캐나다 데이터 프라이버시

개요


AWS 고객은 캐나다 연방, 주 및 준주 지역의 개인 정보 보호법에 따른 의무를 이행하는 방식으로 AWS 환경을 설계 및 구현하고 AWS 서비스를 이용할 수 있습니다.

고객은 언제든 AWS에 저장된 콘텐츠를 관리하고 액세스하는 방법을 제어할 수 있습니다. AWS는 고객의 데이터가 캐나다 개인 정보 보호법을 준수해야 하는 대상인지 여부를 포함하여 고객이 자사 서비스에 업로드하는 데이터의 내용을 알지 못하며, 해당하는 모든 법을 준수할 책임은 전적으로 고객에게 있습니다.

데이터 전송 협정이라고도 하는 AWS 데이터 처리 부록(AWS DPA)은 국제적으로 적용되며, 개인 데이터 보호와 보안과 관련된 각 당사자의 역할과 의무 사항을 적절히 돌보기 위한 구체적인 계약상의 약정을 포함합니다.

캐나다에는 개인 정보 보호와 관련된 여러 법률이 있습니다. 이러한 법률의 집행은 연방, 주 및 준주 차원의 다양한 정부 기관 및 기관에 의해 처리됩니다.

연방 차원에서는 개인 정보 보호 및 전자 문서법(PIPEDA)이 민간 부문 내에서의 개인 정보 수집, 사용 및 공개에 적용될 수 있으며, 공공 부문에는 개인 정보 보호법이 적용될 수 있습니다. 두 법률의 적용은 캐나다 개인 정보 보호국(OPC)에서 감독합니다.

또한 일부 캐나다 주 및 관할 지역에서는 공공 및 민간 부문에 적용되는 독자적인 개인 정보 보호법뿐만 아니라 개인 의료 정보와 같은 특정 유형의 개인 데이터와 관련된 보호법도 도입했습니다. OPC 웹사이트에 이러한 주 및 준주 법률 및 당국에 대한 개요가 나와 있습니다.

캐나다에서 데이터를 처리하려는 고객은 몬트리올 근처의 AWS 캐나다(중부) 리전과 캘거리 근처의 캐나다(서부) 리전을 이용할 수 있습니다. AWS 리전 및 서비스의 전체 목록을 보려면 글로벌 인프라 페이지를 방문하세요.

FAQ


  • AWS 고객이 PIPEDA, 개인 정보 보호법 또는 여타 모든 캐나다 개인 정보 보호법 요구 사항 대상인지 여부 및 적용 정도는 고객의 사업 분야와 사용 사례에 따라 다릅니다. 자사에 적용되는 개인 정보 보호법을 이해하고자 하는 고객은 직접 법률 자문을 구하시기 바랍니다.

  • 캐나다 개인 정보 보호법의 적용을 받는 고객은 개인 정보의 수집, 액세스, 사용, 공개 및 보호와 관련한 요구 사항을 준수해야 합니다. AWS는 AWS 서비스를 사용할 때 콘텐츠가 저장되거나 처리되는 방식을 고객이 제어하도록 합니다. 여기에는 콘텐츠 보안 방법과 해당 콘텐츠에 액세스할 수 있는 사람에 대한 제어가 포함됩니다. AWS는 고객이 AWS에 저장하는 개인 정보의 보안에 도움이 되도록 고객이 구성하고 사용할 수 있는 서비스를 제공합니다. 적용되는 개인 정보 보호 요구 사항에 부합하는 솔루션을 설계하는 것은 고객의 책임입니다.

    AWS는 AWS 규정 준수 리소스 페이지를 통해 워크북, 백서 및 모범 사례 가이드를 제공하며 고객은 요청 시 AWS Artifact에서 AWS 서드 파티 감사 보고서에 액세스할 수 있습니다.

  • 고객은 담당 법률 고문과 상의하여 자신의 조직 및 사용 사례에 어떤 캐나다 개인 정보 보호법 또는 기타 의무가 적용될 수 있는지 알아보아야 합니다.

  • 캐나다 개인 정보 보호법의 적용을 받는 주체는 개인 정보를 보호하기 위한 조치를 취해야 합니다. 보안 및 규정 준수 의무를 충족하기 위해 암호화가 필요한지 여부를 결정하는 것은 각 고객의 책임입니다.

    AWS는 저장 및 전송 데이터를 암호화할 것을 모범 사례로 권장합니다. 추가 지침은 Encrypting Data-at-Rest and Data-in-Transit(저장 데이터 및 전송 데이터 암호화)를 참조하세요.

  • 클라우드 솔루션의 보안을 평가할 때 고객이 다음의 차이를 이해하고 구별하는 것이 중요합니다.

    • AWS가 구현 및 운영하는 보안 조치 - ‘클라우드 자체의 보안’
    • 고객 콘텐츠 및 AWS 서비스를 사용하는 애플리케이션의 보안과 관련하여 고객이 구현 및 운영하는 보안 조치 - ‘클라우드 내부의 보안’

    AWS Shared Responsibility Model에 따라, 현장 데이터 센터의 애플리케이션을 보호할 때와 마찬가지로 콘텐츠, 플랫폼, 애플리케이션, 시스템 및 네트워크를 보호하기 위해 어떤 보안을 구현할지는 AWS 고객이 제어합니다. 고객은 AWS Identity and Access Management(IAM)와 같은 AWS 보안 서비스 및 기능에 더해 암호화 및 다중 인증과 같은 익숙한 보안 조치를 사용하여 데이터를 보호하고 규정 준수 요구 사항을 해결할 수 있습니다.

