인도네시아 데이터 프라이버시
데이터 보호
고객의 신뢰 확보는 AWS 비즈니스의 토대이며, 가장 중요하고 민감한 자산인 데이터 보호에 있어서 AWS가 고객의 신뢰를 받고 있다는 점을 알고 있습니다. AWS는 고객과 긴밀하게 협력하여 데이터 보호 요구 사항을 파악하고 데이터 보호에 도움이 되는 가장 포괄적인 서비스 세트, 도구 및 전문성을 제공함으로써 이 신뢰를 얻습니다. 이를 위해 AWS는 데이터 보호에 필요한 기술, 운영 및 계약 수단을 제공합니다. AWS를 통해 개인 데이터의 개인정보 보호 정책을 관리하고 개인 정보의 사용 방법, 개인 데이터에 액세스하는 사용자, 개인 데이터의 암호화 방법을 제어할 수 있습니다. AWS는 현재 가장 유연하면서 안전한 클라우드 컴퓨팅 환경으로 이러한 기능을 뒷받침합니다.
고객에 대한 AWS의 약속
데이터 제어
AWS를 통해 강력한 AWS 서비스 및 도구를 사용하여 데이터의 저장 위치, 보안 방법 및 액세스하는 사용자를 결정함으로써 개인 데이터를 제어할 수 있습니다. AWS Identity and Access Management(IAM)와 같은 서비스를 사용하면 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. AWS CloudTrail 및 Amazon Macie는 거버넌스, 규정 준수, 탐지 및 감사를 지원하며 AWS CloudHSM 및 AWS Key Management Service(KMS)는 암호화 키를 안전하게 생성하고 관리할 수 있는 기능을 제공합니다.
데이터 프라이버시
데이터 주권
전 세계에 산재한 하나 이상의 AWS 리전에 고객 데이터를 저장하도록 선택할 수 있습니다. 또한, 고객 데이터는 선택한 AWS 리전을 벗어나지 않으므로 AWS 서비스를 사용하는 데 있어 데이터의 보안을 걱정할 필요가 없습니다. 소수의 AWS 서비스에서만 해당 서비스를 개발하고 개선할 목적으로 데이터가 전송됩니다. 이와 관련해 데이터 전송을 거부할 수도 있고, 그렇지 아니면 서비스(예: 콘텐츠 전송 서비스)에 필수적인 부분이라 부득이하게 데이터가 전송되는 것입니다. AWS는 고객이 액세스를 요청하거나 사기 및 부정 사용을 방지하거나 법률에 의거하여 액세스가 필요한 경우가 아니라면, 서비스 유지 보수를 비롯하여 어떠한 목적으로든, AWS 직원이 고객 데이터에 대한 원격 액세스를 금지하며, AWS의 시스템도 이를 방지하도록 설계되었습니다. 정부 기관의 법 집행 요청을 받을 경우, AWS는 이러한 요청이 법률과 상충하거나 너무 광범위하거나 적절한 근거가 있다면 고객 데이터를 요청하는 정부 기관의 법 집행 요청에 대해 이의를 제기할 것입니다. 또한 AWS는 사법 기관으로부터 받은 정보 요청의 유형과 수를 설명하는 정보 요청 보고서를 연 2회 제공합니다.
보안
AWS에서 보안은 최우선 순위이며 클라우드의 보안은 AWS와 고객의 공동 책임입니다. 금융 서비스 공급자, 의료 서비스 공급자 및 정부 기관과 같은 고객은 AWS를 신뢰하며 가장 민감한 정보를 맡깁니다. 고객은 Amazon GuardDuty 또는 AWS Nitro System(EC2 인스턴스의 기반 플랫폼) 등 AWS의 포괄적인 서비스를 통해 핵심적인 보안, 기밀성 및 규정 준수 요구 사항을 충족하는 역량을 개선할 수 있습니다. 또한 AWS CloudHSM 및 AWS Key Management Service와 같은 서비스를 사용하여 암호화 키를 안전하게 생성 및 관리하고 AWS Config 및 AWS CloudTrail을 통해 규정 준수 및 감사를 위한 모니터링과 로깅 기능을 제공할 수 있습니다.
