XR-013: 게시자 계정에 Microsoft 계정 연결 *

버전 1.5, 2024년 8월 1일

Xbox에서 파트너 호스팅 서비스 또는 자격 증명이 필요한 계정을 사용하는 타이틀은 모든 Xbox 사용자를 지원하고 해당 계정을 사용자의 Microsoft 계정과 연결하도록 제공해야 합니다. Xbox 콘솔 외부에서 타이틀은 해당 게임 경험을 지원하기 위해 계정 연결을 허용하도록 선택할 수 있습니다.

타이틀 내에서 게시자 계정 로그인이 활성화된 경우 다음 규칙이 적용됩니다.

게시자 계정 로그인

• 모든 사용자 수용
  게임 기능(단일 플레이어, 멀티 플레이어, 네트워크 간 게임 플레이, 리더 보드)에 게시자 계정 로그인이 필요한 경우 로그인 및 등록은 게임 타이틀이 제공되는 모든 사용자 유형, 연령 및 지역을 지원해야 하며 연령 등급에 관계없이 지역/지역 법률에서 해당 기능을 허용해야 합니다.

  • 게임 퍼블리셔는 게시자 계정에 대해 특정 지역, 연령 등을 지원하지 않도록 선택할 수 있습니다. 지역, 연령 그룹 또는 기타 플레이어 그룹이 계정을 만들거나 로그인할 수 없는 경우 타이틀은 해당 사용자가 게임 기능을 사용하기 위해 계정으로 로그인하도록 요구할 수 없습니다.
  • 특정 계정 설정이 타이틀 기반 가입 환경에서 지원되지 않는 경우(예: 연령 또는 지역) 타이틀은 해당 사용자를 지원하는 외부 사이트 또는 모바일 최적화 환경에서 가입하라는 메시지를 제공하여 정상적으로 처리되어야 합니다.

• 동의를 얻고 계정 정보 사용 약관 제공
  타이틀은 플레이어의 Microsoft 계정 정보를 사용하여 등록/계정 생성 환경을 자동으로 채웁니다. 사용자는 게시자 계정 생성 프로세스 중에 타이틀 내의 모든 적용 가능한 사용 약관, 개인 정보 보호 및 기타 정책(또는 이러한 정보에 대한 링크가 있는 알림)을 제공해야 합니다.

• 요구 사항 공개
  게임 플레이 또는 추가 기능에 퍼블리셔 계정이 필요한 경우 타이틀의 제품 설명과 연령과 같은 제한을 포함한 물리적 패키징에 공개해야 합니다. 타이틀에서 게임은 게시자 계정의 이유와 사용을 정의해야 합니다. 게시자 계정이 자녀 계정에 대한 환경을 제한하거나 제한하는 경우 구매자 인식을 위해 이 텍스트를 스토어 세부 정보 페이지에 추가하는 것이 좋습니다.

온라인 멀티 플레이어, 통신 및 기타 온라인 기능을 포함한 게임의 특정 기능은 Xbox 자식 계정에서 액세스할 수 없습니다. Xbox에서 아동은 현지 법률이 다르게 지정하지 않는 한 13세 미만의 플레이어를 의미합니다.

게시자 계정/Microsoft 계정 연결

• XSTS(Xbox 보안 토큰 서비스)를 사용한 인증
  XSTS 토큰은 사용자의 게시자 계정을 사용자의 Microsoft 계정에 연결할 때 인증을 위한 ID 정보를 제공하는 데 사용해야 합니다. XSTS 토큰 인증에 대한 자세한 내용은 타이틀 서비스에 대한 Xbox 서비스 인증권한 부여 필요을 참조하세요.

• 동의 얻기 및 선택 제공
  사용자에게 사용자의 게시자 계정을 사용자의 Microsoft 계정에 연결하는 계정에 대한 알림을 받아야 합니다. 계정에 연결하는 경우 사용자에게 옵트아웃할 수 있는 선택지를 제공해야 합니다. 사용자에게 계정을 연결 해제할 수 있는 기능이 제공되어야 합니다.

• 모든 사용자 수용
  게임 기능(단일 플레이어, 멀티 플레이어, 네트워크 간 게임 플레이, 리더 보드)에 게시자 계정 로그인이 필요한 경우 로그인 및 등록은 게임 타이틀이 제공되는 모든 사용자 유형, 연령 및 지역을 지원해야 하며 연령 등급에 관계없이 지역/지역 법률에서 해당 기능을 허용해야 합니다.

참고 항목

게시자는 연결된 계정이 새 디바이스에서 처음으로 로그인할 때 2단계 인증 중단과 같은 추가 사기 방지 메커니즘을 구현할 수 있습니다. 이 동작은 이 XR을 위반하지 않습니다.

