이 페이지는 기계 번역으로 귀하의 편의를 위해서만 제공되었으며 영어 원문의 의미가 정확하게 반영되어 있지 않을 수도 있습니다. 본 문서의 용어, 조건, 표현이 가지는 의미는 영어 원문의 정의 및 해석을 따릅니다. 이 텍스트의 영어 버전과 번역본이 불일치하거나 충돌하는 경우, 영어 버전이 우선합니다.

CLOUDFLARE 데이터 처리 부록

버전 5, 2022년 12월 30일 발효

("Cloudflare")와 본 약관에 동의하는 상대방("고객")은 Cloudflare가 제공하는 서비스에 대한 기업 구독 계약, 셀프 서비스 구독 계약 또는 기타 서면 또는 전자 계약("주 계약")을 체결했습니다. 본 데이터 처리 부록(, ) 및 부록(이하 "DPA")은 본 계약의 일부를 구성합니다.

본 DPA는 고객이 서명하거나 당사자들이 본 DPA에 달리 동의한 날로부터 효력이 발생하며, 해당 주제와 관련된 모든 이전 적용 약관(서비스와 관련된 데이터 처리 수정, 계약 또는 부록 포함)을 대체하고 대체합니다("DPA 효력 발생일").

귀하가 고객을 대신하여 본 DPA를 수락하는 경우 귀하는 다음을 보증합니다: (a) 귀하는 본 DPA에 따라 고객을 구속할 수 있는 완전한 법적 권한이 있으며, (b) 귀하는 본 DPA를 읽고 이해했으며, (c) 귀하는 고객을 대신하여 본 DPA에 동의합니다. 고객을 구속할 법적 권한이 없는 경우 이 DPA에 동의하지 마십시오.

데이터 처리 약관

본 DPA는 Cloudflare가 고객을 대신하여 서비스를 제공하기 위해 프로세서(또는 해당되는 경우 하위 프로세서)로서 개인 데이터를 처리하는 경우에 적용되며, 그러한 개인 데이터는 적용 가능한 데이터 보호법(아래 정의 참조)의 적용을 받습니다.

양 당사자는 해당 데이터 보호법에 따라 해당 개인 데이터를 보호하기 위한 적절한 안전장치를 마련하기 위해 본 DPA를 체결하는 데 동의했습니다. 따라서 Cloudflare는 고객을 대신하여 처리자(또는 해당되는 경우 하위 처리자)로서 처리하는 모든 개인 데이터와 관련하여 다음 조항을 준수하는 데 동의합니다.

1. 정의

1.1 본 DPA에서는 다음과 같은 정의가 사용됩니다:

a) "적절한 국가"는 유럽 데이터 보호법에 따라 개인 데이터에 대한 적절한 보호를 제공하는 것으로 인정되는 국가 또는 지역을 의미합니다.

b) "제휴사"는 당사자와 관련하여 직접 또는 간접적으로 당사자를 지배하거나, 당사자의 지배를 받거나, 당사자와 공동 지배 하에 있는 모든 법인을 의미합니다(단, 그러한 지배가 존재하는 동안에만 해당).

c) "적용 가능한 데이터 보호법"은 유럽 데이터 보호법 및 미국 데이터 보호법을 포함하여 본 계약에 따른 개인 데이터 처리에 적용되는 모든 법률 및 규정을 의미합니다.

d) "Cloudflare Group"은 Cloudflare 및 그 계열사를 의미합니다.

e) "컨트롤러"는 개인 데이터 처리의 목적과 수단을 결정하는 주체를 의미하며, 해당 데이터 보호법에 정의된 대로 "컨트롤러", "비즈니스" 또는 이와 유사한 용어를 포함합니다.

f) "고객 그룹"은 고객 및 그 계열사를 의미합니다.

g) "유럽 데이터 보호법"은 본 계약에 따라 개인정보 처리에 적용되는 유럽연합, 유럽경제지역, 그 회원국, 스위스 및 영국의 모든 법률 및 규정(해당되는 경우 (i) 개인정보 처리 및 그러한 데이터의 자유로운 이동과 관련한 자연인의 보호에 관한 유럽의회 및 이사회의 규정 2016/679(일반 데이터 보호 규정)( "EU GDPR" )을 포함합니다; (ii) 영국의 유럽연합(탈퇴) 법 2018 및 영국 데이터 보호법 2018의 제3조에 따라 영국 법률에 저장된 EU GDPR( "UK GDPR" ); (iii) 1992년 6월 19일의 스위스 연방 데이터 보호법 및 해당 법령("Swiss DPA"); (iv) EU 전자 개인정보 보호 지침(지침 2002/58/EC), (v) (i), (ii), (iii), (iv) 중 하나에 따라 제정되거나, 이에 의거하거나, 이와 함께 적용되는 모든 해당 국가 데이터 보호법.

h) '개인정보'는 해당 데이터 보호법에 따라 '개인정보', '개인정보' 또는 '개인 식별 정보'(또는 이와 유사한 용어)로 정의되는 모든 데이터를 의미합니다.

i) "처리", "데이터 주체" 및 "감독 기관"은 유럽 데이터 보호법에 명시된 의미를 갖습니다.

j) "프로세서"는 컨트롤러를 대신하여 개인 데이터를 처리하는 주체를 의미하며, 정보를 받는 주체가 서비스 제공 목적으로만 개인 데이터 정보를 보유, 사용 또는 공개하도록 요구하는 서면 계약에 따라 다른 주체가 사업 목적으로 자연인의 개인 정보를 공개하는 주체를 포함하며, 해당 데이터 보호법에 정의된 "프로세서", "서비스 제공자" 또는 이와 유사한 용어를 포함할 수 있습니다.

k) "서비스"는 인터넷 자산, 애플리케이션 및 네트워크의 성능, 보안 및 가용성을 향상시키도록 설계된 모든 클라우드 기반 솔루션과 전술한 내용과 관련하여 제공되는 소프트웨어, 소프트웨어 개발 키트 및 애플리케이션 프로그래밍 인터페이스("APIs")를 의미합니다.

l) "EUSCCs"는 유럽의회 및 이사회의 규정 (EU) 2016/679에 따라 제3국으로의 개인정보 이전에 대한 표준 계약 조항에 관한 유럽위원회의 2021년 6월 4일자 이행 결정 2021/914에 부속된 계약 조항을 의미합니다.

m) "제한적 전송"은 다음을 의미합니다: (i) EU GDPR 또는 스위스 연방 데이터 보호법이 적용되는 경우, 유럽 경제 지역 또는 스위스(해당되는 경우)에서 유럽 위원회 또는 스위스 연방 데이터 보호 및 정보 위원(해당되는 경우)의 적정성 결정의 대상이 아닌 유럽 경제 지역 또는 스위스(해당되는 경우) 이외의 국가로 개인 데이터를 전송하는 경우, (ii) 영국 GDPR이 적용되는 경우, 영국에서 2018 영국 데이터 보호법 제17A조에 따른 적정성 규정에 근거하지 않은 다른 국가로 개인 데이터를 전송하는 경우를 의미합니다.

n) "영국 부록"은 영국 데이터 보호법 2018의 s.119(A)에 따라 정보위원회 사무실에서 발행한 국제 데이터 전송 부록(버전 B1.0)을 의미하며, 수시로 업데이트되거나 수정될 수 있습니다.

o) "미국 데이터 보호법"은 본 계약에 따른 개인 데이터 처리에 적용되는 미국의 모든 법률 및 규정을 의미하며, 여기에는 (a) 2018년 캘리포니아 소비자 개인정보 보호법(캘리포니아 개인정보 보호 권리법 2020(Cal. Civ. Code § 1798.100 - 1798.199, 2022) 및 그 시행 규정(총칭하여 "CCPA"), (b) 버지니아 소비자 데이터 보호법(시행 시), (c) 콜로라도 개인정보 보호법 및 그 시행 규정(시행 시), 유타 소비자 개인정보 보호법(시행 시), (d) 코네티컷 SB6, 개인 데이터 보호 및 온라인 모니터링에 관한 법(시행 시).

