안내서

아웃소싱 기술 서비스에 대한 FFIEC 위험 관리

Google Cloud Platform 안내서

이 문서는 연방금융기관 검사협의회('FFIEC')의 위임을 받은 금융기관('기관')이 Google Cloud Platform('GCP')과 Google Cloud 금융 서비스 계약의 맥락에서 아웃소싱 기술 서비스 책자('FFIEC 아웃소싱 책자')를 고려하는 데 도움이 됩니다.

Google은 FFIEC 아웃소싱 책자의 실사 및 계약 문제 항에 중점을 둡니다. 해당 항의 단락마다 Google Cloud 서비스 및 Google Cloud 금융 서비스 계약을 사용하여 FFIEC 아웃소싱 책자를 다루는 방법을 이해하는 데 도움이 되는 해설을 제공합니다.

# 참조 Google Cloud 해설 Google Cloud 금융 서비스 계약 참조 자료
1. 실사
2 금융기관은 RFP에 대한 서비스 제공업체의 응답 및 서비스 제공업체 자체에 대한 실사를 수행해야 합니다. 실사는 서비스 제공업체가 기관의 요구를 충족한다는 것을 보증하는 검증 및 분석 도구 역할을 해야 합니다. 실사에서는 서비스 제공업체에 대한 다음 정보를 확인하고 평가해야 합니다. Google에서는 Google 서비스를 사용하기로 결정하기 전에 실사를 수행하고 위험 평가를 수행해야 함을 알고 있습니다. 이를 지원하기 위해 Google에서는 다음 행에서 고려해야 할 각 영역에 대한 정보를 제공했습니다. N/A
3
  • 존재 및 기업 연혁
Google Cloud의 기업 연혁에 대한 정보는 Alphabet의 투자자 정보 페이지에서 확인할 수 있습니다. N/A
4
  • 적절한 경우 범죄 배경 조사를 포함하여 회사 주 구성원의 자격, 배경 및 평판

회사 주 구성원

Google Cloud 리더십팀에 대한 정보는 미디어 리소스 페이지에서 확인할 수 있습니다.

신원 확인

Google에서는 고객과 직원 모두에게 안전한 환경을 제공할 수 있는 법적으로 허용되는 직원에 대한 신원 확인을 수행합니다.

N/A
5
  • 레퍼런스 확인을 위해 연락할 수 있는 제공업체의 유사한 서비스를 사용하는 다른 회사
Google에서 레퍼런스를 확인할 수 있는 고객(금융 서비스 부문 포함)에 대한 정보는 Google Cloud 고객 페이지에서 확인할 수 있습니다. N/A
6
  • 감사 재무제표 검토를 비롯한 재무 상태
Alphabet의 투자자 정보 페이지에서 Google의 재무 상태와 감사 재무제표를 검토할 수 있습니다. N/A
7
  • 전략 및 평판
전략

Google Cloud의 전략에 대한 정보는 Alphabet의 투자자 정보 페이지에서 확인할 수 있습니다.

평판

Google Cloud는 타사 업계 분석가들의 여러 보고서에서 리더로 선정되었습니다. 자세한 내용은 애널리스트 보고서 페이지에서 확인할 수 있습니다.

N/A
8
  • 서비스 제공 기능, 상태, 효과
Google Cloud의 서비스 제공 기능과 효과에 대한 정보는 Google Cloud 선택 페이지에서 확인할 수 있습니다. 또한 애널리스트 보고서 페이지에서 타사 업계 분석가의 보고서를 검토할 수 있습니다. N/A
9
  • 기술 및 시스템 아키텍처

Google Cloud의 기술 및 시스템 아키텍처에 대한 정보는 Google Cloud 선택 페이지에서 확인할 수 있습니다.

N/A
10
  • 내부 제어 환경, 보안 기록, 감사 범위

Google은 기관이 위험 평가의 일환으로 내부 제어를 검토해야 한다는 점을 알고 있습니다. 이를 지원하기 위해 Google은 운영 및 내부 제어에 대한 독립적인 인증을 제공하기 위해 최소한 1년 단위로 몇 차례의 독립적인 제3자 감사를 받습니다. Google은 계약 기간 동안 다음과 같은 주요 국제 기준을 준수할 것을 약속합니다.

