환경에서의 GDPR 준수 - Thales...
2
책임에 대한 이해 2018년 5월 발효된 EU 일반 개인정보보호법(GDPR)은 유럽 연합 시민들의 개인정보를 보호하는 것을 그 목표로 합니다. 클라우드 환경 전반에서 조직이 보유한 데이터는 궁극적으로 그 조직의 소유이고 책임이며, 새로운 규정하에 조사 대상이 될 소지가 있습니다. GDPR가 본격 시행된 지금, 클라우드 서비스 공급업체(CSP)가 조직의 규제준수 태세에 어떤 영향을 미치는지를 이해하는 것이 중요합니다. 특히 GDPR의 제32조는 “최첨단(the state of the art)” 보호 조치 이외에도 다음 사항을 요구하고 있습니다. > "개인 정보의 가명처리 및 암호처리" 등 위험 수준에 맞게 데이터 보안을 보장할 수 있는 기술적 및 관리적 조치 이행 > "처리의 보안을 보장하는 기술 또는 관리적 조치의 효율성을 정기적으로 테스트 및 평가하기 위한 절차 " 마련 > "개인 정보의 무단 제공, 무단 열람"에 대한 보호 제34조에 따라, 개인정보처리자는 "부당한 지체 없이" 개인정보 침해에 대해 개인정보 주체에게 통지해야만 합니다. 이 조항은 또한 조직이 "적절한 기술 및 관리적 보호 조치를 시행하였고, 그 조치, 특히 암호처리 등 관련 개인정보를 열람 권한이 없는 개인에게 이해될 수 없도록 만드는 조치가 침해로 영향을 받은 개인정보에 적용된 경우 개인정보 주체에 대한 통지는 요구되지 않는다"고 명시하며 일부 예외 조건을 두고 있습니다. CSP에 해야 하는 질문 잠재적으로 부과될 수 있는 높은 벌금과 데이터 침해와 관련된 관리 부담을 감안해, CSP에 다음과 같은 질문을 해볼 필요가 있습니다. > 데이터 암호화에 사용되는 키를 조직이 자체적으로 제어할 수 있는가? 암호화 키에 대한 액세스는 암호화된 모든 개인정보에 대한 액세스를 제공하는 것과 같기 때문에, 가능하고 실질적인 경우 키를 자체적으로 제어하는 것이 바람직합니다. > 개인정보가 포함된 데이터베이스 필드만 따로 암호화할 수 있는가? 개인정보에만 집중하면 GDPR 준수 노력을 간소화하는 데 도움이 됩니다. > 제공되는 암호화 솔루션에 사용자 접근 통제가 포함되어 고객 데이터에 대한 접근 권한을 가진 사용자들을 관리할 수 있도록 해주는가? 그러한 사용자 접근 통제는 조직이 지속적인 개인정보의 기밀성과 무결성을 유지하고 있음을 보여주는 데 도움이 될 것입니다. > 고객 데이터에 대한 접근 시도가 성공 또는 실패했는지 확인할 수 있게 해주는 보안 인텔리전스 로그를 제공하는가? 이러한 로그는 조직이 개인정보처리의 보안을 보장해주는 기술 및 관리적 조치들이 효과적인지를 평가하고 있다는 사실을 보여주는 증거가 될수 있습니다. > 데이터 스토리지의 일부 또는 전부를 제3자에게 위탁하는가? 위탁 처리업체가 관련되면 GDPR 준수 문제가 한층 더 복잡해질 수 있습니다. 그렇기 때문에 고객 데이터가 어디에 저장되는지를 알 필요가 있습니다. > 멀티 클라우드 환경에서의 GDPR 준수 멀티 클라우드 환경에서의 GDPR 규제준수 탈레스 이시큐리티 규제 미충족 시 연간 총 매출의 최대 4%에 해당하는 벌금이 부과될 수 있다는 사실을 고려하면, 조직의 클라우드 서비스 공급업체(CSP)가 GDPR 준수에 어떠한 영향을 미치는지를 이해하는 것이 대단히 중요합니다. www.thalesesecurity.co.kr
Transcript of 환경에서의 GDPR 준수 - Thales...
책임에 대한 이해2018년 5월 발효된 EU 일반 개인정보보호법(GDPR)은 유럽 연합 시민들의 개인정보를 보호하는 것을 그 목표로 합니다. 클라우드 환경 전반에서 조직이 보유한 데이터는 궁극적으로 그 조직의 소유이고 책임이며, 새로운 규정하에 조사 대상이 될 소지가 있습니다.
