데이터 처리 부속서
본 데이터 처리 부속서(“DPA”)는 Anysphere, Inc.(“Anysphere” 또는 “Vendor”)가 Anysphere와 Customer 간에 체결된 마스터 서비스 계약(“Agreement”)에 따라 Service를 통해 Customer가 제공한 Personal Data를 처리하는 것에 적용됩니다. 본 DPA는 Personal Data 처리에 대한 Customer의 지침과 양 당사자의 권리 및 의무를 규정합니다. 본 DPA에 달리 명시된 내용을 제외하고, Agreement는 변경되지 않고 계속해서 완전한 효력을 가집니다. 본 DPA와 Agreement 간에 상충되는 내용이 있는 경우, 충돌이 발생하는 범위에 한하여 본 DPA가 우선 적용됩니다.
-
정의. 본 DPA에서, 다음 용어들은 아래에 정해진 의미를 갖습니다. 본 DPA에서 사용되었으나 정의되지 않은 대문자 표기 용어는 계약서에서 부여된 의미를 갖습니다. 그 밖에 본 DPA에서 사용되었으나 계약서에서 별도로 정의되지 않은 모든 다른 용어는 개인정보 보호 관련 법령에서 부여된 해당 의미를 갖습니다.
-
“Controller to Processor Clauses”란 다음을 의미합니다. (a) GDPR의 적용을 받는 Personal Data의 이전과 관련하여, 2021년 6월 4일자 유럽연합 집행위원회의 결정 2021/914에서 규정된 제3국으로의 Personal Data 이전을 위한 표준계약조항으로서, 특히 Module 2 (Controller to Processor)를 포함하는 것 (“EU SCCs”); 및 (b) UK GDPR의 적용을 받는 Personal Data의 이전과 관련하여, 영국 Information Commissioner가 발행한 EU Commission Standard Contractual Clauses에 대한 International Data Transfer Addendum(버전 B.1.0) (“UK Addendum”)을 의미하며, 각 경우 수시로 개정, 업데이트되거나 대체될 수 있습니다.
-
“EU/UK Privacy Laws”란 다음을 의미합니다. (a) General Data Protection Regulation 2016/679 (“GDPR”); (b) Privacy and Electronic Communications Directive 2002/58/EC; (c) UK Data Protection Act 2018, Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019에 의해 개정된, UK Data Protection Act 2018에 의해 정의된 UK General Data Protection Regulation(이들을 함께 “UK GDPR”이라 함) 및 Privacy and Electronic Communications Regulations 2003; 그리고 (d) 상기 각 항목을 이행하는 관련 법률, 지침, 명령, 규칙, 규정 또는 기타 구속력 있는 문서로서, 각 경우 적용 가능한 범위에서 효력이 있고, 수시로 개정, 통합, 재제정 또는 대체될 수 있는 것을 의미합니다.
-
“Personal Data”란, Vendor가 서비스를 제공하기 위하여 Customer를 대신하여 처리하는 정보 중, 어떠한 Privacy Laws 하에서든 “personal data” 또는 “personal information”으로 정의되는 모든 정보를 의미합니다.
-
“Privacy Laws”란, 적용 가능한 범위에서, EU/UK Privacy Laws, US Privacy Laws 및 Personal Data의 데이터 보호, 프라이버시 또는 이용과 관련된 어떠한 관할권의 유사한 법률을 의미하며, 각 경우 적용 가능한 범위에서 효력이 있고, 수시로 개정, 통합, 재제정 또는 대체될 수 있는 것을 의미합니다.
-
“Processor to Processor Clauses”란 다음을 의미합니다. (a) GDPR의 적용을 받는 Personal Data의 이전과 관련하여, 2021년 6월 4일자 유럽연합 집행위원회의 결정 2021/914에서 규정된 제3국으로의 Personal Data 이전을 위한 표준계약조항으로서, 특히 Module 3 (Processor to Processor)를 포함하는 것; 및 (b) UK GDPR의 적용을 받는 Personal Data의 이전과 관련하여, 영국 Information Commissioner가 발행한 EU Commission Standard Contractual Clauses에 대한 International Data Transfer Addendum(버전 B.1.0)을 의미하며, 각 경우 수시로 개정, 업데이트되거나 대체될 수 있습니다.
