Trace Id is missing
주 콘텐츠로 건너뛰기
Microsoft 365
로그인

보안 센터: Office 365 Microsoft Dynamics CRM Online 에 관한 보안, 개인정보취급방침 및 규정 준수 정보

규정 준수

Microsoft는 고객이 규제 요구 사항을 준수할 수 있도록 투명성을 유지할 것을 약속하나요?

네, 그렇습니다. 전 세계적으로 Microsoft의 Office 365 및 Microsoft Dynamics CRM Online 고객은 수많은 법률 및 규제의 적용을 받습니다. 한 국가나 산업의 법률 요구 사항이 다른 곳의 법률 요구 사항과 일치하지 않는 경우도 있습니다. 글로벌 클라우드 서비스 공급자인 Microsoft는 다수의 고객 및 관할지에 공통되는 운영 방식과 기능을 통해 서비스를 운영해야 합니다. 고객이 자체 요구 사항을 준수할 수 있도록 Microsoft는 일반적인 개인정보취급방침 및 보안 요구 사항을 염두에 두고 서비스를 구축하며, 기본 제공되는 기능을 통해 다양한 종류의 규제 및 개인 정보 관련 의무를 준수할 수 있는 수단을 제공합니다.

그러나 개별적인 요구 사항에 비추어 Microsoft의 서비스를 평가하는 것은 최종적으로 고객의 결정 사항이므로 고객은 Microsoft의 서비스가 자신의 규정 요구 사항을 충족하는지 여부를 판단할 수 있습니다. Microsoft는 고객이 자체적으로 규정 준수 여부를 평가할 수 있도록 클라우드 서비스에 대한 자세한 정보를 제공하기 위해 노력합니다.

규정 준수에 도움이 될 수 있는 인증에 대한 정보는 보안, 감사 및 인증 섹션에서 확인할 수 있습니다.

Office 365 및 Microsoft Dynamics CRM Online이 내 규정상 의무를 준수하나요?

규정상의 책임을 준수하는 일은 사용자의 책임입니다. Microsoft는 이를 위해 도움이 되는 정보를 제공합니다.

Microsoft는 IT 서비스 공급자에게 일반적으로 적용되는 데이터 보호 및 개인 정보 보호 관련 법률을 준수하기 위해 노력합니다. 산업 또는 관할지 요구 사항의 적용을 받는 사용자는 규정 준수 능력을 자체적으로 평가해야 하지만, 대부분의 산업 및 지리적 위치에서 고객은 서비스를 각자의 특수 상황에 적합한 방식으로 사용하기만 하면 Office 365 및 Microsoft Dynamics CRM Online을 관련 규정을 준수하는 방식으로 사용할 수 있습니다.

예를 들어 EU 데이터 보호 규정(Data Protection Directive)의 적용을 받는 조직은 직원들이 이 규정에 위반되는 방식으로 Office 365 또는 Microsoft Dynamics CRM Online 서비스를 사용하지 않도록 자체적인 정책과 보안 및 교육 프로그램을 마련해야 합니다. Office 365 및 Microsoft Dynamics CRM Online은 계약상의 약속을 지키고 고객의 규정 준수를 지원하기 위해 맡은 책임을 다 할 것입니다.

예를 들어 유럽 연합(EU) 고객은 연락처 정보가 포함된 고객 목록을 보관해둘 수 있습니다. Office 365 및 Microsoft Dynamics CRM Online에는 Microsoft 직원들이 이러한 정보에 부당하게 액세스하거나 이를 공개하지 않도록 하기 위한 보안 절차가 마련되어 있습니다. 그러나 Microsoft Exchange Online을 사용하는 고객의 직원 중 한 명은 적절한 동의 없이도 이 서비스를 사용하여 이러한 고객 목록을 마케팅 담당자에게 보낼 수 있습니다. 고객의 지침에 따라 Office 365 및 Microsoft Dynamics CRM Online을 사용함으로써(정상적인 서비스 제공 과정에서 전자 메일 전송 등) EU 데이터 보호 규정을 위반하게 되는 경우 그 결과는 고객의 책임입니다.

EU에 거주하는 사용자의 경우 Office 365 및 Microsoft Dynamics CRM Online을 사용하는 것이 합법적인가요?

