63% das pessoas consideram o histórico de privacidade e segurança da empresa antes de usar seus produtos e serviços.
Momentive는 전 세계로 그 제품을 제공하며 그러한 제품과 서비스를 제공하는 데 도움을 받기 위해 글로벌 하위 처리자를 이용합니다. 귀하와 맺은 계약상, 저희에게 이전되는 모든 개인 정보는 정보 보호법을 준수하도록 합니다. 또한, 이후에 저희가 개인 정보를 이전할 때도 저희 통제하에 있는 개인 정보에 적용되는 기준 이상의 보호 조치를 취하여 수령자가 개인 정보를 보호하도록 합니다.
Momentive는 2020년 7월 16일 EU 사법 재판소(‘CJEU’)에서 열린 데이터 보호 최고 관리자와 Facebook Ireland Limited 및 Maximilian Schrems(‘슈렘스 II’) 간의 케이스 C-311/18의 판결과 유럽 정보 보호 이사회(‘EDPB’)의 보완 조치에 대한 지침을 고려하여 Momentive 및 이후 전송되는 개인 데이터를 충분한 수준으로 보호하고 있음을 사용자가 판단할 수 있도록 사용자의 정보가 전송되는 동안 어떻게 보호되는지에 대해 아래와 같은 몇 가지 정보를 제공합니다.
미국 고객의 경우, 계약에 Momentive의 미국 주체인 Momentive Inc와의 데이터 보호 부칙(Data Protection Addendum, “DPA”)이 포함됩니다. 유럽경제지역(“EEA”) 또는 영국(“UK”)에 사용자가 있어서 사용자 데이터를 Momentive로 이전하기 위한 이전 방법이 필요한 경우, 저희가 EU 및/또는 UK 표준 계약 조항(Standard Contractual Clauses, “SCCs”)을 추가하도록 요청할 수 있습니다.
EEA 또는 UK에 소재한 고객인 경우, 계약에 Momentive의 아일랜드 주체인 Mometive Europe UC와의 데이터 보호 부칙(Data Protection Addendum, “DPA”)이 포함됩니다. 귀하와 Momentive 간의 이전은 이전 방법이 필요하지 않은(또는 서로의 적합성 상태를 인지한 주체들) 유럽 주체들 간에 이루어지는 것이므로 별도의 이전 방법이 필요하지 않습니다.
미국, EEA, 또는 UK 밖에 소재한 고객이 EEA나 UK에 사용자가 있고 이후 이전에 대한 이전 방법을 확보해야 하는 경우, 계약에 Momentive의 아일랜드 주체인 Mometive Europe UC와 DPA가 포함되어 있으며 저희에게 EU 및/또는 UK SCCs를 추가할 것을 요청할 수 있습니다.
귀하가 Momentive에 전송하는 개인 데이터는 다음과 같은 용도로 처리될 수 있습니다.
귀하는 이와 다른 용도로 데이터를 전송하는지 파악해야 합니다.
Momentive에 전송된 고객 개인 데이터는 귀하가 설문, 양식 및 질문서의 질문에 제공하기로 결정하는 양만큼 많거나 적은 개인 데이터를 포함할 수 있습니다. 귀하는 Momentive 플랫폼을 통해 매우 다양한 개인 데이터(잠재적 특수 범주 데이터 포함)를 수집할 수 있습니다.
위에 설명된 바와 같이, 귀하의 위치에 따라 미국 또는 아일랜드에 있는 Momentive 법인과 계약을 맺는 것입니다. Momentive가 준수해야 하는 법률에 따른 데이터 보호 및 분석 분야에 특화된 외부 자문기관의 의견에 근거하여, Momentive는 미국 법 제도와 관련된 위험 수준은 낮으며 아일랜드 법 제도와 관련된 위험은 데이터 주체에 중대한 위험을 초래하지 않는다고 믿고 있습니다. 특히, 미국 법률에 대한 자세한 정보는 아래의 ‘보완 조치: 조직적’ 섹션을 참조하십시오.
목적지 국가의 법 제도로 인해 발생하는 위험 수준이 낮거나 중대한 위험을 초래하지 않더라도, Momentive는 개인 데이터를 보다 확실하게 보호하기 위해 보완 조치를 마련했습니다. 보완 조치는 (i) 계약적, (ii) 조직적, (iii) 기술적 보호의 3가지 범주로 나뉩니다.
위에 설명된 바와 같이, Momentive는 고객과 SCC(표준 계약 조항)를 체결하는 데 동의합니다. Schrems II(슈렘스 II) 판결에 따라, 관계 당사자들은 SCC 및 추가적인 보호 조치(적절한 경우)를 통해 영국 및 유럽 경제 지역에서 개인 데이터(‘유럽 데이터’)를 미국에 전송할 수 있습니다. 유럽 데이터 주체의 개인 데이터를 Momentive가 처리해야 하는 서비스를 사용하고 있거나 해당 개인 데이터 처리를 Momentive와 협의한 경우에는 귀하와 계약을 체결한 Momentive 법인에 해당되는 방식으로 Momentive는 다음과 같은 조치를 취합니다.