개요
인도네시아는 2022년 10월 17일에 개인 데이터 보호법(2022년 인도네시아 공화국법 제27호)(PDP 법)을 제정했습니다. PDP 법은 (i) 인도네시아에 거주하는 사람; 및 (ii) 어떤 사람의 행동이 인도네시아 국내 또는 인도네시아의 데이터 주체에 대해 법적 결과를 초래하는 경우, 인도네시아 외부에 거주하는 사람에게 적용됩니다.
PDP 법은 데이터 관리자와 데이터 처리자를 구분하고 각각에 대해 서로 다른 데이터 처리 의무를 적용합니다. 데이터 관리자는 개인 데이터 처리의 목표를 결정하고 통제권을 행사합니다. 데이터 처리자는 데이터 관리자의 지시에 따라 데이터를 처리합니다. 고차원적인 의미에서 데이터 관리자에게는 주로 다음과 같은 의무가 부과됩니다.
- 데이터 주체의 동의, 계약상의 필요성 및 정당한 이익을 포함하여 처리를 위해 명시된 법적 근거에 따라 개인 데이터 처리
- 개인정보 데이터를 무단 공개로부터 보호하기 위해 적절한 보안 조치 구현
- 데이터 주체가 자신의 개인정보 데이터에 액세스하여 이를 수정할 권리 및 자신의 개인정보 데이터 삭제를 요청할 권리를 포함한 데이터 주체의 권리에 대응
- 전송 조건이 충족된 경우에만 인도네시아 외부로 개인 데이터 전송
PDP 법에 따라 데이터 처리자는 데이터 관리자의 지시에 의해서만 개인 데이터를 처리해야 합니다. PDP 법에는 데이터 현지화 요구 사항이 포함되어 있지 않습니다.
하지만 전자 정보 및 트랜잭션에 관한 법률(No. 11/2008), 전자 시스템 및 트랜잭션의 공급에 관한 정부 규정(No. 71/2019)(GR 71)(전자 시스템 및 트랜잭션 운영에 관한 정부 규정 No. 82/2012의 수정안), 전자 시스템의 개인 데이터 보호에 관한 인도네시아 통신 정보 기술부 규정 No. 20/2016(정부 규정 20)을 포함하여 기존의 개인 데이터 보호 규정은 PDP 법을 위반하지 않는 한 계속 유효합니다.
AWS는 프라이버시 및 데이터 보안을 완벽히 합니다. AWS에서의 보안은 핵심 인프라에서 시작합니다. 클라우드용으로 사용자 지정되고 세계에서 가장 엄격한 보안 요구 사항을 충족하기 위해 설계된 AWS의 보안은 고객 데이터의 기밀성, 무결성 및 가용성을 보장하기 위해 연중무휴 24시간 모니터링됩니다. 또한 이러한 인프라를 모니터링하는 세계적 수준의 보안 전문가들이 고객의 보안 및 규정 요구 사항 충족을 간소화하도록 도울 수 있는 다양한 종류의 혁신적 보안 서비스를 구축 및 유지합니다. 규모 또는 위치에 관계없이 AWS 고객은 가장 엄격한 타사 보증 프레임워크에 대하여 테스트된 당사 경험의 모든 이점을 상속받습니다.
AWS는 ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, PCI DSS 레빌 1, 및 SOC 1, 2, 3을 포함하여, 전 세계적으로 인정받는 보안 보증 프레임워크 및 인증에 따라 AWS 클라우드 인프라 서비스에 적용되는 기술적 및 조직적 보안 대책을 구현하고 유지합니다. 기술적 및 조직적 보안 대책은 독립적인 서드 파티 평가자에 의해 검증되고 고객 콘텐츠의 무단 액세스 또는 공개를 방지하도록 설계됩니다.
