GLBA(그램 리치 블라일리 법)에 따른 데이터 보안 규정 준수
탈레스 솔루션이 GLBA 규정 준수를 지원하는 방법
GLBA 파트 314: 고객정보 보호를 위한 표준
GLBA의 고객정보 보안 규칙은 고객 정보를 보호하기 위해 설계된 관리적, 기술적, 물리적 안전장치가 포함된 정보 보안 프로그램의 개발, 구현 및 유지 관리를 요구합니다.
그램 리치 블라일리 법(GLBA)
1999년 금융 서비스 현대화법이라고도 불리는 그램 리치 블라일리 법(GLBA)은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감한 데이터를 보호할 것을 요구합니다. 핵심 목표는 사이버 위협을 예방하고 완화하는 것입니다. FTC(연방거래위원회) 고객정보 보안 규칙(Safeguards Rule)에 따라 해당 기업은 고객 정보를 보호하기 위해 설계된 관리적, 기술적, 물리적 안전장치가 포함된 정보 보안 프로그램을 개발, 구현 및 유지해야 합니다.
GLBA는 금융 기관이 보유한 민감한 소비자 데이터의 개인정보 보호 및 보호에 관한 세 가지 주요 규칙으로 구성되어 있습니다.
- 금융 개인정보 보호 규정은 금융 기관이 수집하는 대부분의 개인정보(이름, 생년월일, 주민등록번호)와 거래 데이터(카드 또는 은행 계좌 번호)의 수집 및 공개를 다룹니다.
- 고객정보 보안 규칙은 금융 기관이 수집하는 정보의 보안을 보장하기 위해 마련되었습니다. 여기에는 저장 중이거나 전송 중인 데이터의 암호화, 액세스 관리 및 인증 등 민감한 데이터를 보호하기 위한 구체적인 기술 요건이 포함되어 있습니다.
- 프리텍스팅 규칙은 직원이나 비즈니스 파트너가 소셜 엔지니어링 기법을 사용하는 등 거짓으로 고객 정보를 수집하는 것을 방지하는 것을 목표로 합니다.
어떤 회사가 GLBA의 적용을 받나요?
GLBA는 금융 기관으로 분류되는 광범위한 회사에 적용됩니다. FTC는 GLBA가 "규모에 관계없이 금융 상품 또는 서비스 제공에 '상당히 관여'하는 모든 비즈니스"에 적용된다고 설명합니다. 여기에는 대출, 재정 자문, 보험과 같은 금융 상품이나 서비스를 제공하는 회사뿐만 아니라 감정평가, 중개, 대출 서비스, 수표 현금화, 급여 담보 대출, 택배 서비스, 비은행 대출, 세금 준비 서비스 등을 제공하는 회사도 포함됩니다.
GLBA는 언제 시행되었나요?
그램 리치 블라일리 법은 1999년에 의회에서 제정되어 현재 시행되고 있습니다. 주로 FTC가 이 규정을 시행하지만, 연방준비제도이사회 및 FDIC와 같은 다른 연방 기관과 주 정부에서도 보험 제공업체를 규제할 책임이 있습니다.
GLBA 규정 미준수에 대한 처벌은 어떻게 되나요?
GLBA 위반으로 적발된 금융 기관은 위반 건당 10만 달러의 벌금이 부과될 수 있습니다. 해당 기업의 임원과 이사는 위반 시마다 최대 1만 달러의 벌금이 부과되며, 5년 이하의 징역 또는 양형에 처해질 수 있습니다.
탈레스가 GLBA 규정 준수를 지원하는 방법
탈레스는 고객정보 보호를 위한 필수 요건을 해결하여 조직이 GLBA를 준수할 수 있도록 지원합니다.
탈레스는 다음과 같은 방법으로 조직을 지원합니다.