N/A
11
  • 고소장, 소송, 규제 조치를 포함한 법률 및 규제 규정 준수
보류 중인 중요한 법적 절차에 대한 정보는 Alphabet의 투자자 정보 페이지에서 Google의 연간 보고서에서 확인할 수 있습니다. N/A
12
  • 타사 서비스 제공업체에 대한 신뢰와 거래 성공
하도급에 대해서는 41행을 참조하세요. N/A
13
  • 보험 보상 범위
Google은 확인된 여러 위험에 적용되는 보험을 유지합니다. N/A
14
  • 재해 복구 및 비즈니스 연속성 요구사항을 충족할 수 있습니다.
비즈니스 재개 및 비상 계획은 40행을 참조하세요. N/A
15 다른 중요한 요소에는 타사 서비스 철학, 품질 이니셔티브, 관리 스타일과 같은 무형 자산에 대한 정보 조사가 포함됩니다. 문화, 가치, 비즈니스 스타일이 금융기관에 부합해야 합니다. Google의 사명, 철학, 문화에 대한 정보는 Alphabet의 투자자 정보 페이지에서 검토할 수 있습니다. 또한 Google의 윤리 강령 등 조직 정책에 대한 정보도 제공합니다. N/A
16 해외 소재 서비스 제공업체를 고려할 때는 위 항목과의 관계 및 부록 C 해외 소재 타사 서비스 제공업체에서 설명하는 정보도 평가해야 합니다. 50행을 참조하세요. N/A
17 금융기관은 RFP에 응답하는 하나 이상의 서비스 제공업체에 대한 실사를 수행할 수 있습니다. 수행되는 실사의 깊이와 형식은 아웃소싱된 관계의 위험성, 예상 서비스 제공업체에 대한 기관의 지식, 제공업체 선정 프로세스의 단계에 따라 달라질 수 있습니다. 기관에서 RFP를 발행하고, 응답을 수신 및 평가하고, 실사를 실시하고 나면 기관의 요구를 가장 잘 충족시킬 수 있다고 판단한 하나 이상의 서비스 제공업체와 계약 협상을 시작합니다. 이는 고객 고려사항입니다. N/A
18. 계약 문제
19

서비스 제공업체를 선택한 후 경영진은 요구사항을 충족하는 계약을 협상해야 합니다. RFP 및 서비스 제공업체의 응답은 이 프로세스에 대한 의견으로 사용할 수 있습니다. 계약은 서비스 관계의 모든 측면을 정의하는 법적 구속력을 가진 문서입니다. 서면 계약은 모든 서비스 관계에 있어야 합니다. 여기에는 서비스 제공업체가 기관과 제휴한 경우가 포함됩니다. 제휴사와 계약을 맺을 때 기관은 제공되는 서비스의 비용과 품질이 비제휴 제공업체의 서비스에 상응하는지 확인해야 합니다. 계약서는 아웃소싱 프로세스 중 가장 중요한 제어 요소입니다. 계약서의 중요성으로 인해 경영진은 다음을 수행해야 합니다.

  • 계약서에서 아웃소싱 관계에 대한 설명이 정확한지 확인합니다.
  • 계약서를 명확하게 작성하고 각 당사자의 권리와 의무를 포괄적으로 정의할 수 있는 충분한 세부정보가 포함되어 있는지 확인합니다.
  • 프로세스 초기 단계에 변호사를 참여시켜 제안된 계약서를 준비하고 검토하도록 지원합니다.
Google Cloud 금융 서비스 계약은 서비스 관계의 각 측면을 정의합니다. N/A
20. 고려해야 할 계약 요소의 예는 다음과 같습니다.
21 서비스 범위. 계약서에는 계약 당사자의 권리와 책임이 명확하게 명시되어 있어야 합니다. 고려해야 할 사항은 다음과 같습니다. 당사자의 권리와 책임 의무는 Google Cloud 금융 서비스 계약에 명시되어 있습니다. N/A
22
  • 필수 활동에 대한 설명, 구현 일정 및 책임 할당. 구현 조항은 다른 서비스 제공업체가 개발할 다른 기존 시스템 또는 상호 연관된 시스템을 고려해야 합니다(예: 기존 핵심 애플리케이션 또는 시스템 맞춤설정과 통합되는 인터넷 뱅킹 시스템).

활동

GCP 서비스는 서비스 요약 페이지에 설명되어 있습니다.

통합

시스템에 Google 서비스를 통합하는 방법에는 여러 가지가 있습니다.

  • Cloud Console을 사용하면 가상 머신, 네트워크 설정, 데이터 스토리지 등 한 곳에서 모든 Google Cloud 리소스의 상태를 찾고 확인할 수 있습니다.
  • Cloud API를 사용하면 코드에서 Google Cloud 제품에 액세스하고 선호하는 프로그래밍 언어를 사용하여 워크플로를 자동화할 수 있습니다.
정의
23
  • 소프트웨어 지원 및 유지보수, 직원 교육, 고객 서비스 등 서비스 제공업체의 의무 및 수행할 서비스

Google은 Google Cloud Platform 서비스수준계약에 따라 서비스 요약 페이지에 설명된 서비스를 제공합니다.

지원 서비스는 기술 지원 서비스 가이드라인 페이지에 설명되어 있습니다.

