2018년 6월 28일, 캘리포니아 주지사 제리 브라운(Jerry Brown)은 국회법 법안 375호, 캘리포니아 소비자 개인정보 보호법(CCPA)1에 서명했습니다. CCPA법은 일반데이터보호규정(GDPR)이 유럽 시민에게 부여하는 권리와 비슷한 권리 범위를 캘리포니아주 내 4천여 만 명의 사람에게 부여합니다(두 규정은 아주 유사하다고 볼 수는 없으나 몇 가지 공유하는 일반적인 특징이 있습니다. GDPR은 일괄 법이며 CCPA는 더 제한적입니다).
CCPA가 법제화된 이후로, 두 가지 주요 개정 사항이 있었습니다. 첫 번째 개정은 2018년 8월 24일에 이뤄졌습니다. 상원 법안 1121호2는 본질적으로 실질적이지 않은 45개 수정안(대부분 기술적 오류를 해결함)을 도입했으며, 두 번째 개정은 2월 25일 캘리포니아 법무 장관이 CCPA법을 더욱 명확히 하고 강화하기 위해 상원 법안 561호3를 도입했을 때 이뤄졌습니다.
법안 대부분은 특히 소비자 개인정보 보호와 관련되어 있습니다. 캘리포니아 소비자 개인정보 보호법을 준비하는 방법에서 더욱 자세한 내용을 읽어보실 수 있습니다.
CCPA의 일부 내용은 데이터 보안을 구체적으로 다루며, 탈레스는 이 부분을 준수하는 데 필요한 많은 솔루션을 제공합니다.
1 https://www.caprivacy.org/about
2 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
3 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201920200SB561
1798.150. (a) (1) 개인정보 보호를 위해 정보의 성격에 적합하고 합리적인 보안 절차와 관행을 이행하고 유지해야 하는 기업이 의무를 위반한 결과로 1798.81.5절의 (d)관 (1)항 (A)호에 정의된 바와 같이, 암호화되지 않았거나 수정되지 않은 개인정보가 무단 액세스 및 유출, 도난 또는 공개되는 경우, 소비자는 민사 소송을 제기할 수 있다…4
4 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
암호화 및 수정 처리 외에, 현재 CCPA는 CCPA의 적용을 받는 조직이 소비자 데이터를 도난으로부터 보호하기 위해 취해야 하는 조치를 구체적으로 규정하지 않습니다. 그러나 이는 CCPA와 같은 대다수 규정에 해당됩니다. 대신 이러한 규정들은 끊임없이 변화하는 디지털 보안 환경에 발맞춰 움직이기 위해 ‘모범 사례’에 의존합니다. 탈레스는 디지털 보안 분야의 선도 기업이며 수백에 이르는 기업이 전 세계의 규제 체제를 준수할 수 있도록 지원해온 경험에 근거하여 사실상 모든 규정에서 요구하는 주요 데이터 보호 기술을 권장합니다.
여기에는 다음과 같은 기술이 포함됩니다.
탈레스의 Vormetric Data Security Manager를 이용하는 조직은 민감한 정보가 포함된 정보 시스템의 사용자 액세스 권한을 제한할 수 있습니다.
SafeNet Trusted Access는 클라우드 및 웹 싱글 사인온(SSO)의 편리성과 세분화된 접근 보안을 결합한 클라우드 기반 접근 관리 서비스입니다. 신원을 검증하고, 접근 정책을 시행하며, 스마트 싱글 사인온을 적용하는 기업은 탐색이 간편한 하나의 콘솔을 이용해 수많은 클라우드 애플리케이션에 안전하고 편리하게 접근할 수 있습니다.
탈레스의 SafeNet CBA(인증서 기반 인증) 스마트카드 솔루션을 IT 인프라의 구성 요소로 추가하면 다중 인증을 요구함으로써 클라이언트 로그온 보안을 크게 향상할 수 있습니다. 여러 요소를 추가하면 워크스테이션과 엔터프라이즈 네트워크에서의 보안 로그인을 보장할 수 있으며 복잡하고 값비싼 암호를 제거하고 헬프데스크 문의를 크게 줄일 수 있습니다. 또한 스마트카드를 사용하면 카드 소지자를 시각적으로 쉽고 안정적으로 식별할 수 있으며, 강력한 기업 정체성 커뮤니케이션이 가능합니다. 이에 더해, 인증서 기반 솔루션은 Microsoft 응용 프로그램을 사용하는 경우, Windows 환경에 완전히 통합됩니다.
SafeNet 인증 및 액세스 관리 솔루션을 이용하면 온프레미스, 클라우드 기반 서비스를 위한 통합 인증 인프라를 활용하여 모든 액세스 정책을 중앙 집중식으로 종합 관리할 수 있습니다. 사용자는 기존 SafeNet 인증 메커니즘을 통해 Office 365, Salesforce.com 또는 GoogleApps와 같은 엔터프라이즈 클라우드 서비스에 로그인할 수 있습니다.
