뉴질랜드 데이터 프라이버시

개요

뉴질랜드 고객은 아시아 태평양(시드니) 리전에서 애플리케이션과 워크로드를 실행하여 선수금, 장기 약정, 그리고 자체 인프라를 유지 관리하고 운영할 때 발생하는 확장 문제 없이 호주와 뉴질랜드에 기반을 둔 고객의 최종 사용자에 대한 지연 시간을 줄일 수 있습니다.

개인 정보 취급 시 주요 요구 사항은 개인 정보 보호법의 일부인 정보 프라이버시 원칙("IPP")에 명시되어 있습니다. IPP는 뉴질랜드의 개인에게서 개인 정보를 수집하고, 수집된 개인 정보를 관리, 사용, 공개 및 처리하는 데 대해 요구 사항을 부과합니다.

개인 정보 보호법은 보안 주체와 대리인 간에 구분을 둡니다. 엔터티(대리인)는 다른 엔터티(보안 주체)를 대신하여 개인 정보를 저장 또는 처리할 목적으로만 개인 정보를 유지하고 자신의 목적을 위해 개인 정보를 사용 또는 공개하지 않는 경우에 정보는 보안 주체가 보유하는 것으로 간주합니다. 이 경우 IPP를 준수할 기본 책임은 보안 주체에게 있습니다. IPP 요구 사항이 나와 있는 전체 표를 보려면 여기를 클릭하세요.

• 고객은 자신의 콘텐츠 보안에서 어떤 역할을 합니까?

  AWS 공유 책임 모델에 따라, 현장 데이터 센터의 애플리케이션을 보호할 때와 마찬가지로 콘텐츠, 플랫폼, 애플리케이션, 시스템 및 네트워크를 보호하기 위해 어떤 보안을 구현할지는 AWS 고객이 제어합니다. 고객은 자사의 규정 준수 요구 사항을 관리하기 위해 AWS에서 제공되는 기술적 및 조직적 보안 대책 및 제어를 기반으로 구축할 수 있습니다. 고객은 AWS Identity and Access Management와 같은 AWS 보안 기능 이외에도, 암호화 및 멀티 팩터 인증 등 친숙한 방법을 사용하여 데이터를 보호할 수 있습니다.

  클라우드 솔루션의 보안을 평가할 때 고객이 다음의 차이를 이해하고 구별하는 것이 중요합니다.

  • AWS가 구현 및 운영하는 보안 조치 – "클라우드의 보안"
  • 고객 콘텐츠 및 AWS 서비스를 사용하는 애플리케이션 보안과 관련하여 고객이 구현하고 운영하는 보안 조치 – "클라우드에서의 보안"

  

• 누가 고객 콘텐츠에 액세스할 수 있습니까?

  고객은 자신의 고객 콘텐츠에 대한 소유권 및 제어권을 유지하고 고객 콘텐츠를 처리, 저장 및 호스팅할 AWS 서비스를 선택합니다. AWS는 고객 콘텐츠에 대한 가시성을 갖지 않으며 고객이 선택한 AWS 서비스를 제공하거나 법 또는 법적 구속력이 있는 지시를 준수해야 하는 경우를 제외하고 고객 콘텐츠를 액세스하거나 사용하지 않습니다.

  AWS 서비스를 사용하는 고객은 AWS 환경 내에서 콘텐츠에 대한 제어를 유지합니다. 다음과 같이 할 수 있습니다.

  • 스토리지 환경 유형, 해당 스토리지의 지리적 위치 등 콘텐츠가 위치할 장소를 결정합니다.
  • AWS가 제공한 암호화 또는 고객이 선택한 타사 암호화 메커니즘을 사용하여 평문, 마스킹, 익명화, 암호화 등 콘텐츠 형식을 제어합니다.
  • 자격 증명, 액세스 관리, 보안 자격 증명 등 기타 액세스 제어를 관리합니다.
  • SSL, Virtual Private Cloud 및 기타 네트워크 보안 조치를 제어하여 승인되지 않은 액세스를 방지합니다.

  이를 통해 AWS 고객은 콘텐츠 분류, 액세스 제어, 보존 및 폐기를 비롯해 AWS에서 콘텐츠의 전체 수명 주기를 제어하고, 자체 특정 요구 사항에 따라 콘텐츠를 관리할 수 있습니다.

• 고객 콘텐츠는 어디에 저장됩니까?

  AWS 데이터 센터는 전 세계 여러 위치에서 클러스터를 기반으로 구축됩니다. AWS에서는 해당 위치에 있는 각 데이터 센터 클러스터를 "리전"이라고 부릅니다.

  AWS 고객은 콘텐츠가 저장된 AWS 리전을 선택합니다. 이를 통해 지리적 위치에 대한 특정 요구 사항이 있는 고객이 원하는 위치에 환경을 구축할 수 있습니다.

  예를 들어 현재 AWS는 뉴질랜드에서 리전을 운영하지 않지만, 뉴질랜드의 AWS 고객은 아시아 태평양(시드니) 리전에서만 AWS 서비스를 배포하고 콘텐츠를 호주에 저장하도록 선택할 수 있습니다. 이런 경우 고객이 콘텐츠를 이동하지 않는 한, 고객 콘텐츠는 호주에 위치하게 됩니다.
  

