EU 규정 준수 발전 사항
유럽 위원회가 제안한 GDPR(General Data Protection Regulation)은 유럽연합(EU) 내의 개인 데이터 보호 기능을 강화하고 통합하는 한편, EU 외부로 개인 데이터를 반출하는 문제를 다룹니다.
GDPR을 마무리짓는 협정 발표는 2015년 12월에 있었고, 이후 EU 의회 투표가 이어지며 GDPR에 대한 규정 준수 마감일은 2018년 5월로 설정되었습니다. GDPR 요구 사항과 이를 해결하는 데 일정한 정도의 내부 공동 작업이 필요하므로 조직은 현재 규정 준수를 위한 계획이 필요합니다.
GDPR의 주요 목적은 국민들에게 개인 데이터의 제어권을 돌려주는 것입니다. GDPR이 효력을 발휘하면 EU 전반에 걸쳐 이전 및 기타 데이터 보호 규정이 조정됩니다.
GDPR 규정 준수 요구 사항
이 EU 규정 준수 규정은 전 세계에 걸쳐 조직에 광범위한 영향을 미치게 됩니다.
세이프 하버 협정이 무효화되면서, 유럽 시민의 개인 데이터를 내보내고 취급하는 미국 회사도 동일한 결과를 가져오는 새로운 요구 사항을 준수해야 합니다.
조직이 데이터 침해로 어려움을 겪는 경우, 새로운 EU 규정 준수 표준 하에서 침해의 심각도에 따라 다음을 적용할 수 있습니다.
그러나 GDPR은 조직 내에 적절한 보안 제어 기능이 배포되어 있는지 여부에 따라 예외를 둡니다. 예를 들어, 침해된 조직이 데이터에 대한 액세스 권한이 없는 모든 사람에게 암호화를 통해 데이터를 읽을 수 없는 상태로 제공하는 조직이면 기록 소유자에게 알릴 의무가 없습니다.
조직이 “보안 침해”가 발생했음을 입증할 수 있는 경우에는 벌금이 부과될 가능성도 감소됩니다.
GDPR 규정 준수 요구 사항을 해결하기 위해, 조직은 온프레미스 및 클라우드 인프라 환경에서 하나 이상의 다른 암호화 방법을 사용해야 할 수 있습니다. 여기에는 다음과 같은 방법이 포함됩니다.
-
서버(파일, 애플리케이션, 데이터베이스, 전체 디스크 가상 컴퓨터 암호화를 통한 방법 등)
-
스토리지(네트워크 연결형 스토리지 및 스토리지 영역 네트워크 암호화를 통한 방법 등)
-
미디어(디스크 암호화를 통한 방법).
-
네트워크(예: 고속 네트워크 암호화를 통한 방법)
또한, 암호화된 데이터를 보호하기 위해서만이 아니라 파일을 확실히 삭제하고 잊혀지는 사용자의 권리를 지키기 위해서도 강력한 키 관리가 필요합니다.
조직은 사용자 ID와 트랜잭션의 합법성을 확인하고 규정 준수를 증명할 수 있는 방법도 필요합니다. 입증과 감사가 가능한 보안 제어를 갖추는 것이 매우 중요합니다.
젬알토는 증요한 데이터의 지속적인 보호와 관리 기능을 제공하기 위해 함께 작동할 수 있는 완벽한 데이터 보호 포트폴리오만 제공하며, 이는 GDPR 프레임워크에 매핑될 수 있습니다.