미국으로 전송되는 데이터를 CJEU에서 우려하는 이유는 미국 행정 명령 12333(‘EO 12333’) 및 해외 정보 감시법의 702절(‘FISA § 702’)에 따라 미국 정부가 데이터를 수집할 수 있기 때문입니다. 특히, FISA § 702에 따르면 ‘업스트림’ 감시가 가능합니다. 이러한 미국 법률 조항에 내포된 위험은 Momentive의 개인 데이터 처리에 적용되지 않거나 Momentive가 제공하는 조직적 보호 조치로 현저히 완화시킬 수 있습니다.
FISA § 702에 따른 업스트림 또는 일괄적인 감시 명령은 Momentive에 해당되지 않습니다. Momentive Inc.는 고객에게 제공하는 특정 서비스 또는 제품 기능과 관련하여 일정 부분 전자 통신 서비스(‘ECS’) 역할과 잠재적인 원격 컴퓨팅 서비스(‘RCS’) 역할(각각 미국 법전(USC) 18편 2510절 및 2711절의 규정에 따라)을 합니다. 따라서, Momentive Inc.는 미국 정부가 FISA § 702에 따른 대상 지정된 지침을 제공할 수 있는 대형 업체 그룹에 포함됩니다. 미국 정부가 FISA § 702를 제정하고 발효했지만, 슈렘스 II 판결에서 CJEU가 가장 우려하고 있는 명령(즉, ’업스트림’ 감시가 가능한 FISA § 702 명령)이 Momentive에는 해당되지 않습니다. 미국 정부는 FISA § 702를 발효할 때, 제3자를 위한 인터넷 트래픽을 전달하는 인터넷 백본 제공업체(즉, 이동통신 사업자)를 통해 이동되는 대상 트래픽에만 업스트림 명령을 사용합니다. 예를 들어, 해외 정보 감시법(2014년 7월 2일), 35~40페이지의 702절에 의거하여 이행되는 프라이버시 및 시민 자유 감독 위원회(Privacy and Civil Liberties Oversight Board) 보고서 및 감시 프로그램 보고서(https://fas.org/irp/offdocs/pclob-702.pdf)를 참조하십시오. Momentive는 당사 고객만을 위한 트래픽을 전달하므로 그러한 인터넷 백본 서비스를 제공하지 않습니다. 따라서 Momentive는 슈렘스 II 판결에서 주로 다루어지고 문제가 발생할 수 있다고 여겨지는 그러한 종류의 명령을 받을 대상에 해당되지 않습니다.
Momentive는 지금까지 FISA § 702에 따른 지침을 받은 적이 없으며, 앞으로도 지침을 받을 가능성이 희박합니다. 이 설명서의 작성 날짜를 기준으로, Momentive는 FISA § 702에 따른 지침을 받은 적이 없으며 앞으로도 지침을 받을 가능성이 희박할 것으로 예상됩니다. Momentive가 당사 고객을 위해 처리하는 개인 데이터(피드백 데이터)는 FISA § 702가 적용되는 해외 정보 활동과는 관련성이 매우 낮습니다. 게다가, 개인 데이터가 그러한 조사에 연루되는 경우라도 미국 정부는 슈렘스 II 판결에 설명된 데이터에 정부가 액세스하기 위한 높은 수준의 기준을 충족해야 하는 다른 형태의 법적 절차를 통해(예: 판사가 승인한 수색 영장 발부) 해당 데이터를 조사할 가능성이 큽니다. 그 이유는 미국 정부 입장에서는 FISA § 702에 따라 Momentive에 지침을 제공하는 데 필요한 메커니즘을 마련하는 것보다 FISA § 702 이외의 다른 방법으로 명령을 발효하거나 영장을 발부 받는 것이 훨씬 더 쉽고 빠르기 때문입니다.
Momentive는 행정 명령 12333에 따라 정보를 수집하는 미국 정부 당국에 협조하지 않으며, 그들의 협조 명령에 응할 수 없습니다. Momentive는 행정 명령 12333에 따라 감시 활동을 수행하는 미국 정부 당국에 협조하지 않으며, 앞으로도 어떠한 협조도 하지 않을 것입니다. 미국 정부는 행정 명령 12333에 따른 감시 활동을 위해 업체들에게 협조를 강요할 수 없으며, Momentive는 자발적으로 협조하지 않을 것입니다. 결론적으로, Momentive는 문제의 소지가 있는 행정 명령 12333 슈렘스 II 판결에 따른 일괄적인 감시 체제에 협조하는 어떠한 조치도 취하지 않으며 그와 관련된 명령을 따를 수 없습니다.
Momentive는 위에 설명된 슈렘스 II 판결에 인용된 핵심적인 결함 사항(FISA § 702에 따른 일관적인 감시 및 행정 명령 12333에 따른 일관적인 차단)을 해결하는 다양한 기술적 조치를 제공합니다.