1.2 ""법인이 다른 법인을 통제하는 경우: (a) 해당 법인의 의결권 과반수를 보유하거나, (b) 해당 법인의 구성원 또는 주주로서 이사회 또는 이에 상응하는 관리기구의 과반수를 해임할 권리를 보유하거나, (c) 해당 법인의 구성원 또는 주주로서 단독으로 또는 다른 주주 또는 구성원과의 계약에 따라 해당 법인의 의결권 과반수를 지배하는 경우; 또는 (d) 정관 또는 계약에 따라 지배적인 영향력을 행사할 수 있는 권리가 있는 경우; 두 법인 중 하나가 다른 법인을 (직접 또는 간접적으로) 지배하거나 두 법인 모두 동일한 법인에 의해 (직접 또는 간접적으로) 지배되는 경우 두 법인은 "공동 지배" 에 속한 것으로 간주됩니다.

1.3 본 DPA의 목적상, 서비스를 "제공" 또는 "제공"한다는 것은 본 계약에 정의된 대로 서비스를 제공하는 것을 의미합니다;

2. 당사자 상태

2.1 본 DPA에 따라 처리되는 개인 데이터의 유형과 처리 대상, 기간, 성격 및 목적, 데이터 주체의 범주는 부록 1에 설명된 바와 같습니다.

2.2 각 당사자는 개인정보와 관련하여 해당 데이터 보호법에서 요구하는 것과 동일한 수준의 개인정보 보호를 준수하고 제공할 것을 보증합니다. 당사자 간에는 고객이 개인 데이터의 정확성, 품질, 적법성 및 고객이 개인 데이터를 취득한 수단에 대해 전적으로 책임을 집니다.

2.3 개인 데이터에 관한 본 DPA에 따른 당사자의 권리 및 의무와 관련하여, 당사자는 고객이 컨트롤러(또는 제3자 컨트롤러를 대신하여 개인 데이터를 처리하는 처리자)이며 Cloudflare가 프로세서(또는 해당되는 경우 하위 프로세서)임을 인정하고 이에 동의합니다.

2.4 고객이 처리자인 경우, 고객은 개인 데이터와 관련한 고객의 지시 및 조치(다른 처리자로 Cloudflare를 지정하고 해당되는 경우, EU SCC(아래 6.2(b) 및 (c)항에서 개정될 수 있는 내용 포함)를 포함하여)가 관련 제3자 컨트롤러에 의해 승인되었음을(그리고 본 DPA 기간 동안 계속 승인될 것임) Cloudflare에 보증합니다.

3. 클라우드플레어의 의무

3.1 Cloudflare는 프로세서 또는 하위 프로세서로서의 역할로 처리하는 모든 개인 데이터와 관련하여 다음과 같이 보증합니다:

(a) 서비스 제공이라는 제한적이고 특정한 사업 목적을 위해서만 그리고 다음에 따라 개인 데이터를 처리합니다: (i) 클라우드플레어가 적용되는 유럽연합 또는 회원국 법률에 의해 요구되지 않는 한, 본 계약 및 본 DPA에 명시된 고객의 서면 지침 및 (ii) 해당 데이터 보호법의 요구사항에 따라 처리합니다. ​​해당 데이터 보호법에 따라 개인 데이터를 처리해야 하는 경우, 해당 법률이 공익의 중요한 근거로 그러한 정보를 금지하지 않는 한, Cloudflare는 처리 전에 고객에게 해당 법적 요구 사항을 알려야 합니다;

(b) 마케팅 또는 광고 목적으로 개인 데이터를 사용하지 않습니다;

(c) 개인 데이터 처리로 인해 발생하는 위험에 적합한 수준의 보안, 특히 개인 데이터의 우발적 또는 불법적인 파기, 분실, 변경, 무단 공개 또는 액세스에 대한 보호를 보장하기 위해 적절한 기술적 및 조직적 조치를 구현합니다. 이러한 조치에는 부록 2("보안 조치")에 명시된 보안 조치가 포함되며, 이에 국한되지 않습니다. 고객은 보안 조치가 기술 발전 및 개발의 영향을 받으며, 그러한 업데이트 및 수정이 서비스의 전반적인 보안을 저하시키거나 약화시키지 않는 한, Cloudflare가 수시로 보안 조치를 업데이트 또는 수정할 수 있음을 인정합니다;

(d) 승인된 직원만 해당 개인 데이터에 액세스할 수 있도록 하고, 개인 데이터에 액세스할 수 있도록 승인한 모든 사람이 계약상 또는 법률상 기밀 유지 의무를 준수하도록 합니다;

(e) 고객에게 서비스를 제공할 목적으로 전송, 저장 또는 처리된 개인 데이터의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 접근을 초래하는 보안 위반을 Cloudflare, 그 하위 처리자가 인지하는 즉시 고객에게 지체 없이 통지합니다, 또는 기타 식별되거나 식별되지 않은 제3자("개인 데이터 침해")에 의해 서비스를 제공하기 위해 전송, 저장, 처리되는 개인 데이터의 무단 유출 및 변경, 무단 공개를 금지하며, 개인 데이터에 영향을 미치는 한 해당 개인 데이터 침해와 관련하여 Cloudflare가 보유한 모든 합리적인 정보를 포함하여 해당 개인 데이터 침해와 관련하여 고객에게 합리적인 협조와 지원을 제공합니다;

(f) 관련 법률에서 요구하지 않는 한, 고객의 사전 서면 동의 없이 개인 데이터 침해에 대한 공개 발표('침해 통지')를 하지 않습니다;

(g) Cloudflare가 데이터 주체가 고객과 연관되어 있음을 확인할 수 있는 범위 내에서, 데이터 주체로부터 해당 데이터 주체의 개인 데이터에 대한 데이터 보호 권리(액세스, 수정 또는 삭제 권리 포함)를 행사하라는 요청을 받은 경우 고객에게 즉시 통지합니다("데이터 주체 요청"). Cloudflare는 해당 요청이 고객과 관련된 것임을 확인하는 경우를 제외하고는 고객의 사전 서면 동의 없이 데이터 주체 요청에 응답하지 않으며, 고객은 이에 동의합니다;