-
“Third Country”란, 해당되는 경우 유럽경제지역 또는 영국의 데이터 보호법의 적용 범위 밖에 있는 국가 또는 영토를 의미하며, 관련 관할 당국에 의해 수시로 Personal Data에 대해 적정한 수준의 보호를 제공하는 것으로 승인된 국가 또는 영토는 제외합니다.
-
“US Privacy Laws”란, 적용 가능한 범위에서, California Privacy Rights Act에 의해 개정된 California Consumer Privacy Act, Virginia Consumer Data Protection Act, Colorado Privacy Act, Connecticut Data Privacy Act, Utah Consumer Privacy Act 및 데이터 보호, 프라이버시 또는 Personal Data의 이용과 관련된 어떠한 주의 유사한 법률을 의미합니다.
-
-
개정. 양 당사자는 공급업체가 개인정보를 본 계약 또는 본 DPA에서 예정한 바에 따라 개인정보보호법을 준수하면서 계속 처리할 수 있도록 변경이 필요하거나, 개인정보보호법에 대한 법적 해석에 대응하기 위하여 변경이 필요한 경우, 선의로 본 DPA의 수정 사항을 협의하기로 합의한다. 공급업체는 개인정보보호법 또는 변화하는 법적 요구사항을 준수하는 데 필요하다면 본 DPA를 업데이트할 권리를 보유하되, 그러한 업데이트가 본 DPA에 따른 고객의 권리를 중대하게 감소시키거나 고객의 의무를 중대하게 증가시키지 않는다는 전제하에 이를 행사한다. 공급업체는 그러한 모든 업데이트의 효력 발생일 최소 삼십(30)일 전에 서면으로 고객에게 통지해야 하며, 다만 법에서 더 짧은 통지 기간을 요구하는 경우에는 그에 따른다.
-
당사자들의 역할. 당사자들은 개인정보보호법령(Privacy Laws)상 Customer가 개인정보보호법령에서 규정하는 “service recipient”, “controller”, “business” 또는 이와 유사한 용어에 해당하고, Vendor는 개인정보보호법령에서 규정하는 “service provider”, “processor”, “contractor” 또는 이와 유사한 용어에 해당함을 인정한다.
-
처리의 세부사항. 당사자들은 처리의 세부사항이 본 계약서에 첨부된 부속서 1에 규정된 바와 같다는 데에 합의합니다.
-
고객의 의무. 고객은 서비스와 관련하여 공급업체에게 개인정보를 제공함에 있어 모든 개인정보 보호법을 준수해야 한다. 고객은 다음 사항을 진술하고 보증한다. (a) 고객에게 적용되는 개인정보 보호법은, 고객으로부터 받은 지침을 공급업체가 이행하고 이 DPA에 따른 공급업체의 의무를 수행하는 것을 방해하지 않는다. (b) 모든 개인정보는, 항상, 고객 또는 고객을 대리하는 자에 의해 모든 개인정보 보호법을 준수하여 수집·처리·유지되었으며, 여기에는 개인에게 통지하고 및/또는 동의를 받기 위한 의무의 이행이 포함된다. (c) 고객은 개인정보를 공급업체에 제공하고, 이 DPA에 명시된 대로 공급업체가 개인정보를 처리할 수 있도록 허용할 수 있는 적법한 근거를 보유하고 있다. 고객은 계약에 따른 개인정보 처리 행위가 개인정보 보호법을 준수하지 않거나 향후 준수하지 않게 될 것이라고 판단하는 경우, 부당한 지체 없이 공급업체에 통지해야 하며, 이 경우 공급업체는 해당 개인정보를 계속 처리할 의무가 없다.
