Google이 조직의 보안 및 개인 정보를 보호하는 방법

Google Cloud는 독립적인 제3자 감사 기관으로부터 적정 서비스 조직 통제(SOC) 2/3 감사 결과를 받았습니다. Google에 맡겨진 고객 데이터는 SOC 2/3 감사 업계 표준에 따라 안전하게 보호되므로 Google Cloud 관리자는 안심하셔도 된다는 점을 자신 있게 말씀드립니다. SOC3 공개 보고서에 대해 자세히 알아보세요. SOC 2 보고서 사본은 Cloud 규정 준수 보고서 관리자에서 받으실 수 있습니다.

독립적인 제3자 감사 기관에서 Google Cloud가 다음과 같은 관리 조치 및 프로토콜을 적절하게 이행하고 있음을 확인했습니다.

• 논리적 보안: Google Cloud 프로덕션 시스템 및 데이터에 대한 논리적인 액세스가 승인된 개인에게만 허용되도록 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
• 개인 정보 보호: Google이 Google Cloud와 관련된 고객 데이터의 개인 정보를 보호하는 정책 및 절차를 시행하고 있음을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
• 데이터 센터의 물리적 보안: Google Cloud 데이터를 보관하는 데이터 센터와 사무실이 안전하게 보호됨을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
• 사고 관리 및 가용성: Google Cloud 시스템은 중복성을 갖추고 있으며, 사고가 적절하게 보고, 대처, 기록됨을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
• 변경 관리: Google Cloud의 개발 및 변경사항을 프로덕션으로 배포하기 전에 테스트 및 독립적인 코드 검토를 이행하는 절차가 진행되고 있음을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.
• 조직 및 관리: 경영진이 Google Cloud에 영향을 미치는 회사 내 이니셔티브를 추적하고 전달하기 위한 인프라와 기제를 제공함을 합리적인 수준으로 보장하는 관리 장치가 구현되어 있습니다.

EU의 개인 정보 보호법(GDPR)은 1995년 EU 데이터 보호 지침을 대체하는 법입니다. GDPR은 사용자의 개인 정보에 대한 개인의 권한을 강화하고 이러한 데이터가 처리되는 위치와 무관하게 동일한 데이터 보호 법률을 유럽 전역에 적용하는 내용을 담고 있습니다.

Google은 Google Cloud가 GDPR을 준수하도록 최선을 다하고 있습니다. 또한 수년에 걸쳐 Google의 서비스 및 계약에 구현한 강력한 개인 정보 보호 및 보안 기능을 제공함으로써 고객이 GDPR 규정을 준수할 수 있도록 최선을 다해 지원하고 있습니다.

무엇보다도 데이터 컨트롤러는 데이터 처리에 있어 GDPR 요건에 부합하는 방식으로 적합한 기술적, 조직적 조치를 이행할 수 있다고 충분히 보증할 수 있는 데이터 프로세서만 이용해야 합니다.

Google의 데이터 처리 약관에는 고객에 대한 Google의 개인 정보 보호 약속이 명시되어 있습니다. Google은 고객과 규제 기관의 의견을 기반으로 수년에 걸쳐 해당 약관을 개선해 왔으며 GDPR 변경사항을 구체적으로 반영하도록 업데이트했습니다.

자세한 내용은 GDPR 사이트를 참고하세요.

GDPR은 관련된 계약을 통한 보장 여부에 관계없이 데이터 프로세서(예: Google과 같은 클라우드 서비스 제공업체)에 직접 적용됩니다. Google에서는 GDPR 규정을 준수하고 Google 고객의 규정 준수도 지원할 수 있도록 최선을 다하고 있습니다. Google Cloud 서비스 사용 시 신속하게 고객의 규정 준수 수준을 평가하고 GDPR에 대비하려면 GDPR을 반영하여 업데이트된 데이터 처리 수정안을 참고하세요.

여기에 설명된 온라인 절차에 따라 데이터 처리 수정안에 동의할 수 있습니다.

Google의 인프라는 전 세계 여러 데이터 센터에 전략적으로 분포되어 있습니다. 명확히 하자면 Google 데이터 스토리지의 일부는 유럽 경제 지역(EEA) 이외의 국가에 위치합니다. 또한 Google Cloud의 24시간 연중무휴 지원 서비스를 구현하여 전 세계에 신속하고 효과적인 서비스를 제공하며, 일부 지원 센터는 EEA 외부 지역에 위치합니다. 위와 같은 이유로 Google에서는 사용자의 데이터가 정확히 어느 데이터 센터에 저장되어 있는지 알려드릴 수 없습니다.