(h) 고객이 Cloudflare의 도움 없이 데이터 주체 요청을 처리할 능력이 없는 경우, 해당 데이터 주체의 개인 데이터와 관련하여 해당 데이터 보호법에 따른 데이터 보호 권리(액세스, 수정 또는 삭제 권리 포함)를 행사하기 위한 데이터 주체 요청에 응답하는 데 있어 Cloudflare가 가능한 범위 내에서 관련 법률에 따라 고객에게 합리적인 지원을 제공합니다. 고객은 요청자가 개인 데이터와 관련하여 요청을 한 데이터 주체인지 확인할 책임이 있습니다. Cloudflare는 이 하위 섹션에 의존하여 고객에게 선의로 제공한 정보에 대해 책임을 지지 않습니다. 고객은 그러한 지원 제공과 관련하여 Cloudflare가 부담하는 모든 비용을 부담해야 합니다;

(i) 관련 법률을 준수하기 위해 필요한 경우를 제외하고, 본 계약의 해지 또는 만료 또는 서비스 완료 후 고객의 선택에 따라 본 DPA에 따라 처리된 모든 개인 데이터(사본 포함)를 삭제하거나 반환합니다;

(j) 처리의 성격과 Cloudflare가 이용할 수 있는 정보를 고려하여, 관련 데이터 보호법에 따른 Cloudflare의 의무와 관련하여 고객이 합리적으로 요청하는 대로 고객에게 그러한 지원을 제공합니다:

(i) 데이터 보호 영향 평가 및 사전 협의(해당 용어는 해당 데이터 보호 법률에 정의되어 있음);

(ii) 해당 데이터 보호법에 따라 감독 기관에 대한 통지 및/또는 개인 데이터 침해에 대응하여 고객이 데이터 주체에게 전달하는 통신

(iii) 처리 보안과 관련하여 해당 데이터 보호법에 따른 고객의 의무 준수 여부;

단, 고객은 그러한 지원 제공과 관련하여 Cloudflare가 발생하는 모든 비용을 부담해야 합니다.

(k) 클라우드플레어의 의견에 따라 고객이 3.1(a)항에 따라 제공한 지침이 해당 데이터 보호법을 위반하는 경우 또는 클라우드플레어가 해당 데이터 보호법에 따른 의무를 더 이상 이행할 수 없다고 판단하는 경우, 고객에게 통지합니다.

3.2 Cloudflare가 CCPA의 범위 내에서 고객을 대신하여 개인 데이터를 처리하는 범위 내에서, Cloudflare는 고객에게 다음과 같은 추가 약속을 합니다: Cloudflare는 "판매" 면제를 포함하여 본 계약 및 본 DPA에 명시된 목적 및 CCPA에 따라 허용되는 목적 이외의 목적으로 해당 개인 데이터를 보유, 사용 또는 공개하지 않습니다. Cloudflare는 CCPA에 정의된 대로 이러한 개인 데이터를 "판매"하거나 "공유"하지 않습니다. 본 3.2항은 본 계약 또는 본 DPA에서 Cloudflare가 고객에 대해 하는 데이터 보호 약속을 제한하거나 축소하지 않습니다.

3.3 Cloudflare는 2항 및 3항의 의무 및 제한 사항과 적용 가능한 데이터 보호법을 이해하고 준수할 것임을 인증합니다.

4. 서브 프로세싱

4.1 Cloudflare는 서비스 제공이라는 특정 목적을 위해서만 하위 처리자에게 개인 데이터를 공개합니다.

4.2 Cloudflare는 본 DPA와 관련하여 자사를 대신하여 서비스의 일부를 제공하기 위해 계약하는 모든 하위 프로세서가 본 DPA에서 Cloudflare에 부과하는 것보다 개인 데이터를 덜 보호하지 않는 하위 프로세서 약관(즉, 데이터 보호 의무)을 부과하는 서면 계약("관련 약관")에 근거하여만 그렇게 하도록 보장합니다. Cloudflare는 해당 하위 프로세서가 관련 약관을 이행하도록 보장하며, 해당 하위 프로세서가 관련 약관을 위반하는 경우 고객에게 책임을 집니다.

4.3 고객은 (a) 클라우드플레어에게 클라우드플레어 그룹의 다른 구성원을 하위 프로세서로 임명할 수 있는 권한을 부여하고, (b) 클라우드플레어 및 클라우드플레어 그룹의 다른 구성원이 제3자 데이터 센터 운영자, 비즈니스, 엔지니어링 및 고객 지원 제공업체를 서비스 수행을 지원하기 위한 하위 프로세서로 임명할 수 있는 권한을 부여하는 일반적인 서면 승인을 부여합니다.

4.4 Cloudflare는 https://www.cloudflare.com/gdpr/subprocessors/ 에서 하위 프로세서 목록을 유지 관리합니다. 그리고 해당 하위 처리자가 개인 데이터 처리를 시작하는 날로부터 최소 삼십(30) 일 전에 신규 및 교체 하위 처리자의 이름을 목록에 추가합니다. 고객이 데이터 보호와 관련된 합리적인 이유로 신규 또는 교체 하위 프로세서에 이의를 제기하는 경우, 고객은 통지일로부터 10일 이내에 그러한 이의를 Cloudflare에 서면으로 통지해야 하며, 양 당사자는 성실하게 문제를 해결하기 위해 노력합니다. Cloudflare가 하위 프로세서를 사용하지 않고도 본 계약에 따라 고객에게 서비스를 합리적으로 제공할 수 있고 재량에 따라 그렇게 결정한 경우, 고객은 하위 프로세서의 제안된 사용과 관련하여 본 4.4항에 따른 추가 권리를 갖지 않습니다. Cloudflare가 재량에 따라 하위 프로세서의 사용을 요구하고 제안된 신규 또는 교체 하위 프로세서의 사용과 관련하여 고객의 이의를 만족시킬 수 없는 경우, 고객은 개인 데이터 처리를 위해 제안된 신규 하위 프로세서를 사용할 서비스(들)에 대해서만 Cloudflare가 해당 신규 또는 교체 하위 프로세서의 사용을 시작한 날부터 해당 주문 양식을 해지할 수 있습니다. 고객이 본 4.4항에 따라 신규 또는 교체 하위 프로세서에 대해 적시에 이의를 제기하지 않는 경우, 고객은 하위 프로세서에 동의하고 이의를 제기할 권리를 포기한 것으로 간주됩니다.

5. 감사 및 기록

5.1 Cloudflare는 해당 데이터 보호법에 따라, 개인 데이터 처리와 관련하여 Cloudflare가 해당 데이터 보호법에 따른 처리자의 의무를 준수함을 입증하기 위해 고객이 합리적으로 요청할 수 있는 Cloudflare의 소유 또는 통제 하에 있는 정보를 고객에게 제공해야 합니다.

5.2 Cloudflare는 개인 데이터와 관련하여 적용 가능한 보호법에 따라 고객의 감사 권리를 제공함으로써 이를 이행할 수 있습니다:

(a) 독립적인 외부 감사인이 작성한 13개월 이내의 감사 보고서로, Cloudflare의 기술적 및 조직적 조치가 충분하고 업계에서 인정하는 감사 표준에 부합함을 입증합니다;

(b) 데이터 보호 감독 기관이 본 DPA에 따라 Cloudflare가 수행하는 개인 데이터 처리와 관련하여 추가 정보를 요청하거나 필요로 하는 경우, Cloudflare가 소유 또는 통제하는 추가 정보.

