EU 데이터 보호에 대한 정보 신청하기 »
  • 개요

    EUAWSLogo

    AWS에서는 고객의 신뢰를 가장 중요하게 생각합니다. AWS는 190개 이상의 국가에서 활발하게 사용하고 있는 엔터프라이즈, 교육 기관, 정부 기관 등 수백만 고객에게 서비스를 제공하고 있습니다. AWS 고객에는 금융 서비스 제공업체, 의료 서비스 제공업체 및 정부 기관이 포함되어 있으며, AWS를 믿고 가장 민감한 정보를 맡기고 있습니다.

    AWS는 고객에게 프라이버시와 데이터 보안이 얼마나 중요한지를 잘 알고 있습니다. 그것이 바로 AWS에서 고객이 자신의 콘텐츠에 대한 소유권과 제어권을 갖도록 하는 이유입니다. 간단하지만 강력한 도구를 통해 고객은 자신의 콘텐츠를 어디에 저장할지 결정하고, 전송 또는 저장 콘텐츠를 보호하며, AWS 서비스와 리소스에 대한 사용자의 액세스 권한을 관리할 수 있습니다. 또한, AWS는 고객 콘텐츠에 대한 무단 액세스나 공개를 차단하도록 설계된 정교한 기술적 및 물리적 제어를 구현합니다.

    AWS에서는 고객 신뢰를 유지하기 위해 끊임없이 노력하고, 구현된 프라이버시 및 데이터 보안 정책, 사례 및 기술을 고객에게 알려드리기 위해 최선을 다합니다. 이러한 노력에는 다음 내용이 포함됩니다.

    • 액세스: 고객이 보유한 고객 콘텐츠와 AWS 서비스 및 리소스에 대한 액세스를 관리합니다. AWS에서는 고객이 효과적으로 관리할 수 있도록 고급 액세스, 암호화 및 로깅 기능 모음을 제공합니다(예: AWS CloudTrail). AWS에서는 법적으로 필요하고, AWS 서비스를 유지 관리하며, 이를 고객과 최종 사용자에게 제공하는 것 외에 고객 콘텐츠에 액세스하거나 이를 사용하지 않습니다.
    • 스토리지: 고객이 보유한 고객 콘텐츠가 저장되는 리전을 선택합니다. AWS에서는 법적으로 필요하고, AWS 서비스를 유지 관리하며, 이를 고객과 최종 사용자에게 제공하는 것 외에 고객이 지정한 리전 밖으로 고객 콘텐츠를 이동하거나 복제하지 않습니다.
    • 보안: 고객이 보유한 고객 콘텐츠가 보호되는 방법을 선택합니다. AWS에서는 고객에게 전송 또는 저장되는 고객 콘텐츠에 대한 강력한 암호화를 제공하고, 고객이 자체 암호화 키로 관리할 수 있는 옵션을 제공합니다.
    • 고객 콘텐츠 공개: AWS에서는 법을 준수하거나 정부 또는 규제 기관의 유효하고 법적 구속력이 있는 명령을 준수하는 데 필요하지 않는 한 고객 콘텐츠를 공개하지 않습니다. Amazon에서는 Amazon 제품 또는 서비스 사용과 관련해 법적으로 금지하고 있거나 분명한 불법적 행동의 조짐이 있지 않은 한, 고객 콘텐츠를 공개하기 전에 이를 고객에게 알려 고객이 필요한 보호 조치를 할 수 있도록 합니다.
    • 보안 보장: AWS에서는 고객이 AWS의 보안 통제 환경을 구성, 운영 및 활용할 수 있도록 돕기 위해 글로벌 프라이버시 및 데이터 보호 모범 사례를 사용해 보안 보증 프로그램을 개발했습니다. 이러한 보안 보호 및 통제 프로세스는 여러 타사의 개별적인 평가로 독립적으로 검증됩니다.

    AWS는 고객 데이터를 고객 콘텐츠와 계정 정보의 2가지 범주로 분류합니다.