Momentive는 AES 256 기반 암호화를 사용하여 데이터 센터에 보관 중인 모든 데이터를 암호화합니다. 또한, Momentive는 이동 중인 모든 데이터를 암호화하는 데 (i) Momentive 데이터 센터 외부에 있는 주체와의 커뮤니케이션을 위해 공공 인증 기관을 통해 생성된 2048비트 RSA 키 길이 기반 인증서를 사용하며, (ii) 데이터 센터 내에 있는 모든 데이터에 대해서는 내부 인증 기관을 통해 생성된 RSA 256 인증서를 사용합니다. 이러한 암호화 작업은 이해할 수 있는 형태로 데이터를 무단으로 입수하는 것을 방지하고 2개의 엔드포인트 간에 데이터가 이동 중일 때 무단 도청/변경 행위를 방지하기 위한 노력입니다.
일부 Momentive 고객(예: GetFeedback Digital 고객)은 유럽연합 지역에만 데이터를 저장해 놓았습니다. 이 경우, 해당 데이터는 미국 지역에 저장되지 않고 미국 내에서 제한된 용도로 최소한으로만 액세스할 수 있습니다(예: 기술적 문제/버그를 해결하거나 시스템 구축을 위한 제한된 엔지니어 리소싱 및/또는 보안 지원을 제공하기 위해 고객이 요청할 때 고객 지원 제공).
또한 Momentive는 엄격한 관리 절차, 기술 절차, 물리적 절차를 통해 서버에 보관된 정보를 보호합니다. 개인 정보에는 직무를 수행해야 하는 직원들이 로그인 자격 증명을 통해서만 액세스할 수 있습니다. Momentive는 데이터를 가명화 또는 익명화(적절한 경우)하여 유럽연합에서 제3자 관할 구역으로 전송되는 개인 데이터의 양을 제한하기 위해 데이터 최소화 기술을 구현합니다. 또한 Momentive는 다단계 인증, 통합 인증(Single Sign On), 필요에 따른 액세스, 강력한 비밀번호 컨트롤, 관리 계정에 대한 액세스 제한 등의 액세스 제어 기능을 사용합니다.
Momentive는 전자 통신 서비스(ECS)/원격 컴퓨팅 서비스(RCS)를 제공하는 업체로서도 Momentive 고객의 데이터를 보호하는 미국 법전(USC) 18편 2701절, 전자 통신 개인정보 보호법(‘ECPA’)을 준수합니다. 예를 들어, 정부 기관이 기본적인 구독자 정보가 아닌 다른 정보에 대한 수색 영장 또는 법원 명령 등 적절한 법적 절차를 우선적으로 확보하지 않는 한, ECPA는 정부 기관이 Momentive 등과 같은 업체가 제공하는 서비스를 이용하는 고객에 대한 정보를 조사하는 것을 금지하고 있습니다. 이와 마찬가지로, 미국 정부가 Momentive 고객 정보를 부당하게 확보한 경우 FISA 및 ECPA는 Momentive 고객들에게 금전적 손실 또는 징벌적 조치를 비롯한 손해 배상을 관련 미국 정부 기관에 대해 청구할 수 있도록 허용합니다(미국 법전(USC) 18편 2712절 참조).
뿐만 아니라, Momentive와 오랫동안 협력해 온 외부 법률 자문기관은 FISA § 702에 따른 전미 보안 요청을 비롯하여 사용자 데이터에 대한 미국 정부의 요청에 대응하는 노하우를 갖추고 있습니다. Momentive의 정책에 따라, 그러한 미국 정부의 요청을 Momentive의 내부 규정 준수팀에 에스컬레이션하고 필요한 경우 외부 자문기관에 보내서 검토를 의뢰합니다. 가능성은 희박하지만 Momentive가 미국 정부로부터 데이터 액세스 요청을 받으면, 적절한 경우 Momentive는 유효한 법적 수단을 활용하여 FISA § 702(모든 기밀유지 조항 또는 그에 따른 일체의 명령 포함)를 통해 미국 정부의 데이터 액세스 요청에 대응하여 이의를 제기할 수도 있습니다. 그러면 미국 조사위원회(FISA 법원)가 미국 정부의 해당 요청을 검토하게 됩니다.
또한, FISA § 702에 따라 데이터 액세스 권한을 미국 정부 기관에 제공하라는 명령을 Momentive가 받으면 Momentive가 표준 계약 조항을 더 이상 준수할 수 없으므로 고객들이 Momentive와의 계약 사항을 해지하고 Momentive에 데이터 전송을 일시 중지할 수 있다는 사실을 고객들에게 공지해야 합니다. 하지만 Momentive는 지금까지 이러한 공지를 고객들에게 배포한 적이 없습니다.
Momentive는 위의 분석 내용을 고려하여, 데이터 주체에 피해를 줄 중대한 위험이 없다고 믿고 있습니다.
