클라우드 서비스 제공자를 위한 GDPR - 개요

클라우드란?

간단히 말해서 클라우드는 엄청난 양의 데이터를 저장하도록 설계된 서버 네트워크입니다.

회사는 이 하드웨어를 활용하여 인터넷을 통해 액세스할 수 있는 자체 데이터를 저장할 수 있습니다.

인기 있는 예로는 Dropbox, Google Cloud 및 Amazon Web Services가 있습니다.

일반적으로 클라우드 소프트웨어는 세 가지 유형으로 분류할 수 있습니다.

1. 공용 – 무료 또는 종량제 구독으로 여러 조직에 제공되는 인터넷 기반 클라우드 서비스
2. 프라이빗 – 단일 회사 전용의 사내 클라우드 서비스
3. 하이브리드 – 퍼블릭 클라우드와 프라이빗 클라우드의 혼합

그들은 종종 다른 방식으로도 분류됩니다.

• IaaS(Infrastructure-as-a-Service) – 회사는 클라우드 공급자의 컴퓨팅 및 스토리지 리소스에 액세스하기 위해 비용을 지불합니다.
• SaaS(Software-as-a-Service) – 회사는 인터넷을 통해 주문형 소프트웨어에 액세스하기 위해 비용을 지불합니다.
• PaaS(Platform-as-a-Service) – 기업이 브라우저에서 애플리케이션을 구축하는 데 사용할 수 있는 개발 및 배포 환경을 갖춘 서비스

기업을 위한 클라우드의 이점

클라우드 스토리지는 합리적인 가격으로 기업에 엄청난 이점을 제공할 수 있습니다. 데이터 보안 및 관리 비용을 줄이고 커뮤니케이션을 개선하며 더 나은 팀워크를 촉진합니다.

기업은 또한 보안 강화, IT 인프라 문제로 인한 다운타임 감소, 성장에 따른 뛰어난 확장성 등의 이점을 누릴 수 있습니다.

종합하면 클라우드 소프트웨어는 기업에 중요한 경쟁 우위를 제공할 수 있는 추가적인 유연성을 제공합니다.

• 84%는 도입 첫 달 이내에 운영 개선을 보고합니다(Multisoft).
• 중소기업은 사내 대안을 유지하는 것보다 타사 클라우드 플랫폼을 사용하는 것이 40% 더 비용 효율적이라는 것을 알게 되었습니다(Multisoft).
• 94%의 기업이 데이터를 클라우드로 마이그레이션한 후 온라인 보안이 크게 개선되었다고 보고합니다(Salesforce).

클라우드 소프트웨어는 GDPR의 영향을 받았습니까?

결정적으로 기업의 91%는 클라우드 스토리지 플랫폼이 GDPR(Salesforce)과 같은 정부 요구 사항에 대한 규정 준수 작업에 큰 도움이 되었다고 생각합니다.

데이터를 전송할 때 고급 암호화를 사용하여 보안 전면 및 중앙에 오랫동안 설계되었습니다. 즉, 권한이 없는 사용자가 개인 정보에 액세스할 수 없습니다.

즉, GDPR은 개인 데이터가 클라우드에서 저장 및 처리되는 방식을 영구적으로 변경했으며 EDPS(EU 개인 정보 보호 감시 기관)는 Amazon의 AWS와 Microsoft의 Azure 클라우드 서비스가 시민 데이터를 효과적으로 보호하고 있는지 조사하고 있습니다.

클라우드 서비스 제공업체에 대한 GDPR의 요구 사항은 다음과 같습니다.

• 개인 데이터 처리 원칙 개발
• 데이터 처리 프로세스가 GDPR의 8가지 데이터 주체 권리를 존중하는지 확인합니다.
• 데이터 처리 및 제어 활동에 관련된 모든 사람을 위해 설계에 따라 개인 정보 보호 요구 사항을 설정합니다.
• 데이터 소유권 및 데이터 이식성 권한에 대한 제어 구현
• 데이터의 프라이버시를 보장하는 보안 조치 도입
• 국제 당사자에 대한 데이터 처리 원칙 수립
• 데이터 침해를 관리하기 위한 정책 및 절차 개발
• 계약 체결, 데이터 보존 기간 및 기타 적용 가능한 요구 사항에 관한 정책 개발

클라우드에 보관된 데이터에 대한 회사의 책임은 무엇입니까?

타사 보안 문제는 GDPR의 주요 관심사이며 여기에는 타사 클라우드 플랫폼이 클라이언트 비즈니스를 대신하여 데이터를 저장하는 경우가 포함됩니다.

GDPR은 개인 정보 보안에 대한 책임과 관련하여 "데이터 컨트롤러"와 "데이터 프로세서"를 구분합니다.

이러한 맥락에서 비즈니스는 데이터 컨트롤러이고 클라우드 소프트웨어 공급자는 데이터 프로세서입니다. 따라서 비즈니스는 개인 데이터가 자체 서버에 저장되어 있는지 여부에 관계없이 개인 데이터를 안전하게 유지할 책임이 있습니다.

클라우드 플랫폼을 선택할 때 고려해야 할 사항

클라우드로 마이그레이션하기 전에 기업은 개인 데이터 흐름이 적절하게 매핑되었는지 확인하고 개인 정보 영향 평가를 수행하는 것이 좋습니다.

그 중심에는 다음과 같은 고려 사항이 있습니다.

• 데이터 주권GDPR 규정은 데이터가 유럽 연합에 저장되어야 한다고 규정합니다. 다행히 데이터 저장 위치를 선택할 수 있는 클라우드 서비스 공급자가 많이 있으므로 유럽의 데이터 센터를 사용하는 공급자를 선택할 수 있습니다.
• 데이터 보안클라우드 스토리지 플랫폼이 어떤 보안을 갖추고 있는지 확인하고 종단 간 암호화를 제공하는 것을 선택하십시오. 궁극적으로 공급자가 적절한 보안 절차를 갖추고 있다는 사실에 만족해야 합니다.
• 데이터 주체에 대한 존중EU 데이터 주체의 8가지 개인 정보 보호 권리를 준수하는 클라우드 제공업체를 선택하십시오. 이 정보는 클라우드 회사에서 쉽게 제공해야 합니다.
• 기본적으로 설계된 데이터 보호클라우드 회사가 보안을 설계 및 절차에 통합했는지 확인합니다. 예를 들어 민감한 정보에 대한 액세스를 제한하는 제로 지식 암호화를 사용합니다. 모든 데이터 침해가 궁극적으로 회사의 책임이라는 점을 감안할 때 이것은 중요합니다.

GDPR 준수에는 지속적인 작업이 필요합니다.

회사에서 데이터를 클라우드로 마이그레이션한 후에는 운영 절차와 프로세스가 계속해서 GDPR을 준수하는지 확인하기 위해 정기적인 감사를 수행하는 것이 좋습니다.

또한 클라우드 플랫폼이 주어진 보안 보증을 계속 준수하는지 정기적으로 확인하는 것이 좋습니다.

이 작업은 일반적으로 독립적인 제3자 감시자 또는 검토 사이트에 의해 수행되며 어떤 옵션을 선택할지 결정하기 전에 확인해야 합니다.