예를 들어 ISO 27018은 클라우드에서의 개인 정보 보호를 집중적으로 다루는 첫 번째 국제 행동 규범입니다. ISO 27002는 ISO 정보 보안 표준 27002를 기반으로 하며, 퍼블릭 클라우드 서비스에서 처리하는 개인 식별 정보(PII)에 적용되는 ISO 27002에 대한 실행 지침을 제공합니다. 또한 AWS가 고객 콘텐츠의 개인 정보 보호를 전문적으로 처리하는 통제 시스템을 갖추고 있음을 고객에게 보여줍니다.
이러한 포괄적인 AWS의 기술적 및 조직적 대책은 개인 데이터를 보호하기 위한 일반적인 규제의 목적과 일치합니다. AWS 서비스를 사용하는 고객은 자신의 콘텐츠를 계속 제어할 수 있으며, 콘텐츠 분류, 암호화, 액세스 관리 및 보안 인증 등 특정한 요구에 따라 추가적인 보안 대책을 구현할 책임이 있습니다.
AWS는 데이터가 PDP 법의 적용을 받는지 여부를 비롯하여 고객이 네트워크에 업로드하는 내용에 대한 가시성이나 지식이 없기 때문에 고객은 궁극적으로 PDP 법 및 관련 규정을 스스로 준수할 책임이 있습니다. 이 페이지의 내용은 기존 데이터 프라이버시 리소스를 보완하여 AWS 서비스를 사용하여 개인 데이터를 저장하고 처리할 때 고객의 요구 사항을 AWS 공동 책임 모델과 일치시키는 데 도움이 됩니다.
-
고객은 본인의 콘텐츠 보안에서 어떤 역할을 합니까?
AWS 공유 책임 모델에 따라, 현장 데이터 센터의 애플리케이션을 보호할 때와 마찬가지로 콘텐츠, 플랫폼, 애플리케이션, 시스템 및 네트워크를 보호하기 위해 어떤 보안을 구현할지는 AWS 고객이 제어합니다. 고객은 자사의 규정 준수 요구 사항을 관리하기 위해 AWS에서 제공되는 기술적 및 조직적 보안 대책 및 제어를 기반으로 구축할 수 있습니다. 고객은 AWS Identity and Access Management와 같은 AWS 보안 기능 이외에도, 암호화 및 멀티 팩터 인증 등 친숙한 방법을 사용하여 데이터를 보호할 수 있습니다.
클라우드 솔루션의 보안을 평가할 때 고객이 다음의 차이를 이해하고 구별하는 것이 중요합니다.
- AWS가 구현 및 운영하는 보안 조치 – "클라우드의 보안"
- 고객 콘텐츠 및 AWS 서비스를 사용하는 애플리케이션 보안과 관련하여 고객이 구현하고 운영하는 보안 조치 – "클라우드에서의 보안"
-
누가 고객 콘텐츠에 액세스할 수 있습니까?
고객은 자신의 고객 콘텐츠에 대한 소유권 및 제어권을 유지하고 고객 콘텐츠를 처리, 저장 및 호스팅할 AWS 서비스를 선택합니다. AWS는 고객 콘텐츠에 대한 가시성을 갖지 않으며 고객이 선택한 AWS 서비스를 제공하거나 법 또는 법적 구속력이 있는 지시를 준수해야 하는 경우를 제외하고 고객 콘텐츠를 액세스하거나 사용하지 않습니다.
AWS 서비스를 사용하는 고객은 AWS 환경 내에서 콘텐츠에 대한 제어를 유지합니다. 다음과 같이 할 수 있습니다.
- 스토리지 환경 유형, 해당 스토리지의 지리적 위치 등 콘텐츠가 위치할 장소를 결정합니다.
- AWS가 제공한 암호화 또는 고객이 선택한 타사 암호화 메커니즘을 사용하여 평문, 마스킹, 익명화, 암호화 등 콘텐츠 형식을 제어합니다.
- 자격 증명, 액세스 관리, 보안 자격 증명 등 기타 액세스 제어를 관리합니다.
- SSL, Virtual Private Cloud 및 기타 네트워크 보안 조치를 제어하여 승인되지 않은 액세스를 방지합니다.