GDPR가 본격 시행된 지금, 클라우드 서비스 공급업체(CSP)가 조직의 규제준수 태세에 어떤 영향을 미치는지를 이해하는 것이 중요합니다. 특히 GDPR의 제32조는 “최첨단(the state of the art)” 보호 조치 이외에도 다음 사항을 요구하고 있습니다.
> "개인 정보의 가명처리 및 암호처리" 등 위험 수준에 맞게 데이터 보안을 보장할 수 있는 기술적 및 관리적 조치 이행
> "처리의 보안을 보장하는 기술 또는 관리적 조치의 효율성을 정기적으로 테스트 및 평가하기 위한 절차 " 마련
> "개인 정보의 무단 제공, 무단 열람"에 대한 보호
제34조에 따라, 개인정보처리자는 "부당한 지체 없이" 개인정보 침해에 대해 개인정보 주체에게 통지해야만 합니다. 이 조항은 또한 조직이 "적절한 기술 및 관리적 보호 조치를 시행하였고, 그 조치, 특히 암호처리 등 관련 개인정보를 열람 권한이 없는 개인에게 이해될 수 없도록 만드는 조치가 침해로 영향을 받은 개인정보에 적용된 경우 개인정보 주체에 대한 통지는 요구되지 않는다"고 명시하며 일부 예외 조건을 두고 있습니다.
CSP에 해야 하는 질문잠재적으로 부과될 수 있는 높은 벌금과 데이터 침해와 관련된 관리 부담을 감안해, CSP에 다음과 같은 질문을 해볼 필요가 있습니다.
> 데이터 암호화에 사용되는 키를 조직이 자체적으로 제어할 수 있는가?
암호화 키에 대한 액세스는 암호화된 모든 개인정보에 대한 액세스를 제공하는 것과 같기 때문에, 가능하고 실질적인 경우 키를 자체적으로 제어하는 것이 바람직합니다.
> 개인정보가 포함된 데이터베이스 필드만 따로 암호화할 수 있는가?
개인정보에만 집중하면 GDPR 준수 노력을 간소화하는 데 도움이 됩니다.
> 제공되는 암호화 솔루션에 사용자 접근 통제가 포함되어 고객 데이터에 대한 접근 권한을 가진 사용자들을 관리할 수 있도록 해주는가?
그러한 사용자 접근 통제는 조직이 지속적인 개인정보의 기밀성과 무결성을 유지하고 있음을 보여주는 데 도움이 될 것입니다.
> 고객 데이터에 대한 접근 시도가 성공 또는 실패했는지 확인할 수 있게 해주는 보안 인텔리전스 로그를 제공하는가?
이러한 로그는 조직이 개인정보처리의 보안을 보장해주는 기술 및 관리적 조치들이 효과적인지를 평가하고 있다는 사실을 보여주는 증거가 될 수 있습니다.
> 데이터 스토리지의 일부 또는 전부를 제3자에게 위탁하는가?
위탁 처리업체가 관련되면 GDPR 준수 문제가 한층 더 복잡해질 수 있습니다. 그렇기 때문에 고객 데이터가 어디에 저장되는지를 알 필요가 있습니다.
> 멀티 클라우드 환경에서의 GDPR 준수
멀티 클라우드 환경에서의 GDPR 규제준수 탈레스 이시큐리티
규제 미충족 시 연간 총 매출의 최대 4%에 해당하는 벌금이 부과될 수 있다는 사실을 고려하면, 조직의 클라우드 서비스 공급업체(CSP)가 GDPR 준수에 어떠한 영향을 미치는지를 이해하는 것이 대단히 중요합니다.
w w w . t h a l e s e s e c u r i t y . c o . k r
소셜 미디어:
미주 – Thales eSecurity Inc. 900 South Pine Island Road, Suite 710, Plantation, FL 33324 USA • Tel:+1 888 744 4976 or +1 954 888 6200 • Fax:+1 954 888 6211 • E-mail: [email protected]아태평양– Thales Transport & Security (HK) Lt, Unit 4101-3, 41/F, Sunlight Tower, 248 Queen’s Road East, Wanchai, Hong Kong • Tel:+852 2815 8633 • Fax:+852 2815 8141 • E-mail: [email protected]유럽, 중동, 아프리카 – Meadow View House, Long Crendon, Aylesbury, Buckinghamshire HP18 9EQ • Tel:+44 (0)1844 201800 • Fax:+44 (0)1844 208550 • E-mail: [email protected]
멀티 클라우드 환경에서의 데이터 암호화 및 접근 통제GDPR로 인해 다양한 해결과제가 존재하고 점점 더 많은 조직이 멀티 클라우드 기업 인프라스트럭처로 이동하고 있는 추세에 비추어 볼 때, 규제 요건을 준수하는데 도움을 주고 비즈니스의 니즈와 함께 확장할 수 있는 데이터 보호를 선택하는 것이 그 어느 때보다 더 중요해졌습니다.
