NAVER CLOUD PLATFORM

네이버 클라우드 플랫폼과
GDPR 준수

GDPR(General Data Protection Regulation)은 유럽연합 정보주체의 개인정보 보호를 위해 개정된 개인정보보호법으로,
근래 20년 내 알려진 프라이버시 관련 법률 중 규제의 범위와 개념이 가장 넓혀진 것으로 평가되고 있습니다.
EU 거주인의 개인정보를 처리하는 전 세계 모든 회사는 이 법을 준수해야 합니다.

네이버 클라우드 플랫폼은 자체적인 GDPR 준수 뿐만 아니라, 고객이 스스로의 비즈니스 활동시,
적용되는 GDPR 준수에 도움이 되도록 최선을 다하고 있습니다.

다음

네이버 클라우드 플랫폼의 GDPR 준수 노력

네이버 클라우드 플랫폼은 자체적인 GDPR 준수를 위해 내부적으로 관련된 사항들을 면밀히 검토하여,
GDPR 준수를 입증하고, 고객의 개인정보 보호를 위한 위험을 해결하기 위해 최선의 노력을 하고 있습니다.


유수 법무법인과 협력하여 신뢰성 있는 규정 검토

개인정보 처리 요건이 까다로워진 GDPR 규정의 눈높이에 맞춰 고객 개인정보 처리의 적법성을 확보하고 최대치의 권리보장을 위해 국내 유수 법무법인과 EU 현지 법무법인을 통해 규정 준수를 위한 신뢰성 있는 법적 자문을 받았습니다.


GDPR compatible Privacy Notice update

공정하고 투명한 고객 개인정보 처리 보장을 위해 정보주체에게 제공해야 하는 내용 등 GDPR을 준수 하도록 Privacy Notice(개인정보처리방침)을 개정하여 공지하였습니다. 향후에도 Privacy Notice는 지속적으로 갱신하여 처리의 투명성 확보에 소홀함이 없도록 할 예정 입니다.


GDPR compatible DPA(Data Processing Addendum) 제공

네이버 클라우드 플랫폼을 사용하여 GDPR에 따라 고객 개인정보를 처리하는 경우 적용되는 합의된 계약사항으로 데이터 처리 부칙(Data Processing Addendum, 이하 DPA)을 제공합니다. 고객은 고객의 개인정보에 대한 컨트롤러이며, 네이버 클라우드 플랫폼은 고객의 데이터를 처리하는 프로세서로 지명됩니다. DPA에는 EU Model Clauses가 포함되는데, 유럽경제지역(EEA)에서 EU 역외 국가로 개인정보를 전송하려는 고객은 네이버 클라우드 플랫폼을 통해 EEA 환경과 동일한 높은 수준의 개인정보 보호를 약속 받을 수 있습니다.


Privacy by Design and Privacy by Default

본사는 GDPR 발효 이전부터 서비스 및 상품 설계 단계부터 개인정보 보호 뿐만 아니라, 보안을 고려한 기술개발을 기본원칙으로 준수하여 실천하고 있습니다. 또한 제공하는 상품과 서비스에 대해 개인정보 권리를 침해하지 않도록 정기적인 점검과 모니터링을 수행하고 있습니다.


인증 획득

GDPR에 따른 고객의 개인정보 보호를 위해 네이버 클라우드 플랫폼은 프로세서(processor)로서의 적절한 기술 및 조직적 조치 이행을 보증하기 위해 최우선으로 보안과 규정 준수에 투자하고 있습니다. 지속적으로 보안을 체계적으로 관리하는지 정의하는 ISO/IEC 27001 Information Security Managemen 및 클라우드 보안에 대한 ISO/IEC 27017 Security Controls for Cloud Services, ISO/IEC 27018 Protection of Personally Identifiable Information과 같은 엄격한 국제 표준 준수를 입증합니다. 또한, 글로벌 수준의 내부통제 감사 준수 관련 SOC(Service Organization Control) 2, 3 인증 및 안전한 결제 정보보호에 대한 국제 데이터 보안 표준인 PCI DSS(PCI Security Standard Council) 인증을 획득하였습니다. 그리고, 국내 클라우드 서비스 제공사로는 처음으로 CSA STAR Certification 인증을 획득하여 클라우드 서비스 보안관리 활동이 효과적으로 수행되고 있음을 검증 받았습니다. 앞으로도 네이버 클라우드 플랫폼은 자사의 보안 및 개인정보 보호 수준을 검증 받고 고객에게 지원하기 위한 인증을 계속 추구합니다.

