및 다중 방어층으로 구성됩니다. 예를 들어, AWS는 잠재적 홍수 및 지진 활동 위험을 중앙에서 관리합니다. 물리적 장벽, 보안 경비, 위협 탐지 기술 및 깊이 있는 선별 과정을 사용하여 데이터 센터에 대한 액세스를 제한합니다. 시스템을 백업하고, 장비 및 프로세스를 정기적으로 테스트하고, AWS 직원을 지속적으로 교육하여 예상 밖의 상황에 대비합니다.

  데이터 센터의 보안을 검증하기 위해, 외부 감사 기관이 연중 내내 2,600개 이상의 표준 및 요건에 대한 테스트를 수행합니다. 이러한 독립적인 검사는 보안 표준이 일관되게 충족되거나 초과되도록 보장하는 데 도움이 됩니다. 그에 따른 결과로, 세계에서 가장 규제가 심한 조직들이 데이터를 보호하기 위해 AWS를 신뢰하고 있습니다.
  

  가상 투어를 통해 » 설계 면에서 AWS 데이터 센터를 안전하게 보호하는 방법을 알아보십시오.
  

• 어떤 AWS 리전을 사용할 수 있습니까?

  고객은 브라질 및 미국의 리전을 포함하여 하나의 리전, 모든 리전 또는 여러 리전의 조합 중에서 선택할 수 있습니다. AWS 리전의 전체 목록을 보려면 AWS 글로벌 인프라 페이지를 방문하십시오.

• 아르헨티나 데이터 보호 기관은 일부 국가에서 개인 데이터를 위해 “적정한 수준의 보호”를 제공한다고 결정했습니다. AWS는 이러한 국가들에서 리전을 보유하고 있습니까?

  PDPL에 따라서, 데이터 통제자(예: AWS 고객)는 ADPA에 의해 결정된 대로 개인 데이터를 위해 “적정한 수준의 보호”를 제공하는 사법 담당으로 개인 데이터를 전송하도록 허용됩니다. ADPA에 의해 게시된 처분 번호 60-E/2016에 따라, 유럽 연합(EU) 및 유럽 경제 공동체(EEC)의 회원국은 개인 데이터에 적정한 수준의 보호를 제공하도록 고려됩니다.

  AWS는 EU의 독일, 프랑스, 영국 및 아일랜드 등 ADPA가 PDPL에 따라 “적정한 수준의 보호”를 제공하도록 찾아낸 많은 국가들에서 리전을 보유하고 있습니다. AWS 리전의 전체 목록을 보려면 AWS 글로벌 인프라 페이지를 방문하십시오.

  선택하는 리전에 관계없이, AWS는 데이터 센터에 동일한 보안 표준을 적용합니다.
  

• AWS는 브라질 및 미국을 포함하여 특정 국가에 전송된 개인 데이터의 보호를 처리하기 위해 어떤 국제 데이터 전송 계약을 제공합니까?

  고객과의 계약을 통해 AWS는 데이터를 저장하기 위해 고객이 선택한 각 리전에서 고객 콘텐츠에 광범위하게 적용되는 구체적인 보안 및 개인정보 보호를 약속합니다. AWS는 PDPL, 처분 60-E/2016 및 PDPL에 따른 결의안 47/2018에서 개인 데이터를 보호하고자 하는 목적에 부합하는 노력을 기울입니다.

  또한, AWS는 국제적으로 적용되는 국제 데이터 처리 부록(DPA)(또는 데이터 전송 협정)을 제공하며, 개인 데이터 보호와 보안과 관련된 각 당사자의 역할과 의무 사항을 적절히 돌보기 위한 구체적인 계약상의 약정을 포함합니다.

  고객은 또한 특정 고객 요구 사항에 가장 적합하도록 추가로 맞춤화할 수 있는 AWS와의 Enterprise Agreement(EA)에 등록할 수도 있습니다. AWS Enterprise Agreement(EA) 또는 DPA에 대한 추가 정보는 AWS 영업 담당자에게 문의하시기 바랍니다.