Cloudflare에서는 새로운 EU 클라우드 행동 강령 개인정보 보호 인증을 획득하여 GDPR 준수를 입증하며 클라우드 서비스에 대한 신뢰를 강화했습니다
전 세계 인터넷 개인정보 보호법은 각기 다르며, 최근 몇 년 동안 국가 간 데이터 전송에 관한 많은 글이 작성되었습니다. 유럽 일반 개인정보 보호 규정(GDPR)과 같이 개인정보가 전 세계로 이동하기 전에 적절한 보호 조치를 취할 것을 요구하는 규정이 많습니다. 이 법은 조직에서 개인정보를 신중하게 처리해야 하는 방법에 대한 높은 기준을 제시하고 있으며, 규정 초안을 작성할 때 입법자들은 국경을 넘나드는 개인정보를 예상했습니다. 해당 규정의 5장에서는 이러한 전송을 구체적으로 다루고 있습니다.
개인정보가 저장되는 위치에 대한 투명성도 중요하지만, 개인정보를 처리하는 방법과 개인정보를 안전하게 보호하는 방법도 매우 중요합니다. Cloudflare에서는 전 세계에 걸친 개인정보 보호를 중요하게 생각하며, 고객에게 데이터를 처리하는 방법과 위치에 대한 도구와 선택권을 제공합니다. 간단히 말하자면, 고객이 데이터를 전 세계로 전송하든, 한 국가에 보관하든, 데이터를 동일하고 안전하며 신중한 방식으로 처리하고 보호해야 한다는 것입니다.
그리고 오늘 우리는 평가 여정을 성공적으로 완료하고 전 세계에 걸쳐 클라우드에서 개인 데이터를 보호하며 GDPR을 준수하고 있음을 입증하는 EU 클라우드 행동 강령 준수 마크를 받았음을 자랑스럽게 발표하게 되어 기쁩니다.
개인정보가 저장되는 위치뿐만 아니라 개인정보가 처리되는 방식도 중요합니다
GDPR 입법자들은 또한 조직에서 일관되고 투명하며 안전한 방식으로 개인정보를 처리하고 보호하기를 원할 것이라는 것도 예상했습니다. '행동 강령'이라고 불리는 제40조는 다음과 같이 시작됩니다.
"회원국, 감독 당국, 이사회, 집행위원회에서는 다양한 처리 부문의 특정 특징과 소상공인, 중소기업의 특정 요구를 고려하여 이 규정의 적절한 적용에 기여하기 위한 행동 강령의 작성을 권장해야 합니다."
행동 강령을 이용하여 개인정보 보호법 준수를 입증하는 것은 더 오랜 역사를 가지고 있습니다. GDPR과 마찬가지로 1995년에 제정된 선구적인 EU 데이터 보호 지침(공식 명칭: 지침 95/46/EC)에는 커뮤니티 강령 초안을 국가 당국에 제출하고 해당 강령을 유럽연합의 공식 기관에서 공식적으로 승인하도록 하는 조항도 포함되어 있었습니다.
공식 GDPR 행동 강령
첫 번째 행동 강령이 공식적으로 승인되기까지는 2016년 GDPR이 채택된 후 5년이 걸렸습니다. 마침내 2021년 5월, 유럽연합의 모든 국가 데이터 보호 당국의 대표로 구성된 그룹인 유럽 데이터 보호 위원회에서는 "클라우드 서비스 공급자를 위한 EU 데이터 보호 행동 강령", 즉 EU 클라우드 행동 강령(줄여서 'EU 클라우드 CoC')을 첫 번째 공식 GDPR 행동 강령으로 승인했습니다. EU 클라우드 CoC는 유럽 위원회, 클라우드 컴퓨팅 커뮤니티 구성원, 유럽 데이터 보호 당국의 의견을 수렴하는 등 수년에 걸쳐 강령 개발을 위해 협력한 조직인 SCOPE Europe을 대신하여 벨기에 감독 당국이 이사회에 상정했습니다.