(c) 고객의 개인 데이터가 EU SCC의 적용을 받고 본 5.2항에 따라 제공되는 정보가 고객의 합리적인 판단에 따라 Cloudflare가 본 DPA 또는 해당 데이터 보호법에 따른 의무를 준수하는지 확인하기에 불충분한 경우, Cloudflare는 고객이 본 계약에 정의된 대로 기간 중 연간 기간당(본 계약에 정의된 대로) 한 번의 현장 감사를 요청하여 5.3항에 따라 Cloudflare의 본 DPA에 따른 의무 준수 여부를 확인할 수 있도록 허용합니다.

5.3 고객이 요청하는 감사에는 다음 추가 약관이 적용됩니다:

(a) 고객은 Cloudflare의 감사 보고서에 대한 검토 요청을 customer-compliance@cloudflare.com 으로 보내야 합니다.

(b) 클라우드플레어가 5.2(c)항에 따른 감사 요청을 받은 후, 클라우드플레어와 고객은 5.2(c)항에 따른 감사에 적용되는 합리적인 시작일, 범위, 기간, 보안 및 기밀성 통제에 대해 사전에 논의하고 합의합니다. 가능한 경우, 이러한 감사를 위한 증거는 Cloudflare의 가장 최근 타사 감사를 위해 수집된 증거로 제한됩니다.

(c) Cloudflare는 5.2(c)항에 따른 감사에 대해 (Cloudflare의 합리적인 비용을 기준으로) 수수료를 부과할 수 있습니다. Cloudflare는 해당 감사에 앞서 고객에게 해당 수수료에 대한 자세한 내용과 그 계산 근거를 제공합니다. 고객은 그러한 감사를 수행하기 위해 고객이 임명한 감사인이 청구하는 모든 수수료를 부담해야 합니다.

(d) 고객이 5.2(c)항에 따라 감사를 수행하도록 지정한 감사인이 Cloudflare의 합리적인 판단에 따라 적합하지 않거나 독립적이지 않거나, Cloudflare의 경쟁자이거나, 기타 명백하게 부적합한 경우(즉, 앞서 언급한 측면에 상응하는 Cloudflare의 비즈니스에 유해한 영향을 미칠 수 있는 감사인), Cloudflare는 서면으로 이의를 제기할 수 있습니다. Cloudflare가 이러한 이의 제기를 하는 경우 고객은 다른 감사인을 선임하거나 감사를 직접 수행해야 합니다. EU SCC(아래 6.2(가) 및 (나)항에서 개정될 수 있는 내용 포함)가 적용되는 경우, 본 5.3항의 어떠한 내용도 EU SCC를 변경하거나 수정하지 않으며, EU SCC에 따른 감독 당국 또는 데이터 주체의 권리에 영향을 미치지 않습니다.

6. 유럽경제지역(EEA), 스위스 및 영국으로부터의 데이터 전송

6.1 서비스와 관련하여, 당사자들은 Cloudflare(및 하위 처리자)가 유럽경제지역("EEA"), 스위스 및 영국 외부에서 고객 또는 고객 그룹의 구성원이 컨트롤러(또는 해당되는 경우 제3자 컨트롤러를 대신하는 처리자)가 될 수 있는 유럽 데이터 보호법에 의해 보호되는 특정 개인 데이터를 처리할 수 있을 것으로 예상합니다.

6.2 양 당사자는 유럽 데이터 보호법에 의해 보호되는 개인 데이터를 고객 또는 고객 그룹의 구성원으로부터 Cloudflare로 전송하는 것이 제한적 전송인 경우, 다음과 같이 해당 EU SCC의 적용을 받는다는 데 동의합니다:

(a) EU 전송: EU GDPR에 의해 보호되는 개인 데이터와 관련하여 EU SCC는 다음과 같이 완성된 상태로 적용됩니다:

(i) 모듈 2는 고객(또는 고객 그룹의 관련 구성원)이 컨트롤러인 경우 적용되며, 모듈 3은 고객(또는 고객 그룹의 관련 구성원)이 프로세서인 경우 적용됩니다;

(ii) 7항에서 선택적 도킹 조항이 적용됩니다;

(iii) 제9항의 경우 옵션 2가 적용되며, 하위 처리자 변경에 대한 사전 통지 기간은 본 DPA 4.3항에 명시된 바와 같이 합니다;

(iv) 11항에서는 선택적 언어가 적용되지 않습니다;

(v) 제17항의 경우 옵션 2가 적용되며, 데이터 수출자의 회원국이 제3자 수익자 권리를 허용하지 않는 경우 독일 법률이 적용됩니다;

(vi) 18(b)항에서 분쟁은 당사자 간의 본 계약을 관할하는 관할 법원 또는 해당 관할권이 EU 회원국이 아닌 경우 독일 뮌헨 소재 법원에서 해결합니다. 어떠한 경우에도 포럼 및 관할권의 선택은 준거법 국가에 따른다는 점에서 17항 및 18(b)항은 일관성을 유지해야 합니다;

(vii) EU SCC의 부속서 I은 본 DPA의 부속서 1에 명시된 정보로 완성된 것으로 간주됩니다.

(viii) EU SCC의 부록 II는 본 DPA의 부록 2에 명시된 정보로 완성된 것으로 간주됩니다.

(b) 영국 전송: 영국 GDPR에 의해 보호되는 개인 데이터와 관련하여, 본 DPA의 6.2(a)항에 명시된 바와 같이 EU SCC가 적용되며, 단, 그러한 개인 데이터의 전송에는 EU SCC가 적용됩니다:

(i) EU SCC는 영국 부록에 명시된 대로 수정된 것으로 간주되며, 이는 양도하는 고객(또는 고객 그룹의 관련 구성원)과 Cloudflare 간에 체결된 것으로 간주됩니다;

(ii) EU SCC의 약관과 영국 부록 사이의 상충은 영국 부록의 섹션 10 및 섹션 11에 따라 해결됩니다;

(iii) 영국 부록의 목적상, 영국 부록 파트 1의 표 1 내지 표 3은 본 DPA의 부록에 포함된 정보를 사용하여 작성된 것으로 간주됩니다.

(iv) 영국 부록 1의 표 4는 "양 당사자 없음"을 선택함으로써 완료된 것으로 간주합니다.

(c) 스위스 전송: 스위스 연방 데이터 보호법(개정 또는 대체되는 경우)에 의해 보호되는 개인 데이터와 관련하여, 본 DPA의 6.2(a)항에 명시된 대로 작성된 EU SCC가 해당 개인 데이터의 전송에 적용되며, 단, 다음과 같은 사항은 예외로 합니다:

(i) 해당 개인정보에 대한 관할 감독 기관은 스위스 연방 데이터 보호 및 정보 위원회로 합니다;

(ii) 17항에서 준거법은 스위스 법률로 합니다;

(iii) EU SCC에서 "회원국(들)"에 대한 언급은 스위스를 지칭하는 것으로 해석되며, 스위스에 위치한 정보 주체는 스위스에서 EU SCC에 따른 권리를 행사하고 집행할 수 있는 자격이 있습니다.