    AWS에서는 고객 또는 최종 사용자가 해당 고객의 계정과 관련하여 AWS 서비스에서 처리, 저장 또는 호스팅하도록 AWS로 전송하는 소프트웨어(머신 이미지 포함), 데이터, 텍스트, 오디오, 동영상 또는 이미지와 방금 언급한 AWS 서비스를 사용하여 얻은 컴퓨팅 결과를 고객 콘텐츠라고 정의합니다. 예를 들어 고객 콘텐츠에는 고객 또는 최종 사용자가 Amazon Simple Storage Service에 저장한 콘텐츠가 포함됩니다. 고객 콘텐츠에는 아래 설명된 계정 정보는 포함되지 않습니다. AWS 고객 계약이나 AWS 서비스 사용을 관장하는 다른 계약의 이용 약관이 고객 콘텐츠에 적용됩니다.

    AWS에서는 고객 계정의 생성이나 관리와 관련하여 고객이 AWS에 제공하는 고객에 관한 정보를 계정 정보라고 정의합니다. 예를 들어 계정 정보에는 고객 계정과 관련된 이름, 사용자 이름, 전화번호, 이메일 주소 및 결제 정보가 포함됩니다. AWS 개인정보 취급방침에 명시된 정보 규정이 계정 정보에 적용됩니다.

    고객은 자신의 고객 콘텐츠에 대한 소유권을 유지하고 고객 콘텐츠를 처리, 저장 및 호스팅할 AWS 서비스를 선택합니다. AWS에서는 법적으로 필요하고, AWS 서비스를 유지 관리하며, 이를 고객과 최종 사용자에게 제공하는 것 외에 고객 콘텐츠에 액세스하거나 이를 사용하지 않습니다. AWS에서는 절대 마케팅이나 광고를 위해 고객 콘텐츠를 사용하거나 이로부터 정보를 얻지 않습니다.

    고객이 보유한 고객 콘텐츠를 제어합니다. AWS에서 고객은 다음을 수행할 수 있습니다.

    • 스토리지 유형과 해당 스토리지의 지리적 리전을 비롯한 고객 콘텐츠가 저장될 곳을 결정할 수 있습니다.

    • 자신의 고객 콘텐츠의 보안 상태를 선택할 수 있습니다. AWS에서는 고객에게 전송 또는 저장되는 고객 콘텐츠에 대한 강력한 암호화를 제공하고, 고객이 자체 암호화 키로 관리할 수 있는 옵션을 제공합니다.

    • 고객이 통제하는 사용자, 그룹, 권한 및 자격 증명을 통해 자신의 고객 콘텐츠와 AWS 서비스를 관리할 수 있습니다.

    AWS는 고객이 계정 정보가 어떻게 사용되는지에 대해 우려한다는 것을 잘 알고 있습니다. AWS에서 신중하고 분별 있게 이를 사용할 것이라는 고객의 신뢰에 감사드립니다. AWS 개인정보 취급방침은 AWS가 계정 정보를 수집 및 사용하는 방법을 설명합니다.

    AWS는 고객의 개인 정보 보호에 만전을 기합니다. AWS에서는 법을 준수하거나 정부 또는 규제 기관의 유효하고 법적 구속력이 있는 명령을 준수하는 데 필요하지 않는 한 고객 콘텐츠를 공개하지 않습니다. 정부 및 규제 기관은 유효하고 법적 구속력이 있는 명령을 확보하기 위한 해당 법률 절차를 따라야 하며, AWS는 모든 명령을 검토하고 지나치게 광범위하거나 적절하지 못한 경우 이의를 제기합니다. Amazon에서는 Amazon 제품 또는 서비스 사용과 관련해 법적으로 금지하고 있거나 분명한 불법적 행동의 조짐이 있지 않은 한, 고객 콘텐츠를 공개하기 전에 이를 고객에게 알려 고객이 필요한 보호 조치를 할 수 있도록 합니다. 또한, AWS 고객은 자신의 고객 콘텐츠를 암호화할 수 있으며, AWS에서는 고객이 자체 암호화 키를 관리할 수 있는 옵션을 제공한다는 것도 알려드립니다.

