일반 데이터 보호 규정(GDPR) 준수는 처리하는 데 있어 Microsoft와 외부 판매자는 어떠한 차이가 있는가?
연결 유효성 검사
Microsoft에서 게시한 커넥터는 내부 또는 외부 서비스에 연결할 수 있습니다. 예를 들어, SharePoint 또는 Excel과 같은 커넥터는 항상 내부적으로 서비스에 연결됩니다.
그러나 Microsoft는 외부 서비스를 사용하는 커넥터도 게시합니다. 예를 들어 Salesforce 커넥터는 Salesforce 서비스를 사용합니다. 커넥터가 Microsoft 인프라를 떠날 때마다 Microsoft는 데이터 보호를 보장하기 위해 일련의 유효성 검사를 실행합니다.
중요
데이터 보호 책임자는 커넥터 자체가 아니라 서비스입니다. 그 이유는 커넥터가 아니라 데이터를 저장하는 서비스가 연결되어 있기 때문입니다.
데이터가 Microsoft 인프라에 있는 경우 Microsoft가 제어합니다. 외부 인프라로 이동하는 즉시 검증된 게시자가 제어합니다.
차이를 알면 적절한 조치를 취할 수 있고 연결 전반에 걸쳐 데이터의 안전을 보장할 수 있습니다. 자세한 내용은 아래 섹션에 있습니다.
Microsoft는 Microsoft 인프라에 있는 모든 데이터에 대해 보호 정책을 적용합니다. 검증된 커넥터 서비스를 사용하는 경우와 같이 데이터가 외부 인프라로 이동하는 즉시 해당 회사에서 설정한 정책이 이어집니다.
Microsoft가 보안, 개인 정보 보호 및 규정 준수와 같은 문제를 해결하는 방법에 대한 자세한 내용은 Microsoft 보안 센터를 참고하십시오.
외부 회사 개인 정보 보호 정책
참고
커넥터 서비스가 외부 인프라에 있을 경우 Microsoft의 정책을 시행하는 데 제한이 있습니다. 서비스에 연결하면 Microsoft는 데이터가 어디로 가는지 제어할 수 없으며 이는 외부 회사에 달려 있습니다. 약관을 조사하거나 지침을 제공하기 위해 직접 협력하는 것은 귀하의 책임입니다.
커넥터 서비스가 Microsoft 인프라에서 실행되는 동안 Microsoft는 GDPR 규정 준수를 관리합니다. 데이터가 회사의 외부 인프라로 이동하면 Microsoft는 GDPR 규칙을 위반하지 않습니다.
중요
Microsoft 커넥터 플랫폼은 GDPR을 준수합니다. 데이터는 저장하지 않고 처리만 합니다. 처리하는 동안 Microsoft 개인 정보 보호 및 GDPR 정책을 준수합니다.
예를 들어 유럽에서 흐름을 만드는 경우 Microsoft는 미국으로 요청을 보내지 않고 그곳에서 데이터를 처리한 다음 외부 회사의 서비스로 다시 보냅니다. 이 경우 Microsoft는 지리적 경계를 준수합니다.
외부 회사 GDPR 규정 준수
커넥터 서비스가 외부 회사의 인프라에서 실행되는 동안 회사는 GDPR 규정 준수를 관리합니다.
참고
서비스가 외부 회사의 인프라에서 실행되는 경우 GDPR 요구 사항을 이해하는 것은 귀하의 책임입니다. Microsoft는 제어권이 없습니다. 외부 회사 커넥터는 GDPR을 준수하거나 준수하지 않을 수 있습니다.
외부 회사의 커넥터를 사용하는 경우 회사에서 자체 조사, 모델링, 공급 업체 감사 및 전략 단계를 수행하여 GDPR이 비즈니스에 적용되는 대로 이해하고 있는지 확인하는 것이 좋습니다. 이용 약관 문서에 따라 시작하는 것이 좋습니다.
외부 회사만 답변할 수 있는 질문의 예는 다음과 같이 지리적으로 이동하거나 처리되는 데이터를 포함할 수 있습니다.
EU 기반 회사의 경우:
데이터가 어느 시점에서든 EU를 떠나는가?
데이터가 어느 시점에서든 EU로 전송되는가?
미국 기반 회사의 경우:
데이터가 어느 시점에서든 EU로 전송되는가?
끝점 확인
데이터가 Microsoft 인프라에서 처리될 때 Microsoft는 끝점을 확인하여 특정 품질 기준을 충족하는지 확인합니다. Azure Logic Apps는 지역적 경계를 적용하지만 Power Automate 및 Power Apps는 지리적 경계를 적용합니다.
