안내서

EBA 아웃소싱 가이드라인

Google Cloud Platform 안내서

이 문서는 유럽 은행 당국의 위임을 받은 금융 기관('기관')이 Google Cloud Platform('GCP')과 Google Cloud 금융 서비스 계약의 맥락에서 아웃소싱 계약에 대한 가이드라인('EBA 아웃소싱 가이드라인')을 고려하는 데 도움이 됩니다.

Google은 EBA 아웃소싱 가이드라인의 13항(계약 단계)에 중점을 둡니다. 13항의 단락마다 Google Cloud 서비스 및 Google Cloud 금융 서비스 계약을 사용하여 가이드라인을 해결할 수 있는 방법을 설명하는 해설을 제공합니다.

EBA 아웃소싱 가이드라인은 2006년에 제정된 아웃소싱에 관한 유럽 은행감독위원회(CEBS) 가이드라인을 대체합니다. 또한 2018년에 게시된 클라우드 서비스 제공업체로의 아웃소싱에 관한 EBA의 권장사항도 대체합니다.

기존 Google Cloud 계약이 있고 이 문서가 계약에 어떻게 적용되는지 확인하려면 Google Cloud 비즈니스 계정 담당자에게 문의하세요.

# EBA 아웃소싱 가이드라인 Google Cloud 해설 Google Cloud 금융 서비스 계약 참조 자료
1. 13 계약 단계
2. 74. 기관, 결제 기관, 서비스 제공업체의 권리와 의무는 명확하게 할당되고 서면 계약에 명시되어 있어야 합니다.

당사자의 권리와 의무는 Google Cloud Financial 서비스 계약에 명시되어 있습니다.

N/A
3. 75. 중요한 업무에 대한 아웃소싱 계약에는 최소한 다음 항목을 명시해야 합니다.
4. a. 제공되는 아웃소싱 업무에 대한 명확한 설명 GCP 서비스 자세히 알아보기 정의
5. B 서비스 제공업체 및 기관 또는 결제 기관의 계약 시작일 및 종료일(해당되는 경우)과 알림 기간 Google Cloud 금융 서비스 계약을 참조하세요. 기간 및 해지
6. c. 계약의 준거법 Google Cloud 금융 서비스 계약을 참조하세요. 준거법
7. d. 당사자의 금융 의무 Google Cloud 금융 서비스 계약을 참조하세요. 결제 약관
8. e. 중요한 업무 또는 그 중 중요한 부분의 재아웃소싱이 허용되는지 여부와 허용될 경우 재아웃소싱에 적용되는 13.1항에 명시된 조건 21~35행에서 13.1항에 대한 설명을 참조하세요. 21~35행을 참조하세요.
9. f. 가능한 스토리지 위치를 포함하여 중요한 업무가 제공되거나 관련 데이터가 보관되고 처리되는 위치(예: 리전 또는 국가) 및 서비스 제공업체가 위치 변경을 제안하는 경우 기관 또는 결제 기관에 알려야 한다는 요구사항을 포함하여 충족해야 하는 조건 위치

Google은 빠르고 안정적이며 견고하면서도 탄력적인 서비스를 제공하기 위해 Google 또는 Google의 재처리자가 시설을 유지관리하는 곳에서 데이터를 저장하고 처리할 수 있습니다.

Google은 데이터가 위치한 국가/리전과 관계없이 데이터에 대한 동일한 계약 약정과 기술적, 조직적 조치를 제공합니다. 특히 다음 내용이 해당됩니다.

  • 국가/리전에 상관없이 모든 Google 시설에 동일한 강력한 보안 조치가 적용됩니다.
  • Google은 국가/리전에 상관없이 모든 재처리자에 대해 동일한 약정을 적용합니다.

조건

Google은 데이터를 저장할 위치에 대한 선택권을 제공합니다(유럽에 데이터를 저장할 수 있는 선택권 포함). 데이터를 저장할 위치를 선택하면 Google이 선택된 리전 외부에 데이터를 저장하지 않습니다.

리소스 위치 제한에 대해 알아보세요.

또한 Google은 유럽 데이터 보호법에 따라 합법적으로 개인 정보를 제3국으로 전송할 수 있는 약정을 제공합니다.

데이터 전송(데이터 처리 및 보안 약관)

데이터 보안, 재처리자(데이터 처리 및 보안 약관)

데이터 위치(서비스별 약관)

데이터 전송(데이터 처리 및 보안 약관)

10. g. 13.2항에 규정된 바와 같이, 관련 데이터의 접근성, 가용성, 무결성, 개인 정보 보호, 안전과 관련된 조항(해당하는 경우) 36~40행에서 13.2항에 대한 설명을 참조하세요. 36~40행을 참조하세요.
11. h. 기관 또는 결제 기관이 서비스 제공업체의 실적을 지속적으로 모니터링할 수 있는 권한

서비스의 기능을 사용하여 Google의 서비스 성능(SLA 포함)을 지속적으로 모니터링할 수 있습니다.