고객의 GDPR 규정
준수 지원

암호화

  • 개인정보 및 데이터의 암호화 지원을 통해 기밀성 보장

  • KMS, SSL VPN, IPSec VPN, Data Teleporter 등 


모니터링 및 로깅

  • 클라우드 자산에 대한 개요 제공 및 보안 모니터링과 그 로그를 통해 무결성 및 가용성 보장

  • Basic Security, Security Monitoring, App Safer, Site Safer,
 File Safer, Web Security Checker, System Security Checker, App Security Checker, Cloud Log Analytics 등



접근제어

  • 권한 있는 관리자나 사용자, 어플리케이션만 NCP리소스에 접근할 수
 있도록 허용
  • ACG, Secure Zone, CAPTCHA, API Gateway, Sub Account 등

가용성 및 복원력

  • 지속적인 처리 및 사고시 적시에 복원할 능력


  • 백업, Multi Zone, Global Region, Monitoring, Web service
 Monitoring System, Network Traffic Monitoring 등 


암호화

  • 사용자의 발음을 텍스트로 변환하는 음성 인식 기능이 필요
  • 타사 음성 인식 API 사용 시 느린 속도와 텍스트 변환 결과에 대한 이슈 존재

접근제어

  • 권한 있는 관리자나 사용자, 어플리케이션만 NCP리소스에 접근할 수 있도록 허용
  • ACG, Secure Zone, CAPTCHA, API Gateway, Sub Account 등

모니터링 및 로깅

  • 클라우드 자산에 대한 개요 제공 및 보안 모니터링과 그 로그를 통해 무결성 및 가용성 보장
  • Basic Security, Security Monitoring, App Safer, Site Safer, File Safer, Web Security Checker, System Security Checker, App Security Checker, Cloud Log Analytics 등

가용성 및 복원력

  • 지속적인 처리 및 사고시 적시에 복원할 능력
  • 백업, Multi Zone, Global Region, Monitoring, Web service Monitoring System, Network Traffic Monitoring 등