(iv) EU SCC에서 "일반 데이터 보호 규정", "규정 2016/679" 또는 "GDPR"에 대한 언급은 데이터 보호에 관한 스위스 연방법(개정 또는 대체되는 경우)에 대한 언급으로 이해해야 합니다.

(d) 다음 약관은 EU SCC에 적용됩니다(위의 6.2(b) 및 (c) 조항에 따라 개정될 수 있는 조항 포함):

(i) 고객은 본 DPA 5항에 명시된 요건에 따라 EU SCC에 따라 감사권을 행사할 수 있습니다.

(ii) Cloudflare는 본 DPA의 4항 및 6.3항에 명시된 요건에 따라 하위 프로세서를 지정할 수 있으며, 고객은 본 DPA의 4.3항에 명시된 방식으로 EU SCC에 따라 하위 프로세서에 대한 이의를 제기할 권리를 행사할 수 있습니다.

(e) 본 DPA의 조항이 직접 또는 간접적으로 EU SCC(및 적절한 경우 영국 부록)와 모순되는 경우, 후자가 우선합니다.

6.3 6.2항에 따라 Cloudflare에 대한 제한적 전송과 관련하여, Cloudflare는 유럽 데이터 보호법을 완전히 준수하고 개인 데이터의 수출자와 수입자 간에 이행된 EU SCC 또는 수입자가 채택한 대체 전송 메커니즘(6.5항에 정의됨)에 따라 이루어지는 경우를 제외하고 개인 데이터의 추가 제한적 전송에 참여(또는 하위 처리자가 참여하도록 허용하지 않음)할 수 없습니다.

6.4 고객이 특정 국가 또는 지역으로의 전송에 대한 EU SCC의 적정성에 대한 평가를 수행하고자 하는 경우, Cloudflare는 가능한 범위 내에서 그러한 평가의 목적을 위해 고객에게 합리적인 지원을 제공하며, 고객은 그러한 지원 제공과 관련하여 Cloudflare가 부담하는 모든 비용을 부담해야 합니다.

6.5 Cloudflare가 본 DPA에 설명되지 않은 개인 데이터 전송을 위해 대체 데이터 내보내기 메커니즘(해당 유럽 데이터 보호법에 따라 채택된 프라이버시 실드의 새 버전 또는 후속 버전 포함)을 채택하는 범위("대체 전송 메커니즘" ), 대체 이전 메커니즘은 본 DPA에 설명된 적용 가능한 이전 메커니즘 대신 적용되며(단, 해당 대체 이전 메커니즘이 유럽 데이터 보호법을 준수하고 개인 데이터가 이전되는 지역으로 확장되는 범위 내에서만), 고객은 해당 대체 이전 메커니즘에 법적 효력을 부여하는 데 합리적으로 필요한 기타 및 추가 문서를 실행하고 기타 및 추가 조치를 취하는 데 동의합니다.

7. 타사 데이터 액세스 요청

7.1 Cloudflare가 처리자 또는 하위 처리자(해당되는 경우)로서 고객을 대신하여 처리하는 개인 데이터를 요청하는 제3자의 법적 절차를 알게 되는 경우, Cloudflare는 이에 대해 통지합니다:

(a) 법적으로 통지가 금지되지 않는 한, 요청을 즉시 고객에게 통지합니다;

(b) 제3자에게 해당 제3자가 개인정보 처리자 또는 하위 처리자(해당되는 경우)이며 고객의 동의 없이 개인정보를 공개할 권한이 없음을 알립니다;

(c) 제3자가 고객에게 연락할 수 있도록 필요한 최소한의 고객 연락처 정보를 제3자에게 공개하고 제3자가 데이터 요청을 고객에게 직접 전달하도록 지시합니다.

(d) 고객의 승인 또는 의무적인 법적 강제로 인해 제3자의 법적 절차에 따라 Cloudflare가 개인 데이터에 대한 액세스를 제공하거나 개인 데이터를 공개하는 경우, Cloudflare는 법적으로 요구되는 범위 내에서 해당 법적 절차에 따라 최소한의 개인 데이터를 공개합니다.

7.2 Cloudflare가 프로세서 또는 하위 프로세서로서 역할을 수행하는 경우, 해당되는 경우 정부 기관(사법 기관 포함)이 발행하고 개인 데이터에 대한 액세스 또는 공개를 요청하는 제3자 법적 절차의 적용을 받을 수 있습니다. 정부 기관(사법 기관 포함)이 고객을 대신하여 Cloudflare가 처리자 또는 하위 처리자(해당되는 경우)로서 처리하는 개인 데이터를 요청하는 제3자 법적 절차를 Cloudflare가 알게 되는 경우, Cloudflare가 합리적인 노력을 기울여 요청을 검토하고 그 결과 개인 데이터를 요청하는 제3자 법적 절차가 법의 충돌을 야기한다는 것을 확인할 수 있는 한도 내에서 Cloudflare는 이를 이행할 것입니다:

(a) 위 7.1항에 명시된 모든 조치를 취합니다;

(b) 개인 데이터를 생산하기 전에 항소 법원 수준까지 법적 구제책을 추구합니다.

(c) 해당 절차 규칙에 따라 요구될 때까지(그리고 그 범위 내에서만) 개인 데이터를 공개하지 않습니다.

7.3 7.1항 및 7.2항은 개인의 사망 또는 심각한 신체적 상해의 위험과 관련된 긴급 상황으로 인해 정부의 요청이 필요하다고 Cloudflare가 선의로 판단하는 경우에는 적용되지 않습니다. 이러한 경우, Cloudflare는 법적으로 공개가 금지되지 않는 한, 공개 후 가능한 한 빨리 고객에게 데이터 공개 사실을 통지하고 이에 대한 전체 세부 정보를 고객에게 제공해야 합니다.

7.4 Cloudflare는 고객에게 개인 데이터를 요청하는 제3자의 법적 절차에 대한 정기적인 업데이트를 Cloudflare의 반기 투명성 보고서(https://www.cloudflare.com/transparency/)의 형태로 제공합니다.

7.5 고객이 Cloudflare와 본 DPA를 체결한 날을 기준으로, Cloudflare는 아래 나열된 약속을 이행합니다. Cloudflare는 필요에 따라 이러한 약정을 https://www.cloudflare.com/transparency/에서 업데이트할 예정입니다:

(a) Cloudflare는 당사의 암호화 또는 인증 키 또는 고객의 암호화 또는 인증 키를 누구에게도 넘겨준 적이 없습니다.

(b) Cloudflare는 당사 네트워크의 어느 곳에도 법 집행 소프트웨어나 장비를 설치한 적이 없습니다.

(c) Cloudflare는 법 집행 기관에 당사 네트워크를 통과하는 고객 콘텐츠의 피드를 제공한 적이 없습니다.

(d) Cloudflare는 법 집행 기관 또는 기타 제3자의 요청에 따라 암호화를 약화, 손상 또는 파괴한 적이 없습니다.