아래 표는 전송 영향 평가 결론의 요약입니다.
‘중대 위험 없음’은 유럽 위원회가 적합하다고 판단한 관할 지역에 개인 데이터가 전송되며(해당 법적 보호는 유럽에서의 법적 보호에 상응함), 데이터를 추가적으로 보호하기 위한 계약적, 기술적, 조직적 조치가 마련되어 있음을 의미합니다.
‘위험 낮음’은 적합성이 아닌 GDPR 5장의 메커니즘이 적용되는 관할 지역에 개인 데이터가 전송됨을 의미합니다. 해당 법적 보호가 유럽에서의 법적 보호에 상응할 필요는 없지만, 개인 데이터는 법 규정에 맞게 전송되며 계약적, 기술적, 조직적 조치를 통해 보호 수준을 강화합니다.
발신자 | 수신자 | 전송 목적지 | 전송 메커니즘 | 위험 |
유럽 연합 또는 영국에 사용자를 보유하고 있는 미국 고객 | Momentive Inc. | 미국 | SCC + 보완 조치 | 위험 낮음 |
유럽 경제 지역 또는 영국 고객 | Momentive Europe UC | 아일랜드 | 적합성 + 보완 조치 | 중대 위험 없음 |
유럽 연합 또는 영국 사용자를 보유하고 미국/유럽 경제 지역/영국 이외 국가의 고객 | Momentive Europe UC | 아일랜드 | SCC + 보완 조치 | 중대 위험 없음 |
하위 처리자는 Momentive가 사용자에게 서비스를 제공할 수 있도록 사용자의 개인 데이터를 처리하는 Momentive 벤더입니다. 모든 Momentive 하위 처리자는 계약에 따라 Momentive의 통제하에 개인 데이터에 적용하는 기준에 준하는 보호 조치를 통해 개인 데이터를 보호해야 합니다.
Momentive는 개인 데이터를 하위 처리자에게 전송할 때, 위의 단계에서 설명한 내용과 비슷한 전송 영향 평가(‘TIA’)를 수행합니다. 이는 Momentive가 준수해야 하는 데이터 보호법 및 사용자와의 계약에 따라 사용자의 개인 데이터가 각 단계마다 안전하게 보호되도록 하기 위한 조치입니다. 아래 나열된 각 하위 처리자에 대해 TIA의 핵심 사항을 요약하여 명시했습니다.
모든 하위 처리자가 당사의 모든 서비스를 제공하는 데 이용되는 것은 아님을 유념해 주십시오. 당사 하위 처리자 목록은 특정 Momentive 서비스로 세분화됩니다.
하위 처리자 목록 업데이트에 대한 이메일 알림을 받으려면 여기에서 수신설정하시기 바랍니다.
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: 계약적, 조직적, 기술적 |
Amazon Web Services(‘AWS’) | 자산 저장 및 데이터베이스 호스팅을 위한 데이터 스토리지 서비스, 콘텐츠 배포 네트워크(‘CDN’) 서비스 | 개인 데이터 개인 이름(성 및/또는 이름) 실존하는 특정 인물과 결부하여 사용할 수 있는 고유한 ID 차량 번호판 번호 생년월일 이메일 주소 전화번호 실제 주소(예: 123 Fake St) 우편번호 아파트 동호수(주소란 2) IP 주소 IMSI/IMEI 번호 MAC 주소 보험 세부정보 가족 구성원 및 부양 가족 설문 응답 또는 양식 데이터에 민감한 개인 데이터가 포함될 수 있으므로 AWS는 다음과 같은 사항을 저장할 수도 있습니다. 정부 발행 ID/주민등록증(예: SSN, SIN), 운전 면허증 번호, 여권 번호 사용자 이름 및 비밀번호, 인증 자격 증명 금융 및 결제 정보(계정 로그인, 금융 계정, 필수 보안 또는 액세스 코드와 함께 직불카드 또는 신용카드 번호, 암호 또는 계정에 액세스할 수 있는 자격 증명) 지리적 위치 인종/민족 종교/정치/노동 조합 소속 성 생활/성적 취향 건강 데이터(처방 약, 의료 시술 및 테스트, 진단, 의사 및 진료 분야, 의료보험 카드 번호 등 포함) 생체정보(예: 지문, 음성 녹음, 사진) 유전 데이터 월급/수입(또는 기타 소득) 고객 설문 응답(Momentive 계정 내에서 작성한 설문에 대해 고객이 받은 응답) 신용 점수/기록 커뮤니케이션 - 고객의 사적인 커뮤니케이션 내용(해당 회사가 커뮤니케이션의 지정 수신인일 경우 제외) 범죄 기록 유사 ID: 여기에는 다른 데이터(예: 웹 식별자, 장치 정보, 브라우저 데이터, 위에 나열된 데이터의 다른 카테고리와 연결할 수도 있는 기타 메타데이터)에 연결되어 있지 않고 개인적인 데이터가 아닌 데이터가 포함될 수 있습니다. | 미국 - 하위 캐나다 - 무형 아일랜드 - 무형 | SCC | 데이터 통제, 개인정보 보호, 보안을 위해 AWS가 어떤 노력을 기울이는지 확인하십시오. 특히, Momentive는 AWS Nitro 시스템을 자동으로 보호하는 최신 버전의 EC2를 사용합니다. AWS Nitro는 특별히 제작된 하드웨어, 펌웨어, 소프트웨어를 사용하여 스토리지, 보안, 네트워킹 리소스를 전용 하드웨어 및 소프트웨어에 옮김으로써 업계를 주도하는 독특한 보안 및 격리 기능을 제공합니다. 