Contract

I BM Cloud 서비스에 관한 데이터 xx 및 개인xx xx정책

본 데이터 xx 및 개인xx xx정책 부칙(DSP)에서 제공하는 기술적 및 관리적 조치들은 IBM Cloud 서비스에 적용되며, 클라우드 서비스(xx요소)의 제공에 있어서 IBM이 xx 및 xx하는 기본 애플리케이션, 플랫폼 및 인프라 xx요소에더 적용됩니다. (다만, 고객이 xx 및 개인xx xx를 책임지며, xx서류(TD)에 xx 명시된 xx에는 적용되지 않음) 고객 책임은 다음과 같습니다: a) 클라우드 서비스가 고객의 xx에 적합한지 여부를 판단; (b) 해당 부속서류 및 xx서류의 xx을 xx으로, 클라우드 서비스에서 IBM이 제공하거나 xx하지 않는 요소들에 xx xx조치 xx 및 개인xx xx 조치(: IaaS(Infrastructure as a Service) 오퍼링에서 고객이 구축 또는 배포한 시스템 및 애플리케이션 또는 SaaS(Software as a Service) 오퍼링에 xx 고객의 xx 사용자의 접근에 xx 제어). IBM이 각 클라우드 서비스에서 xxx고 xx하는 조치들은 ISO 27001xx SSAE SOC 2 또는 xx에 대해 매년 컴플라이언스 인증 xx이 됩니다.

    1. 데이터 xx

          1. 각 클라우드 서비스에 xx xx 및 개인xx xx 조치는 IBM의 xx 엔지니어링 및 privacy-by-design 실무에 의해 디자인된 것으로서, 해당 부속서류 및 TD를 포함한 계약 조건에 의하여, 클라우드 서비스에 입력된 컨텐츠를 xx하고, 그러한 컨텐츠의 가용성을 xxx기 위한 것입니다. 고객은 컨텐츠에 포함된 개인xx에 xx xxx 관리자(controller)로서, IBM을 당해 개인xx를 처리하는 처리자(processor)로 xx합니다. (해당 용어들은 EU xx 2016/679, 일반 데이터 xx xx에 정의한 바에 따름) xx서류에서 xx xx하지 않는 한, IBM은 컨텐츠 비공개(, 오로지 클라우드 서비스 제공에 필요한 범위 내에서 IBM 직원들, 계약직 직원들 및 재처리자들에 공개하는 xx 제외)를 통해서 모든 컨텐츠를 비밀로 유지합니다.

          2. IBM은 NIST(National Institute of Standards and Technology, United States Department of Commerce) 매체 검사 가이드라인에 따라, 물리적 매체(physical media)를 재사용하기에 앞서 그러한 재사용 목적의 물리적 매체를 안전하게 검사하고, 재사용 목적이 아닌 물리적 매체는 파기합니다.

          3. IBM은 xx에 따라, ISO 27001, SSAE SOC 2 그리고 TD에서 xx되는 기타 다른 산업 표준과 같이, 공인된 독립적x x3자 감사 결과로 인한 증명서, 인증서 또는 보고서 등과 같이 명시된, 컴플라이언스 및 인증에 xx 증거를 제공합니다. 해당하는 xx, 클라우드 서비스의 컴플라이언스 및 인증을 xxx기 위해, xx 표준에서 xx되는 빈도로 공인된 독립적x x3자 감사를 xx합니다.

          4. 클라우드 서비스에 특별히 해당되는 추가 xx 및 개인xx는 xx TD 또는 기타 표준 문서에서 제공될 수 있습니다. 이는 고객이 클라우드 서비스를 xx하는 것이 적합한지 여부를 xx 및 계속적으로 평가하는 것을 돕기 위한 것입니다. 그러한 xx에는 xx된 인증 및 xx(certifications and accreditations), 그러한 인증 및 xx과 관련된 xx, 데이터 시트, FAQ 및 기타 일반적으로 xx 가능한 문서가 포함될 수 있습니다. IBM은 고객이 xx하는 설xxx xx을 작성xxx xx받은 xx, 고객에게 xx 가능한 표준 문서를 안내합니다. 그리고 고객은 그러한 xx xx에 해당 문서를 활용할 수 있음을 xx합니다. IBM은 고객이 xx하는 설문지 또는 xx을 작성하거나 그러한 xx로 고객에게 컨설팅을 제공함에 있어서, 추가 xx을 xx할 수 있습니다.