8. General

8.1 본 DPA는 본 계약에 따른 당사자의 권리와 의무를 침해하지 않으며, 본 계약은 계속해서 완전한 효력을 갖습니다. 본 DPA의 조건과 본 계약의 조건이 상충하는 경우, 개인정보 처리와 관련된 주제에 한하여 본 DPA의 조건이 우선합니다.

8.2 EU SCC를 포함하여 본 DPA에 따른 또는 이와 관련된 Cloudflare의 책임은 본 계약에 포함된 책임의 예외 및 제한의 적용을 받습니다. 어떠한 경우에도 Cloudflare는 데이터 주체 또는 관할 데이터 보호 당국에 대한 책임을 제한하거나 배제하지 않습니다.

8.3 EU SCC에 명시적으로 규정되어 있거나 해당 데이터 보호법에 따라 요구되는 경우를 제외하고, 본 DPA는 제3자 수혜자 권리를 부여하지 않으며, 본 계약의 당사자 및 각 당사자의 허용된 승계인 및 양수인의 이익만을 위한 것으로, 다른 사람의 이익을 위한 것이 아니며 본 계약의 어떠한 조항도 그 누구에 의해서도 집행될 수 없습니다.

8.4 본 DPA 및 이와 관련된 모든 조치는 법 원칙의 충돌에 영향을 미치지 않고 본 계약에 명시된 법률의 적용을 받으며 이에 따라 해석됩니다. 양 당사자는 본 계약에 명시된 법원의 대인 관할권 및 재판지에 동의합니다.

8.5 본 DPA의 어떤 조항이 어떤 이유로든 유효하지 않거나 집행할 수 없는 것으로 간주되는 경우, DPA의 다른 조항은 계속 집행할 수 있습니다. 전술한 내용의 일반성을 제한하지 않고, 고객은 본 DPA 조항의 집행 불가능성에도 불구하고 8.2항(책임의 제한)이 계속 유효하다는 데 동의합니다.

8.6 본 DPA는 본 계약의 주제와 관련한 당사자들의 최종적이고 완전하며 배타적인 계약이며, 해당 주제와 관련한 당사자 간의 모든 이전 논의 및 합의를 대체하고 병합합니다.

부록 1

데이터 처리 설명

본 부록 1은 DPA의 일부를 구성하며 Cloudflare가 고객을 대신하여 수행할 처리를 설명합니다.

A. 당사자 목록

Data exporter(s): Customer to complete the right-hand column.

Name:
Customer and any Customer Affiliates
described in the Main Agreement.
As stated in the Main Agreement
Address:
Addresses of Customer and any
Customer Affiliates described in the Main Agreement
(or otherwise notified by Customer to Cloudflare)
As stated in the Main Agreement
Contact person’s name, position and contact details:
As stated in the Main Agreement
Activities relevant to the data transferred under this DPA and the EU SCCs:
Use of the Service pursuant to the Main Agreement.
Signature and date:
This Annex 1 shall be deemed executed upon execution of the DPA.
Role (controller/processor):
Controller (or Processor on behalf of a third-party Controller).

Data importer(s):

Name:
Cloudflare, Inc.
Address:
101 Townsend Street
San Francisco, CA 94107
USA
Contact person’s name, position and contact details:
Emily Hancock
Data Protection Officer
legal@cloudflare.com
Activities relevant to the data transferred under this DPA and the EU SCCs:
Processing necessary to provide the Service to Customer, pursuant to the Main Agreement.
Signature and date:
This Annex 1 shall be deemed executed upon execution of the DPA.
Role (controller/processor):
Processor (or sub-Processor)

B. DESCRIPTION OF DATA PROCESSING AND TRANSFER

Categories of data subjects whose Personal Data is transferred:
Natural persons that (i) access or use Customer’s domains, networks, websites, application programming interfaces (“APIs”), and applications, or (ii) Customers’ employees, agents, or contractors who access or use the Services, such as Cloudflare Zero Trust end users, (together, “End Users”).
Natural persons with login credentials for a Cloudflare account and/or those who administer any of the Services for a Customer (“Administrators”).
Categories of Personal Data transferred:
In relation to End Users:
Any Personal Data processed in Customer Logs, such as IP addresses, and in the case of Cloudflare Zero Trust, Cloudflare Zero Trust end user names and email addresses. “Customer Logs” means any logs of End Users’ interactions with Customer’s Internet Properties and the Service that are made available to Customer via the Service dashboard or other online interface during the Term by Cloudflare.
Any Personal Data processed in Customer Content, the extent of which is determined and controlled by the Customer in its sole discretion. “Customer Content” means any files, software, scripts, multimedia images, graphics, audio, video, text, data, or other objects originating or transmitted from or processed by any Internet Properties owned, controlled or operated by Customer or uploaded by Customer through the Service, and routed to, passed through, processed and/or cached on or within, Cloudflare’s network or otherwise transmitted or routed using the Service by Customer.
In relation to Administrative Users:
Any Personal Data processed in Administrative User audit logs, such as IP addresses and email addresses.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures:
Customer, its End Users, Administrators, and/or other partners may upload content to Customer's online properties which may include special categories of data, the extent of which is determined and controlled by the Customer in its sole discretion.
Such special categories of data include, but may not be limited to, information revealing racial or ethnic origins, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning an individual’s health or sex life.
Any such special categories of data shall be protected by applying the security measures described in Annex 2.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis):
Continuous for the duration of the Main Agreement.
Nature of the processing:
Processing necessary to provide the Services to Customer in accordance with the documented instructions provided in the Main Agreement and this DPA.
Purpose(s) of the data transfer and further processing:
Processing necessary to provide the Services to Customer in accordance with the documented instructions provided in the Main Agreement and this DPA.
The period for which the Personal Data will be retained, or, if that is not possible, the criteria used to determine that period:
Until the earliest of (i) expiry/termination of the Main Agreement, or (ii) the date upon which processing is no longer necessary for the purposes of either party performing its obligations under the Main Agreement (to the extent applicable).
For transfers to (sub-) Processors, also specify subject matter, nature and duration of the processing:
The subject matter, nature and duration of the processing shall be as specified in the Main Agreement.

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance (e.g. in accordance with Clause 13 of the EU SCCs)
In respect of the EU SCCs, means the competent supervisory authority determined in accordance with Clause 13 of the EU SCCs.
In respect of the UK Addendum, means the UK Information Commissioner's Office.

부록 2

기술적 및 조직적 보안 조치

Cloudflare는 ISO/IEC 27000 표준에 따라 정보 보안 프로그램을 구현했으며 앞으로도 이를 유지해야 합니다. Cloudflare의 보안 프로그램에는 다음이 포함되어야 합니다:

개인 데이터 암호화 조치

Cloudflare는 다음을 사용하여 개인 데이터를 적절히 보호하기 위해 암호화를 구현합니다:

  • 공공 기관에서 사용할 수 있는 것으로 알려진 리소스를 사용하여 능동적 및 수동적 공격에 대한 효과적인 보호를 제공하도록 설계된 최첨단 암호화 프로토콜입니다;

  • 신뢰할 수 있는 공개 키 인증 기관 및 인프라;

  • 대칭 암호화의 경우 최소 128비트 키 길이, 비대칭 알고리즘의 경우 최소 2048비트 RSA 또는 256비트 ECC 키 길이와 같은 효과적인 암호화 알고리즘 및 매개변수화가 필요합니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치

Cloudflare는 다음과 같은 방법으로 프로덕션 환경의 처리 시스템 및 서비스 보안을 강화합니다:

  • 서비스 제공에 사용되는 코드의 보안을 강화하기 위해 코드 검토 프로세스를 도입하고, 사용 전과 사용 중에 코드 및 시스템의 취약성을 테스트합니다;

  • 외부 버그 포상금 프로그램을 유지합니다;

  • 검사를 사용하여 암호화된 데이터의 무결성을 검증하고

  • 예방적 및 사후 대응적 침입 탐지를 사용합니다.