이는 성능을 개선함과 동시에 공격에 대한 취약성을 최소화하고 관리자 권한을 금지하여 보안 수준을 개선합니다. 당사의 안전한 데이터 센터 설비, 가용성 영역, 지역 간에 전송되는 모든 데이터는 하드웨어 수준에서 자동으로 암호화됩니다. 또한 Momentive는 AWS 키 관리 서비스를 활용해서 FIPS-140-2 공인 하드웨어 보안 모듈 내에서 자체 키를 통제하고 관리합니다. 당사는 데이터 암호화 여부와 관계없이 데이터를 무단 액세스로부터 보호하기 위해 불철주야 노력하고 있습니다. 당사 보안팀이 모든 AWS 클라우드 인프라 서비스를 종합적으로 검토하므로 변경된 사항 역시 지속적으로 검토하여 관리하고 있습니다. Momentive는 AES 256 기반 암호화를 사용해서 당사 데이터 센터에 있는 모든 데이터를 암호화합니다. 또한 Momentive는 (i) Momentive 데이터 센터 외부의 업체들과의 커뮤니케이션을 위해 공공 인증 기관을 통해 생성된 2048비트 키 길이 기반의 RSA 인증서, (ii) 데이터 센터 내의 모든 데이터를 위해 내부 인증 기관을 통해 생성된 RSA 256 인증서를 사용해서 작동 중인 모든 데이터를 암호화합니다. 이러한 암호화 노력 덕분에 알기 쉬운 형태로 데이터를 획득하는 것을 막을 수 있습니다. 또한 해당 데이터가 전송되고 있거나 스토리지에 보관되어 있는 동안 2개의 엔드포인트 간에 도청되는 것을 방지할 수 있습니다. |
Microsoft(Sharepoint) | 내부 문서 저장소 | 전문 서비스(예: 설문조사 디자인 및 응답 분석) 제공이 요청된 고객 데이터 | 미국 - 하위 | SCC | Microsoft Cloud Transfer 백서 및 보안 설명서를 참조하십시오. |
Momentive 계열사(Momentive Inc., Momentive Australia Pty Limited) | 고객 및 제품 지원 서비스, 제품 개발, 인프라, 기술 서비스. | 응답자: 연락처 정보, 사용 정보, 장치 정보, 쿠키 및 기타 추적 정보 | 호주 - 하위 미국 - 하위 | SCC | 위의 설명과 당사 보안 정책 및 GDPR 백서를 참조하십시오. |
Momentive 계열사(Momentive Canada Inc., Momentive UK Ltd.) | 고객 및 제품 지원 서비스, 제품 개발, 인프라, 기술 서비스. | 응답자: 연락처 정보, 사용 정보, 장치 정보, 쿠키 및 기타 추적 정보 | 캐나다 - 무형 영국 - 무형 | 적합성 | 위의 설명과 당사 보안 정책 및 GDPR 백서를 참조하십시오. |
New Relic | 성능 모니터링 | 메타 데이터(클릭 데이터), 원격 데이터 | 미국 - 하위 | SCC | New Relic은 이러한 데이터 유형을 위해 모든 고객 데이터를 안전하게 보관합니다. 전송 중인 데이터 및 미사용 데이터를 애플리케이션 수준에서의 암호화, 데이터 센터 간 연결을 위한 FIPS 140-2 암호화 등 강력한 기술과 관리 보안 조치를 통해 고객의 데이터를 보호합니다. New Relic은 SOC2, ISO27001, HITRUST 등 독립된 제3의 감사 기관으로부터 인증을 획득했습니다. 이러한 독립된 제3의 감사 기관은 New Relic의 보안 프로그램이 엄격한 요건을 충족하는지 검토했습니다. 자세한 내용은 해당 기관의 보안 개요를 참조하십시오. |
Salesforce(Sales Cloud, Service Cloud, Community Cloud, Chatter, Salesforce Platform, Customer Data Platform, Marketing Cloud, Mulesoft, Tableau CRM 포함) | 고객 지원 | 개인 이름(성 및/또는 이름), 이메일, 전화번호, 고객 지원 제공 중에 보낸 커뮤니케이션의 내용 | 미국 - 하위 | SCC | Salesforce의 보안 백서, 보안 인증, DPA FAQ, 보안 및 규정 준수 설명서를 참조하십시오. |
Snowflake | 분석 및 제품 개발을 위한 사용 데이터의 스토리지. | IP 주소, 이메일 주소(성 및 이름), 유사 ID, 응답자 ID | 미국 - 하위 | SCC | Momentive 데이터는 AWS S3에 안전하게 암호화되어 보관됩니다. Snowflake는 계층적 키 모델과 함께 강력한 AES 256비트 암호화를 사용합니다. 또한 종합적으로 시스템을 모니티링하고 로깅합니다. Snowflake는 ISO 27001 및 SOC 2의 인증을 받았으며 Momentive가 수행하는 위험 검토의 일환으로 보안팀이 이러한 인증을 철저하게 검토했습니다. 직원들은 입사 시에 전반적인 보안 및 개인정보 보호 인지 교육을 이수해야 하며 해마다 재교육을 받습니다. 또한 필요에 따라 주요 보안 및 개인정보 보호 관련 주제에 대한 교육과 더 높은 수준의 보안 절치를 담당하는 직원들을 위한 역할별 교육이 분기별로 제공됩니다. 모든 제작 환경에 대한 접근은 적어도 권한이 부여된 액세스 규칙과 역할에 따른 액세스 제어를 기반으로 관리되며, 액세스 권한 취소 역시 이와 비슷한 방식으로 관리하고 모니터링합니다. 자세한 정보는 Snowflake의 데이터 보안 및 보안 센터 설명서를 참조하십시오. |