추가 정보

계정 인증
본체에서 계정 연결 또는 계정 생성을 수행 중인 타이틀은 보안 인증 절차를 따라야 합니다. 인증은 타이틀 또는 파트너 웹 사이트 내에서 수행이 되거나, 인증된 계정을 연결하기 위한 토큰을 사용해 독립적으로 수행될 수 있습니다.

모든 사용자 수용
게임 플레이에 연결된 계정이 필요한 경우 타이틀이 모든 사용자에 대한 계정 연결을 수용해야 합니다. 퍼블리셔는 미국에서 발매 중인 타이틀에서 서비스에 대한 링크가 어린이 온라인 사생활 보호법(COPPA)을 준수하는 방식으로 처리되도록 해야 할 책임이 있습니다.

연결 해제
사용자가 Microsoft 계정에서 퍼블리셔 또는 서비스 계정의 연결을 해제할 수 있어야 합니다. 연결 계정 관리가 타이틀, 웹 또는 타사 환경에서 허용됩니다.

SSO(Single Sign-On)
타이틀에서 사용자에 대한 계정 링크가 생성된 후에는 어느 장치에서든 SSO가 가능해야 합니다.

의도
퍼블리셔 또는 서비스 계정에 Microsoft 계정을 연결할 때 사용자가 일관되고 안전한 서비스를 경험하도록 보장합니다.

구현 지침 및 모범 사례

계정 연결 모범 사례

Xbox 사용자는 엔터테인먼트 시스템에서 점점 더 게임 이상의 것을 원하고 있습니다. 콘텐츠 공급자가 다양한 범주에서 수십 가지 서비스를 제공하고 있지만 모든 사용자의 요구를 효과적으로 충족시켜 줄 수 있는 단일 공급자는 존재하지 않습니다. 계정 연결---은 Xbox 사용자가 모든 대화형 서비스에 대한 로그인으로 Microsoft 계정을 사용할 수 있도록 하는 것입니다---이 문제에 대한 이상적인 솔루션입니다. 이 문서에서는 Xbox에서 계정 연결이 작동하는 방식에 대한 개요를 제공하고 타이틀에 이 기능을 포함하기 위한 모범 사례 및 요구 사항을 설명합니다.

계정 연결 기초

계정 연결은 한 사용자의 Microsoft 계정(Xbox Live 계정)과 이 사용자의 다른 서비스 계정 사이에 어떤 관계를 설정하는 것을 의미합니다. 계정 연결을 사용하면 두 계정 사이에 데이터가 공유됩니다. 연결된 계정의 가치와 목적이 타이틀마다 크게 다르지만, 계정 연결은 일반적으로 계정 소유자가 Xbox 콘솔을 사용하여 연결된 계정에서 제공되는 서비스에 액세스할 수 있게 해줍니다. 이 기능은 사용자가 다른 로그인을 기억해야 할 필요성을 완화시켜 줍니다. 이 기능은 사용자 환경을 크게 향상시키고 타이틀에 상당한 가치를 더할 수 있는 편리한 기능입니다.

계정 연결에 따른 잠재적인 위험

계정 연결이 제공하는 편의성을 위해서는 그에 따른 비용이 듭니다. 의심할 여지 없이 계정 연결은 그 가치가 높지만, 계정을 만들고 연결할 때 적절한 조치를 다하지 못할 경우 연결 오용, 사기, 개인 정보 보호 위반으로 이어지고 사용자 안전에 심각한 위험을 초래할 수 있습니다.

사기

계정 연결에서 발생 가능한 가장 큰 위험 요소는 사기 가능성일 것입니다. 사기 문제는 특히 유료 구독 또는 서비스가 포함된 계정 연결의 경우 사용자, 타이틀 또는 커뮤니티의 직접적인 재정 손실로 이어질 수 있습니다. 일반적으로 공격자는 희생자 계정을 자신이 소유하는 계정으로 연결할 수 있는 방법을 찾습니다. 계정이 연결되면 공격자는 신용 카드 번호 또는 기타 PII(개인 식별 정보)와 같이 피해자의 계정에서 사용할 수 있는 서비스 또는 정보에 액세스할 수 있습니다.

다음은 부주의한 계정 연결 구현이 어떻게 사기로 이어질 수 있는지를 보여주는 예입니다.

• 사용자가 영화 대여 서비스 웹 사이트에 게이머태그를 입력하기만 하면 동영상 대여 서비스 계정을 Microsoft 계정에 연결할 수 있습니다.* 계정 인증을 요구하지 않고도 사용자의 게이머태그를 요청하여 웹 사이트에서 계정을 연결할 수 있도록 하면 공격자가 게이머 태그에 연결할 수 있습니다. 이로 인해 공격자가 유효한 사용자의 유료 서비스에 액세스하거나 나중에 다른 공격에 사용할 수 있는 PII를 노출할 수 있습니다.