탈레스의 Vormetric Transparent Encryption 솔루션은 애플리케이션, 데이터베이스 또는 인프라를 재설계하지 않고도 파일·볼륨 수준의 저장 데이터 암호화, 액세스 제어, 데이터 액세스 감사 로깅을 통해 데이터를 보호합니다. 투명한 파일 암호화 소프트웨어는 간단하고 확장 가능하며 빠르게 배포할 수 있으며, 서버나 가상 컴퓨터의 파일 시스템 위에 에이전트를 설치하여 데이터 보안 및 규정 준수 정책을 시행합니다. 정책 및 암호키 관리는 Vormetric Data Security Manager로 제공합니다.
Vormetric Vaultless Tokenization with Dynamic Data Masking은 CCPA와 같은 보안 정책, 규제령을 준수하는 데 필요한 비용과 노력을 크게 줄여줍니다. 이 솔루션은 데이터베이스 토큰화와 동적 디스플레이 보안 기능을 제공합니다. 데이터센터, 빅데이터, 컨테이너, 클라우드 환경인지와 관계없이 민감한 자산을 보호하고 가명화하고자 하는 기업 목표를 효율적으로 해결할 수 있습니다.
Vormetric 애플리케이션 암호화는 키 관리, 서명, 암호화 서비스를 제공하여 PaaS(Platform-as-a-Service) 환경에서 파일, 데이터베이스 필드, 선택한 빅데이터나 데이터에 대한 포괄적인 보호를 제공합니다. 이 솔루션은 PKCS#11 표준을 기반으로 하고 FIPS 140-2 레벨-1 인증을 받았으며, 다양한 실용적 사용 사례 기반을 표준에 더해 완전히 문서화되었습니다. Vormetric 애플리케이션 암호화는 사내 암호화와 키 관리 솔루션을 개발하고 구현하는 데 드는 시간과 복잡성, 위험을 제거합니다. 이는 광범위한 언어와 운영 체제를 위한 포괄적인 기존 소프트웨어 개발 키트를 포함한 개발 옵션뿐만 아니라, 가장 광범위한 플랫폼을 지원하는 RESTful API 컬렉션을 포함합니다.
이동 데이터를 위한 강력한 보호 장치인 SafeNet 고속 암호 생성기는 실시간 짧은 지연 시간과 제로에 가까운 오버헤드라는 보안 네트워크 성능 요구를 충족하며, 보증성이 높고 인증받은 이동 데이터 암호화 기능을 제공함으로써 네트워크 이동 중에도 데이터 침해를 방지할 수 있도록 보안을 제공합니다.
탈레스 Vormetric Enterprise Key Management는 온프레미스에서 암호키 관리를 통합, 중앙 집중화하고 데이터 저장소 솔루션을 위해 안전한 키 관리를 제공합니다. Cloud Key Management 제품에는 FIPS-140-2 보안 키 저장소를 통한 중앙 집중식, 다중 클라우드 키 수명주기 가시성 및 관리 기능을 제공하는 CipherTrust Cloud Key Manager와 Cloud Bring Your Own Key가 있습니다.
Vormetric Platform의 보안 인텔리전스 로그를 사용하면 조직에서 무단 액세스 시도를 식별하고 승인된 사용자 액세스 패턴의 기준을 생성할 수 있습니다. Vormetric Security Intelligence는 이 정보를 실행으로 옮길 수 있게 하는 최고의 SIEM(보안 정보 및 이벤트 관리) 시스템과 통합됩니다. 이 솔루션을 사용하면 무단 액세스 시도에 대한 즉각적인 자동 보고와 대응이 가능합니다. 또한 인증된 사용자의 의심스러운 사용을 식별하거나, 교육 목적으로 필요한 행동 패턴을 구분하는 데 필요한 모든 데이터를 제공합니다.
탈레스 하드웨어 보안 모듈은 언제나 하드웨어에 암호키를 저장함으로써 최고 수준의 암호화 보안을 제공합니다. 또한, 키가 침입 방지, 변조 방지, FIPS 검증 장치인 HSM을 벗어나지 않기 때문에 안전한 암호화 기반을 제공합니다. 모든 암호화 작업이 HSM 내에서 발생하기 때문에, 강력한 액세스 제어 기능으로 권한 없는 사용자가 민감한 암호화 자료에 액세스하는 것을 방지합니다. 또한 탈레스는 보안 HSM을 가능한 쉽게 배포할 수 있도록 배포 작업을 구현하고, HSM은 SafeNet Crypto Command Center와 통합되어 빠르고 쉬운 암호화 리소스 분할, 보고, 모니터링 기능을 제공합니다.
수상 경력을 자랑하는 탈레스 Data Protection on Demand(DPoD) 솔루션은 온라인 마켓플레이스를 통해 다양한 클라우드 HSM와 키 관리 서비스를 제공합니다. 여기에는 HSM on Demand와 Key Management on Demand가 포함됩니다.
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.