브라질 데이터 프라이버시

개요

브라질 일반 데이터 보호법(“LGPD”)은 개인 데이터를 보호하기 위한 브라질의 기본 규제입니다. LGPD는 공공 또는 민간 부문의 개인 또는 법인이 수행하는 개인 데이터(식별되거나 식별 가능한 자연인과 관련된 정보)의 처리에 적용되며, 처리에 사용되는 수단이나 관리자 또는 데이터가 위치한 국가와 무관합니다. 단, 1) 개인 데이터의 처리가 브라질에서 이루어지거나 2) 처리 목적이 상품 또는 서비스를 제안, 제공하는 것이거나 브라질에 있는 개인의 데이터를 처리하는 것이거나 3) 브라질에서 수집된 개인 데이터여야 합니다.

LGPD는 개인 데이터 처리에 관한 원칙과 규칙을 수립합니다. 기관들은 이러한 보호 조치의 효과를 포함하여 개인 데이터 보호 규칙을 준수하고 있음을 입증하는 조치를 도입한 것을 증명할 수 있어야 하고, 규정에 맞게 개인 데이터 처리에 적용된 정책의 수립과 이행이 필요합니다.

LGPD가 발효된 후에 관리자와 처리자(LGPD에 정의)는 개인 데이터를 무단 액세스 또는 파괴, 손실, 변경, 전달 또는 모든 유형의 부적절하거나 불법적인 처리를 발생시키는 우발적이거나 불법적인 상황을 예방하기 위한 기술적, 행정적 조치를 도입해야 합니다. 또한, LGPD는 브라질 국가 데이터 보호 당국(“ANPD”)에 관리자 및 처리자가 이행해야 할 최소한의 기술 표준을 수립할 수 있는 권한을 부여합니다.

AWS는 고객의 프라이버시 및 데이터 보안에 대한 경계를 늦추지 않습니다. AWS에서의 보안은 핵심 인프라에서 시작합니다. 클라우드용으로 사용자 지정되고 세계에서 가장 엄격한 보안 요구 사항을 충족하기 위해 설계된 AWS의 보안은 고객 데이터의 기밀성, 무결성 및 가용성을 보장하기 위해 연중무휴 24시간 모니터링됩니다. 또한 이러한 인프라를 모니터링하는 세계적 수준의 보안 전문가들이 고객의 보안 및 규정 요구 사항 충족을 간소화하도록 도울 수 있는 다양한 종류의 혁신적 보안 서비스를 구축 및 유지합니다. 규모 또는 위치에 관계 없이 AWS 고객은 가장 엄격한 타사 보증 프레임워크에 대하여 테스트된 당사 경험의 모든 이점을 상속받습니다.

AWS는 ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, 및 SOC 1, 2, 3을 포함하여, 전 세계적으로 인정받는 보안 보증 프레임워크 및 인증에 따라 AWS 클라우드 인프라 서비스에 적용되는 기술적 및 조직적 보안 대책을 구현하고 유지합니다. 기술적 및 조직적 보안 대책은 독립적인 타사 평가자에 의해 검증되고 고객 콘텐츠의 무단 액세스 또는 공개를 방지하도록 설계됩니다.

예를 들어 ISO 27018은 클라우드에서의 개인 정보 보호를 집중적으로 다루는 첫 번째 국제 행동 규범입니다. ISO 27002는 ISO 정보 보안 표준 27002를 기반으로 하며, 퍼블릭 클라우드 서비스에서 처리하는 개인 식별 정보(PII)에 적용되는 ISO 27002에 대한 실행 지침을 제공합니다. 또한, AWS가 고객 콘텐츠의 개인 정보 보호를 전문적으로 처리하는 통제 시스템을 갖추고 있음을 고객에게 보여줍니다.

이러한 포괄적인 AWS의 기술적 및 조직적 대책은 개인 데이터를 보호하기 위한 LGPD의 목표와 일치합니다. AWS 서비스를 사용하는 고객은 자신의 콘텐츠에 대한 제어를 유지하며 콘텐츠 분류, 암호화, 액세스 관리 및 보안 자격 증명 등 특정한 요구에 기반하여 추가적인 보안 대책을 구현할 책임이 있습니다.

AWS는 데이터가 LGPD 규정의 적용을 받는지 여부를 비롯하여 고객이 네트워크에 업로드하는 내용에 대한 가시성이나 지식이 없기 때문에 고객은 궁극적으로 LGPD 및 관련 규정을 스스로 준수할 책임이 있습니다. 이 페이지의 내용은 기존 데이터 프라이버시 리소스를 보완하여 AWS 서비스를 통해 개인 데이터를 저장하고 처리할 때 고객의 요구 사항을 AWS 공동 책임 모델과 일치시키는 데 도움이 됩니다.