Cloudflare는 지리적으로 분산된 데이터 센터에 고가용성 시스템을 배포합니다.

Cloudflare는 다음을 포함하여 개인 데이터의 기밀성을 보호하고 유지하기 위해 입력 제어 조치를 구현합니다:

  • 데이터의 입력, 읽기, 변경 및 삭제에 대한 권한 부여 정책;

  • 고유 인증 자격 증명(비밀번호)과 하드 토큰을 사용하여 권한이 있는 직원을 인증합니다;

  • 일정 기간 동안 활동이 없으면 사용자 ID를 자동으로 로그아웃합니다;

  • 데이터 입력은 물론 저장된 데이터의 읽기, 변경 및 삭제까지 보호합니다.

  • 데이터 처리 시설(컴퓨터 하드웨어 및 관련 장비가 있는 공간)을 잠그고 안전하게 유지하도록 요구합니다.

물리적 또는 기술적 사고 발생 시 개인 데이터에 대한 가용성 및 액세스를 적시에 복원할 수 있는 능력을 보장하기 위한 조치

Cloudflare는 유지 관리를 포함하여 개인 데이터를 우발적인 파기 또는 손실로부터 보호하기 위한 조치를 시행합니다:

  • 재해 복구 및 비즈니스 연속성 계획 및 절차;

  • 지리적으로 분산된 데이터 센터;

  • 전원 공급 장치 및 인터넷 연결을 포함한 이중화 인프라를 제공합니다;

  • 대체 사이트에 저장되어 기본 시스템 장애 시 복구에 사용할 수 있는 백업

  • 정기적으로 테스트되는 인시던트 관리 절차.

처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 절차

Cloudflare의 기술적 및 조직적 조치는 Cloudflare의 보안 & 개인정보 준수 프로그램의 일환으로 외부 제3자 감사자가 정기적으로 테스트 및 평가합니다. 여기에는 연간 ISO/IEC 27001 감사, AICPA SOC 2 유형 II, PCI DSS 레벨 1 및 기타 외부 감사가 포함될 수 있습니다. 또한 내부 감사와 연례 및 목표 위험 평가를 통해 정기적으로 조치를 테스트합니다.

사용자 식별 및 권한 부여를 위한 조치

Cloudflare는 다음과 같은 방법으로 사용자 인증 및 권한 관리를 위한 효과적인 조치를 구현합니다:

  • 필수 액세스 제어 및 인증 정책을 적용합니다;

  • 제로 트러스트 식별 및 인증 모델을 적용합니다;

  • 고유한 인증 자격 증명과 강력한 다단계 인증(물리적 하드 토큰 사용 요구 포함)을 사용하여 권한이 있는 직원을 인증합니다;

  • 역할, 승인 및 예외 관리에 따라 적절한 권한을 할당하고 관리합니다.

  • 최소 권한 액세스 원칙을 적용합니다.

전송 중 데이터 보호를 위한 조치

Cloudflare는 전송 중에 권한이 없는 당사자가 개인 데이터를 읽거나 복사, 변경 또는 삭제하지 못하도록 보호하는 효과적인 조치를 구현합니다:

  • 공공 기관에서 사용할 수 있는 것으로 알려진 리소스를 사용하여 능동적 및 수동적 공격에 대한 효과적인 보호를 제공하도록 설계된 최첨단 전송 암호화 프로토콜을 사용합니다;

  • 신뢰할 수 있는 공개 키 인증 기관 및 인프라를 사용합니다;

  • 데이터가 이동하는 게이트웨이와 파이프라인을 보호하기 위해 적절한 방화벽, 상호 TLS 암호화, API 인증, 암호화 등 전송 암호화를 제공하는 송수신 시스템에 대한 능동적 및 수동적 공격에 대한 보호 조치를 구현하고 소프트웨어 취약성 및 가능한 백도어에 대한 테스트를 수행해야 합니다;

  • 대칭 암호화의 경우 최소 128비트 키 길이, 비대칭 알고리즘의 경우 최소 2048비트 RSA 또는 256비트 ECC 키 길이와 같은 효과적인 암호화 알고리즘과 매개변수화를 사용합니다;

  • 올바르게 구현되고 적절하게 유지 관리되는 소프트웨어를 사용하고, 취약성 관리 프로그램의 적용을 받으며, 감사를 통해 적합성 테스트를 거칩니다;

  • 암호화 키를 안정적으로 생성, 관리, 저장 및 보호하기 위한 보안 조치를 시행합니다.

  • 감사 로깅, 모니터링 및 데이터 전송 추적을 수행할 수 있습니다.

저장 중 데이터 보호를 위한 조치

Cloudflare는 데이터 처리 시스템에 대한 액세스를 저장, 제어 및 제한하는 동안 개인 데이터를 보호하기 위한 효과적인 조치를 구현합니다:

  • 공공 기관에서 사용할 수 있는 것으로 알려진 리소스를 사용하여 능동적 및 수동적 공격에 대한 효과적인 보호를 제공하도록 설계된 최첨단 암호화 프로토콜을 사용합니다;

  • 신뢰할 수 있는 공개 키 인증 기관 및 인프라를 사용합니다;

  • 데이터를 저장하는 시스템에 소프트웨어 취약성 및 백도어 가능성이 있는지 테스트합니다;

  • 개인 데이터를 저장하는 모든 디스크는 128비트 이상의 키 길이를 사용하는 AES-XTS로 암호화하도록 요구하는 등 효과적인 암호화 알고리즘과 매개변수화를 사용합니다.

  • 올바르게 구현되고 적절하게 유지 관리되는 소프트웨어를 사용하고, 취약성 관리 프로그램의 적용을 받으며, 감사를 통해 적합성 테스트를 거칩니다;

  • 암호화 키를 안정적으로 생성, 관리, 저장 및 보호하기 위한 보안 조치를 시행합니다;

  • 데이터 처리 시스템에 액세스할 수 있는 시스템 및 사용자를 식별하고 권한을 부여합니다;

  • 일정 기간 동안 활동이 없는 사용자를 자동으로 로그아웃합니다.

  • 데이터 처리 및 저장 시스템에 대한 로깅, 모니터링 및 추적 액세스를 감사합니다.

