개인정보보호
네이버 클라우드 플랫폼은 자체적인 개인정보보호법 준수 뿐만 아니라,
고객이 스스로의 비즈니스 활동 시 적용되는 GDPR 준수에 도움이 되도록 최선을 다하고 있습니다.
네이버 클라우드 플랫폼은 개인정보보호에 관한 모든 관련 법령과 국제 기준을 준수합니다.
네이버 클라우드 플랫폼은 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 등 국내외 개인정보보호 법령을 철저히 준수합니다. 모든 서비스의 시작부터 종료까지 개인정보 영향평가를 실시하여 고객에게 안전한 서비스를 제공할 수 있도록 최선을 다하고 있습니다.
또한 인프라, 어플리케이션, 개인정보보호 전문 인력이 위험관리 활동을 지속적으로 수행함으로써 개인정보의 기술적·관리적 보호조치 기준을 준수합니다. ISMS-P, CSAP, ISO 27018, SOC 1/2/3, MTCS 등 10여개의 엄격한 국내외 보안 인증을 통해 개인정보 규제 준수 여부를 수검 받고 있습니다.
고객의 개인정보 보호 법령 준수를 적극 지원합니다.
네이버 클라우드 플랫폼은 고객이 클라우드 책임공유 모델에 의한 고객 책임 영역에 대해 개인정보 보호 법령을 준수할 수 있도록 다양한 보안 가이드를 제공하고 있습니다. 1. Compliance Guide를 통해 고객의 역할이 무엇인지 이해하고, 규제 사항에 적합한 보안 서비스를 확인할 수 있습니다. 2. 보안 모범 사례 와 보안 가이드를 통해 개인정보의 기술적·관리적 보호조치 기준 준수를 위한 보안 설정에 대한 상세 내용을 확인할 수 있습니다. 3. 고객 스스로의 안전한 클라우드 운영 및 개인정보 보호를 위한 클라우드 환경 보안 감사 가이드 를 제공하고 있습니다.
고객의 데이터는 네이버 클라우드 플랫폼이 아닌 고객 소유입니다.
네이버 클라우드 플랫폼의 인프라 서비스에 저장 및 업로드하는 고객의 데이터는 고객 소유이며, 네이버 클라우드 플랫폼은 고객의 동의 없이는 이에 접근하지 않습니다. 또한 고객은 네이버 클라우드 플랫폼에서 제공하는 다양한 보안 서비스를 활용하여 개인정보 암호화 및 접근 통제 등의 데이터를 제어할 수 있습니다
네이버 클라우드 플랫폼의 다양한 보안 서비스를 통해 클라우드 환경의 고객들의 개인정보를 안전하게 보호할 수 있습니다.
카테고리 서비스명 설명 접근 통제 NACL Network Access Control List(NACL)는 서브넷 단위의 방화벽으로 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가 받지 않은 접근을 제한할 수 있습니다. ACG Access Control Group(ACG)은 서버 단위의 방화벽으로 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가 받지 않은 접근을 제한할 수 있습니다. Secure Zone 서비스 존(Zone) 과 개인정보처리시스템 존(Zone) 간에 물리적인 망분리를 제공하는 서비스입니다. Security Monitoring 정보통신망을 통한 불법적인 접근 및 침해사고를 예방할 수 있는 서비스입니다. 접속 기록의
위변조 방지Resource Manager 네이버 클라우드 플랫폼 내 모든 리소스를 통합적으로 관리할 수 있는 서비스로, 생성된 리소스 별 생성 및 변경 이력을 확인할 수 있습니다 Cloud Activity Tracer 네이버 클라우드 플랫폼 내 계정 활동 기록에 대해 다양한 정보를 제공합니다. 개인정보 암호화 KMS Key Management Service(KMS)는 암호화 키를 엄격하고 안전하게 보호할 수 있는 다양한 기능을 편리하게 제공합니다. HSM Hardware Security Module(HSM)은 가장 안전한 암호화 키 보호 수단을 제공합니다. 데이터 암호화에 요구되는 대부분의 조건을 만족할 수 있는 기능을 손쉽게 이용할 수 있습니다. SSL VPN 외부에서 기업 내부 네트워크에 접속할 때 암호화된 터널링 통신을 위한 SSL 방식의 가상 사설망을 구축할 수 있습니다. IPsec VPN 외부에 있는 고객의 네트워크와 네이버 클라우드 플랫폼의 네트워크 간 개인정보 및 인증정보를 송․수신할 경우 암호화된 터널링 통신을 통해 안전하게 통신할 수 있습니다. Certificate Manager 연동 서비스에서 사용할 인증서를 등록하고 통합하여 관리하는 기능을 제공합니다. 악성프로그램 방지 Security Monitoring 악성 프로그램 등을 방지, 치료할 수 있는 백신 소프트웨어를 제공합니다. 네이버 클라우드 플랫폼의 GDPR 준수 노력
GDPR(General Data Protection Regulation)은 유럽연합 정보주체의 개인정보 보호를 위해 개정된 개인정보보호법으로, 네이버 클라우드 플랫폼은 자체적인 GDPR 준수를 위해 내부적으로 관련된 사항들을 면밀히 검토하여, GDPR 준수를 입증하고, 고객의 개인정보 보호를 위한 위험을 해결하기 위해 최선을 다하고 있습니다.
