하위 프로세서 액세스 제어 요구 사항 살펴보기
하위 프로세서에 개인 데이터 또는 Microsoft 기밀 데이터에 "액세스할 수 있는 잠재력"이 있는 경우 원하는 경우 언제든지 해당 데이터를 처리할 수 있나요? Microsoft는 하위 프로세서가 데이터를 처리할 수 있도록 허용하며, Microsoft가 제공한 서비스를 제공하기 위해서만 허용하며, 다른 용도로는 데이터를 사용할 수 없습니다. 하위 프로세서에서 처리하는 개인 데이터는 종종 가명화되거나 식별이 해제되어 하위 프로세서가 식별 가능한 특성에 액세스하지 않고 작업 책임을 수행할 수 있도록 합니다. Microsoft는 각 유형의 하위 프로세서가 적절한 액세스 제어를 사용하여 처리하는 데이터를 보호하도록 요구합니다.
하위 프로세서 유형
Microsoft는 다음 세 가지 범주의 하위 프로세서를 지정했습니다.
- 기술: Microsoft Online Services와 원활하게 통합되고 부분적으로 Microsoft 클라우드 기능을 구동하는 기술을 구동하는 타사 하위 프로세서입니다. 이러한 서비스 중 하나를 배포하는 경우 해당 서비스에 대해 식별된 하위 프로세서는 해당 서비스를 제공하는 데 도움을 주면서 고객 데이터 또는 개인 데이터를 처리, 저장 또는 액세스할 수 있습니다.
- 보조: 온라인 서비스를 지원, 운영 및 유지 관리하는 데 도움이 되는 서비스를 제공하는 타사 하위 프로세서입니다. 이러한 경우 식별된 하위 프로세서는 보조 서비스를 제공하는 동안 제한된 고객 데이터 또는 개인 데이터를 처리, 저장 또는 액세스할 수 있습니다.
- 계약 직원: Microsoft Online Services를 지원, 운영 및 유지 관리하기 위해 Microsoft 정규직 직원과 함께 작업하는 계약 직원을 제공하는 조직입니다. 이러한 모든 경우에 고객 데이터 또는 개인 데이터는 Microsoft 시설, Microsoft 시스템에만 상주하며 Microsoft 정책 및 감독을 받습니다.
또한 Microsoft 데이터 센터 엔터티는 Microsoft Online Services가 실행되는 데이터 센터 인프라를 제공합니다. 데이터 센터 내의 데이터는 암호화되며 데이터 센터 내의 어떤 직원도 액세스할 수 없습니다.
하위 프로세서 액세스 제어
Microsoft의 각 유형의 하위 프로세서는 고객 및 개인 데이터를 보호하기 위해 적절한 액세스 제어를 시행합니다. 모든 하위 프로세서는 고객 및 개인 데이터의 보안 및 기밀성을 유지해야 하며 계약상 엄격한 개인 정보 보호 및 보안 요구 사항을 충족할 의무가 있습니다. 이러한 요구 사항은 Microsoft 제품 및 서비스 데이터 보호 부록에서 Microsoft가 고객에게 하는 계약 약정과 동일하거나 더 강력합니다.
계약 직원은 MFA(다단계 인증), ZSA(제로 스탠딩 액세스) 및 JEA(Just-Enough-Access)를 사용하는 JIT(Just-In-Time)를 포함하여 Microsoft 정규직 직원에게 동일한 액세스 제어가 적용됩니다. 또한 Microsoft에서 관리하는 시설에서 작업하거나 장비를 사용하는 하도급업체는 계약상 Microsoft의 개인 정보 표준을 준수하고 정기적인 개인 정보 교육을 받아야 합니다.
기술 및 보조 하위 프로세서는 Microsoft DPR(데이터 보호 요구 사항)을 준수하여 액세스 제어를 구현하는 역할을 담당합니다. 이러한 요구 사항은 Microsoft가 제품 약관에서 고객에게 하는 계약 약정을 충족하거나 초과합니다. 이러한 하위 프로세서는 고객 또는 개인 데이터와 같은 특정 제한된 데이터에 액세스하여 Microsoft Online Services를 지원하는 기능을 제공할 수 있습니다. 하위 프로세서 계약은 특히 다른 용도로 개인 데이터의 사용을 금지합니다. 또한 DPR의 적용 가능한 컨트롤은 무단 액세스 또는 사용으로부터 고객 및 개인 데이터를 보호하는 데 도움이 됩니다. 대부분의 경우 하위 프로세서가 수행하는 작업은 가명화되거나 익명화된 데이터로 수행할 수 있습니다.
또한 하위 프로세서는 개인 데이터를 보호하기 위한 적절한 기술 및 조직적 조치를 구현하는 것과 관련된 사항을 포함하여 개인 정보 보호 및 보안 요구 사항을 충족해야 합니다.