Azure 해외 규정준수 설명

좀 자세하게 설명되어 있음.

한국은 없음.

• CJIS(Criminal Justice Information Services). FBI의 CJIS 데이터베이스에 액세스하려는 모든 미국 주 또는 지역 행정 기관은 CJIS 보안 정책을 준수해야 합니다. Azure는 법률 집행 기관 및 공공 안전 기관에서 충족해야 하는 것과 동일한 요구 사항을 준수하도록 Microsoft에 위임한 CJIS 보안 정책 준수 의무를 약정한 유일한 주요 클라우드 공급자입니다.

• CSA(Cloud Security Alliance) STAR 인증. Azure, Intune 및 Microsoft Power BI는 독립적인 타사에 의해 클라우드 공급자의 보안 상태가 엄격하게 평가되는 STAR 인증을 획득했습니다. 이 STAR 인증에서는 ISO/IEC 27001 인증을 획득하고 CCM(Cloud Controls Matrix)에 지정된 조건을 충족해야 합니다. 이 인증은 클라우드 서비스 공급자가 다음과 같음을 보증합니다.

  • ISO/IEC 27001의 적용할 수 있는 요구 사항 준수
  • CCM에 명시된 클라우드 보안에 관한 중요한 문제 해결
  • CCM 제어 영역의 활동 관리를 위한 STAR 역량 완성 모델 평가 완료

• GDPR(일반 데이터 보호 규정). 2018년 5월 25일부터 유럽 개인 정보 보호법인 —GDPR—이 시행되고 있습니다. GDPR은 회사, 정부 기관, 비영리 단체 및 기타 EU(유럽 연합)의 사용자에게 상품 및 서비스를 제공하거나 EU 거주자와 연결된 데이터를 수집하고 분석하는 조직에 새 규칙을 적용합니다. GDPR은 사용자가 어느 곳에 있든 상관없이 적용됩니다.

• EU 모델 조항. Microsoft는 EU 외부 지역으로의 개인 데이터 전송에 관한 계약상 보증을 제공하는 표준 계약 조항을 고객에게 제시합니다. Microsoft는 EU의 Article 29 Working Party로부터 Azure가 엔터프라이즈 클라우드 고객에게 제공하는 계약상의 프라이버시 보호 조항이 데이터 국제 전송에 관한 최신 EU 표준을 준수한다는 공동 승인을 받은 최초의 회사입니다. 이를 통해 Azure 고객은 Microsoft 서비스를 사용하여 Microsoft 클라우드를 통해 유럽에서 전 세계로 데이터를 이동할 수 있습니다.

• HIPAA(Health Insurance Portability and Accountability Act). HIPAA는 환자의 PHI(Protected Health Information, 개인 건강 정보)를 규제하는 미국 연방 법률입니다. Azure는 HIPAA 및 HITECH(Health Information Technology for Economic and Clinical Health) 법령의 특정 보안 및 개인 정보 보호 조항을 준수하도록 규정한 HIPAA BAA(비즈니스 협력 계약)를 고객에게 제공합니다. 고객의 개별적인 규정 준수 노력을 지원하기 위해 Microsoft는 Azure 고객에게 BAA를 추가 계약서로 제공합니다.

• ISO(국제 표준화 기구) 및 IEC(International Electrotechnical Commission) 27018. Microsoft는 클라우드 서비스 공급 기업의 개인 정보 처리를 다루는 ISO/IEC 27018 행동 지침을 채택한 최초의 클라우드 공급 기업입니다.

• MTCS(Multi-Tier Cloud Security) Singapore. Microsoft 클라우드 서비스는 MTCS 인증 기구에서 실시한 엄격한 평가를 거쳐 다음의 세 가지 서비스 인증 부문 모두에서 MTCS 584:2013 인증을 받았습니다.

  • IaaS(서비스 제공 인프라)
  • PaaS(Platform as a Service)
  • SaaS(Software as a Service)

  Microsoft는 세 가지 인증 부문 모두에서 이러한 인증을 받은 세계 최초의 CSP(클라우드 솔루션 공급자)였습니다.

• SOC(Service Organization Controls) 1, 2, 3. Microsoft에서 관리하는 클라우드 서비스는 매년 독립적인 제3의 감사자를 통해 SOC 보고서 프레임워크를 기준으로 감사를 받습니다. Microsoft 클라우드 서비스 감사는 각 서비스에 대한 범위 내 보안 원칙에 적용 가능한 데이터 보안, 가용성, 처리 무결성 및 기밀성의 제어를 대상으로 합니다.

• 국가 표준 기술 연구소(NIST) Cybersecurity Framework(CSF). NIST CSF는 사이버 보안 관련 위험 관리에 대한 표준, 지침 및 모범 사례로 구성된 자발적인 프레임워크입니다. Microsoft 클라우드 서비스는 독립적인 제3의 FedRAMP(Federal Risk and Authorization Management Program) Moderate and High Baseline 감사를 거쳤으며 FedRAMP 표준에 따라 인증을 받았습니다. 또한 Office 365는 업계 선두의 보안 및 프라이버시 표준 개발 및 승인 기구인 HITRUST(Health Information Trust Alliance)에서 수행한 공인 평가를 통해 NIST CSF에 명시된 목표를 충족하는 것으로 인증을 받았습니다.

• G-Cloud. UK Government G-Cloud는 영국의 정부 기관에서 사용되는 서비스에 대한 클라우드 컴퓨팅 인증입니다. Azure는 UK Government Pan Government Accreditor로부터 공식 승인을 받았습니다.