이를 통해 AWS 고객은 콘텐츠 분류, 액세스 제어, 보존 및 폐기를 비롯해 AWS에서 콘텐츠의 전체 수명 주기를 제어하고, 자체 특정 요구 사항에 따라 콘텐츠를 관리할 수 있습니다.
-
고객 콘텐츠는 어디에 저장됩니까?
AWS 데이터 센터는 전 세계 여러 위치에서 클러스터를 기반으로 구축됩니다. AWS에서는 해당 위치에 있는 각 데이터 센터 클러스터를 "리전"이라고 부릅니다.
AWS 고객은 콘텐츠가 저장된 AWS 리전을 선택합니다. 이를 통해 지리적 위치에 대한 특정 요구 사항이 있는 고객이 원하는 위치에 환경을 구축할 수 있습니다.
고객은 하나 이상의 리전에 콘텐츠를 복제 및 백업할 수 있습니다. 하지만 AWS는 고객이 요청한 서비스를 제공하거나 준거법을 준수하기 위한 경우를 제외하고, 고객의 콘텐츠를 고객이 선택한 리전 이외의 장소로 이동하지 않습니다.
-
AWS에서는 데이터 센터의 보안을 어떻게 유지합니까?
AWS 데이터 센터 보안 정책은 고객의 정보를 보호할 수 있도록 확장 가능한 보안 제어 및 다중 방어층으로 구성됩니다. 예를 들어, AWS는 잠재적 홍수 및 지진 활동 위험을 중앙에서 관리합니다. 물리적 장벽, 보안 경비, 위협 탐지 기술 및 깊이 있는 선별 과정을 사용하여 데이터 센터에 대한 액세스를 제한합니다. 시스템을 백업하고, 장비 및 프로세스를 정기적으로 테스트하고, AWS 직원을 지속적으로 교육하여 예상 밖의 상황에 대비합니다.
데이터 센터의 보안을 검증하기 위해, 외부 감사 기관이 연중 내내 2,600개 이상의 표준 및 요건에 대한 테스트를 수행합니다. 이러한 독립적인 검사는 보안 표준이 일관되게 충족되거나 초과되도록 보장하는 데 도움이 됩니다. 그에 따른 결과로, 세계에서 가장 규제가 심한 조직들이 데이터를 보호하기 위해 AWS를 신뢰하고 있습니다.
가상 투어를 통해 » 설계 면에서 AWS 데이터 센터를 안전하게 보호하는 방법을 알아보십시오.
-
어떤 AWS 리전을 사용할 수 있습니까?
고객은 하나의 리전, 여러 리전의 조합 또는 모든 리전을 사용할 수 있습니다. AWS 리전의 전체 목록을 보려면 AWS 글로벌 인프라 페이지를 방문하십시오.
-
AWS에서는 시스템을 보호하기 위해 어떤 보안 조치를 취하고 있습니까?
AWS 클라우드 인프라는 현존하는 플랫폼 중 가장 유연하고 안전한 클라우드 컴퓨팅 환경이 되도록 설계되었습니다. Amazon의 규모 덕분에 다른 어느 대기업이 자체적으로 감당할 수 있는 것보다 보안 정책 및 대책에 훨씬 더 많은 투자를 할 수 있습니다. 이 인프라는 AWS 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성되며, 고객과 APN 파트너에 개인 데이터 처리를 위한 강력한 제어 항목(보안 구성 제어 항목 등)을 제공합니다.
또한, AWS에서는 ISO 27001, ISO 27017 및 ISO 27018을 비롯하여 다양한 보안 표준과 규제를 준수하는지 테스트하고 확인한 서드 파티 감사자의 여러 규정 준수 보고서를 제공합니다. 이러한 조치의 효과를 투명하게 밝히기 위해 AWS에서는 AWS 아티팩트의 타사 감사 보고서에 액세스할 수 있도록 하고 있습니다. 이러한 보고서는 데이터 통제자 또는 데이터 처리자의 역할을 할 수 있는 고객과 APN 파트너에게 AWS가 개인 데이터를 저장 및 처리하는 기본 인프라를 보호하고 있음을 보여줍니다. 자세한 내용은 AWS 규정 준수 리소스를 참조하십시오.