  고객은 하나 이상의 리전에 콘텐츠를 복제 및 백업할 수 있습니다. 하지만 AWS는 고객이 요청한 서비스를 제공하거나 준거법을 준수하기 위한 경우를 제외하고, 고객의 콘텐츠를 고객이 선택한 리전 이외의 장소로 이동하지 않습니다.
  

• AWS에서는 데이터 센터의 보안을 어떻게 유지합니까?

  AWS 데이터 센터 보안 정책은 고객의 정보를 보호할 수 있도록 확장 가능한 보안 제어 및 다중 방어층으로 구성됩니다. 예를 들어, AWS는 잠재적 홍수 및 지진 활동 위험을 중앙에서 관리합니다. 물리적 장벽, 보안 경비, 위협 탐지 기술 및 깊이 있는 선별 과정을 사용하여 데이터 센터에 대한 액세스를 제한합니다. 시스템을 백업하고, 장비 및 프로세스를 정기적으로 테스트하고, AWS 직원을 지속적으로 교육하여 예상 밖의 상황에 대비합니다.

  데이터 센터의 보안을 검증하기 위해, 외부 감사 기관이 연중 내내 2,600개 이상의 표준 및 요건에 대한 테스트를 수행합니다. 이러한 독립적인 검사는 보안 표준이 일관되게 충족되거나 초과되도록 보장하는 데 도움이 됩니다. 그에 따른 결과로, 세계에서 가장 규제가 심한 조직들이 데이터를 보호하기 위해 AWS를 신뢰하고 있습니다.

  가상 투어를 통해 » 설계 면에서 AWS 데이터 센터를 안전하게 보호하는 방법을 알아보십시오.

• 어떤 AWS 리전을 사용할 수 있습니까?

  고객은 하나의 리전, 여러 리전의 조합 또는 모든 리전을 사용할 수 있습니다. AWS 리전의 전체 목록을 보려면 AWS 글로벌 인프라 페이지를 방문하십시오.

• AWS에서는 시스템을 보호하기 위해 어떤 보안 조치를 취하고 있습니까?

  AWS 클라우드 인프라는 현존하는 플랫폼 중 가장 유연하고 안전한 클라우드 컴퓨팅 환경이 되도록 설계되었습니다. Amazon의 규모 덕분에 다른 어느 대기업이 자체적으로 감당할 수 있는 것보다 보안 정책 및 대책에 훨씬 더 많은 투자를 할 수 있습니다. 이 인프라는 AWS 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성되며, 고객과 APN 파트너에 개인 데이터 처리를 위한 강력한 제어 항목(보안 구성 제어 항목 등)을 제공합니다. 보안 수준을 일관되게 높게 유지하기 위해 AWS가 구현한 조치에 대해 자세히 알아보려면 AWS 보안 프로세스 개요 백서를 확인하세요.

  또한, AWS에서는 ISO 27001, ISO 27017 및 ISO 27018을 비롯하여 다양한 보안 표준과 규제를 준수하는지 테스트하고 확인한 타사 감사자의 여러 규정 준수 보고서를 제공합니다. 이러한 조치의 효과를 투명하게 밝히기 위해 AWS에서는 AWS 아티팩트의 타사 감사 보고서에 액세스할 수 있도록 하고 있습니다. 이러한 보고서는 데이터 통제자 또는 데이터 처리자의 역할을 할 수 있는 고객과 APN 파트너에게 AWS가 개인 데이터를 저장 및 처리하는 기본 인프라를 보호하고 있음을 보여줍니다. 자세한 내용은 AWS 규정 준수 리소스를 참조하세요.
  

• New Zealand Notifiable Data Breaches(NDB) 제도의 경우에는 어떻습니까?

  AWS는 뉴질랜드 개인 정보 보호법의 적용을 받으며 NDB 체계에서 다루는 개인 정보를 저장하고 처리하는 데 AWS를 활용하는 고객에게 두 가지 유형의 NZNDB(New Zealand Notifiable Data Breaches) Addendum을 제공합니다. NZNDB Addendum은 보안 이벤트가 데이터에 영향을 미칠 경우 고객의 알림 요구 사항을 해결해 줍니다. AWS는 AWS Artifact(AWS 관리 콘솔에서 액세스할 수 있는 고객용 감사 및 규정 준수 포털)의 클릭률 계약으로서 두 가지 유형의 NZNDB Addendum을 모두 온라인으로 제공합니다. 첫 번째 유형인 계정 NZNDB Addendum은 계정 NZNDB Addendum을 수락하는 특정 개별 계정에만 적용됩니다. 계정 NZNDB Addendum은 고객이 관리해야 하는 각 AWS 계정별로 별도로 수락해야 합니다. 두 번째 유형인 조직 NZNDB Addendum은 AWS Organizations의 마스터 계정 및 해당 AWS 조직의 모든 멤버 계정에 적용됩니다. 고객이 조직 NZNDB Addendum을 필요로 하지 않거나 활용하기를 원치 않더라도 개별 계정에 대해 계정 NZNDB Addendum을 수락할 수 있습니다. NZNDB Addendum과 관련한 자주 묻는 질문과 답은 AWS Artifact FAQ에서 참조할 수 있습니다.