- 위험 평가를 위한 민감한 고객 데이터 식별 및 분류
- 민감한 데이터에 대한 액세스 제어 및 모니터링
- 저장 중 및 이동 중 데이터 보호
- 앱 개발 보안
- 다중 인증 구현
- 제3자 위험 관리
GLBA 요건:
파트 314. b :
"고객 정보 보안에 대한 위험을 ... 식별하는 위험 평가"
탈레스 솔루션:
CipherTrust Data Discovery and Classification은 온프레미스 및 클라우드에서 구조화 및 비구조화된 민감한 데이터를 식별합니다. 기본 제공 템플릿으로 규제 대상 데이터를 신속하게 식별하고, 보안 위험을 강조하며, 규정 준수 격차를 발견할 수 있습니다.
파트 314. c.1 :
"액세스 제어를 구현하고 주기적으로 검토한다. 고객 정보에 액세스할 수 있는 사람을 결정하고 해당 정보가 여전히 비즈니스상 정당한 필요성이 있는지 정기적으로 재검토한다."
탈레스 OneWelcome ID 및 액세스 관리 솔루션은 역할과 상황에 따라 내부 및 외부 사용자의 액세스를 제한합니다. 강력한 인증(MFA)을 기반으로 세분화된 액세스 정책과 세분화된 권한 부여 정책을 통해 적절한 사용자에게 적절한 리소스에 대한 액세스 권한을 적시에 부여하여 무단 액세스의 위험을 최소화할 수 있습니다.
탈레스 OneWelcome 동의 및 기본 설정 관리 모듈을 통해 조직은 최종 소비자의 동의를 수집하여 금융 기관이 동의한 데이터에 대한 명확한 가시성을 확보함으로써 활용이 허용된 데이터에 대한 액세스를 관리할 수 있습니다.
CipherTrust Transparent Encryption은 민감한 데이터를 암호화하고 사용자, 프로세스, 파일 유형, 시간 및 기타 매개변수별로 적용할 수 있는 세분화된 권한 사용자 액세스 관리 정책을 시행합니다. 권한이 부여된 사용자와 프로세스만 암호화되지 않은 데이터를 볼 수 있는 완전한 역할 분리를 제공합니다.
파트 314. c. 3 :
"외부 네트워크를 통해 전송 중이거나 저장 중인 모든 보유/전송 고객정보는 암호화하여 보호한다"
저장 중 데이터 보호:
CipherTrust Data Security Platform은 파일, 볼륨, 데이터베이스에 저장 중인 데이터를 보호하기 위한 다양한 기능을 제공합니다. 특히 그 중에서도:
- CipherTrust Transparent Encryption은 중앙 집중식 키 관리 및 권한 있는 사용자 액세스 제어를 통해 저장 데이터 암호화를 제공합니다. 이를 통해 온프레미스 환경이나 멀티 클라우드 환경, 빅데이터 및 컨테이너 환경 등 데이터 위치가 어디든지 보호할 수 있습니다.
- CipherTrust Tokenization을 사용하면 데이터베이스의 민감한 정보를 가명화하면서 총체적인 분석 기능을 유지할 수 있습니다.
- CipherTrust Enterprise Key Management는 다양한 사용 사례에서 클라우드 및 엔터프라이즈 환경의 키 관리를 간소화하고 강화합니다.
키와 인증서를 보호합니다:
Luna Hardware Security Modules(HSM)는 암호키를 보호하고 안전한 암호화 처리, 키 생성 및 보호, 암호화 등을 위한 FIPS 140-2 레벨 3의 강화된 변조 방지 환경을 제공합니다. Luna HSM은 온프레미스, 서비스형 클라우드, 하이브리드 환경 전반에서 사용할 수 있습니다.
이동 중 데이터 보호:
탈레스 고속 암호 생성기(High Speed Encryptor, HSE)는 네트워크에 의존하지 않는 이동 데이터 암호화(계층 2, 3, 4)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다. 당사의 네트워크 암호화 솔루션을 통해 고객은 성능 저하 없이 데이터, 비디오, 음성, 메타데이터를 도청, 감시, 공개 및 은밀한 가로채기로부터 더욱 효과적으로 보호할 수 있습니다.