Google에서는 기관과 해당 직원들이 Google 서비스를 사용할 수 있는 방법을 설명하는 문서를 제공합니다. 기관에서 보다 자세한 교육을 원하는 경우 Google에서는 다양한 과정 및 인증을 제공합니다.

서비스

기술 지원

24
  • 금융기관의 의무
  • Google Cloud 금융 서비스 계약을 참조하세요.
25
  • 계약에 따라 수행되는 기존 서비스를 수정할 수 있는 계약 당사자의 권리

Google은 고객이 최신 기술을 활용할 수 있도록 서비스를 지속적으로 업데이트합니다. 서비스의 일대다 특성을 고려할 때 업데이트가 모든 고객에게 동시에 적용됩니다.

Google에서는 서비스의 기능, 실적, 가용성 또는 보안을 크게 줄여주는 업데이트를 제공하지 않습니다.

Google에서 교체하지 않고 서비스를 중단해야 하는 경우 최소 12개월 전에 사전 알림이 전송됩니다. Google은 이 기간 동안 지원, 제품 및 보안 업데이트를 계속 제공할 것입니다.

서비스 변경사항
26
  • 새 서비스 또는 다른 서비스 추가 및 계약 재협상을 위한 가이드라인

새 서비스

Google은 고객에게 최신 기능을 제공하기 위해 새로운 서비스를 지속적으로 도입하고 있습니다. 새 서비스가 제공될 때 서비스 요약 페이지에 추가되고, 각 고객은 기존 계약에 따라 사용 여부를 선택할 수 있습니다.

계약 재협상

서비스 및 기술이 변경됨에 따라 Google은 모든 고객에게 적용되는 URL에서 특정 약관을 업데이트할 수 있습니다. 모든 업데이트는 엄격한 기준을 충족해야 합니다. 예를 들어 서비스의 전반적인 보안이 크게 저하되거나 기존 권리에 중대하게 부정적인 영향을 미치지 않아야 합니다. 이러한 제한된 업데이트 외에도 모든 계약 변경사항은 양 당사자가 서면으로 작성하고 서명해야 합니다.

서비스 및 약관 업데이트

약관 변경, 개정안

27 실적 표준. 기관에는 최소 서비스 수준 요구사항과 계약의 기준을 충족하지 못하는 문제를 정의하는 실적 표준이 포함되어야 합니다. 예를 들어 일반적인 서비스 수준 측정항목에는 비율 시스템 업타임, 일괄 처리 완료 기한, 처리 오류 수가 포함됩니다. 서비스 수준에 대한 업계 표준에서 참조 포인트를 제공할 수 있습니다. 기관은 목표 및 목적과의 일관성을 보장하기 위해 주기적으로 전반적인 실적 표준을 검토해야 합니다. 이 책자에서 서비스수준계약 항도 참조하세요. SLA는 서비스에 대한 측정 가능한 실적 표준 및 구제 조치를 제공하며 Google Cloud Platform 서비스수준계약 페이지에서 확인할 수 있습니다. 서비스
28 보안 및 비밀유지. 계약서는 기관 리소스(예: 정보, 하드웨어)의 보안 및 비밀유지에 대한 서비스 제공업체의 책임을 다루어야 합니다. 본 합의는 계약된 서비스를 제공하는 데 필요하거나 일치하는 경우를 제외하고 서비스 제공업체 및 그 대리인이 기관의 정보를 사용하거나 공개하는 것을 금지하고 무단 사용(예: 기관 경쟁업체에 정보 공개)을 방지해야 합니다. 서비스 제공업체가 기관의 고객에 대한 비공개 개인 정보를 수신하는 경우 해당 기관은 서비스 제공업체가 개인정보 보호 규정의 모든 해당 요구사항을 준수하는지 확인해야 합니다. 기관은 기관 또는 고객에게 중대한 영향을 미칠 수 있는 서비스 제공업체에 대한 무단 침입을 초래하는 보안 위반 사항을 서비스 제공업체에 완전히 공개하도록 요구해야 합니다. 서비스 제공업체는 양 당사자 간의 합의에 따라 침입 발생 시 기관에 미치는 영향 및 침입에 대한 시정 조치를 기관에 보고해야 합니다. 보안

클라우드 서비스 사용 시 정보의 보안 및 개인정보 보호는 다음과 같은 두 가지 주요 요소로 구성됩니다.

Google 인프라

Google은 인프라 보안을 관리합니다. 이는 서비스를 지원하는 하드웨어, 소프트웨어, 네트워킹, 시설의 보안입니다.

서비스의 일대다 특성을 고려하여 Google은 모든 고객에게 동일한 강력한 보안을 제공합니다.