사기 가능성을 줄일 수 있는 가장 좋은 방법은 계정 연결을 완료하기 전에 두 계정을 모두 인증하는 것입니다. 인증 관련 모범 사례에 대한 자세한 내용은 이 문서 후반부에 있는 계정 연결 권장 사항과 금지 사항 섹션을 참조하세요.

개인 정보 보호 위반

사용자의 개인 정보 보호에 대한 잠재적 위반 가능성도 계정 연결과 연관된 중요한 위험 요소입니다. 사용자의 PII를 부적절하게 관리하거나 사용자 동의 없이 연결된 계정으로부터 데이터를 수집하고 공유하는 타이틀 퍼블리셔는 FTC(연방 통상 위원회)로부터 중대한 제재를 받을 수 있습니다. FTC 제재 외에도 개인 정보 보호 위반 실책에 따라 퍼블리셔의 중대한 이미지 손상은 물론 재정적 손실로까지 이어질 수 있습니다.

개인 정보 보호 위험이 일어날 수 있는 계정 연결 방식 예는 다음과 같습니다.

• 사용자 동의 없이 연결된 계정에서 PII를 수집하고 동의합니다.
• 사용자 계정에서 데이터를 수집하여 PII를 만듭니다(예: 시간 또는 위치 데이터).
• 적절한 동의 없이 사용자의 보호 대상 데이터(예: 키, 체중, 연령 또는 성별)를 공유합니다.

타이틀이 PII를 수집하거나 표시하는 경우 Xbox 개인 정보 관리자를 사용하여 검토를 설정하는 방법에 대해 Microsoft 연락처 에 문의해야 합니다.

안전 위험

계정 연결 구현이 부적절한 경우 사용자 안전이 위험해질 수 있습니다. 예를 들어 COPPA(아동에 관한 온라인 개인 정보 보호법)에 따르면 웹 사이트 및 온라인 서비스가 미국 내에서 13세 미만 연령의 사용자로부터 데이터를 수집할 경우 먼저 부모 동의를 얻어야 합니다. 타이틀의 계정 연결 방식이 COPPA를 위반(즉, 13세 미만 사용자 데이터 수집 요건 위반)하고 데이터가 안전하게 보존되지 않을 경우 해당 어린이의 개인 정보 보안이 위험에 처할 수 있습니다.

연결된 계정 내의 데이터 또는 콘텐츠가 부적절하게 사용되거나 오용될 수 있는 경우에도 사용자 안전이 위험에 처할 수 있습니다.

타이틀이 PII를 수집하거나 표시하는 경우 Xbox 개인 정보 관리자 검토 설정에 대해 계정 관리자에게 문의해야 합니다.

계정 연결 요건

일관적이고 긍정적인 사용자 경험을 장려하고, 계정 연결과 관련하여 발생 가능한 위험 요소를 완화하고, 계정 연결을 쉽고 안전하게 구현하기 위해 Microsoft는 점점 더 일반화되고 있는 이 계정 연결 기능에 대한 몇 가지 요건과 정책을 지정했습니다. 계정 연결을 사용하도록 설정하는 모든 Xbox 콘솔 타이틀은 Microsoft 계정을 게시자 계정과 연결이라는 제목의 XR(Xbox 요구 사항)을 충족해야 합니다. 이 요구 사항에는 계정 인증, 계정 연령, 연결 해제 및 Single Sign-On의 네 가지 주요 사항이 포함됩니다.

계정 연결 인증

타이틀은 서비스 간 계정 연결을 설정하기 전 Microsoft 계정 및 연결되는 퍼블리셔 계정을 모두 인증하고, 보안 인증 절차를 따라야 합니다. 이 요건의 목적은 계정 생성 및 연결 중 사용자 계정 정보가 허가되지 않은 방식으로 노출되지 않도록 보호하기 위한 것입니다. 올바른 인증 방법을 사용하는 것이 계정 연결 흐름에서 사기 위험을 완화할 수 있는 가장 좋은 방법 중 하나입니다. 링크가 완료되기 전 사용자가 두 계정을 모두 인증하도록 함으로써 공격자가 사용자 계정에 액세스하는 것을 어렵게 만들 수 있습니다. Xbox Live 및 타이틀을 사기로부터 안전하게 보호하기 위해서는 인증이 올바르게 수행되도록 하는 것이 가장 중요합니다.

게임 플레이에 연결된 계정이 필요한 경우 모든 사용자에 대해 계정 연결을 수용해야 합니다.

게임 플레이에 연결된 계정이 필요한 경우 타이틀이 모든 사용자에 대한 계정 연결을 수용해야 합니다. 미국 내에서 판매되는 타이틀의 경우 퍼블리셔는 COPPA를 준수하는 방식으로 서비스 링크가 처리되는지 확인해야 합니다.