파트 314. c, 4 :
"자체 개발 응용 프로그램에 보안 개발 관행을 도입한다"
CipherTrust Platform Community Edition은 개발자가 하이브리드 및 멀티 클라우드 애플리케이션에 데이터 보호 제어를 쉽게 배포할 수 있게 해줍니다. 솔루션에는 CipherTrust Manager Community Edition, Data Protection Gateway, 쿠버네티스용 CipherTrust Transparent Encryption에 대한 라이선스가 포함되어 있습니다.
CipherTrust Secrets Management는 최첨단 키 관리 솔루션으로, 키, 자격 증명, 인증서, API 키, 토큰을 비롯한 데브옵스 도구와 클라우드 워크로드 전반에서 키에 대한 액세스를 보호하고 자동화합니다.
파트 314. c, 5 :
"다중 인증을 구현한다..."
SafeNet Trusted Access는 가장 광범위한 하드웨어 및 소프트웨어 인증 방법과 폼 팩터로 상용 다중 인증을 제공하는 클라우드 기반 액세스 관리 솔루션입니다.
파트 314. c, 8 :
"권한이 부여된 사용자의 활동 로그를 유지하고 무단 액세스를 주시한다."
탈레스 데이터 보안 솔루션은 모두 광범위한 액세스 로그를 유지하며 무단 액세스를 방지합니다. 특히, CipherTrust Transparent Encryption 보안 인텔리전스 로그 및 보고서는 주요 보안 정보 및 외부 SIEM 시스템을 사용하여 규정 준수 보고를 간소화하고 위협 탐지 속도를 높입니다.
SafeNet Trusted Access는 모든 시스템에 대한 모든 액세스 이벤트에 대한 즉각적인 최신 감사 추적을 제공함으로써 조직이 데이터 유출에 대응하고 위험을 완화할 수 있도록 지원합니다.
Part 314. f, 2 :
"서비스 제공업체를 다음의 방법으로 감독한다: 계약에 따라 서비스 제공업체가 이러한 안전 장치를 구현하고 유지하도록 요구..."
CipherTrust Cloud Key Manager는 제3자 클라우드 제공업체가 'BYOK(Bring Your Own Key)' 시스템에서 호스팅하는 민감한 데이터를 보호하는 키를 금융 기관의 완전한 통제 하에 온프레미스로 유지함으로써 제3자 위험을 줄일 수 있습니다.
CipherTrust Transparent Encryption은 권한이 있는 사용자와 프로세스만 암호화되지 않은 데이터를 볼 수 있는 관리 역할을 완벽하게 분리합니다. 데이터에 액세스할 수 있는 정당한 사유가 제공되지 않는 한, 타사 클라우드에 저장된 민감한 데이터는 권한이 없는 사용자가 일반 텍스트로 액세스할 수 없습니다.
탈레스 데이터 보안 솔루션은 고가용성 및 백업을 기본으로 제공하는 탈레스 Data Protection On Demand(DPoD)부터 클라우드 기반 Luna Cloud HSM 및 CipherTrust 키 관리 서비스, 제로화 옵션을 제공하는 HSE 네트워크 암호화 어플라이언스까지 가장 포괄적인 데이터 보호 기능을 제공합니다.
관련 자료
Data Security Compliance with the Gramm-Leach-Bliley Act (GLBA) - Solution Brief
Thales helps organizations comply with GLBA by addressing essential requirements for safeguarding customer information: Identifying and classifying sensitive customer data for risk assessment Controlling and monitoring access to sensitive data Protecting data at...
Compliance Requirements for American Financial Services Organizations - eBook
This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...
기타 주요 데이터 보호 및 보안 지침
GDPR
규제
활성화하기
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
PCI DSS
규정
활성화하기
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
데이터 침해 통지법
규제
활성화하기
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.