Cloudflare는 데이터 처리 시스템의 특정 영역에 대한 액세스 제어를 구현하여 권한이 부여된 사용자만 해당 액세스 권한(승인)이 적용되는 범위 내에서 개인 데이터에 액세스할 수 있고 승인 없이 개인 데이터를 읽거나 복사하거나 수정 또는 제거할 수 없도록 보장합니다. 이를 위해 다음과 같은 다양한 조치를 취해야 합니다:

  • 개인 데이터에 대한 각 직원의 액세스 권한에 관한 직원 정책 및 교육;

  • 사용자 식별 및 인증에 제로 트러스트 모델을 적용합니다;

  • 고유한 인증 자격 증명과 강력한 다단계 인증(물리적 하드 토큰 사용 요구 포함)을 사용하여 권한이 있는 직원을 인증합니다;

  • 개인 데이터를 삭제, 추가 또는 수정할 수 있는 권한이 있는 사람의 행동을 모니터링합니다;

  • 차별화된 액세스 권한 및 역할 할당을 포함하여 권한이 부여된 사람에게만 데이터를 공개합니다.

  • 통제되고 문서화된 데이터 파기를 통해 데이터에 대한 액세스를 제어합니다.

개인 데이터가 처리되는 위치의 물리적 보안을 보장하기 위한 조치

Cloudflare는 권한이 없는 사람이 개인 데이터가 처리되거나 사용되는 데이터 처리 장비(즉, 데이터베이스 및 애플리케이션 서버, 관련 하드웨어)에 액세스하는 것을 방지하기 위해 효과적인 물리적 액세스 제어 정책 및 조치를 유지 및 구현합니다:

  • 보안 영역 설정

  • 액세스 경로를 보호하고 제한합니다;

  • 각 문서를 포함하여 직원 및 제3자에 대한 액세스 권한을 설정합니다;

  • 개인 데이터가 호스팅되는 데이터 센터에 대한 모든 액세스가 기록, 모니터링 및 추적됩니다.

  • 개인 데이터가 호스팅되는 데이터 센터는 보안 경보 시스템 및 기타 적절한 보안 조치로 보호됩니다.

이벤트 로깅을 보장하기 위한 조치

Cloudflare는 시스템 관리자를 포함하여 개인 데이터에 대한 액세스를 기록, 모니터링 및 추적하고 수신된 지침에 따라 데이터가 처리되는지 확인하기 위해 로깅 및 모니터링 프로그램을 구현했습니다. 이는 다음과 같은 다양한 방법을 통해 이루어집니다:

  • 고유한 인증 자격 증명과 강력한 다단계 인증(물리적 하드 토큰 사용 요구 포함)을 사용하여 권한이 있는 직원을 인증합니다;

  • 사용자 식별 및 인증에 제로 트러스트 모델을 적용합니다;

  • 시스템 관리자의 신원 정보 목록을 업데이트하여 유지 관리합니다;

  • 고위험 이상 징후를 감지, 평가 및 대응하기 위한 조치를 채택합니다;

  • 처리 인프라에 대한 안전하고 정확하며 수정되지 않은 액세스 로그를 12개월 동안 보관합니다.

  • 로깅 구성, 모니터링 시스템, 알림 및 사고 대응 프로세스를 매년 1회 이상 테스트합니다.

기본 구성을 포함한 시스템 구성을 보장하기 위한 조치

Cloudflare는 타사 시스템을 포함하여 프로덕션 데이터 처리 환경을 지원하는 모든 시스템에 대한 구성 기준선을 유지 관리합니다. 구성 기준선은 인터넷 보안 센터(CIS) 레벨 1 벤치마크와 같은 업계 모범 사례와 일치해야 합니다. 프로덕션 시스템에서 기본 구성을 적용하고 무단 변경을 방지하려면 자동화된 메커니즘을 사용해야 합니다. 기준선 변경은 권한이 있는 소수의 Cloudflare 직원으로 제한되며, 변경 제어 프로세스를 따라야 합니다. 변경 사항은 감사가 가능해야 하며, 기준 구성과의 편차를 감지할 수 있도록 정기적으로 확인해야 합니다.

Cloudflare는 최소 권한 원칙을 사용하여 정보 시스템에 대한 기준선을 구성합니다. 기본적으로 액세스 구성은 "모두 거부"로 설정되어 있으며, 기본 비밀번호는 Cloudflare 네트워크에 장치를 설치하기 전 또는 소프트웨어 또는 운영 체제를 설치한 직후에 Cloudflare의 정책에 맞게 변경해야 합니다. 시스템은 국제 원자시 또는 협정 세계시(UTC)를 기준으로 시스템 시간 시계를 동기화하도록 구성되어 있으며, 시간 데이터를 수정할 수 있는 권한은 승인된 직원으로 제한됩니다.

내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치

Cloudflare는 IT 시스템의 허용 가능한 사용 및 일반적인 정보 보안에 관한 내부 정책을 유지합니다. Cloudflare는 모든 직원이 적어도 매년 일반 보안 및 개인정보 보호 인식 교육을 받아야 합니다. Cloudflare는 개인 데이터의 처리를 제한하고 보호하며, 이를 문서화하여 구현했습니다:

  • Cloudflare 데이터 및 정보 시스템의 기밀성, 무결성, 신뢰성, 가용성을 보호하고 운영을 지원하는 데이터 및 정보 시스템에 대한 보안 제어의 효율성을 보장하기 위한 공식적인 정보 보안 관리 시스템(ISMS)을 보유합니다.

  • 고객 정보의 처리자이자 컨트롤러로서 Cloudflare의 글로벌 관리형 네트워크를 지원하는 정책 및 절차의 기밀성, 무결성, 신뢰성, 가용성을 보호하기 위해 공식적인 개인 정보 관리 시스템(PIMS)을 구축합니다.

Cloudflare는 감사에 대비하고 증거를 보존하기 위해 기술적 및 조직적 조치에 대한 문서를 보관합니다. Cloudflare는 자사에 고용된 사람 및 해당 사업장의 다른 사람이 본 부록 2에 명시된 기술적 및 조직적 조치를 인지하고 준수하도록 합리적인 조치를 취해야 합니다.

프로세스 및 제품 인증/보증을 위한 조치

Cloudflare의 ISMS 및 관련 보안 위험 관리 프로세스의 구현은 업계 표준인 ISO/IEC 27001에 따라 외부 인증을 받았습니다. Cloudflare의 포괄적인 PIMS 구현은 고객 정보의 프로세서 및 컨트롤러로서 업계 표준인 ISO/IEC 27701에 따라 외부 인증을 받았습니다.

Cloudflare는 매년 제3자 공인 보안 평가자의 감사를 받는 PCI DSS 레벨 1 준수를 유지합니다. Cloudflare는 AICPA 신뢰 서비스 기준에 따라 AICPA SOC 2 유형 II 인증과 같은 기타 인증을 수행했으며, 이러한 인증 및 Cloudflare가 수시로 수행할 수 있는 기타 인증에 대한 자세한 내용은 Cloudflare의 웹 사이트에서 확인할 수 있습니다.

(하위) 처리자로의 전송의 경우, (하위) 처리자가 컨트롤러(및 프로세서에서 하위 프로세서로의 전송의 경우 데이터 수출업체)에 지원을 제공할 수 있도록 취해야 할 구체적인 기술적 및 조직적 조치에 대해서도 설명합니다.

MeasureDescription
Self-service access to meet data subject rights of access, erasure, rectification etc.
Ability to login to review and edit Personal Data via the Cloudflare dashboard.