  • 고객은 자신의 고객 콘텐츠에 대한 소유권 및 제어권을 유지하고 고객 콘텐츠를 처리, 저장 및 호스팅할 AWS 서비스를 선택합니다. AWS는 고객이 선택한 AWS 서비스를 유지 또는 제공하는 데 필요한 경우 또는 AWS 이용 계약에 명시된 법률 또는 정부 기관의 구속력 있는 명령을 준수하는 데 필요한 경우를 제외하고 고객 콘텐츠에 액세스하거나 고객 콘텐츠를 사용하지 않습니다.

    AWS 서비스를 사용하는 고객은 AWS 환경 내에서 콘텐츠에 대한 제어를 유지합니다. 다음과 같이 할 수 있습니다.

    • 스토리지 환경 유형, 해당 스토리지의 지리적 위치를 선택하여 콘텐츠가 위치할 장소를 결정합니다.
    • AWS가 제공한 암호화 또는 고객이 선택한 서드 파티 암호화 메커니즘을 사용하여 평문, 마스킹, 익명화, 암호화 등 콘텐츠 형식을 제어합니다.
    • AWS Identity and Access Management(IAM)와 같은 액세스 제어를 관리하고
    • 암호화, Amazon Virtual Private Cloud(VPC) 기능 및 기타 네트워크 및 데이터 보안 조치를 사용하여 무단 액세스를 방지할지 여부를 제어합니다.

    이를 통해 AWS 고객은 콘텐츠 분류, 액세스 제어, 보존 및 폐기를 비롯해 AWS에서 자체 콘텐츠의 전체 수명 주기를 제어하고, 특정 요구 사항에 따라 콘텐츠를 관리할 수 있습니다.

  • AWS 글로벌 인프라에서는 워크로드를 실행할 방법과 위치를 유연하게 선택할 수 있습니다. 고객은 자신의 고객 콘텐츠를 저장할 AWS 리전을 선택합니다. 이를 통해 특정 요구 사항에 따라 자신이 선택한 위치에서 AWS 서비스를 배포할 수 있습니다. 다른 유연한 스토리지 옵션을 알아보려면 AWS 리전 웹 페이지를 참조하세요.

    고객은 둘 이상의 AWS 리전에서 고객 콘텐츠를 복제 및 백업할 수 있습니다. AWS에서는 법률을 준수하거나 정부 기관의 법적 효력이 있는 명령이 있을 경우를 제외하고 고객의 동의 없이 고객이 선택한 AWS 리전 외부로 콘텐츠를 이동하지 않습니다. 하지만 모든 AWS 서비스를 모든 AWS 리전에서 사용할 수 있는 것은 아님을 유의해야 합니다. 어떤 AWS 리전에서 어떤 서비스를 사용할 수 있는지 자세히 알아보려면 AWS 리전 서비스 웹 페이지를 참조하세요.

  • AWS는 애플리케이션과 워크로드를 구축, 마이그레이션 및 관리할 수 있는 가장 안전한 글로벌 클라우드 인프라로 설계되었습니다. 이 인프라는 AWS 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성되며, 개인 데이터 처리를 위한 강력한 제어 항목(보안 구성 제어 항목 등)을 고객에게 제공합니다.

    AWS는 ISOC 2 Type 2, ISO 27001, ISO 27017 및 ISO 27018을 비롯하여 다양한 보안 표준을 준수하는지 테스트하고 확인한 서드 파티 감사자의 여러 규정 준수 보고서를 제공합니다. 캐나다에서는 Canadian Centre for Cyber Security에서도 AWS 서비스를 평가합니다.

    이러한 조치의 효과를 투명하게 밝히기 위해 AWS에서는 AWS Artifact에서 서드 파티 감사 보고서에 액세스할 수 있도록 하고 있습니다. 고객은 이러한 보고서에서 AWS가 개인 데이터를 저장 및 처리하는 기본 인프라를 보호하고 있음을 확인할 수 있습니다. 자세한 내용은 AWS 규정 준수 리소스를 참조하세요.

  • AWS 데이터 센터 보안 정책은 고객의 정보를 보호할 수 있도록 확장 가능한 보안 제어 및 다중 방어 계층으로 구성됩니다. 예를 들어 AWS는 잠재적 홍수 및 지진 활동 위험을 중앙에서 관리합니다. 물리적 장벽, 보안 경비, 위협 탐지 기술 및 깊이 있는 선별 과정을 사용하여 데이터 센터에 대한 액세스를 제한합니다. 시스템을 백업하고, 장비 및 프로세스를 정기적으로 테스트하며, AWS 직원을 지속적으로 교육하여 예상 밖의 상황에 대비합니다.

    데이터 센터의 보안을 검증하기 위해, 외부 감사 기관이 연중 내내 2,600개 이상의 표준 및 요건에 대한 테스트를 수행합니다. 이 독립적인 검사는 보안 표준이 일관되게 충족되거나 초과되도록 보장하는 데 도움이 됩니다. 그에 따른 결과로, 세계에서 가장 규제가 심한 조직들이 데이터를 보호하기 위해 AWS를 신뢰하고 있습니다.

    가상 투어를 통해 AWS 데이터 센터의 보안 설계에 대해 자세히 알아보세요.