Google은 고객이 이해하고 자체 위험 분석의 일부로 고려할 수 있도록 고객에게 Google의 보안 관행에 대한 자세한 정보를 제공합니다.

자세한 정보는 다음을 참조하세요.

클라우드의 데이터 및 애플리케이션

클라우드에서 데이터와 애플리케이션의 보안을 정의합니다. 이는 서비스를 사용할 때 구현 및 작동하는 보안 조치를 의미합니다.

(a) 기본 보안

Google은 데이터와 관련하여 가능한 한 많은 선택권을 제공하고자 하지만 데이터 보안은 Google에게 가장 중요하므로 Google에서는 이를 지원하기 위해 다음과 같은 사전 조치를 취합니다.

  • 저장 데이터 암호화. Google은 고객이 아무런 조치를 취하지 않아도 기본으로 저장된 고객 데이터를 암호화합니다. 자세한 내용은 https://cloud.google.com/security/encryption/default-encryption에서 확인할 수 있습니다.
  • 전송 중인 데이터 암호화. 데이터가 Google이나 Google의 대리인이 제어하지 않는 물리적 경계 외부로 이동하면 Google은 네트워크 계층 하나 이상에서 전송 중인 모든 데이터를 암호화하고 인증합니다. 자세한 내용은 https://cloud.google.com/security/encryption-in-transit에서 확인할 수 있습니다.

(b) 보안 제품

Google 외부에서 사용할 수 있는 다른 도구 및 관행 외에도 Google에서 제공하는 도구를 사용하여 데이터 보안을 강화하고 모니터링할 수 있습니다. Google 보안 제품에 대한 정보는 Cloud 보안 제품 페이지에서 확인할 수 있습니다.

(c) 보안 리소스

Google에서는 다음 항목에 대한 지침도 게시합니다.

내 정보 사용

Google은 고객이 주문한 서비스를 제공하는 목적으로만 데이터에 액세스하거나 데이터를 사용하기 위해 최선을 다하고 있으며, 기타 Google 제품, 서비스 또는 광고에 이 데이터를 사용하지 않습니다.

개인정보 보호 및 비공개 개인 정보

Google은 서비스 제공 시 적용되는 개인정보 보호 법률 및 규정을 준수합니다.

보안 침해

Google은 신속하게 지체 없이 데이터 이슈를 알려드립니다. Google의 데이터 이슈 대응 프로세스에 대한 자세한 내용은 데이터 이슈 대응 백서에서 확인할 수 있습니다.

데이터 보안, 보안 조치(데이터 처리 및 보안 약관)

고객 데이터 보호.

데이터 처리, 역할 및 규정 준수(데이터 처리 및 보안 약관)

데이터 이슈(데이터 처리 및 보안 약관)

29. 제어. 관리에서는 다음과 같은 제어를 다루는 계약 조항 구현을 고려해야 합니다.
30
  • 서비스 제공업체 내부 제어

Google은 내부 제어의 효과에 대한 독립적인 인증을 제공하기 위해 최소한 1년 단위로 몇 차례의 독립적인 제3자 감사를 받습니다. Google은 내부 제어의 효과를 설명하기 위해 계약 기간 동안 다음과 같은 주요 국제 기준에 대한 인증/보고를 유지할 것을 약속합니다.

인증 및 감사 보고서
31
  • 관련 규제 요구사항 준수
Google은 서비스 제공 시 적용되는 모든 법률 및 규정을 준수합니다. 진술 및 보증
32
  • 서비스 제공업체의 기록 유지 요구사항
Google은 기관 및 이러한 기관에서 지명한 사람에게 액세스 권한 및 정보 권리를 부여합니다. 고객 정보, 감사, 액세스
33
  • 기관에서 기록에 대한 액세스
32행을 참조하세요.
34
  • 서비스, 시스템, 제어, 주요 프로젝트 직원 및 서비스 위치에 대한 중요한 변경사항 알림 요구사항 및 승인 권리

서비스

서비스 변경사항에 대해서는 25행을 참조하세요.

직원

고객은 Google 직원이 조치를 취하지 않아도 서비스를 독립적으로 운영할 수 있습니다. Google 직원은 서비스를 지원하는 하드웨어, 소프트웨어, 네트워킹, 시설을 관리하고 유지하지만 서비스의 일대다 특성상 개별 고객에게 서비스를 제공하는 전담 Google 직원은 없습니다.

위치

Google은 빠르고 안정적이며 견고하면서도 복원력이 우수한 서비스를 제공하기 위해 Google 또는 Google의 재처리자가 시설을 유지관리하는 곳에서 데이터를 저장하고 처리할 수 있습니다.

Google은 데이터가 위치한 국가/리전과 관계없이 데이터에 대한 동일한 계약 약정과 기술적, 조직적 조치를 제공합니다. 특히 다음 내용이 해당됩니다.

