규정 준수 및 데이터 개인 정보
Microsoft는 최고 수준의 신뢰, 투명성, 표준 준수 및 규정 준수를 약속합니다. Microsoft의 광범위한 클라우드 제품 및 서비스 제품군은 모두 고객의 가장 엄격한 보안 및 개인 정보 보호 요구를 해결하기 위해 처음부터 구축되었습니다.
조직에서 개인 데이터 수집 및 사용에 관한 국가, 지역 및 산업별 요구 사항을 준수할 수 있도록 Microsoft는 모든 클라우드 서비스 공급자의 가장 포괄적인 규정 준수 제안(인증 및 증명 포함)을 제공합니다. 관리자가 조직의 노력을 지원할 수 있는 도구도 있습니다. 문서의 이 부분에서는 조직의 요구 사항을 파악하고 달성하는 데 도움이 되는 리소스를 자세히 다루겠습니다.
보안 센터
Microsoft 보안 센터는 Microsoft 제품 포트폴리오에 대한 정보를 얻을 수 있는 중앙 집중식 리소스입니다. 여기에는 보안, 개인 정보 보호, 규정 준수 및 투명성에 대한 정보가 포함됩니다. 이 콘텐츠에는 Power Apps에 대한 이러한 정보의 일부가 포함될 수 있지만 가장 최신의 권위 있는 정보를 위해 항상 Microsoft 보안 센터를 참조하는 것이 중요합니다.
빠른 참조를 위해 여기 https://www.microsoft.com/trust-center/product-overview에서 Microsoft Power Platform에 대한 Trust Center 정보를 확인할 수 있습니다. 여기에는 Power Apps, Microsoft Power Automate 및 Power BI에 대한 정보가 포함됩니다.
데이터 위치
Microsoft는 Microsoft Power Platform 애플리케이션을 지원하는 전 세계에 여러 데이터 센터를 운영하고 있습니다. 조직이 테넌트를 설정하면 기본 지리적(지역) 위치가 설정됩니다. 또한 애플리케이션을 지원하고 Microsoft Dataverse 데이터를 포함하는 환경을 만들 때 환경은 특정 지역을 대상으로 할 수 있습니다. Microsoft Power Platform의 현재 지역 목록은 https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location에서 찾을 수 있습니다.
작업의 연속성을 지원하기 위해 Microsoft는 지역 내 다른 지역으로 데이터를 복제할 수 있지만 데이터 복원력을 지원하기 위해 데이터가 지역 외부로 이동하지는 않습니다. 이는 심각한 중단이 있는 경우 더 신속하게 장애 조치 또는 복구할 수 있는 기능을 지원합니다. 위의 사이트에 나열된 특정 지역에 데이터를 유지하는 데는 법률 및 지원에 중점을 둔 일부 예외가 있습니다. 또한 귀하 또는 귀하의 사용자는 데이터를 지역 외부에 노출시키는 작업을 수행할 수 있습니다. 다른 서비스도 데이터에 액세스하여 지역 외부에 노출하도록 구성할 수 있습니다. 기본적으로 권한이 부여된 사용자는 연결이 가능한 전세계 어디에서나 플랫폼과 애플리케이션 및 데이터에 액세스할 수 있습니다.
데이터 보호
사용자 장치와 Microsoft 데이터 센터 간에 전송되는 데이터가 보호됩니다. 고객과 Microsoft 데이터 센터 간에 설정된 연결은 암호화되며 모든 공용 끝점은 산업 표준 TLS를 사용하여 보호됩니다. TLS는 데스크탑과 데이터 센터 간의 데이터 기밀성과 무결성을 보장하기 위해 보안이 강화된 브라우저를 설정하여 서버에 연결합니다. 고객 끝점에서 서버로의 API 액세스도 비슷하게 보호됩니다. 현재 서버 끝점에 액세스하려면 TLS 1.2 이상이 필요합니다.
온-프레미스 데이터 게이트웨이를 통해 전송된 데이터도 암호화됩니다. 사용자가 업로드한 데이터는 일반적으로 Azure Blob Storage로 전송되며 시스템 자체의 모든 메타데이터 및 아티팩트는 Azure SQL Database 및 Azure Table Storage에 저장됩니다.
Dataverse 데이터베이스의 모든 환경은 SQL Server 투명한 데이터 암호화(TDE)를 사용하여 휴지 데이터에 기록될 때 암호화라고도 불리는 데이터에 대한 실시간 암호화를 수행합니다.