-
개인정보 처리. Customer는 본 DPA에 따라 처리되는 모든 Personal Data에 대한 소유권을 유지합니다. Vendor는 다음의 경우에만 Personal Data를 처리합니다. (i) Annex 1에 추가로 설명된 바와 같이 Service를 수행하기 위해, 그리고 Service를 통해 제공되는 동의 및 승인 등을 포함하여 Customer가 수시로 제공하는 문서화된 지침에 명시된 목적과 그 지침에 따라 처리하는 경우, (ii) Vendor에게 적용되는 법적 의무를 준수하기 위해 필요한 경우, 그리고 (iii) 그 밖에 Customer가 서면으로 지시한 경우. Vendor는 적용 가능한 Privacy Laws를 더 이상 준수할 수 없거나, Personal Data 사용에 관한 Customer의 어떠한 지침도 더 이상 이행할 수 없다고 스스로 판단하는 경우, 부당한 지체 없이 Customer에게 통지해야 합니다. Privacy Laws에서 요구하는 범위 내에서, 그리고 Customer가 Vendor가 Privacy Laws 또는 본 DPA를 위반하여 Personal Data를 사용하고 있다고 합리적으로 믿는다는 내용의 합리적인 서면 통지를 한 경우, Vendor는 Customer에게 Vendor가 Privacy Laws에 따른 Customer의 의무와 일치하는 방식으로 Personal Data를 사용하도록 보장하기 위한 합리적이고 적절한 조치를 취할 권리를 부여하고, Personal Data의 모든 무단 사용을 중단하고 이를 시정해야 합니다. Vendor는 본 Agreement의 규정에 따라 Personal Data를 처리하는 각 직원 또는 기타 인원이 해당 Personal Data와 관련하여 적절한 비밀유지 의무를 지도록 해야 합니다.
-
금지 사항. 적용 가능한 개인정보 보호법에서 요구하는 범위 내에서 Vendor는 다음 각 호의 행위를 하여서는 아니 된다. (a) 비식별화되었거나 집계 또는 익명 처리된 형태를 제외하고 개인정보를 판매하는 행위; (b) 교차 맥락 행태 기반 광고 목적을 위해 개인정보를 공유하는 행위; (c) 다음의 목적 이외에 개인정보를 보유, 사용 또는 공개하는 행위: (i) Service를 수행하기 위한 구체적인 목적, (ii) 비식별화되었거나 집계 또는 익명 처리된 데이터를 사용하여 Service를 개발, 개선 또는 향상하기 위한 목적, 또는 (iii) 개인정보 보호법에 따라 달리 허용되는 경우; (d) 위에서 설명한 경우를 제외하고, Vendor와 Customer 간의 직접적인 비즈니스 관계 범위를 벗어나 개인정보를 보유, 사용 또는 공개하는 행위; 그리고 (e) 사업 목적을 수행하기 위해서이거나 개인정보 보호법에 따라 달리 허용되는 경우를 제외하고, Customer로부터 또는 Customer를 대신하여 제공받은 개인정보를, 해당 개인정보와 관련된 개인에 대해 Vendor가 별도로 상호작용하는 과정에서 수집할 수 있는 개인정보 또는 기타 출처로부터 수집한 개인정보와 결합하는 행위.
-
하위 처리자의 사용. Vendor가 개인정보 처리를 위해 하위 처리자를 참여시키는 경우:
-
고객은 본 제8조의 요구사항을 조건으로, Annex 2에 명시된 서브프로세서를 공급자가 활용할 수 있도록 포괄적인 서면 승인을 부여한다.
-
공급자가 새로운 서브프로세서를 지정하거나, 서브프로세서의 추가 또는 교체와 관련된 변경을 하고자 하는 경우, 공급자는 trust.cursor.com/subprocessors에 업데이트를 게시하는 방식으로 영업일 기준 삼십 (30)일 전에 사전 서면 통지를 제공하여야 하며, 그 기간 동안 고객은 개인정보의 기밀성 또는 보안, 서브프로세서의 개인정보보호법 준수와 관련된 합리적이고 문서화된 사유에 근거하여 해당 지정 또는 교체에 이의를 제기할 수 있다(고객이 이의를 제기하지 않는 경우, 공급자는 해당 지정 또는 교체를 진행할 수 있다). 보안 사고, 서비스 중단 등 긴급한 상황으로 인해 즉각적인 서브프로세서 변경이 필요한 경우, 공급자는 우선 변경을 진행할 수 있으며, 이후 영업일 기준 십 (10)일 이내에 통지를 제공할 수 있다. 고객이 본 조에 따라 서브프로세서의 지정 또는 교체에 이의를 제기하는 경우, 공급자는 상업적으로 합리적인 노력을 기울여 고객의 우려를 해소하여야 하며, 여기에는 다른 서브프로세서를 제안하거나, 식별된 위험을 완화하기 위한 추가적인 보호조치를 구현하는 것이 포함될 수 있다. 당사자들이 고객의 서면 이의 통지일로부터 삼십 (30)일 이내에 해당 이의를 해결하지 못하는 경우, 고객은 공급자에게 서면 통지를 제공함으로써 서비스 중 관련되는 부분을 해지할 수 있다. 이러한 해지의 경우, 공급자는 해지된 서비스의 남은 미사용 기간에 대해 선불로 지급된 수수료를 일할 계산하여 고객에게 환불하여야 한다.