    AWS는 투명성이 고객에게 중요하다는 것을 알고 있습니다. 따라서 AWS에서는 정보 요청을 받는 유형과 볼륨에 대한 보고서를 여기에 정기적으로 게시합니다.

    고객은 자신의 고객 콘텐츠를 저장할 리전을 선택합니다. 이를 통해 특정 지리적 요구 사항에 따라 고객이 선택한 위치에서 AWS 서비스를 배포할 수 있습니다. AWS 데이터 센터는 전 세계 여러 리전에 클러스터 형태로 구축됩니다.

    예를 들어 영국에 있는 AWS 고객은 AWS 서비스를 유럽(런던) 리전에만 배포하고 콘텐츠를 영국 내에 저장하도록 선택할 수 있습니다. 고객이 위와 같이 선택한다면, 고객 콘텐츠는 영국에 위치하게 됩니다. 고객은 하나 이상의 리전에 자신의 고객 콘텐츠를 복제하고 백업할 수 있으며, AWS에서는 법적으로 필요하고, AWS 서비스를 유지 관리하며, 이를 고객과 최종 사용자에게 제공하는 것 외에 고객이 지정한 리전 밖으로 고객 콘텐츠를 이동하거나 복제하지 않습니다.

    *모든 AWS 서비스를 모든 리전에서 사용할 수 있는 것은 아닙니다.

    클라우드 솔루션의 보안을 평가할 때 고객이 다음의 차이를 이해하고 구별하는 것이 중요합니다.

    • AWS가 구현 및 운용하는 보안 측정 방법 –"클라우드 보안"


    • 고객 콘텐츠 및 AWS 서비스를 사용하는 애플리케이션 보안과 관련하여 고객이 구현하고 운용하는 보안 측정 방법–"클라우드 내에서의 보안"

    공동 책임 모델

    핵심 AWS 클라우드 인프라, 플랫폼 및 서비스에 구축된 모든 보안 조치를 보려면 보안 프로세스 개요 백서를 참조하십시오.

    AWS에서는 고객이 AWS의 보안 통제 환경을 구성, 운영 및 활용할 수 있도록 돕기 위해 추가적인 글로벌 프라이버시 및 데이터 보호 모범 사례를 사용해 보안 보증 프로그램을 개발했습니다. 이러한 보안 보호 및 통제 프로세스는 여러 타사의 개별적인 평가로 독립적으로 검증됩니다.

    독립적인 타사 평가 기관에서 AWS가 ISO 27018 준수하고 있음을 검증했습니다. ISO 27018은 클라우드에서의 개인 정보 보호를 집중적으로 다루는 첫 번째 국제 행동 규범입니다. ISO 27018은 ISO 정보 보안 표준 27002를 기반으로 하며, 퍼블릭 클라우드 서비스에서 처리하는 개인 식별 정보(PII)에 적용되는 ISO 27002에 대한 실행 지침을 제공합니다. 또한, AWS가 고객 콘텐츠의 개인 정보 보호를 전문적으로 처리하는 통제 시스템을 갖추고 있음을 고객에게 보여줍니다. 자세한 내용은 AWS ISO 27018 FAQ를 참조하십시오.

    AWS 데이터 센터는 전 세계 여러 국가에 클러스터로 구축됩니다. AWS에서는 해당 국가에 있는 각 데이터 센터 클러스터를 "리전"이라고 부릅니다. 고객은 EU에 있는 3개의 리전, 즉 아일랜드(더블린), 영국(런던) 및 독일(프랑크푸르트) 리전을 비롯하여 전 세계에 분포한 16개 AWS 리전에 액세스할 수 있습니다. 고객은 하나의 리전, 여러 리전의 조합 또는 모든 리전을 사용할 수 있습니다.

