컴플라이언스 지원

클라우드 환경에서의 고객 비즈니스 지속 성장을 위해
고객의 IT환경이 국내외 규정을 준수할 수 있도록 지원합니다.

금융회사 및 전자금융업자는 금융분야 클라우드 서비스 이용가이드 및 전자금융감독규정을 준수해야 합니다.
네이버 클라우드 플랫폼은 금융 전담조직 운영을 통해 강력하고 신속한 금융 컴플라이언스 지원 체계를 갖추고 있습니다.

financial-img

금융 클라우드 이용 전반에 걸친 강력한 컴플라이언스 지원

상용 클라우드를 통한 전자금융업무 수행에는 복잡한 금융 컴플라이언스가 요구됩니다. 전자금융감독규정에 명시된 보안 요구사항을 클라우드 환경에서도 준수함과 동시에, ‘제14조2 클라우드컴퓨팅서비스 이용 절차 등’에 따라 클라우드컴퓨팅서비스 제공자(CSP)가 적합한 클라우드 보안 환경과 서비스를 갖추었는지 평가를 수행해야 합니다. 네이버클라우드는 이러한 클라우드 이용 전반에서 발생하는 컴플라이언스 요구사항을 사전 분석하고 지원하는 체계를 구축하고 있습니다.

독립된 금융전용 Zone을 통한 금융 컴플라이언스 특화관리

네이버클라우드는 금융 컴플라이언스 준수력 제고를 위해 비금융 산업과 물리적으로 완전히 분리된 금융전용 Zone을 운영합니다. 분리된 인프라 환경 운영으로 온프레미스(On-premise) 환경에서 금융고객이 준수하는 다양한 금융 컴플라이언스를 네이버 클라우드 플랫폼에서도 동일하게 구현할 수 있습니다. 이러한 활동을 통해, 금융회사의 접근권 및 감사권 수용에도 최적화된 ‘실질적인 금융 특화 클라우드’ 환경을 선도하고 있습니다.

신속한 CSP 종합평가 및 정기평가 지원

금융회사 및 전자금융업자는 클라우드 이용 전 클라우드컴퓨팅서비스 제공자(이하, CSP)의 안전성을 평가하게 됩니다. 이 중 ‘기본 보호조치’는 국내 · 외 클라우드 보안인증(4가지)* 을 취득한 경우 생략이 가능합니다.
* 국내 · 외 클라우드 보안인증(4가지) : 국내 CSAP (KISA), 해외 (FedRAMP(High), CSA STAR Gold, MTCS Level3
네이버클라우드는 CSAP (KISA), CSA STAR Gold, MTCS Level3 인증을 보유하여, 금융회사의 CSP 안전성 평가를 신속하고 효율적으로 지원할 수 있습니다. 또한, 클라우드 도입 이후 수행되는 ‘연간 정기평가’에 대비하고자 보안증적 을 확보하여 제공합니다. 이처럼 ‘CSP 평가 절차’가 고객의 클라우드 비즈니스의 적시 구현에 걸림돌이 되지 않도록 체계적인 지원절차를 마련하고 있습니다.

통제분야
1. 정보보호 정책 및 조직
2. 인적보안
3. 자산관리
4. 서비스 공급망 관리
5. 침해사고 관리
6. 서비스 연속성 관리
7. 준거성
8. 물리적 보안
9. 가상화 보안
10. 접근통제
11. 네트워크 보안
12. 데이터 보호 및 암호화
13. 시스템 개발 및 도입 보안

<CSP 안전성 평가 중 기본 보호조치 13개 항목>

금융 컴플라이언스 지원체계의 핵심, ‘금융규제 대응팀’ 운영

금융회사는 클라우드 이용을 위해 다양하고 복잡한 컴플라이언스 준수 의무에 직면하게 됩니다. 네이버클라우드는 ‘금융규제 대응팀’을 별도 운영하여 이러한 컴플라이언스 준수 의무를 지원 합니다. ‘금융규제 대응팀’은 금융 클라우드 관련 컴플라이언스의 변화를 분석하여, 금융고객 요청 이전에 금융전용 ZONE에 사전 적용하고, 고객이 필요한 각종 보안증적 및 자료들을 적시 제공하기 위한 활동을 수행하는 등 다양한 컴플라이언스 예측 및 대응 활동을 수행합니다.
또한, 위와 같은 직접적인 클라우드 컴플라이언스 지원활동 이외에도, 금융사가 클라우드 이용활동 간 연계 수행할 것으로 예상되는 ‘자체 보안성 심의(전자금융감독규정 제36조)’ 등을 고려하여 내부 서비스를 설계하는 등 광범위한 지원 활동을 수행하고 있습니다.

금융분야 클라우드컴퓨팅서비스 이용 가이드 준수활동 지원

금융회사는 CSP 평가 이외에도, 전자금융감독규정 및 클라우드 관련 가이드 준수를 요구 받게 되며(금융부문 추가보호조치 등) 이를 위해 CSP사의 명확한 지원 및 협조체계가 필수적입니다.
네이버클라우드는 사고보고 및 분석 등을 위해 금융위원회, 금융감독원, 침해사고대응기관의 협조요청에 효과적으로 대응하고, 전산장애 및 전자적 침해행위 등 발생 시 금융회사 및 침해사고 대응기관에 즉시 알리고 대처할 수 있도록 합니다. 이처럼 금융분야 클라우드 컴퓨팅서비스 이용 가이드 전반이 효과적으로 준수될 수 있도록 실질적인 지원체계를 갖추고 있습니다.

금융당국 가이드에 따른 출구전략 및 데이터 파기 지원

금융당국의 가이드에 따라, 금융회사의 클라우드 서비스 전환 및 종료 관련 절차에 적극 협조하고 있습니다. 고객이 업무 연속성을 유지하면서 기존 클라우드 서비스 이용 데이터를 이전할 수 있도록 백업과 데이터 이전 서비스가 제공되며, 유연한 상호 협의를 통해 금융고객의 데이터 이전을 위한 충분한 시간을 제공하고 있습니다.
또한, 출구 전략 이후의 데이터 삭제 시 복구될 수 없도록 파기 절차 및 방법을 제공하며, 금융고객은 ‘데이터 파기 확인서’를 통해 정보 파기여부를 명확히 확인 받을 수 있습니다.