Sparkpost | 이메일 주소, 메타 데이터(오픈 클릭, 날짜 스탬프) | 미국 - 하위 | SCC | 참조: 보안 프로그램 - SparkPost SparkPost는 경우에 따라 SSL, HTTPS, 편의적 TLS를 사용하여 미사용 고객 데이터 및 전송 중인 고객 데이터를 암호화된 형식으로 안전하게 유지관리합니다. 고객 데이터는 HTTPS를 사용하여 고객과 SparkPost 서비스 간에 전송될 때 암호화됩니다. 고객 데이터는 편의적 TLS를 사용하여 SparkPost와 수신자 간에 전송될 때 암호화됩니다. SparkPost는 SOC 2 Type II 및 일반적인 애플리케이션 취약성과 침투 테스트를 비롯하여 다양한 프레임워크를 증명하기 위해 제3의 여러 기관을 통해 감사를 수행합니다. SparkPost는 이메일이 수신자에게 전달되거나, 반송되거나, 사서함 공급자가 거절한(일반적으로 수 초 내에 발생) 메시지 본문을 저장하지 않습니다. 거절되거나 반송된 이메일의 경우, 재전송할 수 있도록 메시지 본문을 제한된 기간 동안 유지합니다. 이메일 재전송에도 실패할 경우, 메시지 본문은 영구 삭제됩니다. SparkPost는 이메일이 수신자에게 전송된 후에 수신자의 개인 데이터를 제한된 기간 동안 원시 형태로만 저장합니다. 초기 보존 기간이 지나면 해당 개인 데이터는 단방향 해시를 통해 익명화되고 익명 형태로만 저장됩니다. 이 프로세스에 대한 자세한 내용은 여기에서 Sparkpost 데이터 FAQ를 참조하십시오. | |
Splunk | 시스템 생성된 데이터의 검색, 모니터링, 분석을 위한 소프트웨어. | 응답자 ID, 응답자 이메일 주소, 성 및 이름, 전화번호, 브라우저 정보, 오픈 텍스트 응답 데이터 | 미국 - 하위 | SCC | Splunk의 보안 설명서 및 규정 준수 인증서를 참조하십시오. |
Twilio | SMS 배달. | 응답자 전화번호, SMS 커뮤니케이션 내용 | 미국 - 하위 | SCC | Twilio의 보안 인증, 보안 정책, 보안 개요를 참조하십시오. |
Upwork | 지원팀 업무 확대(계약자). | 개인 이름(성 및/또는 이름), 이메일, 전화번호, 고객 지원 제공 중에 보낸 커뮤니케이션의 내용 | 필리핀 - 하위 | SCC | 아래 정보 및 Upwork의 보안 페이지를 참조하십시오. Momentive는 계약을 맺은 지원 에이전트를 원격 데스크톱 기능을 통해 관리합니다. 개인 데이터를 취급하는 모든 직원들은 기밀 유지의 의무가 있습니다. 데이터 무단 액세스를 방지하기 위해 맬웨어 방지 및 악의적인 소프트웨어를 탐지하고, 공용 네트워크를 통해 전송되는 모든 데이터를 암호화합니다. 또한 ‘알아야 할 사항’에 대한 액세스를 엄격하게 관리하기 위해 특정 데이터 처리 절차를 이행하고 있으며, 데이터 사용 후에 데이터를 삭제하도록 하는 정책이 마련되어 있습니다. 또한 관련 시스템에서의 터미널 사용자를 구체적으로 식별하고, 데이터에 액세스해야 하는 사람들에 대해 식별 코드 및 암호 복잡성 기준을 적용합니다. 주요 액세스 제어 절차 외에도 VPN, 2단계 인증, 역할 기반 액세스를 통해 액세스 제어를 강화합니다. 데이터가 전송되는 중에 판독, 복사, 변경, 삭제되지 않도록 하는 절차를 비롯하여 여러 가지 엄격한 전송 제어 절차가 적용됩니다. 데이터 이동 경로인 방화벽과 게이트웨이를 보호하기 위해 암호화 기술과 방화벽을 사용하고 있으며, 데이터가 내부 네트워크에 안전하게 연결되도록 VPN 연결을 통해 보호합니다. 인프라는 지속적으로 모니터링되며(예: 네트워크 수준에서 ICMP-Ping을 통해), 모든 전송 작업이 올바르고 온전하게 완료되도록 엔드투엔드 보안 모니터링을 수행합니다. 대칭 암호화에는 128비트 키 길이, 비대칭 암호화에는 1024비트 이상의 키 길이로 모든 암호화 솔루션이 배포됩니다. 입력 제어를 통해 개인 데이터가 데이터 처리 시스템에 입력 또는 제거되었는지 여부와 누가 입력 또는 제거했는지 확인하고 증명할 수 있습니다. 이러한 입력 제어에는 인증 및 로깅이 포함됩니다. 취약성 관리를 통해 모든 시스템 취약성을 탐지하여 즉각 해결합니다. 데이터 소멸 절차는 전송하려는 데이터가 안전하게 보호되고 고객 지원을 위해 필요한 기간 동안만 보존되도록 합니다. |