EU 데이터 보호법과 Microsoft의 계약에 따라 Office 365 및 Microsoft Dynamics CRM Online은 사용자 데이터의 보호자, 즉 기본적으로 하도급 계약자(법률상 Microsoft는 "데이터 처리자"라 함)의 역할을 합니다.

고객인 사용자는 데이터에 대한 소유권을 가지고 있으며 법률에 따라 Microsoft의 규정 준수를 확인할 책임이 있으므로 사용자가 Microsoft에 개인 데이터를 보내는 것은 합법적입니다(사용자는 법률상 "데이터 관리자"라 함). 사용자는 반드시 자신의 특수한 상황에 따라 자체 비즈니스를 위해 개인 데이터를 Microsoft의 서비스를 사용하여 처리하고 저장할 수 있는지 판단해야 합니다.

정상적인 사용을 위해 Microsoft 서비스를 설계하고 운영함에 있어 EU 데이터 보호 규정의 요구 사항이 고려되었으며 Microsoft는 서비스 개선 관련 변경 시 이 부분을 계속 모니터링합니다.

또한 Microsoft는 U.S.?EU Safe Harbor 및 이와 거의 유사한 U.S.?Switzerland Safe Harbor 프로그램(미국 상무부와 EU 및 스위스가 각각 합의함)에 따른 자체 인증을 받았습니다. 따라서 Microsoft는 EU 데이터 보호 규정의 요구 사항을 준수할 의무가 있으며, Office 365 및 Microsoft Dynamics CRM Online 서비스를 제공하기 위해 EU 외부로 데이터를 적법하게 전송할 수 있습니다. Microsoft의 Safe Harbor 인증서는 http://safeharbor.export.gov/ 에서 찾아볼 수 있습니다. Microsoft는 일부 고객이 Safe Harbor 자체 인증보다 강력한 보증 조치를 필요로 한다는 점을 알고 있으며, 그러한 이유로 모든 고객과 EU 모델 조항(일명 "표준 계약 조항"이라고도 함)을 체결할 용의가 있습니다. EU 외부로의 데이터 전송에 대한 자세한 내용은 보안 센터의 데이터 맵 섹션을 참고하세요.

일부 국가의 경우 Microsoft는 법률이 정한 민감한 개인 데이터의 저장에 대한 보안 요구 사항도 준수합니다. 해당 국가의 규정이나 저장하는 데이터 유형에 대해 궁금한 사항이 있거나 Office 365 또는 Microsoft Dynamics CRM Online의 방침 및 지원 기능에 대해 자세히 알아보려는 경우 서비스 설명서에서 해당 정보를 찾을 수 없으면 지원 센터에 문의할 수 있습니다. 보안에 지장이 없는 범위 내에서 Microsoft는 유용한 정보를 공개하여 사용자가 자체 요구 사항을 바탕으로 Office 365 또는 Microsoft Dynamics CRM Online의 구현이 가능한지 스스로 결정할 수 있도록 지원합니다.

사용자는 규정 준수에 관한 일반적인 질문 사항을 읽어야 하며, 사용자 조직이 개인 정보 보로 관련 법률을 준수하도록 Office 365 및 Microsoft Dynamics CRM Online이 지원을 제공한다고 해서 해당 조직이 반드시 규정에 부합하는 것은 아니며 올바른 회사 정책을 수립하고 바람직한 개인정보취급방침에 대해 직원을 교육하는 등 추가로 실행해야 할 조치가 있을 수 있다는 점을 이해해야 합니다. 또한 국가에 따라 데이터 보호 기관에 정보를 제출하는 등 현지 법률 준수를 위한 추가 조치를 취해야 할 수도 있습니다.

Office 365 또는 Microsoft Dynamics CRM Online을 통해 처리되는 고객 데이터가 EU 당국에 등록되나요?

아닙니다. Office 365 및 Microsoft Dynamics CRM Online은 데이터 처리자로서, Microsoft가 고객을 대리하여 처리하는 고객 데이터를 EU 당국에 등록하지 않습니다.