GDPR compatible Privacy Notice update공정하고 투명한 고객 개인정보 처리 보장을 위해 정보주체에게 제공해야 하는 내용 등 GDPR을 준수 하도록 Privacy Notice(개인정보처리방침)을 개정하여 공지하였습니다. 향후에도 Privacy Notice는 지속적으로 갱신하여 처리의 투명성 확보에 소홀함이 없도록 할 예정 입니다.
네이버 클라우드 플랫폼을 사용하여 GDPR에 따라 고객 개인정보를 처리하는 경우 적용되는 합의된 계약사항으로 데이터 처리 부칙(Data Processing Addendum, 이하 DPA)을 제공합니다. 고객은 고객의 개인정보에 대한 컨트롤러이며, 네이버 클라우드 플랫폼은 고객의 데이터를 처리하는 프로세서로 지명됩니다. DPA에는 EU Model Clauses가 포함되는데, 유럽경제지역(EEA)에서 EU 역외 국가로 개인정보를 전송하려는 고객은 네이버 클라우드 플랫폼을 통해 EEA 환경과 동일한 높은 수준의 개인정보 보호를 약속 받을 수 있습니다.
Privacy by Design and Privacy by Default본사는 GDPR 발효 이전부터 서비스 및 상품 설계 단계부터 개인정보 보호 뿐만 아니라, 보안을 고려한 기술개발을 기본원칙으로 준수하여 실천하고 있습니다. 또한 제공하는 상품과 서비스에 대해 개인정보 권리를 침해하지 않도록 정기적인 점검과 모니터링을 수행하고 있습니다.
유수 법무법인과 협력하여 신뢰성 있는 규정 검토개인정보 처리 요건이 까다로워진 GDPR 규정의 눈높이에 맞춰 고객 개인정보 처리의 적법성을 확보하고 최대치의 권리보장을 위해 대한민국 유수 법무법인과 EU 현지 법무법인을 통해 규정 준수를 위한 신뢰성 있는 법적 자문을 받았습니다.
인증 획득GDPR에 따른 고객의 개인정보 보호를 위해 네이버 클라우드 플랫폼은 프로세서(processor)로서의 적절한 기술 및 조직적 조치 이행을 보증하기 위해 최우선으로 보안과 규정 준수에 투자하고 있습니다. 지속적으로 보안을 체계적으로 관리하는지 정의하는 ISO/IEC 27001 Information Security Management 및 클라우드 보안에 대한 ISO/IEC 27017 Security Controls for Cloud Services, ISO/IEC 27018 Protection of Personally Identifiable Information과 같은 엄격한 국제 표준 준수를 입증합니다.
또한, 글로벌 수준의 내부통제 감사 준수 관련 SOC(Service Organization Control) 1, 2, 3 인증 및 안전한 결제 정보보호에 대한 국제 데이터 보안 표준인 PCI DSS(PCI Security Standard Council) 인증을 획득하였습니다. 그리고, 대한민국 클라우드 서비스 제공사로는 처음으로 CSA STAR Certification 인증을 획득하여 클라우드 서비스 보안관리 활동이 효과적으로 수행되고 있음을 검증 받았습니다. 앞으로도 네이버 클라우드 플랫폼은 자사의 보안 및 개인정보 보호 수준을 검증 받고 고객에게 지원하기 위한 인증을 계속 추구합니다.고객의 GDPR 규정
준수 지원국내 CSP 최초 CBPR 인증 취득
CBPR(Cross Border Privacy Rules)은 아시아-태평양 경제협력체 회원국 간 자유롭고 안전한 개인정보 이전을 목적으로 마련된 국제 개인정보보호 인증으로, 네이버 클라우드 플랫폼은 국내 CSP 기업 중에서 최초로 CBPR 인증을 취득하였습니다. APEC에서 요구하는 개인정보보호 관리체계 준수를 위해 프라이버시 9원칙을 기반으로 제정된 통제 항목 준수 여부를 공인된 기관으로부터 인증 받아 고객의 개인정보 보호를 위한 활동을 지속하고 있습니다.
Global Certification System국내에 국한되는 인증이 아닌 APEC 회원국가 및 기업에서 운영·적용되는 인증제도로 국제적으로 통용 가능한 인증입니다. APEC에서 제시하는 프라이버시 보호 원칙을 준수하여 글로벌 기준에 부합하는 안전한 개인정보보호 체계를 갖추고 있음을 검증 받았습니다.
CBPR 인증의 법제화APEC 회원국 중 CBPR을 자국의 공인 인증제도로 승인하거나 법제화하는 경우 직접적인 법제도적 혜택을 받을 수 있습니다. 일례로, CBPR 인증 가입국 중 일본, 싱가포르 등은 CBPR을 자국의 개인정보 보호 규범과 동등한 수준의 보호 체계로서 인정하고 이를 법령에 반영하고 있습니다.
Benefits of CBPR글로벌 공동 인증기준인 CBPR을 통해 기업이 적절한 보호 수준을 갖추고 있는지 확인할 수 있습니다. 이를 통해, APEC 회원국가에 진출하거나 제휴 계약 시 개인정보보호 수준을 입증함으로써 대외 신인도를 높여 시간과 비용을 줄일 수 있습니다.