최근에 발행된 글로벌 백서 "클라우드를 제대로 활용하기 – 은행이 앞서 나갈 수 있는 방법 곡선의 ?” 성공적인 클라우드 여정의 핵심 구성 요소와 수행해야 할 주요 단계에 대해 설명했습니다.
이 블로그에서는 스위스(미국)의 클라우드 서비스 사용에 영향을 미칠 수 있는 국제 규정에 대한 몇 가지 통찰력을 제공합니다. 클라우드 법 및 일반 데이터 보호 규정(GDPR) .
미국 클라우드법 미국은 CLOUD(Clarifying Legal Overseas Use of Data)법이라는 법률을 마련했습니다. 이는 미국 클라우드 스토리지 제공업체가 정부 당국에 저장된 데이터에 대한 요청 시 액세스 권한을 부여하도록 요구합니다. 전 세계 어디에서나, 심지어 스위스 내에서도 보관됩니다. 이론적으로 이것은 데이터가 스위스에 저장되어 있더라도 미국 당국이 미국 소재 그룹의 스위스 자회사로부터 데이터 추출을 요청할 수 있게 합니다. 그러나 관할 스위스 법원이나 스위스 당국의 승인 없이 외국 당국에 데이터를 양도하는 것을 금지하는 현지 법률에 관계없이 그러한 요청을 준수하는 미국 기반 그룹의 자회사는 스위스 법률을 위반할 가능성이 가장 높습니다. 데이터는 은행 소유 , 클라우드 제공자가 아닌 스위스에 소재한 법인은 무엇보다도 먼저 현지 법률을 준수해야 하며 외국 모회사에 대한 권한을 가진 당국에서 발행한 명령을 준수해야 합니다.
물론 스위스 은행은 해당 스위스 법률(또는 계약 조항에 따라 데이터가 저장되는 관할 지역의 법률)을 완전히 준수하는 클라우드 서비스 제공업체에만 의존할 수 있습니다. 따라서 SBA 클라우드 가이드라인은 외국 당국의 요청이 있는 경우 클라우드 제공업체와 은행이 합의한 조정 절차를 마련할 것을 권장합니다.
CLOUD 법의 근거에 대해 필요한 설명을 제공하기 위해 미국 법무부(DoJ)는 2019년 4월에 백서를 발행했습니다. "전 세계의 공공 안전, 개인 정보 보호 및 법의 지배:CLOUD 법의 목적과 영향". 백서는 법률 상충 문제를 해결하기 위해 제정된 CLOUD법에 대해 설명합니다. 상호 법률 지원 조약에 영향을 미치고 심각한 범죄의 경우 클라우드에 호스팅된 증거에 대한 효과적인 액세스를 방해하지만 여전히국가 주권 및 개인 데이터 프라이버시를 존중합니다. .
이러한 목적을 달성하기 위해 CLOUD 법은 미국 정부가 소위 "CLOUD 법 집행 계약을 체결할 수 있는 권한을 부여합니다. ” 클라우드에 호스팅된 데이터에서 증거를 얻기 위해 외국에서 발행한 법원 명령을 준수하는 데 장애물을 만들 수 있는 법률 충돌로 인해 각 국가가 장벽을 제거하는 외국 관할권과 함께. 스위스와 유럽 기업이 특히 관심을 갖는 것은 외국 기업에 대한 미국 관할권에 대한 백서의 설명입니다. 백서는 외국 기업에 대한 미국의 관할권이 CLOUD 법에 의해 확장되지 않았다고 주장합니다. “미국 외부에 위치하고 있지만 미국에서 서비스를 제공하는 외국 회사가 미국 관할권의 적용을 받을 만큼 미국과 충분한 접촉을 갖고 있는지 여부는 미국과 회사의 접촉."
DoJ가 CLOUD법의 근거를 설명하기 위해 상당한 노력을 기울였다는 사실과 미국의 관할권이 CLOUD법에 의해 확장되지 않는다는 점을 강조한 사실은 중요한 신호입니다. CLOUD가 미국에 본사를 둔 클라우드 제공업체의 서비스를 은행에서 사용할 수 없도록 하는 법률은 올바르지 않습니다. 범죄 사건에 대한 국제적 법률 지원은 CLOUD 법에 의해 가장 확실하게 촉진될 것이지만, 미국 당국이 CLOUD 법에 따라 데이터에 접근하기 전에 심각한 범죄 혐의와 사법적 결정이 필요합니다. CLOUD법에 대한 정당한 우려의 영역이 다소 좁다는 것을 의미합니다. 적절한 국가 간 위험 평가에서 다른 측면과 마찬가지로 고려해야 합니다.