  • 국가/리전에 상관없이 모든 Google 시설에 동일한 강력한 보안 조치가 적용됩니다.
  • Google은 국가/리전에 상관없이 모든 재처리자에 대해 동일한 약정을 적용합니다.

Google은 데이터를 저장할 위치를 선택할 수 있습니다. 데이터를 저장할 위치를 선택하면 Google이 선택된 리전 외부에 데이터를 저장하지 않습니다.

Google에서 제공하는 도구를 사용하여 데이터 위치 요구사항을 적용할 수도 있습니다. 자세한 내용은 Google Cloud의 데이터 상주, 운영 투명성, 개인정보 보호 백서를 참조하세요.

데이터 전송(데이터 처리 및 보안 약관)

데이터 보안, 재처리자(데이터 처리 및 보안 약관)

데이터 위치(서비스별 약관)

35
  • 기관을 대신하여 결제 대행 또는 신용 연장을 포함한 금융 기능에 대한 매개변수 설정 및 모니터링
서비스의 특성상 Google은 기관을 대신하여 결제 대행(책자에 명시) 또는 신용 연장을 수행하지 않습니다. N/A
36
  • 서비스 제공업체에서 관리하는 보험 보장 범위
Google은 확인된 여러 위험에 적용되는 보험을 유지합니다. 보험
37 감사. 기관에서는 수신할 수 있는 감사 보고서 유형(예: 재무, 내부 제어, 보안 검토)을 계약서에 포함해야 합니다. 계약서에는 감사 빈도, 감사를 받는 데 필요한 모든 비용뿐 아니라 감사 결과를 적시에 받을 수 있는 기관 및 규제 당국의 권리를 지정해야 합니다. 또한, 계약의 모든 문제에 대한 해결 문서를 얻고 서비스 제공업체의 처리 시설 및 운영 관행을 검사할 권리를 지정할 수 있습니다. 경영진은 위험 평가 단계에 따라 내부 감사에 의존하거나 외부 감사 및 검토의 필요성을 고려해야 합니다.

감사 보고서

Google에서 제공하는 감사 보고서에 대한 자세한 내용은 10행을 참조하세요. Google은 계약 기간 동안 이러한 보고서를 유지하기 위해 최선을 다하고 있습니다. 보고서는 제3자 독립 기관의 감사를 거쳐 최소한 1년 단위로 생성됩니다.

언제든지 Google의 현재 인증 및 감사 보고서를 검토할 수 있습니다.

  • Google의 ISO 인증여기에서 확인할 수 있습니다.
  • Google의 SOC 보고서PCI 규정 준수 증명(AOC)은 Google Cloud 비즈니스 계정 담당자를 통해 제공됩니다.

기관은 이러한 자료를 규제 당국에 제공할 수 있습니다.

검사

Google은 기관에서 Google 서비스를 효과적으로 감사할 수 있어야 한다는 것을 알고 있습니다. Google은 Google의 처리 시설 및 운영 관행 검사를 포함하여 기관 및 독립 감사관에게 감사 권한을 부여합니다. 기관은 조직에 적합한 감사 빈도를 결정하는 데 가장 유리한 위치에 있습니다. Google의 계약은 정해진 수의 감사 범위로 기관을 제한하지 않습니다.

인증 및 감사 보고서

고객 규정 준수 지원

38 인터넷 관련 서비스 등 개방형 네트워크에 액세스할 수 있는 서비스의 경우 경영진은 보안에 특히 주의해야 합니다. 기관은 충분한 전문 지식을 가진 독립적인 당사자가 수행하는 정기적인 제어 검토를 요구하는 계약 조건을 포함하는 것을 고려해야 합니다. 이러한 검토에는 침투 테스트, 침입 감지, 방화벽 구성 검토, 기타 독립적인 제어 검토가 포함될 수 있습니다. 기관은 서비스 제공업체의 보안을 침해하지 않으면서 보안을 적절하게 평가하기 위해 지속적인 감사 결과에 대해 충분히 상세한 보고서를 받아야 합니다. Google의 사전 승인 없이 언제든지 서비스의 침투 테스트를 수행할 수 있습니다. 또한 Google은 자격을 갖춘 독립적인 제3자를 통해 서비스의 침투 테스트를 수행합니다. 자세히 알아보려면 여기를 참조하세요. 고객 침투 테스트
39 보고서. 계약 조건에는 기관이 수신하는 보고서의 빈도와 유형이 포함되어야 합니다(예: 실적 보고서, 제어 감사, 재무제표, 보안, 비즈니스 재개 테스트 보고서). 또한 계약에는 커스텀 보고서를 받기 위한 가이드라인 및 요금도 설명되어 있습니다.

