2022년 10월, 인도네시아는 개인 정보 보호법(PDP)(2022년 법률 제27호)을 제정했습니다. 이는 다양한 분야에 적용되는 데이터 보호에 대한 최초의 포괄적 규정이며, 이는 데이터 보호에 대한 인도네시아의 규제 프레임워크가 상당히 발전했음을 의미합니다. PDP법은 디지털 시대에 데이터 프라이버시의 중요성이 커지고 있음을 반영하며, 개인 정보에 대한 개인의 권리를 강조합니다.
인도네시아의 개인 정보 보호법(PDP)이란 무엇인가요?
PDP법은 16장, 76조항으로 구성되어 있으며, 인도네시아 사용자의 개인 정보 수집, 저장, 처리 및 전송과 함께 데이터 소유권 및 데이터 사용 금지 조항을 광범위하게 다룹니다. 또한 이 법은 국경을 넘는 개인 정보 전송 전후 시점에 규제 기관에 통지해야 한다는 조건을 비롯한 새로운 개념을 추가합니다. PDP법은 개인 정보 침해에 대한 형사 처벌을 도입함으로써 한 걸음 더 나아갔습니다.
인도네시아 개인 정보 보호법(PDP) 개요
인도네시아 개인 정보 보호법(PDP)은 개인 정보를 보호하고 개인 정보 수집, 처리, 보관에 대한 명확한 지침을 수립하여 인도네시아가 글로벌 데이터 보호 기준에 부응하도록 만드는 것을 목표로 합니다. 이 법은 데이터 주체의 권리, 데이터 관리자의 책임, 규정 준수를 보장하는 데 필요한 집행 메커니즘을 규정하는 포괄적인 조항을 담고 있습니다.
- 데이터 수집 및 처리:합법적이고 공정하며 투명해야 하며 특정 목적에 한해 제한되어야 합니다.
- 동의:데이터 처리를 위해 개인의 명시적이고 정보에 입각한 구체적인 동의가 필요하며, 특히 어린이와 장애인에게는 특별 규정이 적용됩니다.
- 데이터 주체 권리:개인은 데이터 접근, 수정, 삭제, 동의 철회, 처리 거부 및 데이터 이동 요청 권리가 있습니다.
- 보안 조치: 데이터 관리자는 개인 정보가 손실, 오용 또는 무단 액세스로부터 보호되도록 적절한 보안 조치를 구현해야 합니다.
- 데이터 침해 알림:데이터 침해가 발생한 경우, 관리자는 영향을 받은 개인과 개인 정보 보호 기관에 통지해야 합니다.
PDP법은 모든 부문에 걸쳐 개인 정보 보호를 규정하며, 이는 인도네시아 국내외 기업에 영향을 미칩니다. 이는 인도네시아 국민의 민감한 데이터를 처리하거나 법적 책임을 수반하는 경우에 적용됩니다.
위반 시에는 경고, 데이터 처리 일시 중단, 과태료 등의 행정적 제재는 물론, 금전적 처벌이나 징역형과 같은 형사적 제재도 받을 수 있습니다.
개인에게는 최대 60억 루피아(36만 8,232달러), 법인에는 최대 600억 루피아(3,68만 2,326달러)의 과태료와 4년에서 6년의 징역형이 부과될 수 있습니다.
규제 준수 요약
인도네시아 개인 정보 보호법(PDP) 준수 보장
개인 정보 보호법에 대한 솔루션을 둘러보고, 규정 준수를 간소화하고 보안을 자동화하여 보안 및 규정 준수 팀의 부담을 줄입니다.
탈레스가 인도네시아의 개인 정보 보호(PDP) 규제 준수를 지원하는 방식
탈레스의 사이버보안 솔루션은 PDP법 제4장, 제5장, 제6장, 제7장에 명시된 데이터 보안 조항을 준수하도록 조직을 지원합니다. 이를 위해 가시성과 제어를 통해 규정 준수를 간소화하고 보안을 자동화하며, 보안 및 규정 준수 팀의 부담을 줄입니다.
PDP 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 탈레스 제품군에는 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격으로부터의 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN)가 포함됩니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
PDP 요건 해결
탈레스의 지원 방식:
- 실시간으로 데이터베이스 활동을 추적, 분석하고 대응하여 가시성을 확보합니다.
탈레스의 지원 방식:
- 투명하고 지속적인 암호화를 통해 물리, 가상 및 클라우드 환경에서 사용자와 프로세스의 무단 액세스를 방지합니다.
- 데이터베이스의 민감한 정보를 익명화합니다.
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
- 비정상적인 사용자 행동을 식별하고, 해결할 수 있도록 실행 가능한 인텔리전스를 포함하여 위협에 대한 완전한 설명을 제공합니다.
- 고도로 안전한 환경 내에서 암호화 시스템의 신뢰점을 보호합니다.
- 정책을 통해 역할과 상황에 따라 내·외부 사용자의 시스템 및 데이터 액세스를 제한합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
탈레스의 지원 방식:
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
- 민감한 데이터에 대한 사용자 접근 권한에 대한 보고 및 분석을 간소화합니다.
탈레스의 지원 방식:
- 지속적인 모니터링을 통해 애플리케이션 및 특권 사용자 계정 모두에서 모든 데이터 저장소 활동을 캡처하고 분석하여 상세한 감사 이력을 제공합니다.
- 개인 식별 정보(PII)와 같은 민감한 개인 정보를 민감하지 않고 형식을 보존하는 토큰으로 대체하여 보호합니다.
- 온프레미스, 다수의 클라우드, 빅데이터 및 컨테이너 환경 등 어디에서나 데이터를 암호화합니다.