    AWS 고객은 콘텐츠가 저장된 AWS 리전을 선택합니다. 이를 통해 지리적 위치에 대한 특정 요구 사항이 있는 고객이 원하는 위치에 환경을 구축할 수 있습니다. 예를 들어 유럽에 있는 AWS 고객은 AWS 서비스를 EU의 리전(독일, 영국 또는 아일랜드) 중 한 곳에만 배포하도록 선택할 수 있습니다. 고객이 위와 같이 선택하는 경우, 고객이 다른 AWS 리전으로 콘텐츠를 이동하거나 복제하도록 명시적으로 선택하지 않는 한 고객의 콘텐츠는 독일, 영국 또는 아일랜드 중 선택한 리전에 저장됩니다.

    고객은 하나 이상의 리전에 콘텐츠를 복제 및 백업할 수 있습니다. 하지만 AWS는 고객이 요청한 서비스를 제공하거나 준거법을 준수하기 위한 경우를 제외하고, 고객의 콘텐츠를 고객이 선택한 리전 이외의 장소로 이동하지 않습니다.

    AWS에서는 ISO 27001, SOC 1/2/3PCI DSS 레벨 1과 같은 강력한 보안 표준 관련 인증을 유지 관리합니다. AWS는 클라우드에서 공동 책임 모델을 운영하며, 이에 따라 AWS는 해당 클라우드 인프라의 보안에 대한 책임을 지고(클라우드의 보안), 고객은 데이터와 애플리케이션의 보안에 대한 책임을 집니다(클라우드에서의 보안). AWS는 EU에 클라우드 보안과 규정 준수에 대해 전문적인 교육을 받은 솔루션스 아키텍트, 고객 관리자, 컨설턴트, 교육 담당자 및 기타 직원으로 구성된 팀을 두고, AWS 고객이 클라우드 보안 모범 사례에 따라 클라우드에서 높은 수준의 보안 및 규정 준수를 실현하도록 지원합니다. 또한, AWS는 고객이 현지 보안 표준을 충족하도록 돕고 있습니다. 예를 들어 AWS는 감사자인 TÜV TRUST IT와 함께 클라우드에서 독일 BSI IT Grundschutz 규정을 준수하기 위한 지침을 제공하는 고객 인증 워크북을 발간했습니다.

  • EU 지침

    EU 데이터 보호 지침(Directive 95/46/EC이라고도 함)은 개인 데이터의 처리와 이러한 데이터의 자유로운 이동에 관한 규정입니다. 대체로 이 지침은 개인 데이터가 처리될 때 적용되는 데이터 보호 요구 사항을 명시합니다.

    예. 고객이 AWS 데이터 처리 부록을 보는 방법에 대해 자세히 알아보려면 여기로 이동해 주십시오(로그인 필요).

    Article 29 Working Party는 모델 조항이 포함된 AWS 데이터 처리 부록을 승인했습니다. Article 29 Working Party는 AWS 데이터 처리 부록이 모델 조항과 관련한 EU 데이터 보호 지침의 요구 사항을 충족하는 것으로 확인했습니다. 즉, AWS 데이터 처리 부록은 "임시"로 간주되지 않습니다. Article 29 Working Party의 AWS 데이터 처리 부록 승인에 관한 자세한 내용은 http://www.cnpd.public.lu/en/actualites/international/2015/03/AWS/index.html을 참조하십시오.

    Luxembourg Data Protection Authority(CNPD)는 Article 29 Working Party의 절차에 따라 Article 29 Working Party를 대표하는 주도 기관의 역할을 합니다.

    고객이 AWS 데이터 처리 부록을 보는 방법에 대해 자세히 알아보려면 여기로 이동해 주십시오(로그인 필요).

    Directive 95/46/EC에 의하면 클라우드에서 개인 정보를 수집 및 저장하는 AWS 고객은 데이터 관리자입니다.

    고객과 AWS의 역할에 대한 자세한 내용은 AWS "Whitepaper on EU Data Protection"에서 "Data Protection in the EU The Directive" 섹션을 참조하십시오.