    2. xx 정책

          1. IBMIBM 비즈니스에 xx적이고 모든 IBM 직원의 xx인 IT xx 정책 및 실무를 유지 xx하고 xx합니다. IBM CIO는 공식적인 거버넌스 및 개정 xx, 직원 교육, xx xx xx을 비롯하여 그러한 정책을 책임지고 xx감독합니다.

          2. IBMIT xx 정책을 최소한 매년 검토하고, 클라우드 서비스 및 처리된 컨텐츠를 xx하기 위해 합리적으로 판단하는 바에 따라 IT xx 정책을 개정합니다.

          3. IBM은 모든 xx xx에 대해 표준 xx사항인 직원에 xx 검증 xx사항을 유지 xx하고 xx하며, 그러한 xx사항은 IBM이 전적으로 xx한 IBM 계열사로 확장됩니다. IBM의 내부 절차에 따라, 이들 xx들이 정기적으로 검토되며, 이러한 xx들에는 범죄 경력 확인, xx 조회 xx 및 IBM이 필요하다고 판단한 추가 체크사항들이 포함되나 이에 국한되지 않습니다. IBM 회사는 xx 절차에서 이들 xx을 xx 법령에 따라 적용 가능하고 허용 가능xxx 이행해야 할 책임이 있습니다.

          4. IBM 직원들은 xx 및 개인xx xx 교육을 매년 xxx야 하며 IBM 비즈니스 행동 지침(Business Conduct Guidelines)에 따라 IBM의 xx xx, 기밀 및 xx 정책을 xx할 것을 매년 인증해야 합니다. 추가 정책 및 프로세스 교육은 클라우드 서비스 xx요소에 xx xx 액세스 권한을 부여받은 사람에게만 제공되며, 이는 IBM의 클라우드 서비스 xx 및 xx 내에서의 역할에 xx되며 해당 TD에 명시된 xx 및 인증을 xxx는 데 필요합니다.

    3. xx 사고

          1. IBM은 컴퓨터 xx 사고 처리에 xx NIST 지침을 xx하는 문서화된 사고 xx 정책을 유지 xx하고 xx하며, 계약상 data breach 통지 조건들을 xx합니다.

          2. IBMIBM이 알게 되는 무단 액세스와 컨텐츠의 무단 xx(xx 사고)에 대해 조사하고 클라우드 서비스의 범위 내에서 적절한 xx 계획을 xx하여 실행합니다. 고객은 xx xx 요청서를 xx하여 xx되는 취약점xx 사고를 IBM에게 알릴 수 있습니다.

          3. IBM은 고객에게 xx을 주는 것으로 IBM이 합리적으로 xx하거나 IBM이 알게 되는 xx 사고를 확인하는 즉시, 부당한 xx 없이 고객에게 통지합니다. IBM은 그러한 xx 사고에 대해 합리적으로 xx된 xx 및 IBM 구제 및 xx의 xx xx를 고객에게 제공합니다.

    4. 물리적 xx 및 출입구 통제

          1. IBM은 클라우드 서비스 호스트에 xx되는 IBM xx(데이터 센터)에 xx 무단 침입을 xxx기 위한 개찰구, 카드 제어 출입구, 감시 카메라 및 리셉션 데스크와 같이 적절한 물리적 출입구 통제를 유지 xx합니다. 배송 구역, 하역장과 같은 데이터 센터의 xx 출입구는 통제되고 컴퓨팅 자원으로부터 격리됩니다.

          2. 데이터 센터와 데이터 센터 내 통제 구역으로의 접근은 직무 역할에 따라 제한되고 xx이 xx됩니다. 데이터 센터와 통제 구역 출입에 xx하는 출입 배지의 xx은 xx되고 해당 xx은 적어도 1년 xx xx됩니다. IBM은 xx된 직원이 이직하는 xx에는 데이터 센터 통제 구역으로의 접근 권한을 취소합니다. IBM은 접근 통제 목록에서 즉시 배제, 출입 배지 반납 등을 포함하여(, 이에 한하지 않음), 문서화된 xx xx 절차를 따릅니다.

          3. 데이터 센터 xx 또는 데이터 센터 내 통제 구역으로의 임시 접근 권한이 정당하게 부여된 개인은 해당 구역에 입장한 때 등록xxx 하고 이러한 등록 시 신분증을 반드시 xx해야 하고 허가된 직원의 에스코트를 받습니다. 배송 등을 위한 임시 출입 허가는 사전에 xx되어야 되며 허가된 직원의 xx이 필요합니다.