Xoriant, InfoSol, Tredence, Impetus, Valuelabs | 데이터 및 분석 팀 업무 확대(계약자). | Snowflake에 대해 나열된 데이터 | 미국 - 하위 | SCC | 위에 나열된 보안 제어 외에도 Snowflake에 적용되는 모든 보안 제어는 당사와 계약 체결한 제3자의 최소 권한 부여된 액세스를 위해 활용됩니다. 당사는 내부 Momentive 시스템에 적용되는 기타 보안 제어는 물론 원격 데스크톱 보안 제어를 활용합니다. 자세한 정보는 당사 보안 정책을 참조하십시오. |
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: | |
계약적, 조직적, 기술적 | ||||||
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Microsoft | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
New Relic | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Salesforce | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Snowflake | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Sparkpost | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Splunk | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Twilio | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Upwork | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Xoriant, InfoSol, Tredence, Impetus, Valuelabs | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: | |
계약적, 조직적, 기술적 | ||||||
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
일부 GetFeedback Digital 고객들이 요청한 서술형 응답 번역 기능. | ||||||
설문 응답 데이터. | ||||||
설문 질문의 유형 및 해당 질문에 대해 응답자가 응답을 선택하는 방식에 따라 여기에 개인 데이터가 포함되거나 포함되지 않을 수 있습니다. | 미국 - 위험 낮음 | SCC | https://cloud.google.com/security/ | |||
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
ScaleGrid | 데이터베이스 호스팅 | 개인의 이름(성 및/또는 이름) 실존하는 특정 인물과 결부하여 사용할 수 있는 고유한 ID 차량 번호판 번호 생년월일 이메일 주소 전화번호 실제 주소(예: 123 Fake St) 우편번호 아파트 동호수(주소란 2) IP 주소 IMSI/IMEI 번호 MAC 주소 보험 세부정보 가족 구성원 설문 응답 또는 양식 데이터에 민감한 개인 데이터가 포함될 수 있으며 AWS는 다음과 같은 사항을 저장할 수도 있습니다. | ||||
정부 발행 ID/주민등록증(예: SSN, SIN), 운전 면허증 번호, 여권 번호 사용자 이름 및 비밀번호, 인증 자격 증명 금융 및 결제 정보(계정 로그인, 금융 계정, 필수 보안 또는 액세스 코드와 함께 직불카드 또는 신용카드 번호, 비밀번호, 또는 계정에 액세스할 수 있는 자격 증명) 지리적 위치 인종/민족 종교/정치/노동 조합 소속 성 생활/성적 취향 건강 데이터(처방 약, 의료 시술 및 테스트, 진단, 의사 및 진료 분야, 건강보험 카드 번호 등 포함) 생체정보(예: 지문, 음성 녹음, 사진) 유전적 데이터 월급/수입(또는 기타 소득) 고객 설문 응답(Momentive 계정 내에서 작성한 설문에 대해 고객이 받은 응답) 신용 점수/기록 커뮤니케이션(해당 회사가 커뮤니케이션의 지정 수신인이 아닌 한 소비자의 사적인 커뮤니케이션 내용) 범죄 기록 유사 ID: 여기에는 다른 데이터(예: 웹 식별자, 장치 정보, 브라우저 데이터, 위에 나열된 다른 데이터 범주와 연결할 수도 있는 기타 메타데이터)에 연결되어 있지 않고 개인적인 데이터가 아닌 데이터가 포함될 수 있습니다. | 아일랜드 - 중대 위험 없음 | 유럽으로부터 데이터가 전송되지 않습니다. | https://mongodb.scalegrid.io/hubfs/Whitepaper-ScaleGrid-Infrastructure-Security.pdf |
이전에 GetFeedback Direct의 하위 처리자였던 Campaign Monitor, Turbine Room Ltd(FirstOfficer.io), Salesloft, Inc.는 이 목록에서 제거되었습니다.
