보안

보안에 대한 신뢰성을 가지고 운영하십시오. 클라우드, 하이브리드, 온프레미스 배포에서 미사용 및 전송 중인 데이터를 안전하게 보호하는 VMware의 노력을 확인하십시오.

개인정보보호

제어력을 유지하십시오. 데이터 액세스 및 사용 방식을 결정할 수 있도록 하는 VMware의 정책을 확인하십시오.

규정 준수

모든 지역에서 포괄적인 규정 준수를 실현하십시오. 규정 준수 기준 및 규정의 전체 목록을 확인하십시오.

복원력

보유한 솔루션의 현황에 관한 최신 정보를 받아보십시오. 글로벌 제품 및 서비스 가용성에 대한 명확한 정보에 액세스하십시오.

VMware Cloud 보안을 선택해야 하는 이유

클라우드, 하이브리드, 또는 온프레미스든, 보안은 VMware의 우선 순위입니다.
포괄적인 보안 환경

정부 기관과 국방부터 세계 최대 규모의 데이터 센터까지 VMware는 세계의 가장 민감한 환경에서 신뢰를 받는 파트너로 오랫동안 인정받아왔습니다. 이제 VMware는 이러한 평판을 클라우드 제품으로 확장합니다.

 

내장된 규정 준수

VMware의 모든 클라우드 솔루션의 기초에는 보안 기능이 내장되어 있습니다. 따라서 VMware 제품은 업계 모범 사례를 충족하도록 표준을 유지하기 위해 주요 규정 준수 인증에 부합합니다.

 

성능 저하 없는 가속화

클라우드로의 마이그레이션, 최신 애플리케이션 제작, 데이터 센터 확장, 멀티 클라우드 운영 자동화 등의 작업을 대응력과 안정성을 가지고 수행하십시오.

 

VMware Cloud 보안 기능

소프트웨어 보안

세계 최고 수준의 파트너십과 업계를 선도하는 보안 개발 수명주기 프로세스를 통해 VMware는 업계 벤치마크와 모범 사례에 부합하는 클라우드 운영 및 보안 제어를 제공합니다.

데이터 보안

VMware는 데이터 처리와 저장부터 전송과 폐기까지 모든 분류 단계에서 적합한 취급이 이루어지도록 엄중한 데이터 보호 기준을 준수합니다. 클라우드 내 데이터는 공동 책임이며, VMware는 고객 조직의 데이터에 대한 소유권과 관리권이 고객에게 있도록 관리하고 있습니다.



네트워크 보안

VMware Cloud 솔루션은 Infrastructure as a Service(IaaS) 파트너사에서 제공하는 기본 네트워크 보안에 기반하여 구축됩니다. 네트워크 환경은 논리적으로 분리되고 방화벽으로 보호되어 비즈니스 보안 요구 사항을 보호하고 적합한 보호 및 분리를 수행합니다.

ID 및 액세스 관리

VMware Cloud 솔루션은 최소 권한 원칙에 따라 ID 및 액세스 관리 제어를 통해 모든 직원의 적정한 액세스 수준을 유지하며, 이를 통해 고객의 데이터와 시스템을 안전하게 보호합니다.

 

취약점 및 패치 관리

VMware의 포괄적인 취약성 관리 프로그램에는 네트워크 전체에 걸친 타사 취약점 스캐닝과 침투 테스트, 애플리케이션 및 로컬 운영 체제 계층이 포함되어 있어 보안 영역에서 새롭게 등장하는 허점에 대응할 수 있습니다.

운영 관리

VMware Cloud 솔루션은 퍼블릭 및 프라이빗 위협과 관련된 환경 로그를 지속적으로 수집하고 모니터링하여 의심스럽고 비정상적인 활동을 찾아냅니다. 산업 기관, 리스크 및 규정 준수 조직, 지역 당국, 규제 기관과의 지속적인 업데이트를 통한 지원을 받아 새로운 위협을 신속하게 파악합니다.