          4. IBM은 과도한 주변 온도, xx, xx, 습도, 절도, 공공 기물 파손 등 xx 발생적이거나 xx로 인한 xx 위협으로부터 클라우드 서비스의 물리적 인프라스트럭처를 xx하기 위한 사전 예방 조치를 취합니다.

    5. 접근, 개입, 전송 및 분리 통제

          1. IBM은 클라우드 서비스 xx xx에서 IBM이 xx하는 문서화된 네트워크 xx 아키텍처를 유지합니다. IBM은 시스템, xx 프로그램 및 네트워크 장치에 대하여, 무단 네트워크 연결을 xxx기 위한 조치를 포함하여, 네트워크 아키텍처를 별도로 검토합니다. 이는 xx 전에, xx 세그멘테이션화, 분리 및 xx된 xx 표준을 xx하기 위한 것입니다. IBM은 클라우드 서비스 및 xx xx요소를 xxx수하고 xx하기 위해 xx 네트워킹 xx을 이용할 수 있습니다. xx 네트워크는 해당되는 xx, 암호화되고 xx 인증을 xx하며, 클라우드 서비스 네트워크로 직접 액세스되지 않습니다. 클라우드 서비스 네트워크에서는 xx 네트워킹 xx을 xxx지 않습니다.

          2. IBM은 컨텐츠를 클라우드 서비스에서 논리적으로 분리하여 허가를 받지 않은 개인에게 xx되거나 액세스되지 않기 위한 조치들을 유지 xx합니다. IBMIBM의 프로덕션 및 비 프로덕션 xx에 xx 적절한 분리를 xxx고, 컨텐츠x x 프로덕션 xx으로 전송되는 xx(예를 들어 고객의 xx에 따라 오류를 xx하기 위해), 비 프로덕션 xx의 xx 및 개인xx xx는 프로덕션 xx과 xx하게 유지합니다.

          3. IBMTD에서 명시한 범위 내에서, xx 네트워크를 통해 컨텐츠를 전송할 때, 공개 또는 임의적 열람 xx이 아닌 컨텐츠는 암호화하며, 고객이 xx 네트워크를 통해 클라우드 서비스 간에서 컨텐츠를 xx 전송할 수 있도록, HTTPS, SFTP FTPS와 같은 암호화 프로토콜을 xx합니다.

          4. IBMTD에서 지정한 xx 저장 시(at rest)에 컨텐츠를 암호화합니다. 클라우드 서비스에 암호키 xx 기능이 포함된 xx, IBM은 xx 키 생성, 발급, 배포, 저장, xx, 취소, xx, 백업, 파기, 접근 및 xx 목적의 문서화된 절차를 유지 xx합니다.

          5. IBM이 컨텐츠에 xx 접근을 xx하는 xx, IBM은 그러한 접근을 필요한 최소 xx으로 제한합니다. 모든 기본 xx요소에 xx 관리적 접근을 포함하여, 그러한 접근(privileged 접근)은 개별적이고 역할에 근거하며, 업무 분리 원칙에 따라 권한있는 IBM 직원의 xx 및 정기적인 xxx 검사를 받아야 합니다. IBMprivileged 접근 권한이 있는 xx 및 휴면 xx을 식별 및 제거하는 조치를 유지 xx하고, xx 소유자의 이직 시 또는 권한있는 IBM 직원(: xx 소유자의 관리자)의 xx에 따라, 이러한 접근 권한을 즉시 취소합니다.

          6. IBM은 산업 표준 xx에 부합되면서도, 클라우드 서비스 내의 각 xx요소가 기본적으로 xx하는 범위 내에서, 비활성 세션 타임아웃(timeout of inactive sessions), 연속 로그인 시도 실패 시 xx 잠금, 강력한 비밀번호나 비밀번호 xx 인증을 xx xx하는 xx 조치 그리고 해당 비밀번호 및 비밀번호 xx의 xx 전송과 저장을 xx하는 조치들을 유지 xx합니다.

          7. IBMprivileged 접근을 모니터링하고 xx xx 및 이벤트 xx 조치를 xxx는 바,이는 a) 무단 접근 및 xx을 식별하고; b) 적시에 적절한 응답을 하며; 그리고 c) 문서화된 IBM 정책 xx에 xx 내부 및 독립적x x3의 감사를 가능하게 하기 위한 것합니다.