이 요건이 적용될 수 있는 시나리오에는 모든 사용자를 대상으로 제작되었고, ESRB 등급이 E이고, 플레이를 위해 연결된 계정이 필요한 타이틀이 포함될 수 있습니다. 타이틀을 재생하려면 사용자가 타이틀 서비스에 계정을 만들고 해당 계정을 Microsoft 계정에 연결해야 합니다. 어린이가 게임을 플레이하고 싶지만 계정 연결에 대한 연령 요건으로 차단될 경우 타이틀에 문제가 발생할 수 있습니다. 이 어린이는 타이틀 등급이 E이므로, 자신이 이 타이틀을 사용할 수 있을 것이라고 기대했지만, 타이틀 비용을 지불한 후 타이틀에 액세스하지 못하게 되면 자신이 속았다는 느낌을 갖게 될 수 있습니다. 이 경우 사용자는 타이틀을 플레이하기 위해 다른 계정을 사용하거나 심지어 자신의 나이를 허위로 입력하게 될 수도 있습니다. 이 요구 사항의 목적은 타이틀 등급에 속하는 모든 사용자가 구매한 타이틀을 재생할 수 있도록 하는 것입니다.

계정을 만들기 전 사용자 연령 확인

Microsoft 계정 사용자에게 계정 만들기 기능을 제공하기 전에 타이틀은 계정을 만들기 전에 사용자의 나이의 유효성을 검사해야 합니다. 타이틀은 계정을 만들기 전에 사용자의 나이의 유효성을 검사해야 합니다.

팁

타이틀은 예외가 필요하지 않은 XUserGetAgeGroup 함수를 호출하여 사용자의 연령 그룹을 확인해야 합니다.

Microsoft에서 자녀 계정은 자녀 또는 청소년의 연령이 해당 국가 또는 지역의 대다수 연령보다 작은 경우 성인 Microsoft 계정과 연결된 Microsoft 계정으로 정의됩니다. 이 경우 Xbox 서비스에 참여하려면 자녀가 성인의 Microsoft 계정에 연결되어야 합니다.

가족 그룹 구성원의 개인 정보 보호 및 온라인 안전을 관리할 때 Xbox 콘솔은 자녀의 정의를 자녀 와 십대라는 두 가지 범주로 나눕니다. 이러한 범주에 적용되는 실제 연령은 자식 계정에 표시된 국가 또는 지역에 따라 달라집니다. 계정에 할당되는 범주는 국가가 설정한 범위와 계정을 만드는 동안 제공된 생년월일을 기준으로 합니다.

멤버	값	설명
성인	3	사용자가 성인입니다.
청소년	2	사용자가 청소년입니다.
어린이	1	사용자가 어린이입니다.
알 수 없음	0	사용자의 연령을 알 수 없습니다.

연결 해제

사용자가 Microsoft 계정에서 퍼블리셔 또는 서비스 계정의 연결을 해제할 수 있어야 합니다. 타이틀은 타이틀, 웹 경험 또는 허브 앱 내에서 연결 해제 프로세스를 처리하도록 선택할 수 있습니다. 타이틀 내에서 연결 해제를 수행해야 하는 명시적인 요건은 존재하지 않으며, 플레이어가 자신의 의지에 따라 계정을 연결 해제할 수 있는 방법만 제공되면 됩니다. 이 요건의 목적은 사용자가 자신의 Microsoft 계정에 연결한 계정을 변경하고 관리할 수 있도록 보장하기 위한 것입니다.

클라우드에 저장되는 데이터가 많아질수록 사용자는 서비스가 자신의 데이터 처리 방법에 대해 올바른 결정을 내린다고 신뢰하게 됩니다. 사용자가 기록되는 데이터를 자신이 제어할 수 있다는 것을 알고 있을 때 계정 관련 데이터를 공유할 가능성이 더 높아 집니다. 서비스에 문제가 발생하여 사용자 신뢰가 깨지거나, 사용자가 자신의 데이터 안전을 의심하게 될 경우, 사용자는 연결된 계정 사이의 연결을 쉽게 해제할 수 있어야 합니다.

SSO(Single Sign-On) 경험

타이틀은 계정 연결이 수행된 후 SSO(Single Sign-On)를 구현해야 합니다. 이 요건의 목적은 여러 로그인 계정과 암호를 기억할 필요 없이 Xbox 콘솔에서 일관되고 효율적인 경험을 사용자에게 제공하기 위한 것입니다.