-
공급자는 서브프로세서가 본 DPA에서 제공되는 것과 최소한 동일한 수준의 데이터 보호 의무를 부담하도록 하는 서면 계약에 의해서만 서브프로세서를 활용하여야 한다. 공급자는 해당 서브프로세서가 각자의 의무를 이행하지 못한 경우 그 불이행에 대하여 고객에게 책임을 부담한다.
-
-
지원. 개인정보 보호법에서 요구하는 범위 내에서, 그리고 처리의 성격을 고려하여, 공급업체는 개인정보 처리와 관련하여, 그리고 그로 인해 발생하는 고객의 의무 이행을 가능하게 하기 위해, 적절한 기술적 및 조직적 조치를 통해 고객에게 합리적인 지원을 제공하여야 하며, 이는 다음을 포함한다: (a) 개인정보 보호법에 따른 개인의 권리에 근거하여 제기되는 요청에 대응하기 위해, 관련 개인정보를 제공·삭제·정정하거나, 가능한 경우 고객이 이를 수행할 수 있도록 지원하는 것; (b) 무단 또는 불법적인 접근, 파기, 사용, 수정 또는 공개로부터 개인정보를 보호하기 위해, 개인정보의 성격에 적합한 합리적인 보안 절차 및 관행을 구현하는 것; (c) 개인정보 유출 등 개인정보 침해 사건에 대해 관련 관할 당국 및/또는 영향을 받는 개인에게 통지하는 것; (d) 데이터 보호 영향 평가를 수행하고, 필요한 경우 관련 관할 당국과 사전 협의를 진행하는 것; 그리고 (e) 본 DPA를 체결하는 것.
-
보안 조치. Vendor는 최신 기술 수준, 구현 비용, 처리의 성격·범위·맥락·목적을 고려하여, 위험에 상응하는 수준의 보안을 제공하도록 설계된 적절한 기술적·조직적 조치를 시행하고, Vendor가 승인한 인원이 해당 조치를 준수하도록 보장해야 하며, 이러한 사항은 Annex 3에 규정되어 있거나 또는 Customer와 Vendor 간에 수시로 합의·문서화된 바에 따른다. Vendor는 처리 기간 동안 Service의 전반적인 보안 수준을 실질적으로 저하시키지 않는다. Privacy Laws에서 요구하는 범위 내에서, Vendor는 부당한 지체 없이, 어떠한 경우에도 사십팔(48) 시간 이내에, 보안 침해로 인해 발생한 Personal Data의 우발적 또는 불법적인 파기, 손실, 변경, 무단 공개 또는 무단 액세스에 대해 서면으로 Customer에게 통지하고, 보다 자세한 정보가 확보되는 대로 단계적으로 추가 정보를 제공해야 한다. Customer는, 앞서 언급한 내용을 제한하지 않는 범위에서, 다음 사항을 포함하여 Service 사용에 대해 전적으로 책임을 부담함에 동의한다: (a) Service에 액세스하기 위해 Customer가 사용하는 계정 인증 정보, 시스템 및 디바이스의 보안 확보; (b) Service와 함께 사용하는 Customer의 시스템 및 디바이스의 보안 확보; 및 (c) Customer Data에 대한 자체 백업 유지.