Office 365 및 Microsoft Dynamics CRM Online은 HIPAA(Health Insurance Portability and Accountability Act)의 요구 사항을 준수하나요? Microsoft는 HIPAA BAA(Business Associate Agreement)에 서명할 예정인가요?

Microsoft는 고객이 HIPAA를 준수하도록 지원을 제공하며, 모든 고객과 HIPAA BAA를 체결할 용의가 있습니다. 자세한 내용은 HIPAA/HITECH FAQ 를 참고하세요.

Office 365 또는 Microsoft Dynamics CRM Online은 GLBA(Gramm Leach Bliley Act)를 준수하나요?

Office 365 및 Microsoft Dynamics CRM Online은 고객이 보안을 유지하고 무단 사용을 방지할 수 있도록 기술적이며 조직적인 보안 대책을 제공함으로써 고객의 GLBA의 보안 요구 사항 준수를 지원합니다.

Microsoft는 요청 시 독립 감사자에 의한 제3자 인증 요약 보고서를 고객에게 제공할 수 있습니다.

Office 365 또는 Microsoft Dynamics CRM Online은 PCI DSS(Payment Card Industry Data Security Standard)를 준수하나요? Microsoft 서비스에서 신용 카드 데이터를 호스팅할 수 있나요?

Office 365 및 Microsoft Dynamics CRM Online은 신용 카드 번호와 같은 PCI 적용 데이터의 처리, 전송 또는 저장을 지원하지 않습니다.

신용 카드 처리 및 데이터 저장은 Office 365 또는 Microsoft Dynamics CRM Online에서 제공하는 기능이 아니므로 PCI 표준은 Office 365 또는 Microsoft Dynamics CRM Online에 적용되지 않습니다. Office 365 및 Microsoft Dynamics CRM Online은 ISO 27001 등과 같은 업계 모범 사례에 의해 정의된 관련 보안 방침 및 관리 방식을 적용합니다.

그러나 신용 카드 데이터를 처리하는 Office 365 및 Microsoft Dynamics CRM Online의 주문, 청구 및 지불 시스템은 레벨 1 PCI 정책을 준수(Level One PCI Compliant)하므로 고객은 염려하지 않고 신용 카드로 서비스 요금을 지불할 수 있습니다.

Office 365는 FERPA를 준수하나요?

교육 기관은 FERPA에 따른 여러 가지 의무를 준수해야 하며, 이에 Microsoft는 교육 기록의 사용 및 공개에 대해 적용되는 주요 계약 조건(Office 365에 저장될 수 있음)을 명시함으로써 교육 기관에서 광범위한 FERPA 규정 준수 전략의 일환으로 Office 365를 사용할 수 있도록 조치하고 있습니다.

FERPA는 미국 교육부로부터 자금을 지원받는 모든 교육 에이전시 또는 기관이 "교육 기록"을 동의 없는 사용 또는 공개로부터 안전하게 보호함으로써 사생활 보호 권리를 보호할 것을 요구합니다. 또한 교육부의 지침에서도 전자 메일 통신이 FERPA에 규정된 교육 기록으로 간주되며 클라우드 전자 메일 공급자 역시 전자 메일과 문서에 정보를 사용 및 공개하는 방식에 대해 유사한 제한을 받는다는 점을 명확히 하고 있습니다.

FERPA는 교직원, 직원, 학생의 전자 메일 및 기타 전자 문서에 포함된 "교육 기록"이 클라우드 서비스의 제공을 위한 협의의 목적으로만 사용되어야 하며 그러한 정보가 광고 등의 상업적 활동을 지원 및 유지하기 위한 목적으로 검색되거나 사용되지 않아야 한다는 점에 대해 클라우드 공급자가 동의할 것을 요구합니다. Microsoft는 교육 기관의 데이터에 Microsoft가 FERPA에 규정된 "적법한 교육적 관심사"를 가진 "학교 당국자"로 기록된다는 점에 대해 동의하고 교육 기관의 전자 메일 또는 문서를 광고 목적으로 검색하지 않기로 합의하는 등 FERPA에 의해 학교 당국자에게 부과되는 제한 및 요구 사항을 준수하기로 합의함으로써 교육 기관이 FERPA 규정을 준수할 수 있는 경로를 제공합니다.

?