탈레스 이시큐리티는 전 세계의 조직들과 손 잡고 포괄적인 멀티 클라우드 데이터 보안을 제공하고 있습니다. 탈레스 이시큐리티는 고객들이 멀티 클라우드 환경에 존재하는 데이터의 무결성에 대한 신뢰와 통제를 구축할 수 있도록 해줍니다. GDPR 준수 여부에는 많은 것이 달려 있음을 생각해볼 때, 클라우드 환경에 저장하는 모든 개인정보를 보안하는 것은 대단히 중요합니다.
탈레스 이시큐리티는 멀티 클라우드 워크로드를 위한 포괄적인 암호화 솔루션을 제공합니다.
> 온프레미스 프라이빗 클라우드에서 SaaS 공급업체까지, 보메트릭 트랜스페어런트 인크립션(Vormetric Transparent Encryption), 애플리케이션 인크립션(Application Encryption), 그리고 서비스로서의 키 관리 및 토큰화는 모두 보메트릭 데이터 시큐리티 매니저(Vormetric Data Security Manager, DSM)를 활용합니다.
온프레미스 또는 클라우드에서 가상 어플라이언스로 구현된 DSM은 보메트릭 솔루션을 구동하는 모든 액세스 가능한 서버를 위해 암호화, 키 및 정책을 관리할 수 있습니다.
> 탈레스 이시큐리티는 Amazon, Microsoft 및 Google 같은 퍼블릭 클라우드 공급업체를 이용하는 고객들이 암호화에 대한 통제권을 가질 수 있도록 지원합니다. 주요 혜택:
o 공급업체에 대한 비종속성 - 보메트릭 암호화 솔루션은 모든 퍼블릭 클라우드 서비스 공급업체의 데이터 저장 제품 전반에서 원활하게 작동합니다. 일부의 경우 공급업체의 전용 암호화 솔루션보다 큰 범위를 제공합니다. 결과적으로, 암호화, 키 및 정책을 단일한 인터페이스에서 관리할 수 있습니다. 중앙화된 단일 솔루션은 또한 교육 비용과 운영 비용을 절감해줍니다.
o 데이터의 이동성 - 공급업체의 전용 암호화 및 키 관리를 사용하지 않으면 복호화하지 않은 상태로 데이터를 클라우드 간에 이동할 수 있다는 장점이 있습니다. 이는 다음을 가능하게 해줍니다.
✓ 워크로드 마이그레이션 가속화
✓ 복호화를 위한 CPU 사용 비용 및 데이터 스토리지를 위한 비용 제거
✓ 마이그레이션 중 데이터 보안 유지
> 추가로, 멀티 클라우드 공급 환경에 자사의 암호 키를 사용할 수 있습니다.
o IaaS/PaaS: Azure 또는 AWS, Google Cloud Platform의 고객들은 각 공급업체의 전용 암호화 솔루션을 사용할 때 Thales nShield HSM으로 지원되는 암호 키 자체 관리(BYOK) 솔루션을 통해 데이터에 대한 접근 통제를 유지할 수 있습니다. HSM은 퍼블릭 클라우드 환경 전반에서 워크로드에 대한 고신뢰성 키 관리를 제공합니다.
o SaaS: Salesforce.com과 Microsoft Azure SaaS 기반 애플리케이션의 고객들은 보메트릭의 클라우드 키 관리 '솔루션(KMaaS)을 통해 SaaS 클라우드에 저장된 데이터에 대한 통제 및 액세스 권한을 확보할 수 있습니다.
“점점 더 많은 기업들이 다양한 클라우드 서비스를 최대한 활용하기 위해 멀티 클라우드를 수용하고 있는 것은 이치에 맞는 일이라고 생각합니다. ESG의 연구에 따르면 현재 퍼블릭 클라우드 인프라스트럭처를 이용하는 고객의 75%는 여러 CSP를 사용합니다.”
~ Dan Conde, 분석가, Enterprise Strategy Group
정보가 생성, 공유 및 저장되는 모든 곳에 신뢰성을 제공하는 고급 데이터 보안 솔루션에 대한 보다 자세한 정보를 원하시면 www.thalesesecurity.co.kr 을 방문하십시오.
![[GDPR Webinar Slides] Path to GDPR Compliance](https://static.fdocuments.in/doc/165x107/586fe3d11a28ab18428b80f7/gdpr-webinar-slides-path-to-gdpr-compliance.jpg)
