데이터보호 및 암호화지침은 클라우드컴퓨팅서비스를 제공하기 위한 운영문서로서 검토되고 승인됨
제1조(목적)
이 지침은 주식회사 팀모노리스의 ‘정보보호 정책서’에 의거 구성원의 데이터보호 및 암호화 관리에 필요한 사항을 규정함을 목적으로 한다.
제2조(적용범위)
이 지침은 주식회사 팀모노리스의 클라우드 컴퓨팅 서비스 업무에 종사하는 임직원 및 주식회사 팀모노리스와 계약을 맺어 클라우드 컴퓨팅 서비스 업무 외부 업체 직원 모두에게 적용된다.
제3조(용어정의)
이 지침에서 사용되는 용어 정의는 다음 각 호와 같다.
“암호화”란 암호화 기법 및 프로그램을 사용하여 평문 정보를 알아볼 수 없는 정보로 변환하는 과정
“복호화”란 암호화 기법 및 프로그램을 사용하여 암호화된 정보를 다시 평문 정보로 변환하는 과정
“암호키”란 암호화 및 복호화를 수행하기 위해 암호화 기법 및 프로그램에서 사용하는 키
제4조(데이터분류)
① 이용자 데이터, 사용자 데이터, 개인정보 데이터를 분류하고 각 데이터의 특성에 맞는 보안대책을 적용하여야 한다.
② 클라우드 시스템 상에서 데이터를 분류하고 데이터의 중요도를 평가하기 위한 기준을 다음 각 호의 내용을 참고하여 수립하여야 한다.
제5조(데이터보호)
① 클라우드 컴퓨팅 서비스 제공자는 중요 데이터(로그 정보, 이용자 데이터 등)에 대한 접근을 엄격히 통제하고 안전하게 처리·보관하여야 한다.
② 클라우드 컴퓨팅 서비스 제공자는 정보 전송 및 저장 시 중요 데이터의 위·변조를 방지하는 보호대책을 수립하여 적용하여야 한다.
③ 이용자 데이터는 가상화 기술을 통한 테넌트 분리, DB 테이블 분리 등을 통해 논리적으로 분리되어 운영되거나, 물리적 분리가 필요한 경우 별도의 저장장치(스토리지 등)를 통해 저장되어 관리되어야 한다. 단, 서비스 가입을 위한 고객 가입 정보는 하나의 데이터베이스에 저장하여 사용할 수 있다.
④ 이용자 데이터에 접근하기 위해서는 (DB 관리자의 DB 테이블 접근 등) 정보보호 담당자 및 정보보호 최고책임자의 승인을 거쳐야 한다.
⑤ 법적으로 허용된 범위 외의 이용자 데이터에 대해서는 그 내용을 확인할 수 없도록 조치하여야 한다.
제6조(데이터 폐기)
① 이용자와의 서비스 종료 또는 이전 시, 이용자의 데이터를 재사용할 수 없도록 정보를 삭제하여야 한다.
② 이용자의 데이터를 백업해 놓은 경우, 저장된 백업 데이터도 일정 기간 이내(이용자와 협의하여 기한을 정함)에 삭제되어야 한다.
③ 인프라 담당자는 데이터 폐기 이후 폐기 사실을 별표 4 ‘서비스 이용 데이터 폐기 안내’를 이용자에게 통보하여야 한다.
④ 데이터 폐기는 별표 5 ‘데이터 폐기 세부 절차’에 따라 진행하여야 한다.
제7조(암호정책)
① 다음과 같은 중요정보 및 법적 요구사항에 따라 암호화가 필요한 데이터는 암호화하여 저장하여야 한다.
중요정보
· 클라우드 시스템 운영과 관련된 정보(정보자산목록, 네트워크 구성도, 취약점 점검 결과, 위험 분석평가 결과보고 등)
· 클라우드 서비스와 관련하여 이용자와 협의된 정보
· 기타 SaaS 사업자가 중요도를 판단한 정보
법적 요구사항
· 고유식별정보(여권번호, 외국인등록번호, 운전면허번호, 주민등록번호)
· 금융정보(계좌번호, 신용카드번호)
· 개인정보 (성명, 주민등록번호, 주소, 연락처, 생년월일, 출생지, 성별 등의 개인을 알아볼 수 있는 정보)
· 인증정보(비밀번호, 바이오 정보 등)
② 중요정보는 별표 1 ‘중요정보 전송 및 저장 암호화 방안’을 확인하여 암호화하여야 한다.
③ 데이터 암호화 시에는 별표 2 ‘암호화 방식과 알고리즘’ 확인하여 안전한 알고리즘, 암호키를 사용하여야 한다.
④ 관리자·사용자·이용자의 비밀번호를 저장하는 경우 복호화가 불가능한 일방향 암호 알고리즘을 적용하여 저장하여야 한다.
⑤ 법적 요구사항에 해당하는 정보를 전송, 저장할 때에는 별표 3 ‘암호화 대상’을 확인하여 암호화해야 한다.