-
접근 및 감사. 고객의 합리적인 요청이 있는 경우, 벤더는 이 DPA에 따른 벤더의 의무 준수를 입증하는 데 합리적으로 필요한 범위에서 벤더가 보유한 정보를 고객에게 제공하고, 고객 또는 고객이 지정하고 벤더가 합리적으로 수락한 다른 감사인이 수행하는 감사(점검 포함)를 허용하고 이에 협조하여야 하며, 중대한 위반이 발견되지 않는 한 해당 감사 비용은 전적으로 고객이 부담한다. 고객은 12개월 동안 1회를 초과하지 않는 범위에서, 벤더에게 30일 전에 서면으로 통지하고, 당사자들이 감사 범위에 합의하며 감사인이 비밀유지의무를 부담하는 것을 조건으로, 그러한 평가를 수행할 수 있다. 더 나아가, 개인정보 침해 발생 후 또는 규제기관이나 데이터 보호 당국의 요청 이후 벤더의 데이터 보호 준수에 관하여 합리적인 우려가 있는 경우, 고객은 추가 감사를 수행할 수 있다. 고객이 수행하거나 고객의 지시에 따라 수행되는 감사에 대한 대안으로, 프라이버시 법률에서 허용하는 범위 내에서, 벤더는 자격을 갖춘 독립 감사인을 벤더의 비용으로 지정하여, 프라이버시 법률에 따른 벤더의 의무 이행을 뒷받침하기 위한 벤더의 정책 및 기술적·조직적 조치에 대한 평가를, 그에 적합하고 공인된 통제 기준 또는 프레임워크와 평가 절차를 사용하여 수행하도록 할 수 있으며, 그러한 평가 보고서를 고객이 합리적으로 요청하는 경우 고객에게 제공한다. 전술한 내용에도 불구하고, 어떠한 경우에도 벤더는 그러한 접근 제공으로 인해 벤더가 다른 고객에게 부담하는 비밀유지의무 또는 법적 의무를 위반하게 되는 범위까지 고객에게 정보, 시설 또는 시스템에 대한 접근을 제공할 의무를 부담하지 않는다.
-
개인 데이터의 삭제. 고객의 서면 지시에 따라, 공급업체는 서비스 제공 종료 시점에 고객이 요청한 대로 모든 개인 데이터를 삭제하거나 고객에게 반환해야 하며, 해당 요청 후 30일 이내에 이를 이행해야 합니다. 다만 관련 법률에 따라 개인 데이터의 보관이 요구되는 경우는 예외로 하며, 고객의 요청이 있을 경우 그 이행에 관한 서면 확인서를 제공해야 합니다.
-
데이터 전송. Vendor가 제3국에서 EU/UK 개인정보 보호법의 적용을 받는 Personal Data를 처리하고 데이터 수입자(data importer)로서 역할을 하는 경우, Vendor는 Controller to Processor Clauses에 규정된 데이터 수입자의 의무를 준수해야 하며, Customer는 데이터 수출자(data exporter)의 의무를 준수해야 하고, 해당 조항들은 본 DPA에 편입되어 그 일부를 구성하며, 다음과 같다:
-
해당 Controller to Processor Clauses의 Annex I 또는 Part 1(해당되는 경우)의 목적상, Customer는 controller이고 Vendor는 processor이며, Agreement, 이 DPA 및 Annex 1에 규정된 당사자, 연락 담당자 정보 및 처리 관련 정보가 적용되고, Start Date는 Agreement가 효력을 발생하는 일자로 하며, 각 당사자가 이 Agreement의 체결과 관련하여 제공한 서명(형식 불문) 및 해당 서명일은 그 당사자가 제공해야 하는 날짜가 기재된 서명으로 간주된다.
-
적용 가능한 경우, UK Addendum의 Part 1의 목적상, 관련 Addendum EU SCCs(이 용어는 UK Addendum에 정의된 바와 같음)는 이 Section 13에 따라 이 DPA에 편입된 EU SCCs를 의미한다. 이 DPA와 SCCs 간에 어떠한 충돌 또는 모호성이 있는 경우, SCCs가 우선한다.
-
해당 Controller to Processor Clauses의 Annex II 또는 Part 1(해당되는 경우)의 목적상, 기술적 및 조직적 보안 조치와 Customer를 지원하기 위해 Vendor가 취한 기술적 및 조직적 조치는 각각 Annex 3에 규정된 바에 따라 적용된다.