실적 보고서

서비스의 기능을 사용하여 Google의 서비스 실적(SLA 포함)을 지속적으로 모니터링할 수 있습니다.

예를 들면 다음과 같습니다.

  • 상태 대시보드는 서비스의 상태 정보를 제공합니다.
  • Google Cloud 운영은 GCP에서 실행되는 애플리케이션에 대한 정보를 얻을 수 있는 통합 모니터링, 로깅, 진단 기능이 포함된 솔루션입니다.
  • 액세스 투명성은 Google 직원이 데이터와 관련하여 수행한 작업의 로그를 검토할 수 있는 기능입니다. 로그 항목에는 영향을 받는 리소스, 작업 시간, 작업 이유(예: 지원 요청과 관련된 사례 번호), 데이터에 대한 작업을 수행한 직원에 대한 데이터(예: Google 직원의 위치)가 포함됩니다.

재무 보고서

Google은 고객이 서비스 사용 및 관련 비용에 대한 보고서를 얻기 위해 사용할 수 있는 결제 도구를 제공합니다. 자세한 내용은 Cloud Billing 문서 페이지와 BigQuery로 Cloud Billing 데이터 내보내기 페이지에서 확인할 수 있습니다.

감사 및 보안 보고서

10행을 참조하세요.

비즈니스 재개 테스트 보고서

40행을 참조하세요.

중요한 개발 성과

Google은 고객에게 제공되는 SLA에 따른 Google의 서비스 수행 능력에 상당한 영향을 미치는 개발 성과에 대한 정보를 제공합니다. 자세한 내용은 이슈 및 Google Cloud 대시보드 페이지에서 확인할 수 있습니다.

지속적인 실적 모니터링

중요한 개발 성과

40 비즈니스 재개 및 비상 계획. 계약서에는 장비, 프로그램 및 데이터 파일, 재해 복구 및 비상 계획의 유지를 포함하여 백업 및 기록 보호에 대한 서비스 공급업체의 책임을 다루어야 합니다. 계약서에는 요금제를 정기적으로 테스트하고 기관에 결과를 제공할 서비스 제공업체의 책임도 간략하게 설명해야 합니다. 기관은 비즈니스 재개 테스트 요구사항을 결정할 때 서비스 제공업체 간의 상호 의존성을 고려해야 합니다. 서비스 제공업체는 비즈니스 중단 발생 시 필요한 운영 절차를 간략하게 서술하는 비상 계획의 사본을 기관에 제공해야 합니다. 기관의 비즈니스 요구사항을 충족하는 비즈니스 복구 기간에 대한 특정 조항이 계약서에 포함되어야 합니다. 기관은 계약서에 서비스 제공업체에 비상 계획 구현을 면제할 수 있는 조항이 포함되어 있지 않은지 확인해야 합니다.

Google은 Google 서비스에 대한 재해 복구 및 비즈니스 연속성 계획을 구현하고 최소 1년 단위로 검토하고 테스트하여 최신 업계 표준을 준수하도록 보장합니다. 기관이 계획 및 테스트 결과를 검토할 수 있습니다.

또한 고객이 자체 재해 복구 및 비즈니스 비상 계획에 Google 서비스를 사용하는 방법에 대한 자세한 내용은 재해 복구 계획 가이드에서 확인할 수 있습니다.

비즈니스 연속성 및 재해 복구
41 하도급 및 여러 서비스 제공업체 관계 일부 서비스 제공업체는 금융기관에 서비스를 제공하기 위해 제3자와 계약할 수 있습니다. 기관은 모든 하도급업체를 파악하고 승인해야 합니다. 금융기관은 책임을 제공하기 위해 계약서에서 1차 계약 서비스 제공업체를 지정해야 합니다. 또한 계약서는 실제로 운영을 수행하는지 개체에 관계없이 계약에 명시된 서비스에 대한 책임이 1차 계약 서비스 제공업체임을 명시해야 합니다. 또한 기관은 서비스 제공업체의 주요 하도급업체의 변경에 대한 알림 및 승인 요구사항도 포함하는 것이 좋습니다.

Google은 기관이 하도급과 관련된 위험을 고려해야 한다는 점을 알고 있습니다. 또한 Google은 기관과 모든 고객에게 가능한 한 가장 안정적이고 견고하며 복원력이 우수한 서비스를 제공하기 위해 노력하고 있습니다. 경우에 따라 다른 신뢰할 수 있는 조직과 협력하여 연중무휴 24시간 지원 서비스 등을 제공하면 확실한 이점이 있을 수 있습니다.

책임

Google은 하도급업체가 Google과 동일한 높은 기준을 충족할 것을 요구합니다. 특히 Google은 하도급업체가 Google과 고객 간의 계약을 준수할 것을 요구합니다. Google은 모든 하도급 계약 의무를 이행할 책임이 있습니다.

