일반 데이터 보호 규정(GDPR) 센터

예. Cloud Infrastructure Services Providers in Europe(CISPE) 데이터 보호 행동 강령 공개 등록부에는 관련 AWS 서비스 목록이 포함되어 있습니다. CISPE는 수백만 유럽 고객에게 서비스를 제공하는 클라우드 컴퓨팅 리더 연합입니다. CISPE 데이터 보호 행동 강령(CISPE 강령)은 클라우드 인프라 서비스 제공업체에 중점을 둔 최초의 범유럽 데이터 보호 행동 강령입니다. CISPE 강령은 유럽 데이터 보호 위원회의 승인을 받아 유럽 27개의 데이터 보호 기관을 대신하는 역할을 하며, 프랑스 데이터 보호 기관(CNIL)이 공식적으로 채택하여 선도 감독 기관의 역할을 하고 있습니다. 2017년, AWS는 이전 버전의 CISPE 강령 준수를 발표했습니다.

AWS에서는 고객이 GDPR을 준수하도록 지원하기 위해 AWS에 저장된 콘텐츠에 포함된 개인 데이터에 대한 액세스를 제어할 수 있는 여러 가지 도구를 제공합니다. 이러한 도구는 다음과 같습니다.

• 보안 기본화란 AWS 서비스가 기본적으로 안전하도록 설계되었다는 의미입니다. 기본 구성을 사용하면, 리소스에 대한 액세스는 계정 소유자와 루트 관리자로만 한정되도록 잠깁니다.
• AWS Identity and Access Management(IAM)를 사용하면 고객이 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. 조직에서는 IAM을 사용하여 AWS 사용자 및 그룹을 만들고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다. IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다.
• AWS 다중 인증은 AWS 계정의 사용자 이름과 암호에 또 하나의 보호 계층을 추가합니다. AWS에서는 고객에게 가상 및 하드웨어 MFA 디바이스 옵션을 제공합니다.
• AWS Directory Service를 사용하면 기업 디렉터리와 통합 및 연동하여 관리 오버헤드를 줄이고 최종 사용자 경험을 개선할 수 있습니다.
• AWS Config의 사전 패키징된 규칙을 사용하면 AWS 리소스를 올바르게 구성하고 규정 준수 상태를 유지하는 데 도움이 됩니다.
• AWS CloudTrail을 사용하면 AWS 인프라에서의 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 따라서 보안 분석, 리소스 변경 추적, 문제 해결이 간소화됩니다(AWS CloudTrail은 모든 AWS 계정에 기본적으로 활성화됨).
• Amazon Macie는 기계 학습을 사용하여 AWS에 저장된 민감한 데이터를 자동으로 검색, 분류, 보호하여 데이터 손실을 방지합니다. 이 완전관리형 서비스는 비정상적인 데이터 액세스 활동을 지속적으로 모니터링하여 무단 액세스 또는 의도하지 않은 데이터 유출 위험이 감지될 경우(예: 고객이 실수로 외부에서 액세스 가능하도록 만든 민감한 데이터) 상세한 알림을 생성합니다.

AWS에서는 고객과 APN 파트너에게 클라우드에 저장된 고객 데이터에 또 하나의 보안 계층을 추가할 수 있는 기능을 제공하고 GDPR에 따라 데이터 컨트롤러로서의 처리 보안 의무를 충족하도록 지원합니다. AWS에서 제공하는 암호화 도구는 다음과 같습니다.

• Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS, Redshift와 같은 AWS 스토리지 및 데이터베이스 서비스에서 사용할 수 있는 데이터 암호화 기능
• AWS에서 암호화 키를 관리하도록 할지, 사용자가 키를 모두 제어하도록 할지 선택할 수 있는 유연한 키 관리 옵션(AWS Key Management Service 등)
• Amazon SQS에서 서버 측 암호화(SSE)를 사용하여 민감한 데이터를 전송하기 위해 메시지 대기열 암호화
• 고객이 규정 준수 요구 사항을 충족할 수 있게 AWS CloudHSM을 사용한 하드웨어 기반 전용 암호화 키 스토리지

그 밖에도 AWS는 암호화 및 데이터 보호 기능을 AWS 환경에서 개발 또는 배포하는 모든 서비스와 통합할 수 있도록 고객과 APN 파트너에게 API를 제공하고 있습니다.

AWS에서는 이미 고객이 GDPR 요구 사항을 충족하는 데 도움이 되는 특정 기능 및 서비스를 제공하고 있습니다.

액세스 제어: 권한이 있는 관리자, 사용자 및 애플리케이션만 AWS 리소스에 액세스할 수 있도록 허용

• Multi-Factor-Authentication(MFA)
• Amazon S3 버킷 / Amazon SQS / Amazon SNS 등에 있는 객체에 대한 세분화된 액세스
• API 요청 인증
• 지리적 제약
• AWS Security Token Service를 통한 임시 액세스 토큰

모니터링 및 로깅: AWS 리소스의 활동에 대한 개요 확인

• AWS Config를 사용한 자산 관리 및 구성
• AWS CloudTrail을 사용한 규정 준수 감사 및 보안 분석
• AWS Trusted Advisor를 통한 구성 문제 식별
• Amazon S3 객체에 대한 액세스를 세분화하여 로깅
• Amazon VPC 흐름 로그를 통한 네트워크 내 흐름에 대한 상세 정보
• AWS Config Rules를 사용한 규칙 기반 구성 점검 및 조치
• AWS CloudFront의 AWS WAF 기능을 사용하여 애플리케이션에 대한 HTTP 액세스 필터링 및 모니터링

암호화: AWS상의 데이터를 암호화

• AES256을 사용하여 저장 데이터를 암호화(EBS/S3/Glacier/RDS)
• 중앙집중식 관리형 키 관리(AWS 리전별)
• VPN 게이트웨이를 사용한 AWS에 대한 IPsec 터널
• AWS CloudHSM에서 제공하는 클라우드 내 전용 HSM 모듈

강력한 규정 준수 프레임워크 및 보안 표준: 다음과 같은 엄격한 해외 표준의 준수를 입증합니다.

• ISO 27001 - 기술적 조치 관련 표준
• ISO 27017 - 클라우드 보안 관련 표준
• ISO 27018 - 클라우드 프라이버시 관련 표준
• SOC 1, SOC 2 및 SOC 3, PCI DSS 레벨 1,
• BSI의 Common Cloud Computing Controls Catalogue(C5)
• ENS 상위

AWS 서비스 약관의 일부인 영국 GDPR 부록은 EC가 채택한 SCC와 영국 데이터 보호 규제 기관(정보위원회)이 발행한 국제 데이터 전송 부록(IDTA)을 포함합니다.  IDTA는 적절한 개인 정보 보호 수준을 제공한다고 인정받지 않은 영국 외 국가(영국 외 제3국)로의 국제 데이터 전송에 대해 UK GDPR에 따른 적절한 보호 수단을 구성하도록 SCC를 개정합니다. 영국 GDPR 부록은 고객이 영국 GDPR의 적용을 받는 고객 데이터(영국 고객 데이터)를 AWS 서비스를 사용하여 영국 외 제3국으로 전송할 때 (IDTA에 의해 개정된) SCC가 자동으로 적용된다는 것을 확인합니다.  AWS 서비스 약관 내 영국 GDPR 부록의 일환으로, 고객이 AWS 서비스를 사용하여 영국 고객 데이터를 영국 외 제3국으로 전송할 때마다 (IDTA에 의해 개정된) SCC가 자동으로 적용될 것입니다.