관련 자료

VMware 보안 블로그

VMware의 보안 담당자 및 전문가가 제공하는 최신 동향, 정보, 기술을 통해 기업의 보안을 유지하십시오.

VMware Cloud Services 보안 개요

VMware Cloud Services에 구축된 보안 제어에 관한 백서를 통해 클라우드 보안에 대한 VMware의 접근 방식을 자세히 살펴보십시오.

VMware가 비즈니스 방식으로 처리되는 데이터를 보호하는 방법

VMware는 개인정보를 수집, 사용, 공개, 전송 및 저장하는 방식을 투명하게 공개합니다.

제품 및 서비스 고지

귀하의 VMware 제품 및 서비스 사용과 관련하여 VMware에서 수집 및 사용하는 개인정보에 적용되며 여기에는 다음이 포함됩니다.

 

  • VMware에서 제품 또는 서비스를 제공할 때 사용할 수 있는 쿠키 및 이와 유사한 추적 기술
  • 제품 및 서비스와 고객 경험을 개선하기 위해 VMware에서 수집하는 데이터

VMware 제품 및 서비스와 관련한 VMware의 고객 경험 개선 및 분석 프로그램에 관한 자세한 내용은 여기에서 확인할 수 있습니다.

개인정보 취급방침

귀하가 다음을 수행하는 경우 VMware에서 수집하는 개인정보에 대해 다룹니다.

 

  • 본 개인정보 취급방침에 대한 링크가 있는 VMware의 웹 사이트, 소셜 미디어 페이지, 모바일 애플리케이션, 온라인 광고, 마케팅 자료에 방문하거나, 이와 상호 작용하거나, 이를 사용하는 경우.
  • VMware의 이벤트, 영업, 마케팅 및 기타 오프라인 활동에 방문하거나, 이와 상호 작용하거나, 이를 사용하는 경우.
  • VMware 제품 및 서비스를 구매하고 계정과 관련된 개인정보를 제공하는 경우.

쿠키 취급방침

귀하가 VMware의 웹 사이트 및 온라인 서비스를 사용하고 이와 상호 작용할 때 VMware에서 쿠키 및 이와 유사한 추적 기술을 사용하는 방식을 다룹니다.

추가 취급방침

VMware는 “Just-in-Time” 공개 및 제품 내 개인정보 취급방침을 포함하여 특정 웹 사이트, 이벤트, 모바일 애플리케이션에 대해 추가적인 개인정보 취급방침을 적용할 수 있습니다. 이러한 고지는 VMware의 개인정보 보호 관행을 보완하거나 명시 또는 사용자에게 VMware가 데이터를 처리하는 방법에 대한 추가적인 선택권을 제공할 수 있습니다.

VMware가 서비스 공급업체로서 데이터를 보호하는 방법

데이터 보호 및 개인정보 보호 요구 사항을 준수하도록 지원합니다.

고객 컨텐츠 처리

VMware는(VMware 서비스 약관 또는 기타 관련 계약서에 명시된 바에 따라) 고객님 또는 고객님의 최종 사용자가 “고객 컨텐츠”로서 VMware 서비스에 업로드한 컨텐츠를 처리, 저장, 호스팅합니다. VMware는 고객님의 지시에 따라 작업하는 “서비스 공급업체” 또는 “처리자”로서 고객 컨텐츠에 포함된 개인 데이터를 처리합니다. 자세한 정보는 FAQ를 참고하십시오.

데이터 처리 부록

데이터 처리자로서 VMware의 의무 및 책임은 VMware의 데이터 처리 부록(DPA)에 명시되어 있습니다. VMware는 DPA 및 관련 계약서에 따라 고객 컨텐츠에 포함된 개인정보를 처리합니다. 제품 및 서비스별 표준 계약서는 최종 사용자 이용 약관에서 찾을 수 있습니다.