예를 들면 다음과 같습니다.
  • 상태 대시보드는 서비스의 상태 정보를 제공합니다.
  • Google Cloud 운영은 GCP에서 실행되는 애플리케이션에 대한 정보를 얻을 수 있는 통합 모니터링, 로깅, 진단 기능이 포함된 솔루션입니다.
  • 액세스 투명성은 Google 직원이 데이터와 관련하여 수행한 작업의 로그를 검토할 수 있는 기능입니다. 로그 항목에는 영향을 받는 리소스, 작업 시간, 작업 이유(예: 지원 요청과 관련된 사례 번호), 데이터에 대한 작업을 수행한 직원에 대한 데이터(예: Google 직원의 위치)가 포함됩니다.
지속적인 성능 모니터링
12. i. 합의된 서비스 수준. 합의된 서비스 수준이 충족되지 않을 경우 지체 없이 적절한 시정 조치를 취할 수 있도록 아웃소싱 업무에 대한 정확한 정량적 및 정성적 실적 타겟을 포함하여 적시 모니터링을 지원해야 합니다. Google의 SLA에 대해 자세히 알아보세요. 서비스
13. j. 서비스 제공업체가 관련 법률 및 규정 요건을 준수하고 합의된 서비스 수준에 맞게 중요 업무를 효과적으로 수행할 수 있는 능력에 중대한 영향을 미칠 수 있는 개발 성과의 커뮤니케이션을 포함한 서비스 제공업체의 기관이나 결제 기관에 대한 보고 의무와 서비스 제공업체의 내부 감사 부서 보고서 제출 의무(해당하는 경우)

이슈 및 Google Cloud 상태 대시보드에 대해 알아보세요.

또한 Google은 지연 없이 즉시 데이터 이슈를 알립니다. Google의 데이터 이슈 대응 프로세스에 대한 자세한 내용은 백서를 참조하세요.

중요한 개발 성과

데이터 이슈(데이터 처리 및 보안 약관)

14. k. 서비스 제공업체가 특정 위험에 대한 필수 보험을 받아야 하는지 여부 및 해당하는 경우 요청된 보험 적용 수준 Google은 확인된 여러 위험에 적용되는 보험을 유지합니다. 보험
15. l. 업무 연속성 계획을 구현하고 테스트하기 위한 요구사항

Google은 서비스의 업무 연속성 계획을 구현하고, 서비스를 최소 1년 이상 검토 및 테스트하여 최신 업계 표준을 준수하도록 보장합니다.

또한 고객이 자체 업무 연속성 계획에 Google 서비스를 사용하는 방법에 대한 자세한 내용은 재해 복구 계획 가이드를 참조하세요.

업무 연속성 및 재해 복구
16. m. 서비스 제공업체의 파산, 집행 또는 비즈니스 운영 중단 상황이 발생할 경우 기관 또는 결제 기관이 소유한 데이터에 액세스할 수 있도록 하는 조항

데이터의 모든 지적 재산권은 고객이 보유합니다.

Google은 계약 기간 동안 데이터에 액세스하고 데이터를 내보낼 수 있습니다. 75행을 참조하세요.

Google의 파산 시 이러한 약정은 적용되지 않습니다. 또한 Google은 Google의 자체 파산을 종료할 권한이 없습니다. 하지만 기관은 종료할 수 있습니다. 드물게 Google이 파산하는 경우 지명된 파산 집행자를 상대할 때 이러한 약정을 참조할 수 있습니다.

지적 재산권

데이터 내보내기(데이터 처리 및 보안 약관)

기간 및 해지

17. n. 기관 또는 결제 기관이 지명한 다른 사람을 비롯한 관할 당국 및 집행 당국에 협조해야 하는 서비스 제공업체의 의무 Google은 감사, 정보, 액세스 권한을 행사할 때 관할 당국 및 집행 당국과 협력합니다. 고객 규정 준수 지원
18. o. 기관의 경우 국가 집행 당국의 명령에 대한 명확한 언급. 특히 지침 2014/59/EU(BRRD)의 68항 및 71항과 해당 지침의 68항의 맥락에서 '하도급 의무'의 설명 Google은 기관 및 모든 집행 기관이 집행 기간 동안 업무를 수행할 수 있어야 한다는 것을 알고 있습니다. Google은 집행 과정에 지원을 제공하기 위해 집행 기간 동안 BRRD에서 요구하는 대로 서비스를 계속 제공할 것을 약속합니다. 집행 과정 지원
19. p. 기관, 결제 기관 및 관할 당국이 특히 13.3항에 명시된 중요한 아웃소싱 업무과 관련하여 서비스 제공업체를 조사하고 감사할 수 있는 무제한 권리 41~66행의 13.3항에 대한 설명을 참조하세요. 41~66행을 참조하세요.
20. q. 13.4항에 명시된 해지 권한 67~77행의 13.4항에 대한 설명을 참조하세요. 67~77행을 참조하세요.
21. 13.1 중요한 업무의 재아웃소싱
22.

76. 아웃소싱 계약에는 중요한 업무 또는 그 중 중요한 부분의 재아웃소싱이 허용되는지 여부를 지정해야 합니다.

Google은 기관이 재아웃소싱과 관련된 위험을 고려해야 한다는 점을 알고 있습니다. 또한 Google은 기관과 모든 고객에게 가능한 한 가장 안정적이고 견고하며 탄력적인 서비스를 제공하기 위해 노력하고 있습니다. 경우에 따라 다른 신뢰할 수 있는 조직과 협력하여 연중무휴 24시간 지원 서비스 등을 제공하면 확실한 이점이 있을 수 있습니다.