이 코드는 클라우드 서비스 구매자와 공급자를 위한 프레임워크입니다. 구매자는 클라우드 서비스 공급자가 개인정보를 어떻게 처리하는지 명확하게 이해할 수 있습니다. 클라우드 서비스 공급자는 독립적인 평가를 거쳐 클라우드 서비스 구매자에게 개인정보를 안전하고 체계화된 방식으로 처리할 것임을 입증해야 합니다. EU 클라우드 CoC의 경우 코드가 공식 승인을 받았다는 이유만으로 코드를 준수하는 클라우드 서비스 구매자는 클라우드 공급자가 GDPR을 준수하는 방식으로 고객의 개인정보를 취급한다는 것을 알 수 있습니다.
강령에서 다루는 내용
이 강령에서는 클라우드 서비스 공급자가 GDPR 제28조("프로세서") 및 관련 조항을 이행하기 위한 명확한 요건을 정의합니다. 이 프레임워크는 데이터 보호 정책과 기술적 및 조직적 보안 조치를 다룹니다. 공급자의 이용 약관, 기밀 유지 및 기록 보관, 고객의 감사 권한, 잠재적인 데이터 유출 처리 방법, 공급자의 하위 처리 방식(제3자가 주 데이터 프로세서와 함께 개인 데이터를 처리하도록 하도급을 받는 경우) 등을 다루는 섹션이 있습니다.
이 프레임워크는 개인 데이터를 합법적으로 국제적으로 전송하는 방법도 다루고 있지만, EU 클라우드 CoC에서는 이러한 작업이 법적으로 준수되는 방식으로 이루어지도록 보장하지만, 강령 자체가 제3국 전송을 위한 '안전장치'나 도구는 아닙니다. 향후 강령 업데이트에서 추가 모듈을 통해 이를 확장할 수 있지만, 2023년 3월 현재 아직 개발 중입니다.
EU 클라우드 CoC의 몇 가지 요건과 GDPR 준수를 입증하는 방법에 대해 자세히 알아보겠습니다
예시 1
강령의 한 가지 요건은 고객의 '데이터 보호 영향 평가'를 지원하기 위한 문서화된 절차를 마련하는 것입니다. GDPR에 따르면 다음과 같습니다.
"...예상되는 처리 작업이 개인 데이터 보호에 미치는영향에 대한 평가." - GDPR 제35조 1항
따라서 클라우드 서비스 공급자는 고객이 자체 평가를 수행할 때 지원할 수 있는 서면 프로세스를 갖추고 있어야 합니다. 고객을 지원함으로써 서비스 공급자는 GDPR의 엄격한 데이터 보호 표준을 준수하겠다는 약속을 입증하는 것입니다. Cloudflare에서는 이 요건을 충족하며, 개인 데이터 처리에 사용된 하위 프로세서의 세부 정보를 게시하고 고객에게 Cloudflare 대시보드에서 제공되는 감사 보고서로 안내함으로써 투명성을 더욱 지원합니다.
GDPR에는 데이터 보호 영향 평가와 관련하여 행동 강령에 대한 또 다른 언급도 있습니다.
"승인된 행동 강령의 준수는... 수행된 처리 작업의 영향을 평가할 때... 특히 데이터 보호 영향 평가의 목적을 위해 충분히 고려되어야 합니다." - GDPR 35.8조
따라서 클라우드 고객은 영향 평가를 준비할 때 서비스 공급자가 승인된 행동 강령을 준수하는지 고려해야 합니다. 이는 행동 강령을 사용하여 고객과 클라우드 공급자 모두 혜택을 누리는 방법입니다!
예시 2
이 강령의 또 다른 요건의 예는 클라우드 서비스 공급자가 암호화 기능을 제공할 때 이를 효과적으로 구현해야 한다는 것입니다. 이 요건은 강력하고 신뢰할 수 있는 암호화 기술을 따르고, 최신 기술을 고려하며, 고객 개인 데이터에 대한 악의적인 액세스를 적절히 방지하는 방식으로 수행되어야 함을 더욱 명확히 하고 있습니다. 암호화는 클라우드에서 개인 데이터를 보호하는 데 매우 중요하며, 암호화가 없거나 약화되거나 오래된 암호화로는 개인정보 보호 및 보안을 유지할 수 없습니다. 따라서 클라우드 서비스 공급자는 암호화를 적절히 사용하고 검토함으로써 고객의 개인 데이터를 보호해야 한다는 GDPR의 요건을 충족할 수 있습니다.