정보 및 변경사항

기관이 하도급 감독권을 보유하고 기관이 사용할 서비스에 대한 선택권을 제공하기 위해 Google은 다음을 수행합니다.

  • 하도급업체(기능 및 위치 포함)에 대한 정보 제공
  • 하도급업체 변경에 대한 사전 알림 제공
  • 기관이 새로운 하도급업체가 우려될 경우 계약을 해지할 권한 부여
Google 하도급업체
42 비용. 계약서에는 개발, 변환, 반복 서비스를 포함한 기본 서비스에 대한 요금 계산과 활동량 또는 특별 요청에 따른 모든 요금이 설명되어 있어야 합니다. 또한 계약에서 하드웨어 및 소프트웨어 구매 및 유지보수에 대한 책임과 추가 비용에 대해서도 설명되어 있어야 합니다. 비용 구조를 변경할 수 있는 모든 조건은 비용 증가 한도를 포함하여 세부정보를 자세하게 다루어야 합니다. 이 책자에서 가격 책정 방법 및 번들링 섹션을 참조하세요.

Google Cloud 금융 서비스 계약을 참조하세요.

감사

Google은 Google 서비스의 감사 또는 조사를 통해 기관을 지원하기 위해 최선을 다하고 있습니다. 이 지원은 일반적으로 공개된 서비스 요금에 포함되어 있지 않으므로 Google은 감사 또는 조사와 관련하여 추가 요금을 부과할 수 있습니다. Google에서는 활동 범위가 알려진 경우 활동 이전에 발생하는 수수료에 관한 세부정보를 추가로 제공합니다.

결제 약관
43 소유권 및 라이선스 계약서에는 기관의 데이터, 장비/하드웨어, 시스템 문서, 시스템 및 애플리케이션 소프트웨어, 기타 지적 재산권의 소유권, 권리 및 허용 가능한 사용이 포함됩니다. 기관 데이터의 소유권은 명확하게 기관에 있어야 합니다. 기타 지적 재산권에는 기관의 이름 및 로고, 상표 또는 저작권 보호 자료, 도메인 이름, 웹사이트 디자인, 해당 서비스 제공업체가 기관을 위해 개발한 기타 제품이 포함될 수 있습니다. 아웃소싱 서비스를 지원하기 위해 맞춤설정된 소프트웨어를 개발하는 방법에 대한 자세한 내용은 IT 안내서의 '개발 및 획득 관련 책자'에서 확인할 수 있습니다.

데이터

Google의 서비스 및 애플리케이션을 사용하여 데이터에서 파생되는 모든 지적 재산권은 고객이 보유합니다. 데이터 사용 및 보호에 관한 Google의 노력은 28행을 참조하세요.

상표, 로고 등

Google은 사전 승인 없이 브랜드 표시를 사용하지 않습니다.

지적 재산권

마케팅 및 홍보

44 지속 시간. 기관은 적절한 계약 기간과 갱신 기간을 협상할 때 기술 유형과 산업의 현재 상태를 고려해야 합니다. 장기 기술 계약의 혜택을 누릴 수 있지만 특정 기술은 급속도로 변경될 수 있으므로 단기 계약이 유익 할 수 있습니다. 마찬가지로 기관은 만료 전에 계약을 갱신하지 않겠다는 기관의 의도를 서비스 제공업체에 알리는 데 필요한 적절한 기간을 고려해야 합니다. 기관은 가능한 경우 일치하도록 상호 관련된 서비스(예: 웹사이트, 통신, 프로그래밍, 네트워크 지원)에 대한 계약 만료일의 조정을 고려해야 합니다. 이러한 조정을 통해 계약을 조기에 해지하고 다른 관련 서비스 계약이 해지될 경우 불이익이 발생할 위험을 최소화할 수 있습니다. Google Cloud 금융 서비스 계약을 참조하세요. 기간 및 해지
45 분쟁 해결. 기관은 신속하게 문제를 해결하려는 분쟁 해결 절차에 대한 조항과 분쟁 해결 기간 동안 서비스의 지속을 위한 조항을 포함하는 방안을 고려해야 합니다. Google Cloud 금융 서비스 계약을 참조하세요. 준거법
46 배상. 배상 조항은 서비스 제공업체가 금융기관을 서비스 제공업체의 과실에 대한 책임으로부터 면제하도록 요구해야 합니다. 변호사는 서비스 제공업체의 과실로 인해 발생하는 소송에 대해 기관이 책임을 지지 않도록 이 조항을 검토해야 합니다. Google Cloud 금융 서비스 계약을 참조하세요. 배상
47 책임의 제한. 일부 서비스 제공업체 표준 계약에는 서비스 제공업체에 의해 발생할 수 있는 책임의 범위를 제한하는 절이 포함될 수 있습니다. 기관에서 이러한 계약을 고려하고 있다면 경영진은 손해 제한이 서비스 제공업체가 의무를 이행하지 않아 금융기관이 경험할 수 있는 손실 금액과 적절한 관계가 있는지 평가해야 합니다. Google Cloud 금융 서비스 계약을 참조하세요. 책임
48 해지 경영진은 계약 해지 조항의 일정 및 비용을 평가해야 합니다. 해지 권한의 범위와 유연성은 서비스에 따라 다를 수 있습니다. 기관은 제어 변경(예: 인수 및 합병), 편의성, 상당한 비용 증가, 서비스 수준 충족 실패, 중요한 서비스 제공 실패, 파산, 회사 폐쇄, 지불 불능을 포함한 다양한 조건에 대한 해지 권한을 포함하는 것을 고려해야 합니다. 계약서는 알림 및 기간 요구사항을 설정하고 해지 시 기관의 데이터 및 리소스를 머신에서 읽을 수 있는 형식으로 적시에 반환하도록 명시해야 합니다. 또한 변환 지원과 관련된 모든 비용도 명확하게 명시해야 합니다.