Google에서는 협력 조직에 관한 정보를 제공하지만, 재아웃소싱을 절대 하지 않는다는 데 동의할 수는 없습니다. Google 서비스의 일대다 특성으로 인해 Google이 한 고객과 재아웃소싱하지 않는다는 데 합의하면 재아웃소싱 촉진 시 이점을 얻는 모든 고객을 거부하게 될 수 있습니다.

기관이 재아웃소싱 감독권을 보유하도록 하기 위해 Google은 투명성과 선택권을 제공하도록 설계된 명확한 조건을 준수합니다. 26행을 참조하세요.

하도급

23.

77. 중요한 업무의 재아웃소싱이 허용되면 기관 및 결제 기관은 중요한 업무의 일부분(즉, 중요한 업무의 중요한 부분)을 재아웃소싱할지 여부를 결정하고, 재아웃소싱할 경우 레지스터에 기록합니다.

기관은 재아웃소싱 업무가 중요한 업무의 중요한 부분인지 결정하는 데 가장 유리한 위치에 있습니다. 이를 지원하기 위해 Google은 각 하도급업체의 아웃소싱 등록에 필요한 모든 정보를 제공합니다.

Google 하도급업체

24. 78. 중요한 업무의 재아웃소싱이 허용되는 경우 다음과 같이 서면 계약을 작성해야 합니다.
25.

a. 재아웃소싱에서 제외할 활동 유형을 지정합니다.

22행을 참조하세요.

22행을 참조하세요.

26.

b. 재아웃소싱 사례에서 준수해야 하는 조건을 지정합니다.

기관이 재아웃소싱 감독권을 보유하고 기관이 사용할 서비스에 대한 선택권을 제공하기 위해 Google은 다음을 수행합니다.

  • 하도급업체에 대한 정보 제공
  • 하도급업체 변경에 대한 사전 알림 제공
  • 기관이 새로운 하도급업체가 우려될 경우 계약을 해지할 권한 부여

Google 하도급업체

27.

c. 서비스 제공업체는 하도급 계약을 한 서비스를 감독하여 서비스 제공업체와 기관 또는 결제 기관 간의 모든 계약 의무가 지속적으로 이행되도록 할 의무가 있음을 지정합니다.

Google은 모든 하도급 계약 의무를 감독하고 하도급업체의 계약 준수를 보장합니다.

Google 하도급업체

28.

d. 서비스 제공업체는 데이터를 재아웃소싱하기 전에 기관 또는 결제 기관에서 사전에 특정 또는 일반적인 서면 승인을 받아야 합니다.

Google은 재처리 승인과 관련하여 GDPR에 따른 의무를 준수합니다.

데이터 처리, 재처리자(데이터 처리 및 보안 약관)

29.

e. 서비스 제공업체는 계획된 재아웃소싱 또는 이로 인한 중대한 변경사항이 있을 경우, 특히 서비스 제공업체가 아웃소싱 계약에 명시된 책임을 이행하는 능력에 영향을 줄 수 있는 변경사항이 있을 경우 이를 기관 또는 결제 기관에 알려야 할 의무가 있음을 명시합니다. 여기에는 하도급업체에 대한 계획된 중대한 변경사항과 알림 기한이 포함됩니다. 특히, 아웃소싱하는 기관 또는 결제 기관에서 최소한 제안된 변경사항에 대한 위험 평가를 수행하고 계획된 재아웃소싱 또는 그에 대한 중대한 변경사항이 시행되기 전에 변경사항에 대한 이의를 제기할 수 있도록 알림 기간을 여유 있게 설정해야 합니다.

하도급업체 변경사항에 대한 소식을 전해 들은 후 변경사항이 적용되기 전에 의미 있는 위험 평가를 수행하려면 충분한 시간이 필요합니다. Google은 기관이 필요한 시간을 확보할 수 있도록 새로운 하도급업체와 연락하거나 기존 하도급업체의 업무를 변경하기 전에 기관에 사전 알림을 제공합니다.

Google 하도급업체

30.

f. 해당하는 경우, 기관 또는 결제 기관에서 본래 재아웃소싱 또는 그로 인한 중대한 변경사항에 대한 이의를 제기할 권한이 있거나 명시적인 승인이 필요한지 확인합니다.

기관에서는 하도급업체 변경으로 인해 위험이 현저하게 증가할 것으로 판단되는 경우 계약을 해지할 수 있습니다. 31행을 참조하세요. 그러나 Google 서비스의 일대다 특성으로 인해, 한 고객이 재아웃소싱을 거부하는 데 Google이 합의하면 한 고객으로 인해 재아웃소싱 촉진 시 이점을 얻는 모든 고객을 거부하게 될 수 있습니다.

유럽 은행 당국은 클라우드 아웃소싱 분야에서 동의는 '매우 부담스럽다'고 인정합니다. 유럽 은행 당국의 최종 보고서 클라우드 서비스 제공업체로의 아웃소싱에 대한 권장사항에서 24페이지에 있는 설명을 참조하세요.

Google 하도급업체

31.

g. 과도한 재아웃소싱으로 인해 기관 또는 결제 기관의 위험이 크게 증가하거나 서비스 제공업체가 기관 또는 결제 기관에 알리지 않고 아웃소싱하는 경우 등에 기관 또는 결제 기관이 계약을 해지할 계약상의 권리가 있어야 합니다.