• LGPD란 무엇인가요?

  브라질 일반 데이터 보호법(“LGPD”)은 개인 데이터를 보호하기 위한 브라질의 기본 규제로, 2020년 9월 18일 자로 발효되었습니다.

• LGPD가 적용되는 대상은 누구인가요?

  LGPD는 브라질에서 설립되었는지 여부에 관계없이, 브라질 내 사람들에게 상품 또는 서비스를 제안하거나 제공하기 위해 개인 데이터를 처리하는 모든 조직에 적용됩니다. LGPD는 또한 브라질 내에서 개인 데이터를 수집 또는 처리하는 조직에도 적용됩니다. 개인 데이터는 식별된 또는 식별할 수 있는 자연인과 관련된 모든 정보를 말합니다.
  

• AWS 서비스는 LGPD를 준수합니까?

  모든 AWS 서비스는 LGPD 규정을 준수하는 방식으로 사용될 수 있습니다. 즉, 고객은 AWS가 서비스 보안을 유지 관리하기 위해 이미 적용하고 있는 모든 조치를 활용할 수 있을 뿐만 아니라 AWS 서비스를 LGPD 규정 준수 계획의 핵심 요소로 배포할 수 있습니다. 자세한 내용은 당사 백서, AWS에서 LGPD 규정 준수 탐색을 참조하십시오.
  

• 개별 데이터 주체는 어디에서 LGPD 권리 행사에 대한 정보를 찾아볼 수 있습니까?

  2020년 8월 14일에, 당사는 데이터 주체가 법률에 따라 자신의 권리를 행사할 수 있는 방법을 포함한 LGPD의 요건을 감안하여 데이터 통제자로서 당사 정책을 설명하기 위해 개인정보 취급방침을 업데이트했습니다.
  

• AWS에는 AWS의 개인 정보 보호 입장 및 고객에게 부여하는 권리에 대한 포괄적인 설명을 제공하는 개인 정보 보호 허브가 마련되어 있습니까?

  예. 개인정보 취급방침 페이지에 당사의 개인 정보 보호 정책과 관행에 대한 정보가 나와 있습니다. 또한 고객이 법률에 따라 자신의 권리를 행사할 수 있는 방법을 포함하여 LGPD에서 요구하는 모든 공개 내용을 포함하기 위해 당사의 개인정보 취급방침이 업데이트되었습니다.
  

• AWS는 LATAM 내 기타 국가의 데이터 보호 규정을 준수합니까?

  AWS는 전 세계 모든 리전에서 보안 및 규정 준수에 대한 높은 기준을 계속 유지하고 있습니다. GDPR 및 LGPD에 따라 당사가 제공하는 보호는 전 세계 고객에게 제공되며, 당사 고객들은 이러한 보호를 통해 해당하는 현지 데이터 보호법을 준수할 수 있습니다.
  

• 고객은 본인의 콘텐츠 보안에서 어떤 역할을 합니까?

  AWS 공유 책임 모델에 따라, 현장 데이터 센터의 애플리케이션을 보호할 때와 마찬가지로 콘텐츠, 플랫폼, 애플리케이션, 시스템 및 네트워크를 보호하기 위해 어떤 보안을 구현할지는 AWS 고객이 제어합니다. LGPD는 AWS 공동 책임 모델에 영향을 주지 않으며 클라우드 컴퓨팅 서비스 사용에 초점을 맞추고 있는 고객 및 APN 파트너와 계속 관련이 있습니다. 공동 책임 모델은 LGPD에서 서로 다른 AWS의 책임(데이터 처리자 또는 하위 처리자로서)과 고객 또는 APN 파트너의 책임(데이터 통제자 또는 데이터 처리자로서)을 설명하기에 유용한 접근 방식입니다. 공동 책임 모델에 따라 AWS는 클라우드를 지원하는 기본 인프라를 보호할 책임이 있고, 데이터 통제자 또는 데이터 처리자의 역할을 하는 고객과 APN 파트너는 클라우드에 저장하는 모든 개인 데이터에 대한 책임이 있습니다. 고객은 자사의 규정 준수 요구 사항을 관리하기 위해 AWS에서 제공되는 기술적 및 조직적 보안 대책과 제어를 기반으로 구축할 수 있습니다. 고객은 AWS Identity and Access Management와 같은 AWS 보안 기능 이외에도, 암호화 및 멀티 팩터 인증 등 친숙한 방법을 사용하여 데이터를 보호할 수 있습니다.