          8. 권한있는 액세스 및 xx을 기록한 로그(Logs)IBM의 xxx xx xx 계획(worldwide records management plan)을 xx하여 xx됩니다. IBM은 그러한 로그의 무단 접근, xx 및 우발적 또는 의도적인 파기를 xxx기 위해 디자인된 조치를 유지 xx합니다.

          9. 기본 장치 또는 xx 체제 기능에 의해 xx되는 범위 내에서, IBM은 xx 사용자 시스템을 위하여, 컴퓨팅 xx 조치를 유지 xx합니다. xx에는 엔드포인트 방화벽, 전체 디스크 암호화, xx 기반 멀웨어 탐지 및 제거, 시간 기반 화면 잠금 및 xx xx 및 패치 xx사항이 적용되는 엔드포인트 xx 솔루션이 포함되며 이에 한하지 않습니다.

    6. 서비스 무결성 및 가용성 통제

          1. IBMa) IBM의 클라우드 서비스에 xx xx 및 개인xx xx에 xx 위험 평가를 적어도 1년에 한 번씩 xx하며; b) 자동화된 시스템 및 애플리케이션 xx 스캐닝과 매뉴얼 ethical 해킹을 포함하여, 프로덕션 릴리스 전 및 이후로 해마다 모의 해킹 및 취약점 검토를 xx하고; c) 자격을 갖춘 독립된 제3자가 최소한 1년에 한 번씩 모의 해킹을 xxxxx 하고; d) 기본 xx요소들이 xx xx xx조건들을 xx하는지에 대하여 자동화된 xx 및 xx적인 검증을 xx하고; e) xx 위험, 악용 가능성 및 xx에 근거해 확인된 취약점 또는 xx xx xx조건들의 비준수를 해결합니다. IBM은 테스트, 평가, 검사 및 xx 조치 xx을 할 때, 클라우드 서비스가 중단되지 않도록 적절한 조치를 취합니다.

          2. IBM은 클라우드 서비스의 xx사항 적용과 관련된 위험을 xx하기 위한 정책과 절차를 유지 xx합니다. xx하기 전에, 시스템, 네트워크 및 기본 xx요소를 포함한 클라우드 서비스에 xx xxx xx에 xx xx과 사유, xx 세부사항 및 xx, 클라우드 서비스 및 고객에 xx xx에 관한 리스크 xx, xx 결과, rollback 계획, 권한있는 사람의 서면 xx 등이 포함된 등록된 xx xx(change request) xx에서 문서화됩니다.

          3. IBM은 클라우드 서비스를 xx하면서 xx되는 모든 xx xx 자산의 인벤토리를 유지 xx합니다. IBM은 클라우드 서비스 및 기본 xx요소의 xx 및 가용성 등 xx를 지속적으로 모니터링하고 xx합니다.

          4. 각 클라우드 서비스는 위험 xx 가이드라인 문서에 따라 비즈니스 연속성과 xx xx xx사항에 대해 별도로 평가됩니다. IBM Cloud 서비스에는 그러한 리스크 검토에 의해 보증되는 범위 내에서 별도로 xx되고, 문서화되고, 유지 xx되며, 매년 검증되는, 업계 표준 사례와 부합하는 비즈니스 연속성 및 xx xx 계획이 있습니다. 클라우드 서비스의 xx 시점 및 시간 목표(제공된 xx)는 클라우드 서비스의 아키텍처와 xx를 고려하여 xx되며, TD에서 이를 명시합니다. 클라우드 서비스 백업 xx이 포함된 미디어와 같이, 오프 사이트에서의 저장용 물리적 미디어(해당되는 xx)는 전송하기 전에 암호화됩니다.

          5. IBM은 클라우드 서비스 범위 내에서 클라우드 서비스 및 xx 시스템, 네트워크, xx 프로그램 및 기본 xx 요소에 xx xx 권고 패치를 평가, 테스트 및 적용하기 위한 조치를 유지 xx합니다. xx 권고 패치가 적용 가능하며 적절하다고 판단한 후, IBM은 xxx 및 위험 평가 가이드라인(severity and risk assessment guidelines) 문서에 따라 xx 권고 패치를 xx합니다. xx 권고 패치를 xxx는 xx, IBM xx xx 정책이 적용됩니다.


Z126-7745-WW-3 05-2018 2 / 2

Document Metadata

Filed: April 4th, 2018