어쨌든 은행은 일반적으로 기술적 조치를 사용하여 고객 데이터에 대한 무단 액세스를 방지할 수 있습니다. 데이터의 익명화, 가명화 또는 암호화와 같은 . 이러한 조치는 법적 및 계약적 프레임워크와 함께 외국 기관 데이터 요청으로 인한 위험이 있음을 의미합니다. US CLOUD Act에 따라 완화될 수 있습니다. 또한, 관계 당국의 공식적인 행정 지원 요청은 어떤 경우에도 필수입니다.
일반 데이터 보호 규정(GDPR) 유럽 데이터 보호 위원회(European Data Protection Board)의 가이드라인 3/2018은 GDPR의 영역 범위 밖의 데이터 컨트롤러가 EU의 데이터 프로세서를 사용하는 경우 데이터 컨트롤러는 GDPR. 그러나 GDPR은 서비스의 일부로 개인 데이터를 처리하는 범위 내에서 데이터 프로세서에 적용됩니다.
즉, GDPR을 구현해야 하는 요구 사항은 EU 소재 클라우드 서비스 제공업체를 사용한다는 이유만으로 스위스 은행(또는 기타 비 EU 거주 은행)으로 확장되지 않습니다. . 반면에 많은 스위스 은행은 여전히 GDPR 범위에 속합니다. EU 거주 고객에게 서비스를 제공하기 때문입니다.
이러한 맥락에서 2019년 2월 25일 유럽 은행 당국(EBA)은 EBA의 권한 범위 내에서 모든 금융 기관에 대한 아웃소싱 프레임워크를 조화시키는 것을 목표로 아웃소싱 계약에 대한 개정 지침을 발표했습니다. 영향을 받는 은행은 2021년 12월 31일까지 이 개정된 지침에 따라 모든 아웃소싱 계약을 완료해야 합니다.
EBA 지침에 따르면 클라우드 서비스 제공업체와의 아웃소싱 계약은 다음을 보장해야 합니다.
개인 데이터가 적절하게 보호됩니다. 기밀로 유지되고 아웃소싱된 클라우드 인프라 및 서비스가 국제적으로 승인된 보안 및 데이터 보호 표준을 충족하는지 확인합니다.
비즈니스 연속성 및 비상 계획 고안되었습니다. 결과적으로 일부 클라우드 서비스 제공업체는 PSD2 또는 MiFID II에 따라 중요하거나 중요한 것으로 간주될 수도 있습니다.
적절한 추적 메커니즘이 마련되어 있습니다. , 기술 및 비즈니스 운영 기록을 목표로 합니다. 아웃소싱된 클라우드 서비스의 성능과 품질, 위험 수준은 데이터의 기밀성, 무결성 및 가용성을 보호하는 클라우드 서비스 제공업체의 능력과 이러한 데이터를 처리, 전송 및 저장하는 시스템의 능력에 크게 좌우되기 때문입니다. 데이터, 추적 작업은 사이버 공격을 감지하고 예방하는 데에도 중요합니다. 그리고
EU 지침, 국내법 및 계약상의 의무를 준수합니다. 개정된 지침에도 불구하고 기관은 현지 규정을 계속 준수해야 합니다. 아웃소싱된 클라우드 인프라 또는 서비스에 발자국이 있고 클라우드 서비스 제공자의 출신 국가에서 적용되는 법률입니다.
또한 클라우드 서비스 제공자는 중요하거나 중요한 기능을 제3자 제공자에게 위탁하는 경우 외주 기관에 알려야 합니다. 또한 개인 데이터와 관련된 경우 GDPR 규칙에 따라 하위 아웃소싱을 진행하기 전에 동의를 얻어야 합니다.
거버넌스는 개정된 지침에서 다루는 핵심 사항입니다. 이는 은행이 사이버 위험에 대한 조치를 포함하여 위험 관리에 관한 건전한 관리 결정을 내릴 수 있도록 하는 전체적이고 기관 차원의 프레임워크를 갖도록 구성되어야 합니다. 이러한 위험 관리 프레임워크에는 다음이 포함되어야 합니다.
아웃소싱 계약에 대한 EBA의 개정된 지침 , 유럽 은행 당국은 금융 기관이 유럽 연합에서 보다 쉽게 사업을 수행할 수 있도록 중요한 조치를 취했습니다. . 스위스 은행이 이 가이드라인이 당분간 적용되지 않는다는 결론에 도달하더라도 스위스 규제 프레임워크에서 이미 사용 가능한 사항에 대한 유용한 추가 지침과 통찰력을 제공할 수 있습니다.
결론적으로 여기에 설명된 규정을 준수한다는 것은 일반적으로 은행 서비스를 클라우드로 전환하는 것이 허용되고 통제 당국의 지원을 받기도 합니다. .
다음 블로그에서는 스위스에서 적절한 클라우드 서비스 제공업체를 선택할 때 결정 기준의 틀을 제공할 것입니다.