탈레스의 지원 방식:
- 애플리케이션과 데이터베이스 트래픽을 조사하여 정상적인 활동의 기준에 대한 프로필을 작성합니다.
- 비정상적인 사용자 행동을 식별하고, 해결할 수 있도록 실행 가능한 인텔리전스를 포함하여 위협에 대한 완전한 설명을 제공합니다.
탈레스의 지원 방식:
- 온프레미스와 클라우드에서 위험에 처한 정형 및 비정형 민감 데이터를 식별합니다.
- 규정 준수 현황을 파악하고, 부족한 부분을 문서화하고, 완전한 규정 준수를 위한 경로를 제공합니다.
- 모든 데이터를 검색하고 민감도와 가치에 따라 분류하여 숨겨진 데이터 위험을 발견할 수 있습니다.
- 온프레미스, 클라우드, 빅데이터 또는 컨테이너 환경에서 저장된 데이터를 암호화합니다.
- 데이터베이스의 민감한 정보를 익명화합니다.
- 고성능 SDK로 애플리케이션 및 서비스의 데이터를 보호하며, 개발자(Devs)가 보안 세부 정보를 관리하고 데이터 보호를 정기적으로 업데이트할 필요가 없습니다.
- 고속 암호화로 이동 중인 데이터를 보호합니다.
- 키 수명 주기 관리를 통해 클라우드 및 온프레미스 환경에서 키 관리를 간소화합니다.
- 고도로 안전한 환경 내에서 암호화 시스템의 신뢰점을 보호합니다.
- 엔드투엔드 암호화 보안을 통해 클라우드나 온프레미스에서 파일을 공유하고 동기화합니다.
탈레스의 지원 방식:
- 감사 로그를 포함한 내부 정보에 대한 무단 액세스 및 변조를 방지합니다.
- 특권 사용자를 포함한 모든 사용자의 위험한 데이터 액세스 활동을 정확히 파악합니다.
- 역할을 완벽하게 분리하고 민감한 데이터에 대한 액세스를 제한합니다.
- 정책을 통해 역할과 상황에 따라 시스템 및 데이터에 대한 액세스를 제한합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
- 여러 하이브리드 환경에서의 액세스 정책과 시행을 하나의 창으로 일원화합니다.
탈레스의 지원 방식:
- 하이브리드 환경에서 사용자와 프로세스의 무단 접근을 방지하는 투명하고 지속적인 암호화를 제공합니다.
- 전체 데이터 자산의 데이터 암호화 강도에 대한 고유한 보기 기능을 통해, 중요 데이터의 위험에 대해 통합된 가시성을 제공합니다.
- 감사 로그를 포함한 내부 정보에 대한 무단 액세스 및 변조를 방지합니다.
- 데이터베이스 공격과 비정상적인 액세스 요청을 실시간으로 경고하거나 차단합니다.
- 시간 경과에 따른 파일 활동을 모니터링하여 조직을 위험에 빠뜨릴 수 있는 활동에 대한 알림을 설정합니다.
- 활성 프로세스를 모니터링하여 과도한 데이터 액세스, 데이터 유출, 무단 암호화 또는 악의적인 사용자 사칭과 같은 활동을 식별하고 이러한 활동이 감지되면 경고 및 차단합니다.
- 역할 기반 액세스 제어를 통해 키 관리 작업을 통합하고 전체 감사 로그 검토를 제공합니다.
탈레스의 지원 방식:
- 정책을 통해 역할과 상황에 따라 내·외부 사용자의 시스템 및 데이터 액세스를 제한합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
- 데이터베이스의 민감한 정보를 익명화하여 비생산 환경에서의 노출을 방지합니다.
- 감사 로그를 포함한 내부 정보에 대한 무단 액세스 및 변조를 방지합니다.
- 특권 사용자를 포함한 모든 사용자의 위험한 데이터 액세스 활동을 정확히 파악합니다.
- 온프레미스에서 암호키를 제어하고 클라우드에 호스팅된 데이터를 보호하여 제3자로 인한 위험을 줄입니다.
- 클라우드 제공업체 관리자와 조직 간의 역할을 완전히 분리하고 중요한 데이터에 대한 액세스를 제한하세요.
- 원치 않는 활동으로 인해 공급망 활동이 중단되는 것을 감지 및 방지할 수 있도록 이상 징후를 모니터링하고 경고합니다.
- 공급업체, 파트너 또는 제3자 사용자와의 관계 관리를 활성화하고, 액세스 권한을 명확하게 위임합니다.
탈레스의 지원 방식:
- 실시간으로 데이터베이스 활동과 상호작용을 모니터링하고 추적하여 민감한 개인 정보를 보호합니다.
탈레스의 지원 방식:
- 온프레미스, 클라우드, 빅데이터 또는 컨테이너 환경에서 저장된 데이터를 암호화합니다.
- 데이터베이스의 민감한 정보를 익명화합니다.
- 역할 기반 액세스 제어를 통해 키 관리 작업을 통합하고 전체 감사 로그 검토를 제공합니다.
- 고도로 안전한 환경 내에서 암호화 시스템의 신뢰점을 보호합니다.
- 가장 광범위한 하드웨어 및 소프트웨어 수단을 통해 다중 인증(MFA)를 활성화합니다.
- 데이터/애플리케이션의 민감도에 따라 적응형 인증 정책을 구축 및 배포합니다.
- 피싱 및 중간자 공격으로부터 보호합니다.
- '선수집 후해독(Harvest now, decrypt later)' 공격을 방지하기 위해 미래 지향적인 암호화 기술로 전송 중인 데이터를 보호합니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.