Xbox 사용자는 “그저 작동하는” 환경을 기대합니다. 사용자는 자신의 Microsoft 계정을 다른 서비스와 연결할 때 초기 세션 및 설정 후 해당 연결이 지속되기를 기대합니다. SSO(Single Sign-On)는 사용자가 타이틀을 사용할 때 연결된 계정으로 자동으로 로그인된다는 것을 의미합니다. 민감한 정보 또는 개인 정보가 본체에 로컬로 저장되지 않도록 방지하기 위해 타이틀은 XSTS(Xbox 보안 토큰 서비스)를 사용하여 SSO(Single Sign-On) 경험을 지원해야 합니다.

권장 사항 및 금지 사항

인증

권장 사항

• 게이머태그 대신 사용자의 파트너 XUID (PXUID)를 사용하여 계정을 연결하세요. 사용자가 자신의 게이머태그를 변경하더라도 PXUID가 동일하게 유지됩니다.

• 계정 연결을 위해 게이머태그 소유권을 확인합니다. 사용자의 PXUID와 게시자의 내부 ID 번호 사이에 관계가 생성됩니다.

  • 예제 1: 사용자가 본체에서 자신의 Microsoft 계정으로 로그인하고 타이틀을 처음 실행한다고 가정해보세요. 타이틀은 사용자가 연령 요구 사항을 충족하는지 확인하고 사용자가 기존 퍼블리셔 계정에 연결하거나 새 퍼블리셔 계정을 만들 수 있는 옵션을 제공합니다. 기존 게시자 계정에 연결하려면 사용자가 게시자 계정에 대한 자신의 사용자 이름과 암호를 입력합니다. 그러면 로그인된 사용자의 PXUID가 게시자 계정에 연결됩니다. 사용자에게 기존 퍼블리셔 계정이 없으면 타이틀에서 사용자 이름 및 암호를 선택하여 새 계정을 만들라는 메시지가 사용자에게 표시됩니다. 사용자가 사용자 이름 및 암호를 입력하면 사용자의 PXUID가 게시자 계정과 연결됩니다.

  • 예제 2: 사용자가 게시자 계정의 인증 메커니즘을 사용해서 ABC라는 계정으로 게시자 또는 서비스 사이트에 로그인한다고 가정해보세요. "게이머태그와 연결된 Microsoft 계정으로 로그인하세요"라는 사이트 프롬프트에 따라 사용자가 자신의 Microsoft 계정 ID를 사용하여 웹 사이트에 로그인합니다. 게시자는 사용자의 액세스 토큰을 가져와 게시자의 신뢰 당사자에 대한 X-토큰을 검색하고 X-토큰에서 PXUID를 추출하여 사용자를 식별합니다. 그런 다음 게시자 또는 서비스는 게시자 계정 또는 서비스와 사용자와 관련된 PXUID 간의 관계를 만듭니다.

  • 예제 3: 사용자가 게시자 계정의 인증 메커니즘을 사용해서 ABC라는 계정으로 게시자 사이트에 로그인한다고 가정해보세요. 웹 사이트는 사용자에게 123과 같은 고유한 코드를 표시하고 사용자가 자신의 본체에 로그인하고 해당 코드를 입력하도록 지시합니다. 사용자가 자신의 게이머태그로 본체에 로그인하고 코드 123을 입력합니다. 그러면 코드가 게시자 사이트로 다시 전송되고, 사용자와 연결된 PXUID와 게시자 계정 또는 서비스 사이에 관계가 생성됩니다.

• 계정 연결을 수행하고 계정 연결 화면을 표시하는 동안 사용자가 퍼블리셔 또는 서비스의 TOU 및 개인정보취급방침을 읽을 수 있도록 옵션을 제공합니다.

금지 사항

• 계정 연결을 위해 사용자의 XUID(Xbox 사용자 ID)를 사용합니다. 이 ID는 PII로 간주되며 계정 연결 목적으로 저장되지 않아야 합니다. 대신 Pairwise ID를 사용해야 합니다.
• 사용자가 사용자의 게이머태그를 기반으로 하는 인증 메커니즘을 사용해서 퍼블리셔 계정 사이트에 로그인하도록 허용합니다. 즉, 사용자가 퍼블리셔 또는 서비스 웹 사이트에서 자신의 게이머태그를 입력하고 퍼블리셔가 사용자의 게이머태그와 연결된 XUID와 퍼블리셔 또는 서비스 계정 사이의 관계를 활성화하는 방식의 계정 연결을 사용하지 마십시오. 이러한 종류의 메커니즘에서는 사용자가 다른 사람의 게이머태그를 사용하여 로그인하여 자신의 퍼블리셔 계정을 다른 사람의 Microsoft 계정과 연결하는 것이 가능해집니다.

참고 항목

게시자의 서버와 Xbox 서비스 간에 서비스 간 호출을 하려면 사용자의 XUID가 필요할 수 있습니다. 이러한 시나리오에서는 필요한 기간 동안 일시적으로 XUID를 저장할 수 있습니다. 서비스 대 서비스 호출을 사용하는 경우 Microsoft 연락처 에 문의하세요.