기본적으로 Microsoft에서 환경의 데이터베이스 암호화 키를 저장하고 관리하기 때문에 사용자가 직접 수행할 필요가 없습니다. Power Platform 관리 센터의 키 관리 기능을 통해 관리자는 Dynamics 365 (online)의 환경과 연결된 데이터베이스 암호화 키를 직접 관리할 수 있습니다. 자신의 키 관리에 대한 자세한 내용은 여기를 참조하십시오. 그러나 일반적으로 특정 업무를 수행할 필요가 없는 한 Microsoft가 키를 관리하도록 하는 것이 좋습니다.
GDPR 준수 관리를 위한 리소스
유럽 연합(EU) 일반 데이터 보호 규정(GDPR)은 데이터와 관련하여 개인에게 중요한 권리를 부여합니다. Microsoft 제품 및 서비스를 사용할 때 GDPR에 따른 의무를 충족하는 데 도움이 되는 용어, 실행 계획 및 준비 검사 목록을 포함한 GDPR 개요는 Microsoft Learn 일반 데이터 보호 규정 요약을 참조하세요.
GDPR에 대해 자세히 알아보고 Microsoft가 GDPR과 GDPR의 영향을 받는 고객을 지원하는 방법을 알아볼 수 있습니다.
- Microsoft 보안 센터는 데이터 보호 영향 평가, 데이터 주체 요청 및 데이터 위반 알림과 같은 일반 정보, 규정 준수 모범 사례 및 GDPR 책임에 도움이 되는 문서를 제공합니다.
- 서비스 신뢰 포털은 Microsoft 서비스가 GDPR 준수를 지원하는 방법에 대한 정보를 제공합니다.
관리자로서 개인 정보 보호를 지원하는 주요 활동 중 하나는 데이터 주체 권한(DSR) 요청과 관련이 있습니다. 이는 데이터 주체에서 데이터 컨트롤러(예: 조직)에게 시스템의 개인 데이터에 대한 작업을 수행하라는 공식적인 요청입니다. 데이터 주체는 사본을 받고, 수정을 요청하고, 데이터 처리를 제한하고, 데이터를 삭제하고, 다른 데이터 컨트롤러로 이동할 수 있도록 전자 형식으로 사본을 받을 권리가 있습니다.
다음 링크는 조직에서 사용 중인 기능에 따라 DSR 요청에 응답하는 데 도움이 되는 자세한 정보를 나타냅니다.
| 플랫폼 기능 영역 | 자세한 응답 단계에 대한 연결 |
|---|---|
| Power Apps | 고객 데이터를 내보내기 위한 데이터 주체 권리(DSR) 요청에 응답 Power Apps |
| Dataverse | 고객 데이터에 대한 데이터 주체 권리(DSR) 요청에 응답 Dataverse |
| Power Automate | 데이터 주체 요청에 응답하기 Power Automate |
| Microsoft 계정(MSA) | 데이터 주체 권리 요청에 응답 |
| 고객 참여 앱 | Dynamics 365 개인정보보호를 위한 데이터 주체 요청 |
Microsoft 365 보안 및 준수 센터
Microsoft Purview 규정 준수 관리자를 사용하여 Microsoft 클라우드 서비스 전반의 규정 준수 업무를 한 곳에서 관리하십시오.
Power Automate 감사 로그 이벤트
준수 센터 감사 로그 검색에서 관리자는 Power Automate 이벤트를 검색하고 볼 수 있습니다. 생성된 흐름, 편집된 흐름, 삭제된 흐름, 편집된 권한, 삭제된 권한, 유료 평가판 시작, 유료 평가판 갱신 등의 이벤트가 있습니다. 포털을 사용하면 검색할 대상과 기간을 선택할 수 있습니다.
Microsoft Purview 규정 준수 포털l에 로그인합니다.
솔루션에서 감사를 선택합니다.
활동에서 감사할 Power Automate 활동을 선택합니다.
검색을 선택합니다.
검색이 완료되면 해당 항목을 선택하여 관련 활동 목록을 확인하세요.
목록에서 행을 선택하여 활동 세부 정보를 봅니다.
감사 데이터는 90일 동안 유지됩니다. 추가 분석을 위해 데이터 CDSV 내보내기를 통해 Excel 또는 PowerBI로 옮길 수 있습니다. 감사 정보를 사용하는 완전한 연습은 https://flow.microsoft.com/blog/security-and-compliance-center/에서 확인할 수 있습니다