-
적용 가능한 경우, 해당 Controller to Processor Clauses의 Annex III 또는 Part 1(해당되는 경우)의 목적상, Schedule 4(Authorized Sub-contractors)에 규정된 승인된 하도급업체 목록이 적용된다.
-
적용 가능한 경우, 다음의 목적상: (i) Clause 9에서는 Option 2(“General written authorization”)가 선택된 것으로 간주되며, Section 8에 명시된 통지 기간이 적용된다; (ii) Clause 11(a)에서는 독립적인 분쟁 해결과 관련된 선택적 문구는 포함되지 않은 것으로 간주된다; (iii) Clause 13 및 Annex I.C에서는 관할 감독 기관을 Ireland Data Protection Commission으로 한다; (iv) Clauses 17 및 18에서는 Option 1이 선택된 것으로 간주되며, 준거법 및 관할 법원은 The Republic of Ireland로 한다; (vi) Part 1에서는, 수입자인 Vendor가 해당 UK Addendum의 Section 19에 따라 UK Addendum을 해지할 수 있다.
-
Vendor는 제3국(Third Country)에서 Personal Data를 처리하기 위하여 affiliate 또는 제3자 subprocessor를 지정할 수 있으며, 이 경우 Vendor는 Customer를 대신하여 자신이 지정한 관련 subprocessor(affiliate 포함)와 Processor to Processor Clauses를 체결해야 한다.
-
Vendor는 Privacy Laws 준수를 보장하기 위해 적정성 결정(adequacy decision), EU-US Data Privacy Framework, Privacy Laws에 따른 특정 상황에 대한 예외(derogations) 또는 데이터 전송을 위한 기타 적법한 메커니즘에 의존할 수 있다.
-
국경 간 전송 또는 그와 관련된 적용 가능한 개인정보 보호 법령 준수와 관련하여 발생하는 모든 분쟁은 계약서에 명시된 준거법 및 관할 법원에 따라 해결되어야 합니다.
부속서 1
처리의 세부 사항
1. 처리의 성격
- 계약서에 명시된 대로, Vendor가 Customer에게 Vendor의 Service를 제공하는 것과 관련하여 개인정보에 대한 접근, 사용, 공개, 보관, 삭제 및/또는 기타 처리.
2. 처리의 목적
- 계약서에 명시된 대로, Vendor가 Customer에게 Service를 제공하기 위함.
3. 개인정보가 처리되는 정보주체의 범주
- Customer의 Authorized Users.
4. 처리되는 개인정보의 범주
- Customer를 대신하여 Vendor가 수집하거나, 또는 Customer가 Vendor에게 제공한 개인과 관련된 데이터.
5. 개인정보 보호 법령상 “민감 정보” 또는 “특별 범주의 정보”로 간주되는 처리 대상 개인정보의 유형
- Customer 및/또는 그 임직원은 본 계약에 따라 어떠한 민감 정보 또는 특별 범주의 데이터를 제공하지 않아야 하며, Vendor는 Customer가 제공한 민감 정보 처리에 대해 책임을 지지 않습니다. Vendor는 특별 범주의 개인정보를 고의로 수집하거나 처리하지 않습니다.
6. 처리의 빈도(예: 일회성 또는 지속적) 및 기간
- 관련 개인정보는 계약 기간 동안 및 계약서에 명시된 해지 후 보관 기간 동안 지속적으로 처리됩니다.
7. 제8조에 따라 승인된 Sub-Processor가 수행하는 처리의 대상, 성격 및 기간
- 본 부속서 1 및 부속서 2에 명시된 바와 같습니다.
부속서 2
승인된 Sub-Processor
Vendor의 승인된 Sub-Processor 목록은 https://trust.cursor.com/subprocessors에서 관리 및 업데이트됩니다.