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: | |
계약적, 조직적, 기술적 | ||||||
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Functional Software Inc.(Sentry) | 애플리케이션 오류 캡처(사이트 상태 모니터). | |||||
직접 파악 가능한 정보(예: 이름, 이메일 주소, 전화번호) 간접 파악 가능한 정보(예: 직책, 성별, 생년월일) 장치 식별 데이터 및 트래픽 데이터(예: IP 주소, MAC 주소, 웹 로그, 브라우저 에이전트) 서비스 최종 사용자가 제공한 모든 개인 데이터. | 미국 - 위험 낮음 | SCC | 자세한 내용은 Sentry의 보안 페이지를 참조하십시오. | |||
설문 자산 및 응답자 자산, 응답자 데이터의 NLP(자연어 처리) 작업, 대시보드 검색/인덱싱을 위해 Google 플랫폼에 호스팅되는 응답자 데이터를 호스팅합니다. | ||||||
설문 응답 데이터. | ||||||
설문 질문의 유형 및 해당 질문에 대해 응답자가 응답을 선택하는 방식에 따라 여기에 개인 데이터가 포함되거나 포함되지 않을 수 있습니다. | 미국 - 위험 낮음 | SCC | https://cloud.google.com/security/ | |||
Heroku | AWS를 통해 애플리케이션 호스팅 및 데이터 보관. | 위의 ‘Amazon/AWS’ 참조 | 미국 - 위험 낮음 | SCC | Heroku의 보안 인증서 및 보안 및 규정 준수 설명서를 참조하십시오. | |
IPdata | 응답자의 지리적 위치 조회 | IP 주소 | 미국 - 위험 낮음 | SCC | 자세한 내용은 IPdata의 개인정보 보호 정책을 참조하십시오. | |
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
New Relic | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Salesforce | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Splunk | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: | |
계약적, 조직적, 기술적 | ||||||
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Microsoft | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
New Relic | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Salesforce | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Snowflake | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Sparkpost | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Splunk | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: | |
계약적, 조직적, 기술적 | ||||||
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Engine Yard | 웹사이트 호스팅 도구 및 클라우드 애플리케이션 관리. | 위의 ‘AWS’ 참조 | 미국 - 위험 낮음 | SCC | Engine Yard는 계약에 따라 다음을 이행합니다. | |
데이터 센터 액세스 제한, 모니터링, 보안 직원 및 기타 상업적으로 타당한 물리적 보안 조치를 갖춘 안전한 시설(예: AWS)에 데이터 호스팅, 네트워크 액세스 제한, 방화벽, 서버 강화 조치, 사용자 인증 프로토콜, 이벤트 기록, 기타 상업적으로 타당하고 개인 데이터 보호를 위해 설계된 시스템 및 네트워크 보안 조치 유지, 보관된 개인 데이터 및 전송 중인 개인 데이터 암호화를 위한 업계 표준에 따라 실현 가능하고 상업적으로 타당한 방법으로 개인 데이터 암호화, 원칙적으로 역할에 따라 최소한의 액세스 권한 부여 및 Momentive의 승인 및 해지 실무에 따라 처리. | ||||||
Microsoft | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Salesforce | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: | |
계약적, 조직적, 기술적 | ||||||
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Engine Yard | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Microsoft | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Salesforce | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: 계약적, 조직적, 기술적 |
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
Bridgewater Labs | 업무 확대(엔지니어링 계약자) | SM Apply 양식에서 수집된 모든 가능한 개인 데이터 범주. | 캐나다 - 무형 | SCC | 위에 나열된 보안 제어 외에도 AWS에 적용되는 모든 보안 제어는 당사와 계약 체결한 제3자의 최소 권한 부여된 액세스를 위해 활용됩니다. 당사는 내부 Momentive 시스템에 적용되는 기타 보안 제어는 물론 원격 데스크톱 보안 제어를 활용합니다. 자세한 내용은 당사 보안 성명을 참조하십시오. |
Microsoft | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
Salesforce | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |
하위 처리자 | 용도 | 개인 데이터 | 위치 및 법 제도 위험의 평가 | 전송 메커니즘 | 보완 조치: | |
계약적, 조직적, 기술적 | ||||||
AWS | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Microsoft | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Inc., Momentive Australia Pty Limited) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Momentive 제휴사(Momentive Canada Inc., Momentive UK Ltd.) | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | |
Salesforce | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 | 위 항목 참조 |