    표준 계약 조항('모델 조항'라고도 함)은 유럽연합 집행위원회가 정의하고 승인한 표준 조항의 집합으로서, 데이터 관리자가 유럽 경제 지역 외부의 데이터 처리자에게 개인 데이터를 전송할 때 이를 사용하여 규정을 준수할 수 있습니다.

    Article 29 Working Party는 유럽 의회 및 이사회의 EU 데이터 보호 지침 하에 설립되었습니다. 모든 EU 회원국의 데이터 보호 기관 및 유럽연합 집행위원회의 대표로 구성되어 있습니다. Article 29 Working Party는 EU 전체에서 데이터 보호 규칙의 적용을 협의하고, EU 집행위원회에 EU 이외 국가의 데이터 보호 적정성 표준에 대해 조언을 합니다.

    AWS는 고객의 데이터 보안을 매우 중요하게 생각합니다. AWS는 이미 아티클 29 워킹 파티(Article 29 Working Party)로 알려진 EU 데이터 보호 기관으로부터 미국을 비롯한 유럽 외부로 데이터를 전송할 수 있도록 AWS 데이터 처리 부록 및 모델 조항에 대한 승인을 받았습니다. EU에서 승인한 데이터 처리 부록 및 모델 조항을 통해 AWS 고객은 EU 법을 모두 준수하면서 AWS를 사용해 전 세계 사업을 계속 운영할 수 있습니다. AWS 데이터 처리 부록은 유럽에 기반을 둔 기업이든 유럽 경제 지역에서 운영되는 국제 기업이든 개인 데이터를 처리하는 모든 AWS 고객이 사용할 수 있습니다.

    고객이 AWS 데이터 처리 부록을 보는 방법에 대해 자세히 알아보려면 여기로 이동해 주십시오(로그인 필요).

    예. Amazon.com, Inc.는 EU-미국 프라이버시 실드에 따라 인증을 받았고 AWS는 이 인증 범위에 포함됩니다. 이는 개인 데이터를 미국으로 전송하려는 고객이 데이터 보호 의무를 충족하는 데 도움이 됩니다. Amazon.com Inc의 인증 정보는 EU-미국 프라이버시 실드 웹 사이트(https://www.privacyshield.gov/list)에서 확인할 수 있습니다.

    AWS의 맥락에서 이 주제에 대해 좀 더 자세히 알아보려면 EU-미국 프라이버시 쉴드 페이지를 참조하십시오. 

  • GDPR

    CISPEAWS

    2016년 유럽연합 집행위원회는 새로운 GDPR(일반 데이터 보호 규정)을 승인 및 채택했습니다. GDPR은 1995년에 EU 데이터 보호 지침(Directive 95/46/EC라고도 함)이 도입된 이후로 유럽의 데이터 보호법에서 가장 큰 변화입니다. GDPR은 EU의 개인 데이터의 보안 및 보호를 강화하고 EU 데이터 보호법을 포괄적으로 적용할 목적으로 제정되었습니다. GDPR은 EU 데이터 보호 지침과 이와 관련된 모든 현지 법규를 대체하게 됩니다.

    AWS에서는 GDPR을 지지합니다. GDPR은 프라이버시 및 개인 데이터 보호에 대한 유럽 시민의 기본적인 권리를 보호합니다. 데이터 보호, 보안 및 규정 준수에 대한 기준을 높이는 강력한 요구 사항을 도입하면서 업계에서 엄격한 제어 기능을 구현하도록 독려합니다. AWS는 2018년 5월 25일에 GDPR이 시행되면 모든 AWS 서비스가 이를 준수할 것임을 확실히 말씀드릴 수 있습니다.

    AWS 자체 규정 준수 이외에도 AWS는 고객이 자사의 사업에 적용될 수 있는 GDPR 요구 사항을 준수할 수 있도록 서비스와 리소스를 제공하는 데 최선을 다할 것입니다.

