Microsoft 하위 프로세서 요구 사항 이해
Microsoft는 고객에게 클라우드 서비스를 제공하는 과정에서 다양한 종류의 데이터를 처리합니다. 당사는 처리하는 데이터를 분류하여 적절한 보안 및 개인정보 보호 기능을 통해 처리되도록 합니다. Microsoft에서 처리하는 데이터 범주는 Microsoft 제품 및 서비스 DPA(데이터 보호 부록)에 정의되어 있습니다.
Microsoft가 공급자를 활용하여 공급자가 이러한 데이터를 처리하도록 요구할 수 있는 온라인 서비스의 측면을 제공하는 경우 공급자는 GDPR 용어에 따라 "하위 프로세서"로 식별됩니다. "개인 데이터" 및 "Microsoft 기밀 데이터"를 처리하는 모든 하위 프로세서는 Microsoft를 대신하여 데이터를 처리하도록 허용되기 전에 Microsoft Supplier Security and Privacy Assurance(SSPA) 프로그램을 준수해야 합니다.
Microsoft와 공유되는 데이터 형식
개인 데이터는 데이터 주체라고도 하는 식별되거나 식별 가능한 자연인과 관련된 정보로 정의됩니다. 개인 데이터는 다음과 같은 네 가지 개별 데이터 범주로 나뉘어질 수 있습니다.
- 고객 데이터는 모든 텍스트, 소리, 비디오 또는 이미지 파일 및 Microsoft Professional Services 데이터를 제외한 온라인 서비스 사용을 통해 고객이 Microsoft에 제공하거나 대신 제공하는 소프트웨어를 포함한 모든 데이터입니다.
- 서비스 생성 데이터에는 Microsoft가 온라인 서비스 운영을 통해 '생성'하거나 '파생'한 모든 데이터가 포함됩니다. Microsoft는 온라인 서비스에서 이 데이터를 집계하고 이를 사용하여 고객 경험에 영향을 미치는 성능, 보안, 확장 및 기타 서비스가 고객이 요구하는 수준에서 운영되고 있는지 확인합니다.
- 진단 데이터는 Microsoft 엔터프라이즈 온라인 서비스와 관련하여 사용하기 위해 로컬로 설치된 응용 프로그램에서 "수집" 또는 "얻은" 모든 데이터를 포함합니다. Microsoft에서 클라이언트 소프트웨어가 안전하고 제대로 작동하는지 확인하는 데 사용됩니다.
- 전문 서비스 데이터는 Microsoft에 제공된 모든 텍스트, 소리, 비디오, 이미지 파일 또는 소프트웨어를 포함하여 고객(또는 고객이 Microsoft가 제품에서 획득할 수 있는 권한을 부여함)을 포함하거나 Microsoft와의 계약을 통해 Microsoft에서 획득하거나 처리하여 전문 서비스를 획득하는 모든 데이터를 의미합니다. 전문 서비스 데이터에는 온라인 서비스에 대한 기술 지원 중에 Microsoft에 제공되는 지원 데이터가 포함됩니다.
- Microsoft 기밀 데이터는 기밀성 또는 무결성 수단을 통해 손상된 경우 Microsoft에 상당한 평판 또는 재정적 손실을 초래할 수 있는 모든 정보를 나타냅니다. 여기에는 Microsoft 제품, 라이선스 키 및 시험판 마케팅 자료의 개발, 테스트 또는 제조에 대한 정보가 포함될 수 있습니다.
| 데이터 형식 | 정의 |
|---|---|
| 고객 데이터 | 고객이 제공 |
| 진단 데이터 | 고객이 설치한 소프트웨어에서 수집 또는 획득 |
| 서비스 생성 데이터 | Microsoft에서 생성되거나 파생됨 |
| 전문 서비스 데이터 지원 데이터 |
전문 서비스와 관련하여 고객이 제공 기술 지원과 관련하여 고객이 제공하는 전문 서비스 데이터의 하위 집합 |
| 개인 데이터 | 식별되거나 식별 가능한 자연인과 관련된 위의 정의된 데이터 형식 |
Microsoft Supplier SSPA(Security and Privacy Assurance) 프로그램
Microsoft Supplier Security and Privacy Assurance(SSPA) 프로그램은 Microsoft 공급자에 대한 개인 정보 보호 및 보안 요구 사항을 설정하여 데이터 처리 사례를 표준화하고 강화하도록 설계된 회사 프로그램입니다. SSPA 프로그램은 공급업체가 Microsoft의 엄격한 개인 정보 보호 및 보안 정책, 법적 의무, 고객 기대치를 준수함을 입증하도록 요구합니다. Microsoft는 공급업체에 위임된 데이터를 보호하기 위해 개인 데이터 또는 Microsoft 기밀 데이터를 처리하는 모든 하위 프로세서가 SSPA 프로그램을 준수하도록 요구합니다.
SSPA 프로그램에는 Microsoft를 대신하여 데이터를 처리하기 전에 하위 프로세서에서 구현해야 하는 보안 및 개인 정보 제어 집합이 포함되어 있습니다. DPR(데이터 보호 요구 사항)에서 이러한 컨트롤을 정의합니다. SSPA 프로그램에 등록된 모든 하위 프로세서는 계약된 작업을 시작하기 전에 해당 DPR 컨트롤의 준수를 검토하고 증명해야 합니다. 또한 하위 프로세서는 매년 DPR 준수에 대한 자체 증명을 완료해야 합니다. 처리된 데이터 및 하위 프로세서에서 제공하는 서비스와 관련된 위험 수준에 따라 추가 요구 사항이 필요할 수 있습니다. 이 모듈의 뒷부분에서 이러한 추가 요구 사항을 다룹니다.
SSPA 프로그램의 요구 사항을 준수하는 하위 프로세서는 Microsoft 구매 도구에서 추적됩니다. 구매 도구는 모든 요구 사항이 완료될 때까지 하위 프로세서와의 계약이 앞으로 이동하는 것을 허용하지 않습니다. SSPA 요구 사항 준수를 유지 관리하지 못하면 하위 프로세서가 Microsoft를 대신하여 데이터에 액세스하거나 처리하지 못하도록 차단됩니다.