NAVER CLOUD PLATFORM

개인정보보호

네이버 클라우드 플랫폼은 자체적인 개인정보보호법 준수 뿐만 아니라,
고객이 스스로의 비즈니스 활동 시 적용되는 GDPR 준수에 도움이 되도록 최선을 다하고 있습니다.

  • 네이버 클라우드 플랫폼은 개인정보보호에 관한 모든 관련 법령과 국제 기준을 준수합니다.

    네이버 클라우드 플랫폼은 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 등 국내외 개인정보보호 법령을 철저히 준수합니다. 모든 서비스의 시작부터 종료까지 개인정보 영향평가를 실시하여 고객에게 안전한 서비스를 제공할 수 있도록 최선을 다하고 있습니다.

    또한 인프라, 어플리케이션, 개인정보보호 전문 인력이 위험관리 활동을 지속적으로 수행함으로써 개인정보의 기술적·관리적 보호조치 기준을 준수합니다. ISMS-P, CSAP, ISO 27018, SOC 1/2/3, MTCS 등 10여개의 엄격한 국내외 보안 인증을 통해 개인정보 규제 준수 여부를 수검 받고 있습니다.

    privacy1

    고객의 개인정보 보호 법령 준수를 적극 지원합니다.

    네이버 클라우드 플랫폼은 고객이 클라우드 책임공유 모델에 의한 고객 책임 영역에 대해 개인정보 보호 법령을 준수할 수 있도록 다양한 보안 가이드를 제공하고 있습니다.
    1. Compliance Guide를 통해 고객의 역할이 무엇인지 이해하고, 규제 사항에 적합한 보안 서비스를 확인할 수 있습니다.
    2. 보안 백서보안 가이드를 통해 개인정보의 기술적·관리적 보호조치 기준 준수를 위한 보안 설정에 대한 상세 내용을 확인할 수 있습니다.
    3. 고객 스스로의 안전한 클라우드 운영 및 개인정보 보호를 위한 클라우드 환경 보안 감사 가이드 를 제공하고 있습니다.

    고객의 데이터는 네이버 클라우드 플랫폼이 아닌 고객 소유입니다.

    네이버 클라우드 플랫폼의 인프라 서비스에 저장 및 업로드하는 고객의 데이터는 고객 소유이며, 네이버 클라우드 플랫폼은 고객의 동의 없이는 이에 접근하지 않습니다. 또한 고객은 네이버 클라우드 플랫폼에서 제공하는 다양한 보안 서비스를 활용하여 개인정보 암호화 및 접근 통제 등의 데이터를 제어할 수 있습니다

    privacy2

    네이버 클라우드 플랫폼의 다양한 보안 서비스를 통해 클라우드 환경의 고객들의 개인정보를 안전하게 보호할 수 있습니다.

    카테고리서비스명설명
    접근 통제NACLNetwork Access Control List(NACL)는 서브넷 단위의 방화벽으로 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가 받지 않은 접근을 제한할 수 있습니다.
    ACGAccess Control Group(ACG)은 서버 단위의 방화벽으로 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가 받지 않은 접근을 제한할 수 있습니다.
    Secure Zone서비스 존(Zone) 과 개인정보처리시스템 존(Zone) 간에 물리적인 망분리를 제공하는 서비스입니다.
    Security Monitoring정보통신망을 통한 불법적인 접근 및 침해사고를 예방할 수 있는 서비스입니다.
    접속 기록의
    위변조 방지
    Resource Manager네이버 클라우드 플랫폼 내 모든 리소스를 통합적으로 관리할 수 있는 서비스로, 생성된 리소스 별 생성 및 변경 이력을 확인할 수 있습니다
    Cloud Activity Tracer네이버 클라우드 플랫폼 내 계정 활동 기록에 대해 다양한 정보를 제공합니다.
    개인정보 암호화KMSKey Management Service(KMS)는 암호화 키를 엄격하고 안전하게 보호할 수 있는 다양한 기능을 편리하게 제공합니다.
    HSMHardware Security Module(HSM)은 가장 안전한 암호화 키 보호 수단을 제공합니다. 데이터 암호화에 요구되는 대부분의 조건을 만족할 수 있는 기능을 손쉽게 이용할 수 있습니다.
    SSL VPN외부에서 기업 내부 네트워크에 접속할 때 암호화된 터널링 통신을 위한 SSL 방식의 가상 사설망을 구축할 수 있습니다.
    IPSec VPN외부에 있는 고객의 네트워크와 네이버 클라우드 플랫폼의 네트워크 간 개인정보 및 인증정보를 송․수신할 경우 암호화된 터널링 통신을 통해 안전하게 통신할 수 있습니다.
    Certificate Manager연동 서비스에서 사용할 인증서를 등록하고 통합하여 관리하는 기능을 제공합니다.
    악성프로그램 방지Security Monitoring악성 프로그램 등을 방지, 치료할 수 있는 백신 소프트웨어를 제공합니다.
  • 네이버 클라우드 플랫폼의 GDPR 준수 노력

    GDPR(General Data Protection Regulation)은 유럽연합 정보주체의 개인정보 보호를 위해 개정된 개인정보보호법으로, 네이버 클라우드 플랫폼은 자체적인 GDPR 준수를 위해 내부적으로 관련된 사항들을 면밀히 검토하여, GDPR 준수를 입증하고, 고객의 개인정보 보호를 위한 위험을 해결하기 위해 최선을 다하고 있습니다.