기관은 자신에게 서비스를 제공하는 당사자를 선택할 수 있어야 합니다. 이를 위해 기관에서는 하도급업체 변경으로 인해 위험이 현저하게 증가할 것으로 판단되는 경우 또는 합의된 고지를 받지 않은 경우 계약을 해지할 수 있습니다.

Google 하도급업체

32. 79. 기관 및 결제 기관에서는 하도급업체가 다음을 약속하는 경우에만 재아웃소싱에 동의해야 합니다.
33.

a. 모든 관련 법규, 규제 요구사항, 계약상 의무를 준수합니다.

Google은 하도급업체가 Google과 동일한 높은 기준을 충족할 것을 요구합니다. 특히 Google은 하도급업체가 Google과 기관 간의 계약과 관련 법률 및 규정을 준수할 것을 요구합니다.

Google 하도급업체

34.

b. 기관, 결제 기관, 관할 기관에 서비스 제공업체에서 부여한 것과 동일한 계약상의 액세스 및 감사 권한을 부여합니다.

재아웃소싱으로 인해 기관의 서비스 감독 권한 또는 관할 당국의 기관 감독 권한이 저해되어서는 안 됩니다. 이를 지키기 위해 Google은 하도급업체가 기관 및 관할 당국에 제공되는 정보, 액세스, 감사 권한을 준수하도록 보장합니다.

Google 하도급업체

35.

80. 기관 및 결제 기관은 기관 또는 결제 기관에서 정의한 정책에 따라 서비스 제공업체가 하위 서비스 제공업체를 적절하게 감독하도록 해야 합니다. 제안된 재아웃소싱이 중요한 업무의 아웃소싱 계약에 중대한 악영향을 미칠 수 있는 경우 또는 단락 79의 조건을 충족할 수 없는 경우를 포함하여 위험을 크게 높일 수 있는 경우 해당 기관 또는 결제 기관은 재아웃소싱에 이의를 제거할 권리(이러한 권리가 합의된 경우)를 행사하거나 계약을 해지할 권리를 행사해야 합니다.

27행, 30행, 31행을 참조하세요.

27행, 30행, 31행을 참조하세요.

36. 13.2 데이터 및 시스템 보안
37.

81. 기관 및 결제 기관에서는 관련 서비스 제공업체가 적절한 IT 보안 표준을 준수하도록 해야 합니다.

Google은 보안, 개인정보 보호, 규정 준수 통제 수단 관리에 대해 독립 기관으로부터 검증을 받기를 기대합니다. Google은 보안 수준을 보증하기 위해 여러 제3자 독립 감사 기관으로부터 정기적인 심사를 받고 있습니다. Google은 계약 기간 동안 다음과 같은 주요 국제 기준을 준수할 것을 약속합니다.

인증 및 감사 보고서

38.

82. 기관 및 결제 기관은 관련된 경우(예: 클라우드 또는 다른 ICT 아웃소싱 관련) 아웃소싱 계약 내에서 데이터 및 시스템 보안 요구사항을 정의하고 이러한 요구사항을 준수하는지 지속적으로 모니터링해야 합니다.

클라우드 서비스의 보안은 다음과 같은 두 가지 주요 요소로 구성됩니다.

Google 인프라 보안

Google은 인프라 보안을 관리합니다. 이는 서비스를 지원하는 하드웨어, 소프트웨어, 네트워킹, 시설의 보안입니다.

Google 서비스의 일대다 특성으로 인해 Google은 모든 고객에게 동일하게 강력한 보안을 제공합니다.

Google은 고객이 Google의 보안 관행을 이해하고 자체 위험 분석의 일부로 간주할 수 있도록 고객에게 Google의 보안 관행에 대한 자세한 정보를 제공합니다.

자세한 정보는 다음 페이지를 참조하세요.

또한 Google의 SOC 2 보고서를 검토할 수 있습니다. 37행을 참조하세요.

클라우드의 데이터 및 애플리케이션 보안

클라우드의 데이터와 애플리케이션에 대한 보안을 정의합니다. 이는 서비스를 사용할 때 구현 및 운영하도록 선택하는 보안 조치를 의미합니다.

(a) 기본 보안

Google은 데이터에 관한 한 가능한 한 많은 선택권을 제공하려고 하지만, 데이터 보안은 Google이 가장 중요하게 생각하는 요소이며, Google은 고객을 지원하기 위해 다음과 같은 사전 조치를 취합니다.

  • 저장 데이터 암호화 Google은 고객이 아무런 조치를 취하지 않아도 기본으로 저장된 고객 데이터를 암호화합니다. 자세한 내용은 https://cloud.google.com/security/encryption-at-rest/default-encryption에서 확인할 수 있습니다.
  • 전송 중인 데이터 암호화 데이터가 Google이나 Google의 대리인이 통제하지 않는 물리적 경계 외부로 이동하면 Google은 네트워크 계층 하나 이상에서 전송 중인 모든 데이터를 암호화하고 인증합니다. 자세한 내용은 https://cloud.google.com/security/encryption-in-transit에서 확인할 수 있습니다.

(b) 보안 제품

Google 외부에서 사용할 수 있는 다른 도구 및 관행 외에도 Google에서 제공하는 도구를 사용하여 데이터 보안을 강화하고 모니터링할 수 있습니다. Google의 보안 제품에 대해 자세히 알아보세요.