예를 들어 미국 서부는 지역이지만 미국은 지리입니다. Logic Apps에서 사용자가 미국 서부를 선택하면 Microsoft는 데이터가 미국 중부 또는 미국 동부가 아닌 미국 서부 데이터 센터 경계를 벗어나지 않도록 합니다. 그러나 Power Automate 및 Power Apps의 경우 Microsoft는 지리적 경계만 보장합니다. 즉, 사용자가 미국을 선택하면 미국 서부 또는 미국 동부를 포함한 미국 내 어디서나 데이터를 처리할 수 있습니다. Microsoft가 보장하는 것은 데이터가 유럽이나 아시아와 같은 미국 외부로 전송되지 않는다는 것입니다.
데이터가 Microsoft를 떠나 사용자가 선택한 지역으로 이동하면 데이터 사용 및 저장은 외부 회사에서 설정한 정책에 따라 결정됩니다. Microsoft는 회사 플랫폼에 대한 프록시 역할만하며 끝점으로 요청을 보냅니다.
검증된 외부 커넥터를 사용하는 경우 데이터가 처리되는 방법과 위치를 이해하려면 회사에서 제공하는 이용 약관을 이해해야 합니다.
Swagger 유효성 검사
Swagger 유효성 검사는 커넥터의 동등성 막대를 측정합니다. Microsoft는 커넥터가 Open API 표준을 준수하고 커넥터 요구 사항 및 지침을 충족하며 적절한 사용자 지정 Microsoft 확장 기능(x-ms)을 포함하는지 확인하기 위해 이 유효성 검사를 실행합니다.
호환성이 손상되는 변경 유효성 검사
커넥터가 업데이트되면 Microsoft는 유효성 검사 테스트를 시행하여 중단되지 않는지 확인합니다. 유효성 검사 규칙은 현재 Swagger 버전을 이전 Swagger 버전과 비교하여 주요 변경 사항을 포착합니다. 예를 들어, 회사가 선택 사항으로 표시한 매개 변수가 이제는 필수 사항입니다.
품질 및 검증 확인
Microsoft는 모든 커넥터에 대해 품질 검사를 수행합니다. 품질 검사에는 배포 후 기능 확인과 기능이 예상대로 작동하는지 테스트하는 것이 포함됩니다. Microsoft는 확인 검사도 수행합니다. 한 가지 유형은 게시자가 커넥터를 빌드할 수 있도록 허용하는 것입니다. 또 다른 유형은 모든 커넥터 코드에서 멀웨어 또는 바이러스를 검색하는 것입니다.
통신 및 인증 방법
런타임 시 사용자에게 호출 권한이 있는지 확인하기 위해 유효성 검사를 수행한 다음 백 엔드 호출에 대한 토큰/비밀을 가져옵니다.
Microsoft는 사용할 인증 유형에 대해 외부 회사에 제한을 두지 않습니다. 기본 커넥터 서비스에서 제공하는 API에서 지원하는 인증에 의해 정의됩니다. 커넥터는 다양한 유형의 인증을 지원합니다(예: Microsoft Entra ID, 기본 인증 또는 OAuth).
예
사용된 인증 유형이 다음과 같은 경우:
Microsoft Entra ID: 사용자에게 Microsoft Entra ID로 로그인하라는 메시지가 표시됩니다(기업 정책에서 사용자에게 다단계 인증, 인증서 또는 스마트 카드를 적용하는 경우 여기에서도 적용할 수 있음). 이 적용은 사용자와 커넥터 자체에 독립적인 Microsoft Entra ID 간에 발생합니다. 많은 서비스, 특히 Microsoft에서 제공하는 서비스는 Microsoft Entra ID를 사용합니다.
기본 인증: 사용자 이름과 비밀번호는 API 요청으로 전송됩니다. 이러한 비밀은 Microsoft Power Platform에서만 액세스할 수 있는 내부 토큰 저장소에 저장되고 암호화됩니다.
OAuth—커넥터의 리디렉션 URL은 설정에서 검색되어 서비스에 직접 로그인하고 동의를 부여하기 위해 사용자에게 다시 전송됩니다. 사용자 자격 증명은 저장되지 않습니다. 로그인에 성공하고 사용자가 데이터 액세스에 대한 동의를 부여하면 인증 코드가 Microsoft Power Platform으로 다시 전송됩니다. 이 인증 코드를 사용하면 액세스 토큰이 검색되어 내부적으로 저장됩니다. 이 액세스 토큰은 Microsoft Power Platform에서만 액세스할 수 있습니다.