GDPR FAQ

GDPR이란 무엇입니까?
GDPR(General Data Protection Regulation)은 2018년 5월 25일부터 시행되는 새로운 유럽연합의 개인정보 보호법입니다. GDPR은 EU 데이터 보호 지침(Directive 95/46/EC)을 대체하게 되며, 각 EU 회원국에 구속력이 있는 단일 데이터 보호법을 적용함으로써 EU 전체에 포괄적으로 적용하는 강력한 프라이버시 관련 법률입니다.
GDPR 준수 대상은 누구 입니까?
GDPR은 개인정보를 처리하는 (1)EU 내에 설립된 모든 사업장과 (2)EU 내에 설립되어 있지 않더라도 EU 정보주체에게 제품이나 서비스를 제공하거나, EU내 활동을 모니터링 하는 조직에 적용됩니다.
즉, 유럽 뿐만 아니라, 전세계 기업에 적용 가능합니다.
이전 EU Directive와 비교시, GDPR 시행으로 달라진 점은 무엇입니까?
기존 Directive는 권고 차원의 규정인데 반해, GDPR은 모든 회원국에 동일하게 적용되는 구속력 있는 법률입니다. 규정내용에서는 DPO(Data Protection Officer) 지정, 개인정보 처리 활동의 기록∙유지, 개인정보 영향평가 실시, 역내 대리인 지정 등 기업의 책임성 강화 내용과 처리 제한권, 정보 이동권 등 정보주체 권리를 신설하는 내용이 추가 되었습니다.
네이버 클라우드 플랫폼은 GDPR에 대비하여 어떤 준비를 하고 있습니까?
네이버 클라우드 플랫폼은 GDPR 이전에도 보안과 개인정보 보호를 최우선에 두고 국내외 관련 법률 준수 및 자체적인 정책과 기술에 많은 투자를 해왔습니다.
더불어 GDPR에 대비하여 네이버 클라우드 플랫폼에서 처리되는 개인정보 현황을 점검하고, GDPR 요구사항을 충족시키도록 하는 NCP서비스의 준비상태를 검토했습니다. 또한, GDPR 규정을 충족하는 데이터 처리 계약을 고객에게 제공하여 GDPR을 준수해야 하는 모든 고객에게 자동 적용 됩니다.
GDPR에 따른 고객의 개인정보 보호를 위해 네이버 클라우드 플랫폼은 프로세서(processor)로서의 적절한 기술 및 조직적 조치 이행을 보증하기 위해 최우선으로 보안과 규정 준수에 투자하고 있으며, 이를 증명하기 위한 ISO/IEC 27001, 27017, 27018 인증 및 SOC 2, 3 인증, PCI DSS(PCI Security Standard Council) 인증을 획득하였습니다. 그리고, 국내 클라우드 서비스 제공사로는 처음으로 CSA STAR Certification 인증을 획득하였습니다.
네이버 클라우드 플랫폼에서 고객이 GDPR을 준수하는데 도움이 되도록 제공하는 서비스에는 어떤 것이 있습니까?
고객은 NCP 상의 고객의 비즈니스 자산에 포함된 제3자의 개인정보에 대한 컨트롤러로서, 적절한 보안수준을 보장하기 위해 적절한 기술적/관리적 조치를 이행해야 합니다.
(1) 개인정보의 가명처리 및 암호화
(2) 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장할 능력
(3) 물리적 또는 기술적 사고가 발생하는 경우 개인정보의 가용성 및 접근을 적시에 복원할 능력
(4) 처리의 보안을 보장하는 기술적 및 관리적 조치의 효율성을 정기적으로 시험하고 평가하는 과정
NCP는 고객이 이러한 GDPR 요구사항을 충족하는데 도움이 되는 다음의 특정 기능과 서비스를 제공하고 있습니다.
O 암호화(개인정보 및 데이터의 암호화 지원을 통해 기밀성 보장)
KMS, SSL VPN, IPSec VPN, Data Teleporter 등
O 모니터링 및 로깅(NCP 자산에 대한 개요 제공 및 보안 모니터링과 그 로그를 통해 무결성 및 가용성 보장)
Basic Security, Security Monitoring, App Safer, Site Safer, File Safer, Web Security Checker, System Security Checker, App Security Checker, Cloud Log Analytics 등
GDPR을 준비하기 위해 고객이 할 수 있는 일은 무엇입니까?
GDPR 적용 여부 및 GDPR 규정 준수를 위한 개선 소요시간 등을 고려하여 전략적으로 3단계로 나누어 준비할 수 있습니다.
개인정보 처리 현황을 점검 하여 GDPR 적용 대상인지 확인 => GDPR 적용대상인 경우, GDPR 규정 중 즉시 개선 가능한 규정부터 이행 => GDPR 기준에 적합한 개인정보 처리 절차 및 근거 획득 등 내부 정책 및 기술적 조치 등에 소요되는 예산, 조직 등 보완의 절차를 고려할 수 있습니다.