Cloudflare에서는 특히 우리의 실적을 자랑스럽게 생각합니다. 저희는 효과적인 암호화를 모든 고객에게 무료로 제공합니다. 고객이 암호화를 이해하도록 돕고 있으며, 가장 중요한 것은 고객 개인 데이터를 보호하기 위해 강력하고 신뢰할 수 있는 암호화 알고리즘과 기술을 직접 사용한다는 점입니다. 저희는 학계 연구원과 암호학자를 포함한 공식적인 연구팀을 운영하고, 이들은 공공 기관에서 사용할 수 있는 것으로 알려진 리소스를 포함하여 능동 및 수동 공격으로부터 효과적인 보호를 제공하도록 설계된 최첨단 암호화 프로토콜을 설계하고 배포합니다. 저희는 신뢰할 수 있는 공개 키 인증 기관 및 인프라를 사용합니다. 최근에는 이번 달에 양자내성암호는 무료여야 한다고 발표했으며, 이에 따라 이를 영구적으로 무료로 제공하고 있습니다.
자세한 정보
이 강령에는 87개 진술에 설명된 요건이 포함되어 있으며, 이를 컨트롤이라고 합니다. EU 클라우드 CoC에 대해 자세히 알아보고, 강령의 전체 사본을 다운로드하고, https://eucoc.cloud/en/home에서 최신 뉴스를 확인할 수 있습니다 .
이것이 Cloudflare 고객에게 중요한 이유
Cloudflare는 지난 5월 EU 클라우드 행동 강령 총회에 가입했습니다. 총회 구성원은 EU 클라우드 행동 강령을 준수하는 명명된 클라우드 서비스 선언을 포함하는 평가 여정을 수행하고, 공인 모니터링 기관인 SCOPE Europe의 독립적인 평가 프로세스를 완료한 후 EU 클라우드 행동 강령 준수 마크를 받습니다.
Cloudflare에서는 평가 프로세스를 완료하고 47개 클라우드 서비스에 대한 검증을 마쳤습니다.
EU 클라우드 행동 강령의 적용 범위에 속하는 Cloudflare 서비스:
서비스는 EU 클라우드 행동 강령을 준수하는 것으로 확인되었습니다.
인증-ID: 2023LVL02SCOPE4316.
자세한 정보를 보시려면 https://eucoc.cloud/en/public-register 웹 사이트를 방문하세요.
그리고 이게 전부가 아닙니다...
EU 클라우드 행동 강령은 점점 늘어나는 개인정보 보호 인증 목록에 추가되는 최신 개인정보 보호 인증입니다. 2년 전, Cloudflare는 새로운 ISO 개인정보 보호 인증인 ISO/IEC 27701:2019를 업계 최초로 받은 조직 중 하나였으며, 인터넷 성능 및 보안 회사 중 최초로 이 인증을 받았습니다. 작년에 Cloudflare에서는 개인 데이터 처리와 관련된 두 번째 국제 개인정보 보호 표준인 ISO/IEC 27018:2019 인증을 받았습니다. 최근에는 올해 1월에 제3자 감사 기관인 Schellman과 함께 연례 ISO 감사를 완료했습니다. ISO 27001:2013, ISO 27018:2019, ISO 27701:2019를 포괄하는 새로운 인증서를 이제 고객이 Cloudflare 대시보드에서 다운로드할 수 있습니다.
그리고 앞으로 더 많은 일이 기다리고 있습니다! 지난 1월 데이터 개인정보 보호의 날을 맞아블로그에 소개한 바와 같이, 저희는 새롭게 떠오르는 글로벌 국가 간 개인정보 보호 규칙(CBPR) 인증의 진행 상황을 관심 있게 지켜보고 있습니다. 제안된 이 단일 글로벌 인증은 참여 기업에서 전 세계 참여 국가 간에 개인 데이터를 안전하게 전송할 수 있도록 하는 데 충분하며, 이미 북미와 아시아의 여러 정부로부터 지지를 받고 있어 매우 유망해 보입니다.
Cloudflare 인증
기존 고객은 Cloudflare 대시보드에서 Cloudflare의 인증 및 보고서 사본을 다운로드할 수 있으며, 신규 고객도 영업 담당자에게 요청할 수 있습니다.
인증 및 보고서에 대한 최신 정보는 저희 Trust Hub에서 확인하세요.