어린이 및 청소년 계정에 대한 계정 연결

권장 사항

• 어린이 계정:

  • 해당 국가 또는 지역에서 자녀로 분류된 사용자에 대한 계정을 만들기 전에 부모의 동의가 필요합니다.
  • 소셜 미디어와의 통합을 위한 타이틀 또는 사이트 기능에 대한 완전한 정보는 물론 타이틀, 웹 사이트 또는 서비스의 콘텐츠 등급에 대한 명확한 알림을 제공합니다.

게시자의 TOU 및 개인정보처리방침에 대한 명시적 동의를 포함하는 보호자 동의는 Xbox 네트워크가 아닌 게시자의 웹 사이트에서 제공해야 합니다.

이렇게 하면 부모가 권한을 허가하지 않았거나 자녀가 알려진 친구들과만 통신하거나 그러한 콘텐츠만 볼 수 있기를 바라는 경우 자녀가 다른 방법을 통해 다른 사람의 콘텐츠를 보거나 다른 사람과 통신할 수 없도록 보장합니다.

참고 항목

게시자는 제품 및 서비스를 판매하고 사용할 수 있는 모든 국가 및 지역의 아동 계정에 적용되는 모든 법률 및 규정을 준수할 책임이 있습니다.

• 청소년 계정:

  • 연령 그룹이 Teen인 고객에게 소셜 미디어와 통합하기 위한 타이틀 또는 사이트의 기능에 대한 완전한 정보를 포함하는 연결된 계정을 만듭니다.

  • 계정 생성을 부모에게 알리도록 청소년에게 요청합니다. 여기에는 해당 청소년의 TOU 및 개인정보취급방침 동의 기능이 포함됩니다. 청소년은 제목이 아닌 게시자의 웹 사이트에서 TOU 및 개인 정보 취급 방침을 수락하는 것이 좋습니다.

사용자 연령

권장 사항

• 타이틀 또는 서비스가 제공되는 모든 지역 및 서비스에 대해 어린이 온라인 개인 정보 보호 및 안전에 관한 모든 적용 가능한 법률 및 규제 요건을 적용합니다.

  • 예제 미국 COPPA(아동에 관한 온라인 개인 정보 보호법)(https://www.ftc.gov/business-guidance/resources/complying-coppa-frequently-asked-questions).

• 젊은 사용자가 성인 또는 성인 대상 그룹을 명확하게 대상으로 하는 웹 사이트 또는 서비스에 계정을 만들지 못하도록 차단합니다. 이것은 명확한 요건이 아니지만, 이를 모범 사례로 따르는 것이 가장 좋습니다.

  • 본보기:게시자는 XUserGetAgeGroup 함수를 사용하여 Microsoft 계정 연령이 13인 사용자가 인기 있는 M 등급 타이틀에 대한 웹 사이트 계정을 만들지 못하도록 합니다.

• 퍼블리셔에서 관리되는 계정을 통해 액세스할 수 있는 콘텐츠를 타이틀 등급에 따라 구분합니다. 이것은 명시적인 요건이 아니지만 어린 사용자를 위해 보다 안전하고 보다 긍정적인 고객 경험을 만드는 데 도움이 될 수 있습니다.

  • 예제: 콘텐츠 특성은 물론 각 커뮤니티의 일반 연령 및 등급에 따라 부모가 M 등급 타이틀이 아닌 E 등급 타이틀로 커뮤니티 사이트에 연결하는 것이 더 적합할 수 있습니다.

• 사용자의 Microsoft 계정 연령이 퍼블리셔 계정의 연령과 다른 경우 두 사용자 연령 중 낮은 연령을 사용합니다.

  • 예제: 퍼블리셔 계정의 사용자 연령이 15세이고 Microsoft 계정의 사용자 연령이 13세이면 타이틀 또는 서비스에서 이 사용자 연령을 13세로 취급해야 합니다.

• 퍼블리셔 사이트가 계정을 설정할 때 사용자 연령을 수집할 때, 사용자 연령이 13세 미만이면, 사이트가 다음을 수행해야 합니다.

  • 사용자가 해당 사이트의 연령 요건을 충족하지 않기 때문에 계정 생성이 허용되지 않음을 사용자에게 알립니다.

  • 사용자가 페이지를 새로고침하고 연령을 다르게 입력하지 못하도록 세션 쿠키를 적용합니다.

  • 이전에 사용자로부터 수집된 모든 PII(개인 식별 정보)를 삭제합니다.

연결 해제

권장 사항

• 게시자 사이트에서 PWID와 계정 ID 사이의 연결을 해제할 수 있는 기능을 사용자에게 제공합니다.