예를 들면 다음과 같습니다.

  • Cloud Identity and Access Management를 사용하면 Google Cloud Platform 리소스에 대한 액세스 권한과 역할을 제어하여 무단 액세스를 방지할 수 있습니다.
  • Cloud Security Scanner는 App Engine, Compute Engine, Google Kubernetes Engine 앱을 자동으로 검사하여 일반적인 취약점을 탐지합니다.
  • Event Threat Detection은 다양한 유형의 로그를 자동으로 검사해 Google Cloud Platform 환경에 의심스러운 활동이 있는지 확인해 줍니다.
  • Cloud Security Command Center 및 Security Health Analytics는 Google Cloud Platform 리소스와 VM 인스턴스, 이미지, 운영체제 등의 리소스에 대한 변경사항을 파악하고 모니터링하도록 지원합니다.
  • Forseti는 보안팀이 Google 서비스 전반에서 적절한 보안 제어 기능을 갖추었음을 확신하고 안심할 수 있도록 설계된 오픈소스 툴킷입니다. Forseti에는 다음 보안 도구가 포함됩니다.
    • Inventory: 기존 GCP 리소스에 대한 가시성 제공
    • Scanner: GCP 리소스 전반에서 액세스 제어 정책 검증
    • Enforcer: GCP 리소스에 대한 원치 않는 액세스 제거
    • Explain: GCP 리소스에 액세스할 수 있는 사용자 분석
    오픈소스 보안 도구에 대해 자세히 알아보세요.
  • 보안 VM은 전체 스택의 변경사항에 대한 실시간 측정, 모니터링 및 알림을 지원합니다.

(c) 보안 리소스

Google에서는 다음 항목에 대한 지침도 게시합니다.

데이터 보안, 보안 조치( 데이터 처리 및 보안 약관)

39.

83. 클라우드 서비스 제공업체로 아웃소싱하거나 개인 또는 기밀 데이터의 처리 또는 전송을 포함하는 다른 아웃소싱 계약을 맺는 경우 기관 및 결제 기관은 데이터 저장 및 데이터 처리 위치(예: 국가 또는 리전)와 정보 보안 고려사항에 대한 위험 기반 접근법을 채택해야 합니다.

이는 고객 고려사항입니다. 데이터 위치에 대한 자세한 내용은 9행을 참조하세요.

N/A

40.

84. 기관 및 결제 기관은 아웃소싱할 때(특히 제3의 국가로 아웃소싱하는 경우) 규정(EU) 2016/679에 명시된 요구사항을 위반하지 않는 선에서 국가별 데이터 보호 관련 조항의 차이를 고려해야 합니다. 기관 및 결제 기관은 서비스 제공업체가 기밀 정보, 개인 정보 또는 기타 민감한 정보를 보호하며, 기관 또는 결제 기관에 적용되는 데이터 보호와 관련된 모든 현지 법규를 준수할 의무를 계약에 포함해야 합니다(예: 개인 정보 보호 및 뱅킹 기밀 유지 또는 고객 정보와 관련된 유사한 법적 기밀 의무(해당하는 경우) 준수).

서비스 보안은 데이터 보호에 필수적인 요소입니다. 자세한 내용은 데이터 처리 및 보안 약관을 참조하세요. 보안에 대한 자세한 내용은 37 및 38행을 참조하세요.

자세한 내용은 GDPR 리소스 센터를 참조하세요.

비밀유지, 데이터 보안(데이터 처리 및 보안 약관)

41. 13.3 액세스, 정보, 감사 권한
42.

85. 기관 및 결제 기관은 외부 감사 부서에서 위험 기반 접근법을 사용하여 아웃소싱 업무를 검토할 수 있다는 조항을 서면 아웃소싱 계약에 포함해야 합니다.

Google은 Google 서비스 사용으로 인해 기관(또는 관할 당국)이 관련 법률 및 규정과 내부 정책의 준수를 관찰 및 감독하는 권한이 손상되어서는 안 된다고 생각합니다. Google에서는 기관에서 Google 서비스를 검토하는 데 필요한 지원을 제공합니다.

고객 규정 준수 지원

43.

86. 아웃소싱 업무의 중요성과 관계없이, 기관 및 서비스 제공업체 간의 서면 아웃소싱 계약은 회원국에 있는 서비스 제공업체와 관련하여 지침 2014/59/EU의 제63(1)조와 지침 2013/36/EU의 제65(3)조에 따른 관할 당국 및 집행 당국의 정보 수집 및 조사 권한을 명시해야 하며, 제3의 국가에 있는 서비스 제공업체와 관련한 해당 권한도 명시해야 합니다.

Google은 관련 EU 지침에 따라 정보 수집 및 조사 권한을 승인합니다.

고객 규정 준수 지원

44.

87. 기관 및 결제 기관은 중요한 업무의 아웃소싱과 관련하여, 서비스 제공업체가 해당 기관과 관할 당국(집행 당국 포함) 및 해당 기관이나 관할 당국에서 지명한 사람에게 다음과 같은 권한을 부여한다는 조항을 서면 아웃소싱 계약에 포함해야 합니다.

Google은 기관, 관할 당국(집행 당국 포함) 및 이러한 기관에서 지명한 사람에게 감사, 액세스, 정보 권리를 부여합니다.