    GDPR(일반 데이터 보호 규정)은 2018년 5월 25일부터 시행되는 새로운 유럽 개인 정보 보호법입니다. GDPR은 EU 데이터 보호 지침(Directive 95/46/EC이라고도 함)을 대체하게 되며, 각 회원국에 구속력이 있는 단일 데이터 보호헙을 적용함으로써 유럽 연합(EU) 전체에 데이터 보호법을 포괄적으로 적용할 목적으로 제정되었습니다.

     

    GDPR은 EU에서 비즈니스를 운영하고 EU 주민의 '개인 데이터'를 처리하는 모든 조직에 적용됩니다. 개인 데이터는 식별된 또는 식별할 수 있는 자연인과 관련된 모든 정보를 말합니다.

    GDPR이 기존 데이터 보호 지침(Europe Directive 95/46/EC)을 대체하게 됩니다. 2018년 5월 28일부터 기존 데이터 보호 지침 및 이와 관련된 법은 폐지됩니다.

    AWS 규정 준수, 데이터 보호 및 보안 전문가가 전 세계 고객과 작업하며 질문에 답을 하고 GDPR가 시행된 후 AWS 클라우드에서 워크로드를 실행할 준비를 하도록 지원하고 있습니다. 또한, 새로운 GDPR 요구 사항을 확실히 준수할 수 있도록 AWS가 이미 수행하고 있는 모든 작업을 검토하고 있습니다. AWS는 2018년 5월에 GDPR가 시행되면 모든 AWS 서비스가 이를 준수할 것임을 확실히 말씀드릴 수 있습니다.

    이와 더불어 AWS는 GDPR의 요구 사항을 충족하는 새로운 데이터 처리 계약(GDPR DPA)를 준비했습니다. 이 GDPR DPA는 현재 모든 AWS 고객에 제공되므로 이를 사용해 2018년 5월에 대비할 수 있습니다. GDPR DPA에 대한 추가 정보가 필요하거나 복사본을 받으려면 담당 AWS 계정 관리자에게 문의하시기 바랍니다.

    그뿐만 아니라 최근에 AWS는 CISPE 행동 강령을 준수함을 발표했습니다. CISPE 행동 강령은 클라우드 고객이 클라우드 인프라 공급자가 어떻게 GDPR에 따라 데이터 보호 의무를 준수하는지 평가하는 데 도움이 됩니다. AWS는 Amazon Elastic Compute Cloud(EC2), Amazon Simple Storage Service(S3), Amazon Relational Database Service(RDS), AWS Identity and Access Management(IAM), AWS CloudTrailAmazon Elastic Block Storage(EBS)가 CISPE 행동 강령을 완벽히 준수한다고 공표했습니다. 따라서 고객은 AWS를 사용할 때 안전하고 규정을 준수하는 환경에서 데이터를 완벽하게 제어할 수 있다는 확신을 가질 수 있습니다. AWS의 CISPE 행동 강령 준수에 대한 자세한 내용은 웹 사이트(https://cispe.cloud/)에서 확인할 수 있습니다.

    AWS는 전 세계 모든 리전에서 보안 및 규정 준수에 대한 높은 기준을 계속 유지하고 있습니다. AWS에서는 언제나 보안을 최우선으로 생각해왔습니다. 보안이 진정한 '0순위'입니다. 업계 최고의 AWS 보안 덕분에 클라우드 보안 부문의 ISO 27017, 클라우드 프라이버시 부문의 ISO 27018, SOC 1, SOC 2 및 SOC 3, PCI DSS Level 1 등 국제적으로 인정받는 수많은 인증 및 증명을 취득하여 엄격한 국제 표준을 준수함을 입증할 수 있었습니다. 또한, AWS는 고객이 독일의 BSI C5(Common Cloud Computing Controls Catalogue)와 같은 현지 보안 표준을 충족하도록 지원합니다.

    AWS는 CISPE 데이터 보호 행동 강령을 준수한다고 발표했습니다. CISPE는 유럽의 고객에게 클라우드 서비스를 제공하는 연합 클라우드 인프라(IaaS라고도 함) 공급자입니다. GDPR 행동 강령은 클라우드 고객이 자사의 클라우드 인프라 공급자가 적절한 데이터 보호 표준을 사용하여 GDPR에 따라 데이터를 보호하고 있는지 확인하는 데 도움이 됩니다. 다음은 이 행동 강령의 핵심 이점 중 일부입니다.