• (1) PII 또는 게이머태그가 소셜 서비스와 연결되는 방법을 사용자에게 알립니다. (2) 사이트에서 사용자 정보가 사용되는 방법에 관한 옵션을 사용자에게 제공합니다. (3) 사이트에서 사용자의 게이머태그를 사용자의 계정과 연결 및/또는 표시하기 위한 명시적인 사용자 행위 및 알림을 요구합니다.

  • 예제: 링크가 타이틀의 사이트로 연결된 경우, 사이트가 사용자의 게이머태그를 표시할 수 있지만, 사용자의 실제 이름 또는 다른 식별자를 다른 사람들에게 표시하지 않아야 합니다. 사용자는 프로필을 만들고 자신의 게이머태그를 자신의 개인 정보와 연결하도록 선택할 수 있지만 이 옵션이 명시적으로 표시되어 있어야 합니다.

• 사용자가 게시자의 웹 포털은 물론 본체에서 자신의 PWID와 PXUID ID 연결을 해제할 수 있는 기능을 제공합니다.

• 사용자가 타이틀, 웹 사이트 또는 전용 허브 앱을 통해 계정 연결을 완전히 제어할 수 있도록 지원합니다. 여기에는 부모 동의(적용되는 경우), 계정 연결 및 연결 해제, SSO(Single Sign-On), 적용 가능한 TOU 및 정책의 검토를 위한 설정이 포함되어야 합니다.

SSO(Single Sign-On)

권장 사항

• 사용자가 본체에서 처음으로 애플리케이션을 실행할 때 로그인 정보를 요청합니다. 이에 대한 예로, 인스턴트 메시지 응용 프로그램인 A 응용 프로그램이 사용자에게 해당 A 퍼블리셔 계정 로그인을 요청하는 경우를 들 수 있습니다. 파일 저장소 응용 프로그램인 B 응용 프로그램이 자동 로그인 기능을 제공하고, A 응용 프로그램의 퍼블리셔 A 로그인을 동일하게 사용한 경우, 공격자는 B 응용 프로그램에서 캐시된 자격 증명을 사용하여 A 퍼블리셔 로그인 없이도 B 응용 프로그램에 있는 파일 저장소를 다운로드하고 액세스할 수 있습니다.

금지 사항

• 본체에 PII를 저장합니다.

올바른 계정 연결 예

다음 예에서는 앞에서 설명한 계정 연결 모범 사례를 조금 더 개괄적으로 보여줍니다.

인증

다음 세 가지 예는 이전에 설명한 인증 모범 사례를 보여줍니다.

예제 1: 사용자가 본체에서 자신의 Microsoft 계정으로 로그인하고 타이틀을 처음 실행한다고 가정해보세요. 타이틀은 사용자가 연령 요구 사항을 충족하는지 확인하고 사용자가 기존 퍼블리셔 계정에 연결하거나 새 퍼블리셔 계정을 만들 수 있는 옵션을 제공합니다.

기존 게시자 계정에 연결하려면 사용자가 게시자 계정에 대한 자신의 사용자 이름과 암호를 입력합니다. 그러면 로그인된 사용자의 PXUID가 게시자 계정에 연결됩니다.

사용자에게 기존 퍼블리셔 계정이 없으면 타이틀에서 사용자 이름 및 암호를 선택하여 새 계정을 만들라는 메시지가 사용자에게 표시됩니다. 사용자가 사용자 이름 및 암호를 입력하면 사용자의 PXUID가 새 게시자 계정과 연결됩니다.

예제 2: 사용자가 게시자 계정의 인증 메커니즘을 사용해서 ABC라는 계정으로 게시자 또는 서비스 사이트에 로그인한다고 가정해보세요.

"게이머태그와 연결된 Microsoft 계정으로 로그인하세요"라는 사이트 프롬프트에 따라 사용자가 자신의 Microsoft 계정 ID를 사용하여 웹 사이트에 로그인합니다.

게시자는 사용자의 액세스 토큰을 가져와 게시자의 신뢰 당사자에 대한 X-토큰을 검색하고 X-토큰에서 PXUID를 추출하여 사용자를 식별합니다. 그런 다음 게시자 또는 서비스는 게시자 계정 또는 서비스와 사용자와 관련된 PXUID 간의 관계를 만듭니다.

Microsoft 계정 로그인을 설정하는 방법에 대한 자세한 내용은 MSDN 항목, 앱 및 웹 사이트를 위한 SSO(Single Sign-On)를 참조하세요.

예제 3: 사용자가 게시자 계정의 인증 메커니즘을 사용해서 ABC라는 계정으로 게시자 사이트에 로그인한다고 가정해보세요.