규제 기관 정보, 감사 및 액세스. 고객 정보, 감사 및 액세스

45.

a. 관련 금융 정보, 직원, 서비스 제공업체의 외부 감사관('액세스 및 정보 권한')을 비롯하여 아웃소싱 업무를 제공하는 데 사용되는 모든 관련 기기, 시스템, 네트워크, 정보를 포함한 모든 관련 사무소(예: 본사 및 운영 센터)에 대한 전체 액세스 권한

44행을 참조하세요.

44행을 참조하세요.

46.

b. 아웃소싱 계약을 모니터링하고 모든 관련 규제 및 계약 요구사항을 준수하는지 확인할 수 있는 아웃소싱 계약과 관련된 조사 및 감사에 대한 무제한 권한('감사 권한')

44행을 참조하세요.

44행을 참조하세요.

47.

88. 중요하지 않은 업무의 아웃소싱에 대해 기관 및 결제 기관은 아웃소싱 업무의 특성과 관련 운영 및 평판 위험, 확장성, 지속적인 활동 수행에 미칠 수 있는 영향, 계약 기간을 고려하여 위험 기반 접근법에 단락 87 (a) 및 (b)과 13.3항에 명시된 액세스 및 감사 권한을 보장해야 합니다. 기관 및 결제 기관은 시간이 지남에 따라 부서가 중요해질 수 있다는 것을 고려해야 합니다.

Google은 시간이 지남에 따라 서비스 사용이 늘어날 수 있음을 인지하고 있습니다. 기관이 관계를 시작할 때 서비스 사용을 선택하는 방법에 관계없이 Google은 기관과 관할 당국에 감사, 액세스, 정보 권한을 제공합니다.

고객 규정 준수 지원

48.

89. 기관 및 결제 기관은 아웃소싱 계약 또는 기타 계약상 합의로 인해 해당 기관, 관할 당국 또는 해당 기관이 지명한 제3자의 효과적인 액세스 및 감사 권한 행사를 방해하거나 제한하지 않도록 해야 합니다.

본 계약의 어떤 조항도 특정 기관 또는 관할 당국이 Google 서비스를 효과적으로 감사할 수 있는 권한을 방해하거나 제한하려는 의도를 갖지 않습니다. 특히 Google은 서비스를 검토하는 데 도움이 되는 많은 정보와 도구를 기관에 제공할 수 있지만, 본 계약에는 기관이 Google에 접근하여 감사, 액세스, 정보 권리를 행사하기 전 사전 정의된 단계가 포함되어 있지 않습니다. 즉, 서비스를 평가하는 옵션 사이에 계층 구조가 없습니다.

고객 규정 준수 지원

49.

90. 기관 및 결제 기관에서는 액세스 및 감사 권한을 행사하고, 위험 기반 접근법의 감사 빈도와 감사 영역을 결정하고, 일반적으로 용인되는 국내 및 국제 관련 감사 표준을 준수해야 합니다.

기관은 조직에 적합한 감사 빈도와 범위를 결정하는 데 가장 유리한 위치에 있습니다. Google의 계약은 정해진 수의 감사 또는 사전 정의된 범위로 기관을 제한하지 않습니다.

고객 정보, 감사, 액세스

50. 91. 기관 및 결제 기관은 아웃소싱 계약과 관련한 최종 책임을 침해하지 않는 선에서 다음을 이용할 수 있습니다.
51.

a. 감사 리소스를 보다 효율적으로 사용하고 고객과 서비스 제공업체의 조직적 부담을 줄이기 위해 동일한 서비스 제공업체의 다른 고객과 공동으로 구성하고 해당 서비스 제공업체 및 고객이나 해당 업체에서 지명한 제3자가 수행하는 풀링된 감사

Google은 풀링된 감사의 이점을 인식합니다. 이를 기관과 기꺼이 논의할 의사가 있습니다.

N/A

52.

B 서비스 제공업체가 제공하는 제3자 인증 및 제3자 또는 내부 감사 보고서

37행을 참조하세요.

37행을 참조하세요.

53.

92. 기관 및 결제 기관은 중요한 업무를 아웃소싱할 때 단락 91(b)에 명시된 제3자 인증 및 보고서가 규제 의무를 이행하는 데 적합하고 충분한지 평가하고, 오랜 시간 동안 이러한 보고서에만 의존해서는 안 됩니다.

이는 고객 고려사항입니다.

N/A

54. 93. 기관 및 결제 기관은 다음과 같은 경우에만 단락 91(b)에 언급된 방법을 사용해야 합니다.
55.

a. 아웃소싱 부서의 감사 계획에 만족합니다.

37행을 참조하세요.

Google은 각 감사 대상 프레임워크마다 1년에 1회 이상 감사를 받습니다. Google은 각 감사 전에 계획, 범위 지정, 준비 활동을 수행합니다.

인증 및 감사 보고서

56.

b. 인증 또는 감사 보고서 범위에 시스템(예: 프로세스, 애플리케이션, 인프라, 데이터 센터 등) 및 기관 또는 결제 기관에서 식별한 주요 통제 설정, 관련 규제 요건 준수가 포함되는지 확인해야 합니다.

37행을 참조하세요.