    GDPR compatible Privacy Notice update

    공정하고 투명한 고객 개인정보 처리 보장을 위해 정보주체에게 제공해야 하는 내용 등 GDPR을 준수 하도록 Privacy Notice(개인정보처리방침)을 개정하여 공지하였습니다. 향후에도 Privacy Notice는 지속적으로 갱신하여 처리의 투명성 확보에 소홀함이 없도록 할 예정 입니다.


    네이버 클라우드 플랫폼을 사용하여 GDPR에 따라 고객 개인정보를 처리하는 경우 적용되는 합의된 계약사항으로 데이터 처리 부칙(Data Processing Addendum, 이하 DPA)을 제공합니다. 고객은 고객의 개인정보에 대한 컨트롤러이며, 네이버 클라우드 플랫폼은 고객의 데이터를 처리하는 프로세서로 지명됩니다. DPA에는 EU Model Clauses가 포함되는데, 유럽경제지역(EEA)에서 EU 역외 국가로 개인정보를 전송하려는 고객은 네이버 클라우드 플랫폼을 통해 EEA 환경과 동일한 높은 수준의 개인정보 보호를 약속 받을 수 있습니다.


    Privacy by Design and Privacy by Default

    본사는 GDPR 발효 이전부터 서비스 및 상품 설계 단계부터 개인정보 보호 뿐만 아니라, 보안을 고려한 기술개발을 기본원칙으로 준수하여 실천하고 있습니다. 또한 제공하는 상품과 서비스에 대해 개인정보 권리를 침해하지 않도록 정기적인 점검과 모니터링을 수행하고 있습니다.


    유수 법무법인과 협력하여 신뢰성 있는 규정 검토

    개인정보 처리 요건이 까다로워진 GDPR 규정의 눈높이에 맞춰 고객 개인정보 처리의 적법성을 확보하고 최대치의 권리보장을 위해 대한민국 유수 법무법인과 EU 현지 법무법인을 통해 규정 준수를 위한 신뢰성 있는 법적 자문을 받았습니다.


    인증 획득

    GDPR에 따른 고객의 개인정보 보호를 위해 네이버 클라우드 플랫폼은 프로세서(processor)로서의 적절한 기술 및 조직적 조치 이행을 보증하기 위해 최우선으로 보안과 규정 준수에 투자하고 있습니다. 지속적으로 보안을 체계적으로 관리하는지 정의하는 ISO/IEC 27001 Information Security Management 및 클라우드 보안에 대한 ISO/IEC 27017 Security Controls for Cloud Services, ISO/IEC 27018 Protection of Personally Identifiable Information과 같은 엄격한 국제 표준 준수를 입증합니다.
    또한, 글로벌 수준의 내부통제 감사 준수 관련 SOC(Service Organization Control) 1, 2, 3 인증 및 안전한 결제 정보보호에 대한 국제 데이터 보안 표준인 PCI DSS(PCI Security Standard Council) 인증을 획득하였습니다. 그리고, 대한민국 클라우드 서비스 제공사로는 처음으로 CSA STAR Certification 인증을 획득하여 클라우드 서비스 보안관리 활동이 효과적으로 수행되고 있음을 검증 받았습니다. 앞으로도 네이버 클라우드 플랫폼은 자사의 보안 및 개인정보 보호 수준을 검증 받고 고객에게 지원하기 위한 인증을 계속 추구합니다.

    고객의 GDPR 규정
    준수 지원

    암호화

    • 개인정보 및 데이터의 암호화 지원을 통해 기밀성 보장
    • Key Management Service, SSL VPN, IPSec VPN, Data Teleporter 등

    모니터링 및 로깅

    • 클라우드 자산에 대한 개요 제공 및 보안 모니터링과 그 로그를 통해 무결성 및 가용성 보장
    • Basic Security, Security Monitoring, App Safer, Site Safer, File Safer, Web Security Checker, System Security Checker, App Security Checker, Cloud Log Analytics 등

    접근제어

    • 권한 있는 관리자나 사용자, 어플리케이션만 NCP리소스에 접근할 수 있도록 허용
    • ACG, Secure Zone, CAPTCHA, API Gateway, Sub Account 등

    가용성 및 복원력

    • 지속적인 처리 및 사고시 적시에 복원할 능력
    • 백업, Multi Zone, Global Region, Monitoring, Web service Monitoring System, Network Traffic Monitoring 등

    암호화

    • 개인정보 및 데이터의 암호화 지원을 통해 기밀성 보장
    • Key Management Service, SSL VPN, IPSec VPN, Data Teleporter 등

    접근제어

    • 권한 있는 관리자나 사용자, 어플리케이션만 NCP리소스에 접근할 수 있도록 허용
    • ACG, Secure Zone, CAPTCHA, API Gateway, Sub Account 등

    모니터링 및 로깅

    • 클라우드 자산에 대한 개요 제공 및 보안 모니터링과 그 로그를 통해 무결성 및 가용성 보장
    • Basic Security, Security Monitoring, App Safer, Site Safer, File Safer, Web Security Checker, System Security Checker, App Security Checker, Cloud Log Analytics 등

    가용성 및 복원력

    • 지속적인 처리 및 사고시 적시에 복원할 능력
    • 백업, Multi Zone, Global Region, Monitoring, Web service Monitoring System, Network Traffic Monitoring 등