웹 사이트는 사용자에게 123과 같은 고유한 코드를 표시하고 사용자가 자신의 본체에 로그인하고 해당 코드를 입력하도록 지시합니다. 사용자가 자신의 게이머태그로 본체에 로그인하고 코드 123을 입력합니다. 그러면 코드가 게시자 사이트로 다시 전송되고, 사용자의 게이머태그와 연결된 PXUID와 게시자 계정 또는 서비스 사이에 관계가 생성됩니다.

사용자 연령 및 퍼블리셔 TOU

다음 순서도는 연령/TOU 유효성 검사에 대한 올바른 예를 보여줍니다.

연결 해제

사용자가 연결된 서비스에서 자신의 Xbox 프로필을 연결 해제할 수 있는 간단한 UI를 만듭니다. 연결 해제 옵션을 UI에서 안쪽에 숨겨두거나 계정 연결 해제를 위해 기술 지원을 요청하도록 요구하는 방식은 권장되지 않습니다.

참조 문서

• Xbox 서비스 보안 토큰 클레임권한 부여 필요
• 타이틀 서비스에 대한 Xbox 서비스 인증권한 부여 필요
• 적절한 연령 UserAgeGroup 속성
• COPPA(아동에 관한 온라인 개인 정보 보호법)

인증 테스트 사례

013-01 퍼블리셔 계정과 Microsoft 계정 연결

테스트 단계

1. 타이틀이 Xbox 이외의 계정을 지원하거나 요구하거나 서비스 또는 기능에 로그인해야 하는지 확인합니다.
2. 새로 만든 Xbox 프로필을 사용하고 퍼블리셔가 제공한 서비스 계정 또는 로그인을 사용하여 초기 설정 중에 Xbox 이외의 계정 자격 증명을 입력합니다.
3. 타이틀에서 사용자가 앱에서 사용 약관을 볼 수 있는지 확인하거나 계정 연결 프로세스를 완료하기 전에 사용 약관을 보는 방법을 사용자에게 알릴 수 있습니다.
4. 사용자에게 Xbox가 아닌 계정 자격 증명을 어떤 위치에서든 다시 입력하라는 메시지가 표시되지 않는지 확인합니다.
5. 타이틀이 실행 중인 동안 로그아웃했다가 다시 로그인합니다.
6. [4]단계를 반복합니다.
7. 동일한 프로필을 사용하여 타이틀을 종료하고 다시 활성화합니다.
8. [4]단계를 반복합니다.
9. 타이틀을 종료합니다.
10. 타이틀에서 생성되었을 수 있는 저장된 파일을 삭제하여 타이틀이 Xbox 이외의 계정 자격 증명을 로컬로 저장하지 않는지 확인합니다.
11. 타이틀을 다시 활성화하고 [4]단계를 반복합니다.
12. 다른 콘솔에서 동일한 프로필을 사용하여 타이틀을 시작하고 [4]단계를 반복합니다.
13. 사용자가 Xbox가 아닌 계정에서 Xbox 프로필의 연결을 해제할 수 있는지 확인합니다.
14. 게임의 연령 등급에 속하는 Xbox 자녀 계정(13세 미만)을 사용하여 [1]-[13] 단계를 반복합니다.

예상 결과
타이틀은 게임의 연령 등급에 속하는 모든 사용자에 대해 게시자 계정을 만들 수 있도록 허용해야 합니다. 사용자는 자격 증명을 한 번만 제공해야 하며 사용자가 사용 약관을 볼 수 있도록 허용하거나 계정 연결 프로세스를 완료하기 전에 사용 약관을 보는 방법을 사용자에게 알릴 수 있습니다. Xbox 프로필을 Xbox 이외의 계정에서 연결 해제하는 메커니즘이 사용자에게 제공됩니다.

통과 예시

1. 타이틀은 사용자가 처음 입력한 후 언제든지 Xbox가 아닌 계정 또는 로그인 자격 증명을 다시 입력하도록 요청하지 않으며, 타이틀은 연결 프로세스 중과 계정이 연결된 한 사용 약관에 대한 알림을 제공합니다.
2. 타이틀을 사용하면 게임의 연령 등급에 속하는 모든 사용자에 대해 게시자 계정을 만들 수 있습니다.

실패 예시

1. 타이틀은 타이틀이 시작될 때마다 사용자가 Xbox가 아닌 계정 또는 로그인 자격 증명을 입력해야 합니다.
2. 타이틀은 사용자가 다른 본체에서 타이틀을 실행할 때 Xbox 이외의 계정 또는 로그인 자격 증명을 입력해야 합니다.
3. 계정 연결 프로세스 동안 타이틀이 사용 약관을 보는 방법을 제공하지 않습니다.
4. 타이틀이 Xbox 프로필을 Xbox 이외의 계정에서 연결 해제하는 방법을 제공하지 않습니다.
5. 타이틀에서는 게임의 연령 등급에 속하는 모든 사용자에 대해 게시자 계정을 만들 수 없습니다.