구속력 있는 기업 규칙

처리자로서 VMware는 구속력 있는 기업 규칙(BCR)을 제정하여 고객 컨텐츠에 포함된 개인정보가 해외 전송에 대한 EU 일반 데이터 보호 규정(GDPR)을 준수함을 입증했습니다.

하위 처리자

VMware는 외부 업체를 통해 VMware의 이름으로 특정 서비스를 제공할 수 있습니다. 고객 컨텐츠(하위 처리자)에 포함된 개인 데이터를 처리하는 외부 서비스 공급업체는 데이터 처리 부록에 명시된 바에 따라 개인 데이터를 보호하기 위한 계약서 작성 및 데이터 전송 메커니즘을 이행합니다.

 

VMware Cloud 보안

VMware는 고객 컨텐츠에 포함된 개인정보를 알맞게 보호하고(데이터 처리 담당 직원을 대상으로 정기 교육 실시 및 비밀 유지 계약서 작성 등) 제품 및 서비스의 보안 취약점을 파악, 방지 및 해결하도록 지원하는 프로그램, 정책, 관례를 보유하고 있습니다. 이러한 프로그램은 지속적으로 검토 및 업데이트됩니다.

 

 

통합 엔드포인트 관리

VMware는 조직의 정보와 시스템을 보호하고 관리 컨트롤을 사용하여 기업 또는 개인이 보유한 기기를 통해 액세스하고 사용할 수 있도록 하는 솔루션을 제공합니다. Workspace ONE 서비스에서 수집하고 사용하는 데이터에 관련한 개인정보 보호 및 보안 프로그램과 공개 정책에 관한 정보를 확인하십시오.

 

관련 자료

CloudHealth by VMware의 개인정보 취급방침

VMware가 멀티 클라우드 환경을 최적화하기 위해 신뢰할 수 있는 플랫폼을 기반으로 개인 데이터를 처리하고 보호하는 방법을 알아보십시오.

VMware Carbon Black Cloud의 개인정보 취급방침

이 클라우드 네이티브 보안 솔루션에서 수집하는 개인 데이터의 유형과 VMware에서 이를 처리하고 보호하는 방법에 대해 알아보십시오.

VMware SD-WAN by VeloCloud의 개인정보 취급방침

이 네트워크 오버레이 솔루션에서 수집하는 개인 데이터의 유형과 이를 보호하기 위한 VMware의 역할에 대해 알아보십시오.

 

VMware Workspace ONE의 개인정보 취급방침

이 디지털 워크스페이스 플랫폼에서 수집하는 개인 데이터의 유형과 VMware에서 이를 처리하고 보호하는 방법에 대해 알아보십시오.

VMware Cloud on AWS 개인정보 취급방침

VMware Cloud on AWS SDDC의 개인 데이터 담당자와 VMware가 해당 도메인에서 데이터를 보호하는 방법에 대해 알아보십시오.

규정 준수 유지

VMware는 기존 및 새로운 보안 기준과 요구 사항을 지속적으로 모니터링하고 적용 가능한 요구 사항을 클라우드 서비스 규정 준수 프로그램에 통합합니다. VMware는 귀하의 규정 준수를 지원하기 위해 귀하와 파트너 관계를 맺고 있으므로 VMware의 고객으로서 서비스 제품이 규정 준수 및 규제 의무를 충족해야 합니다.

규정 준수에 대해 질문이 있는 경우 VMware 영업 담당자에게 비즈니스 목표 및 목적을 논의하시기 바랍니다.

기존 클라우드 규정 준수 프로그램

고객에게 가장 연관성이 높은 규정 준수 프로그램에 관한 정보를 지속적으로 업데이트합니다.
VMware 제품 규정 준수에 관한 정보를 알고 싶다면 여기를 클릭하십시오.
Filter by
Filter by

 

 

추가 규정 준수 정보

VMware 규정 준수에 관심을 가져주셔서 감사합니다.