  클라우드 솔루션의 보안을 평가할 때 고객이 다음의 차이를 이해하고 구별하는 것이 중요합니다.

  • AWS가 구현 및 운영하는 보안 조치 – "클라우드의 보안"
  • 고객 콘텐츠 및 AWS 서비스를 사용하는 애플리케이션의 보안과 관련하여 고객이 구현 및 운영하는 보안 조치 – "클라우드에서의 보안"
    

   

  고객이 취할 수 있는 추가 조치 및 AWS가 제공하는 솔루션에 대한 자세한 내용은 AWS 보안 학습 웹 페이지를 참조하십시오.

  

• 누가 고객 콘텐츠에 액세스할 수 있습니까?

  고객은 자신의 고객 콘텐츠에 대한 소유권 및 제어권을 유지하고 고객 콘텐츠를 처리, 저장 및 호스팅할 AWS 서비스를 선택합니다. AWS는 고객 콘텐츠에 대한 가시성을 갖지 않으며 고객이 선택한 AWS 서비스를 제공하거나 법 또는 법적 구속력이 있는 지시를 준수해야 하는 경우를 제외하고 고객 콘텐츠를 액세스하거나 사용하지 않습니다.

  AWS 서비스를 사용하는 고객은 AWS 환경 내에서 콘텐츠에 대한 제어를 유지합니다. 다음과 같이 할 수 있습니다.

  • 스토리지 환경 유형, 해당 스토리지의 지리적 위치 등 콘텐츠가 위치할 장소를 결정합니다.
  • AWS가 제공한 암호화 또는 고객이 선택한 타사 암호화 메커니즘을 사용하여 평문, 마스킹, 익명화, 암호화 등 콘텐츠 형식을 제어합니다.
  • 자격 증명, 액세스 관리, 보안 자격 증명 등 기타 액세스 제어를 관리합니다.
  • SSL, Virtual Private Cloud 및 기타 네트워크 보안 조치를 제어하여 승인되지 않은 액세스를 방지합니다.

  이를 통해 AWS 고객은 콘텐츠 분류, 액세스 제어, 보존 및 폐기를 비롯해 AWS에서 콘텐츠의 전체 수명 주기를 제어하고, 자체 특정 요구 사항에 따라 콘텐츠를 관리할 수 있습니다.
  

• 고객 콘텐츠는 어디에 저장됩니까?

  AWS 데이터 센터는 전 세계 여러 위치에서 클러스터를 기반으로 구축됩니다. AWS에서는 해당 위치에 있는 각 데이터 센터 클러스터를 "리전"이라고 부릅니다.

  AWS 고객은 콘텐츠가 저장된 AWS 리전을 선택합니다. 이를 통해 지리적 위치에 대한 특정 요구 사항이 있는 고객이 원하는 위치에 환경을 구축할 수 있습니다.

  고객은 하나 이상의 리전에 콘텐츠를 복제 및 백업할 수 있습니다. 하지만 AWS는 고객이 요청한 서비스를 제공하거나 준거법을 준수하기 위한 경우를 제외하고, 고객의 콘텐츠를 고객이 선택한 리전 이외의 장소로 이동하지 않습니다.
  
  

• AWS에서는 데이터 센터의 보안을 어떻게 유지합니까?

  AWS 데이터 센터 보안 정책은 고객의 정보를 보호할 수 있도록 확장 가능한 보안 제어 및 다중 방어층으로 구성됩니다. 예를 들어, AWS는 잠재적 홍수 및 지진 활동 위험을 중앙에서 관리합니다. 물리적 장벽, 보안 경비, 위협 탐지 기술 및 깊이 있는 선별 과정을 사용하여 데이터 센터에 대한 액세스를 제한합니다. 시스템을 백업하고, 장비 및 프로세스를 정기적으로 테스트하고, AWS 직원을 지속적으로 교육하여 예상 밖의 상황에 대비합니다.

  데이터 센터의 보안을 검증하기 위해, 외부 감사 기관이 연중 내내 2,600개 이상의 표준 및 요건에 대한 테스트를 수행합니다. 이러한 독립적인 검사는 보안 표준이 일관되게 충족되거나 초과되도록 보장하는 데 도움이 됩니다. 그에 따른 결과로, 세계에서 가장 규제가 심한 조직들이 데이터를 보호하기 위해 AWS를 신뢰하고 있습니다.

  가상 투어를 통해 설계 면에서 AWS 데이터 센터를 안전하게 보호하는 방법을 알아보세요.

• 어떤 AWS 리전을 사용할 수 있습니까?