Google의 감사 범위에는 서비스, 인프라 시스템, 정책 및 절차, 일반적인 프로세스, 인력이 포함됩니다. Google은 감사 범위의 관련 인증 및 감사 보고서에 적용되는 보안 및 개인 정보 보호 설정에 대한 감사를 받고 있습니다.

인증 및 감사 보고서

57.

c. 지속적으로 인증 또는 감사 보고서의 내용을 철저히 평가하고 보고서 또는 인증이 사용되지 않는지 확인합니다.

37행을 참조하세요.

언제든지 Google의 현재 인증 및 감사 보고서를 검토할 수 있습니다.

  • Google의 ISO 인증에 대해 자세히 알아보세요.
  • Google의 SOC 보고서PCI 규정 준수 증명(AOC)은 Google Cloud 비즈니스 계정 담당자를 통해 제공됩니다.

인증 및 감사 보고서

58.

d. 이후 버전의 인증 또는 감사 보고서에서 주요 시스템 및 통제 설정이 적용되는지 확인합니다.

37행을 참조하세요.

감사 작업 시작 전에 Google의 일상적인 계획, 범위 지정, 준비 활동의 일부로 반복 주요 시스템 및 통제 설정은 물론 새로운 시스템 및 통제 설정도 검토됩니다.

인증 및 감사 보고서

59.

e. 인증 또는 감사 기관의 능력에 만족합니다(예: 인증 또는 감사 기관의 순환, 자격 요건, 전문성, 기본 감사 파일의 증거 재현/확인 관련).

37행을 참조하세요.

Google은 각 감사 대상 프레임워크마다 독립적인 제3자 공인 감사관을 고용합니다. 인증 또는 감사 기관 관련 정보는 관련 인증 또는 감사 보고서를 참조하세요.

인증 및 감사 보고서

60.

f. 인증이 발급되고, 광범위한 관련 업계 표준에 대한 감사가 수행되며, 적절한 주요 통제 설정의 운영 효과 테스트를 포함하는 데 만족합니다.

37행을 참조하세요.

감사에는 주요 제어 기능의 운영 효율성 테스트가 포함됩니다.

인증 및 감사 보고서

61.

g. 인증 또는 감사 보고서의 범위를 다른 관련 시스템 및 통제 설정으로 확장하도록 요청할 수 있는 계약상의 권한. 이러한 범위 수정 요청의 횟수와 빈도는 위험 관리 관점에서 합당하고 적절해야 합니다.

Google의 인증 또는 감사 보고서가 효과적인 도구로 유지될 수 있도록, 해당 서비스의 주요 시스템이나 통제 설정에 Google의 인증 또는 감사 보고서가 적용되지 않는 경우 기관에서 범위 확장을 요청할 수 있습니다.

인증 및 감사 보고서

62.

h. 중요한 업무의 아웃소싱과 관련하여 재량으로 개별 감사를 수행할 수 있는 계약상의 권리를 보유합니다.

기관은 항상 감사를 실시할 권리를 보유합니다. 계약에는 기관이 Google에 접근하여 감사, 액세스, 정보 권리를 행사하기 전 사전 정의된 단계가 포함되지 않습니다. 즉, 서비스를 평가하는 옵션 사이에 계층 구조가 없습니다.

고객 정보, 감사, 액세스

63.

94. SREP의 ICT 위험 평가에 관한 EBA 가이드라인에 따라 기관은 해당하는 경우 보안 침투 테스트를 수행하여 구현된 사이버 및 내부 ICT 보안 조치와 프로세스의 효과를 평가할 수 있어야 합니다. 또한 결제 기관은 Title I를 고려하여 ICT 보안 제어 및 완화 조치를 포함한 내부 ICT 제어 메커니즘도 보유하고 있어야 합니다.

Google의 사전 승인 없이 언제든지 서비스의 침투 테스트를 수행할 수 있습니다.

고객 침투 테스트

64.

95. 기관, 결제 기관, 관할 당국, 감사관 또는 기관, 결제 기관 또는 관할 당국을 대신하는 제3자는 응급 상황 또는 위기 상황으로 인해 불가능하거나 감사가 더 이상 무의미해지는 경우를 제외하고, 계획된 현장 방문 전에 서비스 제공업체에 적절한 고지를 제공해야 합니다.

Google은 합당한 고지를 통해 효과적인 감사를 제공할 수 있습니다. 예를 들어, 시간을 최대한으로 활용할 수 있도록 관련 Google 전문가의 지원을 받고 준비할 수 있습니다. 고지는 또한 Google이 사용자 환경 또는 다른 Google 고객에게 과도한 위험을 유발하지 않도록 감사를 계획할 수 있게 해줍니다. Google은 일부 경우에 확장된 고지가 불가능함을 인지하고 있습니다. 이 경우 Google에서는 감사 기관과 협력하여 해당 요구사항을 해결합니다.

합의

65.

96. 멀티 클라이언트 환경에서 감사를 수행할 때는 다른 클라이언트 환경에 대한 위험 (예: 서비스 수준, 데이터 가용성, 비밀유지 측면에 미치는 영향)을 방지하거나 완화하기 위해 주의를 기울여야 합니다.

Google이 한 고객과 하는 일이 다른 고객에게 위험을 초래해서는 안 된다는 사실이 매우 중요합니다. 이는 감사를 수행할 때 적용됩니다. 다른 고객이 감사를 수행하는 경우에도 적용됩니다.

