GDPR(일반 데이터 보호 규정) 준수

GDPR 개요

일반 데이터 보호 규정의 등장. GDPR은 개인정보 보호 조치를 개선하고 데이터 유출에 관한 조직의 책임을 강화하도록 만들어졌습니다. 전 세계 수익의 최대 4% 또는 2천만 유로(둘 중 더 높은 금액)의 과징금을 부과할 수 있는 규정이기 때문에, 그 효력은 매우 강력합니다. 유럽연합 거주자의 개인정보를 처리하거나 관리하는 조직은 위치에 관계없이 이에 대비되어 있어야 합니다.

구체 조항

조직은 다음과 같은 GDPR의 주요 조항대로 요건을 준수해야 합니다.

• “무단 처리 또는 불법 처리 방지를 포함하여” 보안을 보장하는 방식으로 개인정보 처리(제5조).
• “개인정보의 가명화 및 암호화”를 포함하여 위험 수준에 적합한 데이터 보안을 보장하는 기술적· 조직적 조치 시행 (제32조)
• “처리 과정에서 보안을 보장하는 기술적·조직적 조치의 효과를 정기적으로 테스트하고 측정, 평가하는 프로세스” 마련 (제32조)
• 개인정보가 유출된 해당 개인의 “권리와 자유에 대한 높은 위험을 초래할 가능성이 있는 경우” “부당한 지체 없이” 통보 (제34조)
• “개인정보의 무단 공개 또는 무단 액세스”로부터 보호 (제32조)

구조화된 데이터와 구조화되지 않은 데이터 모두 암호화

CipherTrust Transparent Encryption은 GDPR이 명시한 일종의 파일 기반 데이터 보호를 “최첨단” 수준으로 제공하는 솔루션입니다. CipherTrust Transparent Encryption을 이용하면 침해가 발생한 경우에도 사이버 침입 주체가 개인 정보를 이해할 수 없게 만들기 때문에 GDPR 제 34조에 명시된 침해 통지 요구를 방지할 수 있습니다.

이 조항은 조직이 “적절한 기술적·조직적 보호 조치를 구현했으며 이러한 조치가 개인정보 침해의 영향을 받는 개인정보에 적용된 경우, 특히 액세스 권한이 없는 사람이 이해할 수 없도록 만든 암호화와 같은 조치인” 경우, 정보 주체에 대한 통지가 필요하지 않다고 명시합니다.

비용이 많이 드는 유출 통지 절차를 피하는 것 외에도, 위반 사례 공개로 인한 상당한 조직 평판 손상을 방지할 수 있습니다.

개인정보에 대한 무단 액세스 방지

탈레스 제품과 솔루션은 고객이 개인정보에 대한 무단 액세스를 방지하여 GDPR 제32조를 준수하도록 지원합니다. 특히 CipherTrust 데이터 보안 플랫폼은 권한 있는 관리자와 데이터 소유자 간의 업무 분리를 가능하게 하고 2단계 인증을 지원합니다.

데이터 보안 효과 테스트, 측정 및 평가

CipherTrust 보안 인텔리전스는 보안 정보 및 이벤트 관리(SIEM) 시스템과 쉽게 통합할 수 있는 상세한 보안 이벤트 로그를 생성하여 GDPR 준수에 필요한 유형의 보안 보고서를 생성합니다. 이러한 엔터프라이즈 네트워크 보안 정보 로그는 사용자와 프로세스의 허용·거부 액세스 시도를 대상으로 감사 가능한 추적 기록을 생성하여 파일 액세스 활동에 관해 전례 없는 통찰력을 제공합니다. 이러한 엔터프라이즈 네트워크 보안 정보 로그는 비정상적이거나 부적절한 데이터 액세스를 보고하여 보안 경계를 무력화하는 내부 위협, 해커, 지능형 지속 공격의 존재 여부를 빠르게 탐지할 수 있습니다.