VMware의 규정 준수 프로그램에 관한 자세한 정보는 VMware 영업 담당자에게 문의하십시오. 영업 담당자는 즉시 다운로드할 수 없는 규정 준수 보고서에 대한 액세스 권한을 제공할 수도 있습니다.

Service Status

Service Location

Service Status

FAQ

Trust Center

VMware Cloud Trust Center와 관련한 자세한 정보는 VMware 영업 담당자에게 문의하시기 바랍니다. 영업 담당자는 가장 효과적으로 요청을 지원하기 위해 정보를 얻을 수 있습니다.

개인정보보호

‘내 컨텐츠’ 또는 ‘고객 컨텐츠’는 VMware와의 계약서(예: VMware 서비스 약관)에 추가적으로 정의된 바에 따라, 고객님이 서비스 제품으로 업로드하는 모든 컨텐츠를 의미합니다. 모든 텍스트, 사운드, 비디오, 이미지 파일과 소프트웨어(시스템 이미지 포함) 또는 고객님이나 고객님의 최종 사용자가 여러분의 VMware 계정으로 연결하여 처리, 저장, 호스팅을 위해 서비스 제품으로 업로드하는 기타 정보가 포함됩니다. 예를 들어, 고객 컨텐츠에는 고객님이나 고객님의 최종 사용자가 Workspace ONE에 저장하는 데이터가 포함됩니다. 중요한 것은, 계정에 해당하는 성명, 사용자명, 전화번호, 청구 정보 등의 계정 정보와 서비스 제품 사용에 관련하여 VMware에서 수집하는 정보는 고객 컨텐츠의 정의에 포함되지 않는다는 점입니다. VMware에서는 이러한 정보를 개인정보 취급방침에 따라 취급합니다.

고객 컨텐츠에 대한 소유권은 언제나 고객님께 있습니다. 고객 컨텐츠의 프로세싱, 저장, 호스팅에 어떤 VMware 서비스 제품을 사용할지, 서비스 제품에 어떤 정보를 고객 컨텐츠로 업로드할지 결정하는 것은 고객님입니다. VMware는 고객님께 서비스 제품을 제공하는 데에 필요한 경우와 고객님과의 VMware 서비스 약관에 허용된다고 명시되어 있는 경우를 제외하고는 어떤 목적으로도 고객 컨텐츠에 접근하거나 이를 사용하지 않습니다. 마지막으로, VMware는 고객 컨텐츠를 마케팅이나 광고를 목적으로 사용하지 않습니다.

 

VMware는 서비스 약관의 '필수 공개' 섹션에 명시된 바와 같이 소환장, 법원 명령, 기관 조치 또는 고객 콘텐츠 공개에 관한 기타 법적 또는 규정 요건을 처리하는 방법과 관련하여 다음과 같은 계약상의 약속을 합니다.

고객 통지가 법적으로 금지되지 않은 경우 VMware는 다음을 수행합니다. 

- 고객에게 통지: 고객 콘텐츠 공개 요구가 있는 경우 고객에게 이를 알립니다.

- 정부 기관을 고객에게 안내: 관련 정부 당국에 VMware는 고객을 대신하여 행동하는 서비스 제공업체이며 고객 콘텐츠에 대한 모든 액세스 요청은 고객이 VMware에 알려 준 담당자나 고객의 법무 부서에 서면으로 전달해야 함을 알립니다. 

- 액세스 제한: 고객의 승인이 있는 경우에만 고객 콘텐츠에 대한 액세스를 제공합니다. 고객이 요청하는 경우 당사는 모든 요구에 이의를 제기하기 위해 합리적인 조치를 고객의 비용으로 취할 것입니다. 

VMware가 고객에게 통지하는 것이 법적으로 금지된 경우 VMware는 다음을 수행합니다. 