https://www.kisa.or.kr/business/gdpr/gdpr_tab3.jsp
다음은 GDPR 준수를 위해 도움이 될 수 있는 핵심 사항 입니다.
O 준수 범위: EU내 설립된 모든 조직 외에 EU 외부에 설립되었더라도 조직의 활동에 따라 GDPR의 적용을 받을 수 있습니다.
O 주요 원칙: 개인정보를 처리하는 6대 원칙과 그 처리의 정당성을 확보하기 위한 6가지 적법 기준을 이해하고, 이를 문서화 하는 책임성의 원칙을 준수해야 합니다.
O 정보주체 권리: 비즈니스에서 개인정보 데이터의 흐름을 식별하여, 데이터 이동권, 처리 반대권 등 정보주체 권리 행사 요구를 수용할 수 있는 정책과 기술적 조치를 취해야 합니다.
O 컨트롤러와 프로세서: GDPR 대부분이 이들의 의무사항에 대한 규정이므로, 역할을 식별하고, 각각의 주체별로 수행해야 하는 규정을 이해함이 중요합니다. 세부적으로 DPO 지정, 대리인 지정, 개인정보 처리 활동의 기록, 개인정보 영향평가, Data protection by design and by default, 개인정보 침해 사고 신고 및 통지 등의 준수 의무가 있습니다.
O 개인정보의 EU 역외 이전: GDPR에서는 개인정보의 적절한 보호 수준이 보장 된다면, 역외로의 이전을 허용하고 있습니다. 역외 이전을 위한 세부적인 규정을 이해하고 적절한 메커니즘을 선택해야 합니다.
네이버 클라우드 플랫폼은 GDPR에서 컨트롤러 입니까? 프로세서 입니까?
네이버 클라우드 플랫폼은 GDPR에서 컨트롤러이자 프로세서 입니다.
O 컨트롤러로서의 네이버 클라우드 플랫폼: 서비스의 고객 계정과 결제 정보 관련 개인정보를 수집하고, 고객 문의 및 운영 지원을 위해 수집한 개인정보의 처리 목적과 방법을 결정 하는 경우에는 네이버 클라우드 플랫폼이 컨트롤러의 역할을 합니다.
O 프로세서로서의 네이버 클라우드 플랫폼: 고객과 파트너가 본 서비스를 이용하여 고객과 파트너 비즈니스 컨텐츠 내의 개인정보를 처리 할 때는 네이버 클라우드 플랫폼은 프로세서 역할을 하게 됩니다. 고객과 파트너는 네이버 클라우드 플랫폼의 상품과 서비스를 이용하여 자사 컨텐츠내 개인정보를 처리할 수 있습니다. 이런 경우, 고객과 파트너는 컨트롤러 또는 프로세서 역할을 할 수 있고, 네이버 클라우드 플랫폼은 프로세서 도는 하위 프로세서(subprocessor) 역할을 하게 됩니다. 네이버 클라우드 플랫폼은 프로세서로서의 역할과 노력이 반영된 GDPR 관련 DPA(Data Processing Addendum)를 제공합니다.
네이버 클라우드 플랫폼은 GDPR 준수 DPA(Data Processing Addendum)을 제공 합니까?
클라우드 서비스를 이용하여 개인정보를 처리하는 모든 고객은 GDPR을 준수하려면, 클라우드 서비스 제공업체와 데이터 처리 계약을 체결해야 합니다. 네이버 클라우드 플랫폼은 고객에게 GDPR 준수 DPA를 제공합니다. 이를 통해 다음과 같은 여러가지 중요한 보증을 제공합니다.
O 네이버 클라우드 플랫폼은 고객과의 계약에 따라서만 고객의 데이터를 처리 합니다.
O 네이버 클라우드 플랫폼은 네이버 클라우드 플랫폼 제품과 서비스 이용에 대해 강력하고 유연한 기술적/관리적 보호조치를 적용하고 있습니다.
O 네이버 클라우드 플랫폼은 개인정보 유출 사고 인지시 부당한 지체 없이 고객에게 이를 통보합니다.
O 네이버 클라우드 플랫폼은 고객의 요청에 따라 개인정보 보호 및 보안 표준에 관한 인증서를 제공합니다.
GDPR은 고객과 네이버 클라우드 플랫폼 간의 관계에 어떤 영향을 미칩니까?
클라우드 서비스 제공업체는 통상 IaaS, PaaS, SaaS 형태의 서비스를 고객에게 제공하고 있습니다. 이런 환경에서 보안과 규제의 준수는 클라우드 서비스 제공업체와 고객간의 공동 책임 입니다. 이러한 공유 모델을 통해 고객은 인프라 운영 뿐 만 아니라, 보안과 규제 준수 부담도 일부 덜 수 있다는 장점이 있습니다.
GDPR 이라는 규제 환경에서도 마찬가지 입니다. 네이버 클라우드 플랫폼은 프로세서 또는 서브프로세서로서, 클라우드를 지원하는 기본 인프라 - 하드웨어, 소프트웨어, 네트워크 및 물리적 시설 등 - 를 보호할 책임이 있습니다. 고객은 컨트롤러 또는 처리자 역할에서 네이버 클라우드 플랫폼에 저장하는 컨텐츠 내 모든 개인정보 처리에 대한 책임이 있습니다.