금융보안원 2019. 1. 제공
금융회사는 클라우드서비스 제공자의 파산, 서비스 중단, 서비스 품질 저하, 규제 환경의 변화 또는 기타 금융회사의 필요에 따라 클라우드서비스를 전환 또는 종료할 경우 「제4장 계획 수립」에서 수립한 출구 전략에 의거하여 데이터 이전 및 파기 등을 실시하여야 한다.
-
클라우드서비스 이용 가이드 관련 FAQ
1.
고유식별정보 또는 개인신용정보를 처리하는 경우, 해당 정보를 처리하는 모든 시스템을 국내에 설치하도록 하고 있는데, 클라우드서비스 제공자의 관리시스템도 포함되나요?
⇒ 관련 시스템의 국내 설치 의무 여부는 “해당 정보의 처리 여부”에 따라 구분됩니다. 클라우드서비스 제공자의 관리시스템에서 고유식별정보 또는 개인신용정보가 일시적으로라도 처리된다면, 국내에 설치하여야 합니다. (감독규정 제14조의2제8항)
*
“처리”는 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말합니다. (개인정보보호법 제2조제2호)
2.
개발망이나
SaaS 구축의 경우 내부망 시스템 및 단말기와 연결은 어떻게 구성되나요?
⇒ 개발망이나 SaaS 구축의 경우에도 본 가이드의 원칙이 동일하게 적용되며, 기존 내부망에 구축하던 업무용 시스템은 클라우드서비스 제공자 구간 내에서 인터넷과 논리적으로 분리된 내부망에 위치해야하며, 기존 개발망에 구축하던 개발용 시스템은 클라우드서비스 제공자 구간 내에서 논리적으로 구분된 개발망에 위치해야합니다.
3.
지주사 클라우드 이용 시에도 적용되나요?
⇒ 지주사가 非상용 프라이빗 클라우드를 구축하여 그 계열사가 이용하는 경우에는(감독규정 제11조제11호 및 제12호, 제15조제1항제5호 준수) 감독규정 제14조의2에서 부여하고 있는 의무 적용 대상이 아닙니다.
4.
SaaS 사업자가 인증받은 IaaS를 기반으로 하고 있을 때, 별도 인증 또는 평가가 필요한가요?
⇒ SaaS가 해당 IaaS와 동일 수준의 보안 조치를 했다고 보기 어려우므로 별도 인증 또는 평가가 필요합니다.
5.
금융권 추가보호조치 일부 항목이 기본보호조치 항목과 일부 중복되고 있는데 이 부분은 생략가능한가요?
⇒ 클라우드서비스 제공자가 금융권 추가보호조치를 준수하지 않을 경우 금융회사가 규정 위반을 하게 될 가능성이 있으므로, 금융권 추가보호 조치 항목은 생략하지 않고 점검하여야 합니다.
6.
직원 교육프로그램 등을 위탁하고 있는데, 해당 업체가 클라우드서비스를 이용하는 경우 본 가이드의 적용 대상이 되나요?
⇒ 「금융기관의 업무위탁 등에 관한 규정」 제2조제2항 후단에서 후선업무와 관련한 단순 집행업무 등 금융업 영위와 직접적으로 관계되지 아니하는 위탁계약은 “업무위탁”의 범위에서 제외하고 있으며 동 규정 [별표 1]에 정의되어 있는 적용배제의 범위 中 “직원 연수 프로그램 운영, 교육 강의”에 대해 업무위탁규정 적용이 배제됨이 명시되어 있습니다.
이 경우 관련 업체가 클라우드서비스를 이용하는 경우에도 “업무위탁”의 범위에 포함되지 않으므로 금융회사가 클라우드서비스를 이용한다고 볼 수 없어, 본 가이드의 적용 대상이 아닙니다.
7.
업무 중요도 평가 결과 중요도가 낮은 업무에 대해 클라우드서비스를 이용하는 경우에도 본 가이드가 모두 적용되나요?
⇒ 가이드 각 장에서 중요도가 낮은 업무에 대해 구분 적용되는 부분을 별도로 명시하였으므로 이를 참고하시기 바랍니다.
정회목 변호사
댓글 없음:
댓글 쓰기