새 사용자 계정의 비밀번호 생성에는 기호, 알파벳 대문자와 소문자, 숫자의 다양한 조합이 사용됩니다. 비밀번호의 길이는 최소 8자리 또는 도메인에 정의된 비밀번호의 최소 길이 중 더 긴 값으로 지정됩니다.

관리자 또는 최종 사용자가 Google Cloud에서 데이터를 삭제하면 Google은 고객 계약 및 개인정보취급방침에 따라 해당 데이터를 삭제합니다.

관리자가 사용자의 계정을 삭제하면 데이터를 복구할 수 없습니다. 사용자 삭제에 대한 권장사항을 보려면 고객센터를 참고하세요.

이메일 메시지를 복구하려는 경우 Google Workspace Business 및 Enterprise 버전을 보완하는 Google의 추가적인 보관처리 제품(Google Vault)을 이용할 수 있습니다. Google Vault 복구 솔루션이 적용되지 않는 제품의 경우 Google Workspace Marketplace에서 조직의 니즈에 맞는 솔루션을 제공하는 Google 파트너 업체가 있는지 확인하시기 바랍니다.

스팸 발송자는 이메일 메시지의 '보낸사람' 주소를 위조하여 스팸이 잘 알려진 조직 도메인에서 보낸 것처럼 보이게 할 수 있습니다. 피싱으로 알려진 이 행위는 민감한 정보를 수집하려는 시도일 경우가 많습니다. 피싱을 방지하기 위해 Google은 도메인 기반 메일 인증, 보고 및 확인(DMARC) 프로그램에 참여하고 있으며, 이를 통해 도메인 소유자는 자신의 도메인에서 전송된 인증되지 않은 메일을 처리하는 방법을 이메일 제공업체에 알릴 수 있습니다. Google Cloud 고객은 관리자 설정에서 DMARC 레코드를 만들고, 모든 발신 메일 스트림에서 SPF 레코드 및 DKIM 키를 구현하여 DMARC를 적용할 수 있습니다.

서비스이용 정책에 따라 다음의 조치를 취합니다.

• 스팸을 발송하는 Google Workspace 이메일 사용자가 확인된 경우, Google은 사용자에 대한 서비스를 즉시 정지할 권리를 보유합니다.
• 도메인 차원의 스팸인 경우 Google은 계정 전체를 정지하고 모든 Google Cloud 서비스에 대한 관리자 액세스를 거부할 권리를 보유합니다.

도메인 이름의 소유자와 관리자만이 Google Cloud 관리 계정을 만들 수 있습니다. Google Cloud 관리자는 가입하는 즉시 DNS(도메인 이름 시스템) 레코드를 변경하여 도메인 관리 권한을 확인하라는 요청을 받게 됩니다. 이 확인 과정을 거치지 않으면 Google에서는 관리 계정의 생성을 허용하지 않습니다. 도메인 소유권이 확인될 때까지는 도메인에 대한 어떠한 Google 서비스도 적극적으로 관리할 수 없습니다.

관리자가 소유권을 확인한 후에는 관리자의 판단에 따라 해당 계정의 다른 사용자 이름에 관리 권한을 부여할 수 있습니다.

또한 도메인의 관리자가 아닌 사용자는 지원팀에 문의하여 관리 액세스를 요청할 수 있습니다. 일반적인 도메인 확인 절차를 통해 요청자에게 도메인 관리 권한이 있는지 확인하게 됩니다.

마지막으로 등록된 보조 이메일 주소에 액세스할 수 있는 개인은 누구든지 비밀번호를 재설정하고 기본 관리자 계정에 액세스할 수 있습니다.

도메인의 고객 계약에 따라 도메인의 Google Cloud 관리자는 개인정보처리방침에 설명된 대로 모든 사용자 계정 및 연결 데이터에 액세스할 수 있습니다.

도메인 관리자는 도메인 내의 모든 사용자 이름과 비밀번호를 관리할 수 있습니다. 관리자는 고객 계약에 따라 사용자의 계정에 액세스할 수 있습니다. 하지만 Google은 관리자에게 해당 작업에 대한 정책을 마련하여 사용자에게 게시할 것을 요구합니다.

Google은 스팸 위반 사실이 발생할 경우 등록된 보조 이메일 주소로 알려드립니다.