  고객은 하나의 리전, 여러 리전의 조합 또는 모든 리전을 사용할 수 있습니다. AWS 리전의 전체 목록을 보려면 AWS 글로벌 인프라 페이지를 방문하십시오.
  

• AWS에서는 시스템을 보호하기 위해 어떤 보안 조치를 취하고 있습니까?

  AWS 클라우드 인프라는 현존하는 플랫폼 중 가장 유연하고 안전한 클라우드 컴퓨팅 환경이 되도록 설계되었습니다. Amazon의 규모 덕분에 다른 어느 대기업이 자체적으로 감당할 수 있는 것보다 보안 정책 및 대책에 훨씬 더 많은 투자를 할 수 있습니다. 이 인프라는 AWS 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성되며, 고객과 APN 파트너에 개인 데이터 처리를 위한 강력한 제어 항목(보안 구성 제어 항목 등)을 제공합니다. 보안 수준을 일관되게 높게 유지하기 위해 AWS가 구현한 조치에 대해 자세히 알아보려면 AWS 보안 프로세스 개요 백서를 확인하세요.

  또한, AWS에서는 ISO 27001, ISO 27017 및 ISO 27018을 비롯하여 다양한 보안 표준과 규제를 준수하는지 테스트하고 확인한 타사 감사자의 여러 규정 준수 보고서를 제공합니다. 이러한 조치의 효과를 투명하게 밝히기 위해 AWS에서는 AWS 아티팩트의 타사 감사 보고서에 액세스할 수 있도록 하고 있습니다. 이러한 보고서는 데이터 통제자 또는 데이터 처리자의 역할을 할 수 있는 고객과 APN 파트너에게 AWS가 개인 데이터를 저장 및 처리하는 기본 인프라를 보호하고 있음을 보여줍니다. 자세한 내용은 AWS 규정 준수 리소스를 참조하십시오.
  

• LGPD에 대비하기 위해 AWS가 취한 조치는 무엇입니까?

  AWS 규정 준수, 데이터 보호 및 보안 전문가가 고객들과 작업하면서 질문에 답변하고 AWS 클라우드에서 워크로드를 실행할 준비를 할 수 있도록 지원하고 있습니다. 또한 이러한 팀들은 AWS 서비스가 LGPD 요구 사항을 충족할 준비가 되었는지에 대한 검토를 수행했습니다. 또한 LGPD의 요구 사항을 충족하는 데이터 처리 계약을 고객에게 제공합니다.

  AWS는 전 세계 모든 리전에서 보안 및 규정 준수에 대한 높은 기준을 계속 유지하고 있습니다. AWS에서는 언제나 보안을 최우선으로 생각해왔습니다. 보안이 진정한 “0순위”입니다. 업계 최고의 AWS 보안 덕분에 클라우드 보안 부문의 ISO 27017, 클라우드 프라이버시 부문의 ISO 27018, SOC 1, SOC 2 및 SOC 3, PCI DSS Level 1, NIST FIPS 140-2, C5 등 국제적으로 인정받는 수많은 인증 및 인가를 취득하여 엄격한 국제 표준을 준수함을 입증할 수 있었습니다. 이러한 조치의 효과를 투명하게 제공하기 위해 AWS에서는 고객과 APN 파트너에게 AWS Management Console을 통해 타사 감사 보고서에 액세스할 수 있는 권한을 부여합니다. 이러한 보고서는 데이터 통제자 또는 데이터 처리자의 역할을 할 수 있는 고객과 APN 파트너에게 AWS가 개인 데이터를 저장 및 처리하는 기본 인프라를 보호하고 있음을 보여줍니다. 자세한 내용은 AWS 규정 준수 웹 페이지를 참조하십시오.
  
  

• AWS에서 고객이 LGPD를 준수하는 데 도움이 되도록 제공하는 서비스에는 어떤 것이 있습니까?

  AWS에서는 이미 고객이 LGPD 요구 사항을 충족하는 데 도움이 되는 특정 기능 및 서비스를 제공하고 있습니다.