부속서 3
기술적 및 조직적 조치
본 부속서 3은 Data Processing Agreement(“DPA”)에 따라 Anysphere, Inc.(“Anysphere”)가 구현한 기술적 및 조직적 보안 조치를 규정합니다. Anysphere는 SOC 2 Type II 인증을 보유하고 있으며, 당사의 Trust Center인 https://trust.cursor.com (“Trust Center”)를 통해 인증서 사본을 제공받을 수 있습니다. 추가로, Anysphere의 보안 관행은 https://www.cursor.com/security에 게시된 당사의 보안 페이지에 더 자세히 설명되어 있습니다. Anysphere의 기술적 및 조직적 보안 조치에는 다음이 포함됩니다.
-
접근 통제: 개인정보에 대한 접근은 권한이 부여된 인원에게만 허용되며, 역할 기반 접근 통제와 다중 요소 인증 등 강력한 인증 메커니즘을 통해 접근을 보호합니다.
-
임직원 교육 및 인식 제고: 임직원은 데이터 보호, 프라이버시, 보안 모범 사례에 대해 정기적으로 교육을 받습니다.
-
데이터 암호화: Anysphere는 업계 표준 암호화 프로토콜을 사용하여 개인정보가 저장 중일 때와 전송 중일 때 모두 암호화되도록 합니다. 암호화 키는 안전하게 관리되며 정기적으로 교체됩니다.
-
인프라 보안: Anysphere의 인프라 프레임워크와 보안 프로토콜은 당사의 Trust Center에 설명되어 있습니다.
-
네트워크 보안: 방화벽, 침입 탐지 및 방지 시스템 구축을 통해 네트워크 보안을 유지하며, 정기적으로 취약점 평가와 침투 테스트를 수행합니다. Trust Center를 통해 침투 테스트 보고서 사본을 요청하실 수 있습니다.
-
애플리케이션 보안: 코드 리뷰와 보안 테스트를 포함한 안전한 소프트웨어 개발 방법론을 준수하고, 일반적인 웹 취약점으로부터 보호하기 위해 웹 애플리케이션 방화벽을 사용합니다.
-
데이터 백업 및 복구: 개인정보를 정기적으로 백업하여 안전하게 보관하며, 재해 복구 및 비즈니스 연속성 계획을 수립하고 주기적으로 점검·테스트합니다.
-
데이터 센터 보안: 데이터 센터는 접근 통제, 감시 시스템, 보안 인력 등 물리적 보안 통제로 보호됩니다. 데이터 센터에 대한 접근은 권한이 부여된 인원으로만 제한됩니다.
-
오피스 보안: 사무실 공간은 접근 통제, 경보 시스템, 감시 카메라로 보호되며, 방문자는 출입 기록을 작성해야 하며 권한이 부여된 인원이 동행합니다.
-
보안 모니터링: Anysphere는 보안 사고를 탐지하고 대응하기 위해 시스템과 네트워크를 지속적으로 모니터링합니다. 보안 정보 및 이벤트 관리 시스템을 사용하여 보안 이벤트를 연계·분석합니다.
-
사고 대응: 보안 사고에 신속하고 효과적으로 대응하기 위한 사고 대응 계획을 마련하고 있으며, 데이터 침해 통지 절차는 관련 법령과 규정을 준수합니다.
-
프라이버시 중심 설계(Privacy by Design): Privacy by Design을 구현하여 시스템과 프로세스의 설계 및 개발 단계에 데이터 보호 원칙을 통합합니다. 정기적인 프라이버시 영향 평가를 수행하여 위험을 식별하고 완화합니다.
-
데이터 최소화: 개인정보의 수집 및 처리는 명시된 목적에 필요한 범위로 제한되며, 적절한 경우 데이터 익명화 및 가명화 기법을 활용합니다.
-
지속적인 모니터링 및 개선: Anysphere는 데이터 프라이버시 및 보안 정책을 지속적으로 모니터링하고, 사용자 데이터에 대한 최고 수준의 보호를 제공하기 위해 필요에 따라 개선 및 업데이트를 수행합니다. 업계 모범 사례와 변화하는 법적 요구 사항을 선제적으로 반영하여 고객의 신뢰와 확신을 유지하기 위해 노력합니다.
이러한 조치를 통해 Anysphere는 높은 수준의 데이터 프라이버시와 보안을 유지하는 데 전념하며, 사용자가 서비스를 통해 혜택을 누릴 수 있도록 지원합니다.