기관에서 감사를 실시할 때 Google은 다른 고객들의 업무 중단을 최소화하기 위해 협력합니다. 다른 감사 고객과 협력하여 기관의 업무 중단을 최소화합니다. 특히 Google은 항상 보안 약정을 준수하기 위해 노력할 것입니다.

합의

66.

97. 아웃소싱 계약의 기술적인 복잡성이 높은 경우(예: 클라우드 아웃소싱의 경우), 기관 또는 결제 기관에서 감사를 수행하는 사람이 누구이며(내부 감사관인지, 감사관 풀인지, 해당 기관을 대신하는 외부 감사관인지), 관련 감사 및/또는 평가를 효과적으로 수행하는 데 적합한 관련 기술 및 지식을 갖추고 있는지 확인해야 합니다. 제3자 인증 또는 서비스 제공업체에서 수행하는 감사를 검토하는 기관 또는 결제 기관의 직원이 모든 직원도 마찬가지로 확인해야 합니다.

이는 고객 고려사항입니다.

N/A

67. 13.4 해지 권한
68.

98. 아웃소싱 계약에는 다음과 같은 경우 관련 법률에 따라 기관 또는 결제 기관에서 계약을 해지할 수 있는 권한이 명시적으로 포함되어야 합니다.

기관은 법규 준수를 위해 필요한 경우, 관할 당국이 지시한 경우 또는 13.4항에 명시된 시나리오 등에서 편의를 위해 계약을 해지할 수 있습니다.

편의상 해지

69.

a. 아웃소싱 업무의 제공업체가 관련 법규, 규정 또는 계약 조항을 위반하는 경우

68행을 참조하세요.

68행을 참조하세요.

70.

b. 아웃소싱 업무의 실적에 영향을 미칠 수 있는 장애물이 식별된 경우

68행을 참조하세요.

68행을 참조하세요.

71.

c. 아웃소싱 계약 또는 서비스 제공업체에 영향을 주는 중요한 변경사항이 있는 경우(예: 재아웃소싱 또는 하도급업체 변경)

68행을 참조하세요.

68행을 참조하세요.

72.

d. 기밀 정보, 개인 정보 또는 기타 민감한 데이터나 정보의 관리 및 보안과 관련된 허점이 있는 경우

68행을 참조하세요.

68행을 참조하세요.

73.

e. 기관 또는 결제 기관의 관할 당국에서 지시를 내린 경우(예: 아웃소싱 계약으로 인해 관할 당국이 더 이상 기관 또는 결제 기관을 효과적으로 감독할 수 없게 된 경우)

68행을 참조하세요.

68행을 참조하세요.

74. 99. 아웃소싱 계약은 아웃소싱 업무를 다른 서비스 제공업체로 전달하거나 해당 기관 또는 결제 기관에 다시 통합할 수 있습니다. 이를 위해 서면 아웃소싱 계약을 다음과 같이 작성해야 합니다.
75.

a. 기존 서비스 제공업체의 의무를 분명하게 명시합니다(데이터 처리를 비롯한 아웃소싱 업무를 다른 서비스 제공업체로 전달하거나 기관 또는 결제 기관으로 다시 전달하는 경우).

Google은 계약 기간 동안 데이터에 액세스하고 데이터를 내보낼 수 있습니다. 서비스의 데이터를 다양한 업계 표준 형식으로 내보낼 수 있습니다. 예를 들면 다음과 같습니다.

  • Google Kubernetes Engine은 다양한 클라우드뿐만 아니라 온프레미스 환경에서도 이동성을 지원하는 프러덕션에 즉시 사용 가능한 관리형 환경입니다.
  • Migrate for Anthos를 사용하면 워크로드를 Google Kubernetes Engine의 컨테이너로 직접 이전하고 변환할 수 있습니다.
  • 전체 VM 이미지를 .tar 보관 파일의 형태로 내보내거나 가져올 수 있습니다. 이미지스토리지 옵션에 대해 자세히 알아보세요.

데이터 내보내기(데이터 처리 및 보안 약관)

76.

b. 서비스 제공업체가 아웃소싱 계약 종료 후에도 아웃소싱 업무를 계속 제공하여 업무 중단 위험을 줄일 수 있도록 적절한 전환 기간을 명시합니다.

Google은 기관이 예기치 않은 업무 중단, 규제 요구사항 준수 제한, 고객에게 제공되는 서비스의 연속성 및 품질 저하 없이 Google 서비스를 종료할 수 있어야 한다는 사실을 알고 있습니다. 기관이 이러한 목표를 달성하는 데 도움을 주기 위해 Google은 요청 시 계약의 만료 또는 해지 후에도 12개월 동안 서비스를 계속 제공합니다.

전환 기간

77.

c. 아웃소싱 계약이 종료될 경우 서비스 제공업체가 업무의 원활한 전달을 위해 기관 또는 결제 기관을 지원할 의무를 명시합니다.

Google 서비스를 사용하면 데이터를 독립적으로 전송할 수 있습니다. 이 경우 Google의 허락이 필요하지 않습니다. 75행을 참조하세요. 그러나 기관에서 요청 시 지원을 원하는 경우 Google은 워크로드 마이그레이션 또는 서비스 사용 전환을 지원하기 위한 자문과 구현 서비스를 제공합니다.

전환 지원