    • 데이터 보호와 관련하여 누가 어떤 것에 대한 책임이 있는지 명확히 합니다. 이 행동 강령은 특히 클라우드 인프라 서비스의 맥락에서 GDPR에 따라 공급자 고객 양쪽의 역할을 설명합니다.
    • 이 행동 강령은 공급자가 준수해야 하는 원칙을 명시합니다. 즉, 공급자가 GDPR을 준수하고 고객이 준수하도록 지원하기 위해 수행해야 하는 조치와 책임을 설명합니다.
    • 이 행동 강령은 고객에게 데이터 보호 및 데이터 보안과 관련하여 규정을 준수하기 위한 의사 결정을 하는 데 필요한 정보를 제공합니다. 이 행동 강령에서는 공급자가 보안 책임을 다하기 위해 수행하는 조치를 투명하게 진행할 것을 요구합니다. 이러한 조치에는 데이터 위반, 데이터 삭제, 타사 하위 처리, 법 집행 및 정부 요청에 대한 알림을 제공하는 것이 포함됩니다. 고객은 이러한 정보를 사용하여 제공된 높은 수준의 보안을 충분히 이해할 수 있습니다.

    GDPR의 핵심 중 하나는 EU 회원국 전체에서 개인 데이터를 안전하게 처리, 사용 및 교환하는 방식에 일관성이 생긴다는 것입니다. 기업은 강력한 기술 및 운영 조치와 규정 준수 정책을 구현하고 정기적으로 검토함으로써 자사에서 데이터를 안전하게 처리하고 GDPR을 준수함을 입증해야 합니다.

    AWS에서는 이미 고객이 GDPR 요구 사항을 충족하는 데 도움이 되는 특정 기능 및 서비스를 제공하고 있습니다.
     

    액세스 제어: 권한이 있는 관리자, 사용자 및 애플리케이션만 AWS 리소스에 액세스할 수 있도록 허용

    • Multi-Factor-Authentication(MFA)
    • Amazon S3 버킷 / Amazon SQS / Amazon SNS 등에 있는 객체에 대한 세분화된 액세스
    • API 요청 인증
    • 지리적 제약
    • AWS Security Token Service를 통한 임시 액세스 토큰

     

    모니터링 및 로깅: AWS 리소스의 활동에 대한 개요 확인

    • AWS Config를 사용한 자산 관리 및 구성
    • AWS CloudTrail을 사용한 규정 준수 감사 및 보안 분석
    • AWS Trusted Advisor를 통해 구성 문제 파악
    • Amazon S3 객체에 대한 액세스를 세분화하여 로깅
    • Amazon VPC FlowLogs를 통해 네트워크상의 흐름에 대한 상세한 정보
    • AWS Config Rules를 사용한 규칙 기반 구성 점검 및 조치
    • AWS CloudFront의 WAF 기능을 사용하여 애플리케이션에 대한 HTTP 액세스를 필터링하고 모니터링

     

    암호화: AWS상의 데이터를 암호화

    • AES256을 사용하여 저장 데이터를 암호화(EBS/S3/Glacier/RDS)
    • 중앙집중식 관리형 키 관리(AWS 리전별)
    • VPN 게이트웨이를 사용한 AWS에 대한 IPsec 터널
    • AWS CloudHSM에서 제공하는 클라우드 내 전용 HSM 모듈

     

    강력한 규정 준수 프레임워크 및 보안 표준:

    • ISO 27001/9001 인증
    • ISO 27017/27018 인증
    • Cloud Computing Compliance Controls Catalog(C5 – 독일 정부에서 사용하는 증명 체계)
    • AWS는 감사자인 TÜV TRUST IT와 함께 클라우드에서 독일 BSI IT Grundschutz 규정을 준수하기 위한 지침을 제공하는 고객 인증 워크북을 발간했습니다