해지

기관은 Google이 수수료를 인상하거나 법률을 준수하기 위해 필요한 경우를 포함하여 사전 알림을 통해 계약을 해지할 수 있습니다.

또한 기관은 시정 기간 후 Google의 중대한 위반, 제어 변경 또는 Google의 지불 불능에 대해 사전 알림을 통해 계약을 해지할 수 있습니다.

이전

Google은 기관이 서비스를 종료하는 데 충분한 시간이 필요하다는 점을 알고 있습니다(다른 서비스 제공업체로의 서비스 이전 포함). 기관이 이러한 목표를 달성하는 데 도움을 주기 위해 Google은 요청 시 계약의 만료 또는 해지 후에도 12개월 동안 서비스를 계속 제공합니다.

Google은 계약 기간 동안과 해지 후 전환 기간 동안 데이터에 액세스하고 데이터를 내보낼 수 있습니다. 서비스의 데이터를 다양한 업계 표준 형식으로 내보낼 수 있습니다. 예를 들면 다음과 같습니다.

  • Google Kubernetes Engine은 다양한 클라우드뿐만 아니라 온프레미스 환경에서도 이동성을 지원하는 프러덕션에 즉시 사용 가능한 관리형 환경입니다.
  • Migrate to Containers를 통해 워크로드를 Google Kubernetes Engine의 컨테이너로 직접 옮기고 변환할 수 있습니다.
  • 전체 VM 이미지를 .tar 보관 파일의 형태로 내보내거나 가져올 수 있습니다. 이미지 및 스토리지 옵션에 대한 자세한 내용은 Compute Engine 문서 페이지를 참조하세요.

기간 및 해지

이전 기간

데이터 내보내기(데이터 처리 및 보안 약관)

49 양도. 기관은 기관의 동의 없이 제3자에게 계약을 양도하는 것을 금지하는 계약 조항을 고려해야 합니다. 양도 조항에는 중요한 하도급업체 변경에 대한 알림 요구사항도 반영되어야 합니다.

할당

Google Cloud 금융 서비스 계약을 참조하세요.

하도급

하도급에 대해서는 41행을 참조하세요.

할당
50 해외 소재 서비스 제공업체. 해외 소재 서비스 제공업체와 계약을 맺는 기관은 다양한 추가 계약 문제와 조항을 고려해야 합니다. 이 책자에 포함된 부록 C를 참조하세요.

Google LLC는 미국 소재 기관에 대한 서비스 제공업체입니다. Google LLC는 미국 델라웨어주 법률에 따라 구성됩니다.

계약에 적용되는 준거법 및 관할권에 대한 자세한 내용은 Google Cloud 금융 서비스 계약을 참조하세요.

준거법
51 규정 준수. 금융기관은 서비스 제공업체와의 계약서에 서비스 제공업체 및 그 서비스가 관련 규제 지침과 요구사항을 준수하도록 하는 합의가 포함되어 있는지 확인해야 합니다. 또한 이 조항은 서비스 제공업체가 금융기관에 제공하는 서비스의 유형 및 수준에 따라 정확한 정보와 적시 액세스를 적절한 규제 당국에 제공하는 데 동의함을 나타내야 합니다.

규정 준수

Google은 서비스 제공과 관련된 모든 법률, 규정 및 구속력을 갖는 규제 지침을 준수합니다.

규제 당국에서 액세스

Google은 기관의 규제 당국 및 이러한 기관에서 지명한 사람에게 액세스 및 정보 권리를 부여합니다.

진술 및 보증

규제 당국 정보, 감사, 액세스