  데이터 액세스 제어: 권한이 있는 관리자, 사용자 및 애플리케이션만 AWS 리소스에 액세스할 수 있도록 허용

  • Multi-Factor-Authentication(MFA)
  • Amazon S3 버킷 / Amazon SQS / Amazon SNS 등에 있는 객체에 대한 세분화된 액세스
  • API 요청 인증
  • 지리적 제약
  • AWS Security Token Service를 통한 임시 액세스 토큰

  모니터링 및 로깅: AWS 리소스의 활동에 대한 개요 확인

  • AWS Config를 사용한 자산 관리 및 구성
  • AWS CloudTrail을 사용한 규정 준수 감사 및 보안 분석
  • AWS Trusted Advisor를 통해 구성 문제 파악
  • Amazon S3 객체에 대한 액세스를 세분화하여 로깅
  • Amazon VPC FlowLogs를 통해 네트워크상의 흐름에 대한 상세한 정보
  • AWS Config Rules를 사용한 규칙 기반 구성 점검 및 조치
  • AWS CloudFront의 WAF 기능을 사용하여 애플리케이션에 대한 HTTP 액세스를 필터링하고 모니터링

  암호화: AWS상의 데이터를 암호화

  • AES256을 사용하여 저장 데이터를 암호화(EBS/S3/Glacier/RDS)
  • 중앙집중식 관리형 키 관리(AWS 리전별)
  • VPN 게이트웨이를 사용한 AWS에 대한 IPsec 터널
  • AWS CloudHSM에서 제공하는 클라우드 내 전용 HSM 모듈
    

• AWS는 데이터 통제자가 LGPD에 따른 데이터 침해 알림 의무를 충족하도록 어떻게 지원할 수 있습니까?

  AWS에서는 고객과 APN 파트너에게 누가 언제 어디에서 자사의 리소스에 액세스할 수 있는지 파악할 수 있는 몇 가지 도구를 제공합니다. 이러한 도구 중 하나가 AWS 계정의 거버넌스, 규정 준수, 운영 감사 및 위험 감사를 지원하는 AWS CloudTrail입니다. AWS CloudTrail을 사용하는 고객은 AWS 인프라 전체에서 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 이를 통해 조직은 AWS 인프라에서 발생하는 일을 파악하고 비정상적인 활동에 대해 즉시 조치를 취할 수 있습니다. AWS CloudTrail뿐만 아니라 LGPD에서 데이터 통제자로서의 의무를 충족하는 데 도움이 되도록 AWS에서 고객에게 제공하는 다른 보안 도구에 대한 자세한 내용은 보안 웹 페이지를 참조하십시오.
  

• AWS는 사이버 공격으로부터 내 데이터를 보호하는 데 어떻게 도움이 됩니까?

  AWS에서는 데이터를 보호하고 사이버 공격으로부터 보호할 수 있도록 고객과 APN 파트너에게 몇 가지 도구를 제공합니다. 이러한 도구 중 하나가 AWS Shield입니다. 이는 AWS에서 실행되는 웹 사이트와 애플리케이션을 보호하는 관리형 DDoS(Distributed Denial of Service) 보호 서비스입니다. AWS Shield Standard는 무료로 사용할 수 있으며 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 완화 인라인 기능을 제공합니다. 고객과 APN 파트너가 AWS에서 실행되고, ELB, Amazon CloudFront 및 Amazon Route 53 리소스를 사용하는 웹 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield Advanced를 구독하면 됩니다.
  

• AWS는 고객의 삭제 지시를 어떻게 처리합니까?

  AWS 서비스를 사용하면 AWS Management Console, API 및 기타 입력 메서드를 사용하여 고객이 필요에 따라 콘텐츠를 삭제할 수 있습니다. 특정 서비스 기능에 대한 자세한 내용은 당사 설명서를 참조하십시오.
  

• LGPD 및 AWS 관련 질문이 있는 경우 누구에게 문의해야 합니까?

  당사의 데이터 개인 정보 보호 페이지 및 개인정보 취급방침 외에도, 데이터 보호 또는 AWS 및 LGPD에 대한 질문이 있는 고객과 APN 파트너는 먼저 담당 AWS 계정 관리자에게 문의하시기 바랍니다. Enterprise Support에 가입한 고객은 기술 지원 관리자(TAM)에게도 연락할 수 있습니다. TAM은 솔루션 아키텍트와 협력하여 고객이 잠재적 위험과 잠재적 완화 요소를 식별할 수 있도록 지원합니다. TAM과 계정 팀은 고객 및 APN 파트너의 환경과 요구 사항에 따라 특정 리소스를 안내할 수도 있습니다.

  또한, AWS에는 LGPD 관련 질문을 지원하기 위해 Enterprise Support 담당자, Professional Services 컨설턴트 및 기타 직원으로 구성된 팀이 있습니다. 고객 및 APN 파트너 교육에 도움이 되고자 AWS에서는 또한 AWS Summits에서 토론, 웹 세미나 및 워크숍을 주최하여 LGPD를 이해하고 AWS 도구를 사용해 솔루션을 구현하도록 지원하고 있습니다.