    GDPR은 2018년 5월이 되어야 시행되지만, AWS에서는 고객과 파트너가 지금 준비를 시작하도록 권장하고 있습니다. 이미 높은 수준의 규정 준수, 보안 및 데이터 프라이버시를 구현한 조직은 손쉽게 GDPR 체계로 전환할 수 있습니다. GDPR 규정 준수를 향한 여정을 시작해야 하는 조직의 경우, 2018년 5월에 매끄럽게 전환하기 위해서는 지금 보안, 규정 준수 및 데이터 보호 프로세스를 검토하기 시작하는 것이 좋습니다. 다음은 GDPR 규정 준수를 위해 고려해야 할 몇 가지 핵심 사항입니다.

    지역적 범위: GDPR이 조직의 활동에 적용되는지 파악하는 것이 규정 준수 의무를 충족하는 데 매우 중요합니다. GDPR은 EU 내에 설립된 모든 조직에 적용됩니다. 하지만 EU 외부에 설립되었더라도 조직의 활동에 따라 GDPR의 적용을 받을 수 있습니다.

    데이터 주체의 권리: GDPR은 몇 가지 방법으로 데이터 주체의 권한을 강화합니다. 예를 들어 데이터 주체는 데이터 처리를 반대할 권리가 있고 데이터 이동성에 대한 권리가 있습니다. 개인 데이터를 처리하는 경우 데이터 주체의 권리를 수용할 수 있도록 해야 합니다.

    데이터 위반 알림: 데이터 통제 담당자인 경우, 데이터 위반을 지체 없이 데이터 보호 기관에 보고해야 합니다. AWS를 사용하면 개인 데이터를 처리하고 보호하는 방법을 제어할 수 있습니다. 이러한 기능을 사용하면 GDPR에 따라 프라이버시 위반이 있는지 자체 환경을 모니터링하고 규제 기관과 당사자에게 알릴 수 있습니다. 또한, AWS에서는 AWS 네트워크와 관련된 보안 표준 위반을 알게 되면 지체 없이 고객에게 알립니다.

    데이터 보호 책임자(DPO): 데이터 보호와 개인 데이터 처리와 관련된 다른 문제를 관리하는 DPO를 임명해야 할 수 있습니다.

    데이터 보호 영향 평가(DPIA): 처리 활동에 대한 DPIA를 수행해야 할 수 있으며, 일부의 경우에는 감독 기관에 이를 제출해야 할 수도 있습니다. 이 평가에서는 개인 데이터를 보호하기 위한 데이터 처리 절차, 프로세스 및 제어 항목을 설명해야 합니다.

    데이터 처리 계약(DPA): 특히 개인 데이터가 EEA 외부로 전송되는 경우, GDPR의 요구 사항을 충족하는 DPA가 필요할 수 있습니다. AWS에서는 고객이 다가오는 5월을 준비하는 데 도움이 되도록 GDPR DPA를 제공합니다. 이는 요청 시 제공됩니다.

    AWS에서는 액세스 제어, 모니터링, 로깅 및 암호화를 위한 서비스를 비롯하여 고객이 GDPR의 요구 사항을 충족하는 데 도움이 되는 다양한 서비스 및 특정 서비스 기능을 제공합니다. 이러한 서비스에 대한 자세한 정보는 위에 설명된 "AWS에서 고객이 GDPR을 준수하는 데 도움이 되도록 제공하는 서비스에는 어떤 것이 있습니까?" 섹션에서 확인할 수 있습니다.

    또한, AWS에서는 규정 준수, 데이터 보호 및 보안 전문가로 구성된 팀이 유럽 전역의 고객과 함께 작업하며 질문에 답을 하고 GDPR가 시행된 후 클라우드에서 워크로드를 실행할 준비를 하도록 지원하고 있습니다. 이와 관련된 추가 정보는 담당 AWS 계정 관리자에게 문의하시기 바랍니다.

 

AWS에 문의