- 법적 효력 평가: VMware는 공개 요구를 평가하여 법적으로 유효하고 구속력이 있는지 확인합니다. 

- 불법적인 요청에 이의를 제기: 명령이 관련 법률을 준수하지 않는다고 합리적으로 판단되는 경우 VMware는 해당 명령에 이의를 제기합니다. 

- 공개 범위 제한: VMware는 공개 범위를 반드시 공개해야 하는 정보로만 제한하고, 관련 법률에 따라 정보를 공개합니다.

VMware는 관련 법률을 준수하면서 고객의 콘텐츠를 보호하고자 최선을 다하며, 이에 따라 아래에서 자세히 설명하는 VMware의 정부 액세스 요청에 대응 방법에 대해 VMware 서비스 약관(필수 공개) 및 구속력 있는 기업 규칙(BCR) 처리자 정책을 적용합니다. VMware는 고객이 VMware의 BCR에 명시된 약속을 포함한 정부 액세스 요청 처리와 관련된 VMware의 약속과 프로세스를 더 잘 이해할 수 있도록 고객 콘텐츠 액세스에 대한 정부 요청 처리에 관한 VMware 원칙을 준비했습니다. 

VMware는 VMware 서비스 약관의 '필수 공개' 섹션에 명시된 대로, 정부 액세스 요청을 처리하는 방법과 관련하여 구체적으로 다음과 같은 계약상의 약속을 합니다.

고객 통지가 법적으로 금지되지 않은 경우 VMware는 다음을 수행합니다. 

- 고객에게 통지: 고객 콘텐츠 공개 요구가 있는 경우 고객에게 이를 알립니다.

- 정부 기관을 고객에게 안내: 관련 정부 당국에 VMware는 고객을 대신하여 행동하는 서비스 제공업체이며 고객 콘텐츠에 대한 모든 액세스 요청은 고객이 VMware에 알려 준 담당자나 고객의 법무 부서에 서면으로 전달해야 함을 알립니다. 

- 액세스 제한: 고객의 승인이 있는 경우에만 고객 콘텐츠에 대한 액세스를 제공합니다. 고객이 요청하는 경우 당사는 모든 요구에 이의를 제기하기 위해 합리적인 조치를 고객의 비용으로 취할 것입니다.

VMware가 고객에게 통지하는 것이 법적으로 금지된 경우 VMware는 다음을 수행합니다.

- 법적 효력 평가: VMware는 공개 요구를 평가하여 법적으로 유효하고 구속력이 있는지 확인합니다.

- 불법적인 요청에 이의를 제기: 명령이 관련 법률을 준수하지 않는다고 합리적으로 판단되는 경우 VMware는 해당 명령에 이의를 제기합니다.

- 공개 범위 제한: VMware는 공개 범위를 반드시 공개해야 하는 정보로만 제한하고, 관련 법률에 따라 정보를 공개합니다.

VMware는 어떠한 경우에도 개인 데이터를 민주 사회에서 필요한 수준 이상으로 방대하고 과도하며 무차별적으로 공개하지 않습니다.

또한 Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems, Case C-311/18 (Schrems II)에서의 유럽연합 법원(ECJ)의 결정에 따라, VMware는 Schrems II 관점에서의 FISA 702항 및 행정 명령 12333 적용에 관한 VMware 진술을 준비했습니다. 이 진술의 목적은 EU에서 미국으로 전송되는 데이터에 미국 정보 기관이 액세스하는 것에 대한 우려를 해결하고, 행정 명령(EO)12333 및 국외정보감시법(FISA) 702항이라는 두 미국 법률의 적용 가능성을 고객이 이해하도록 지원하는 것입니다. VMware는 VMware에서 제공하는 서비스의 특성을 고려할 때 서비스 제품 제공과 관련하여 702항 또는 EO 12333의 적용을 받을 가능성이 낮다고 확신합니다.

VMware는 글로벌 기업이며 전 세계 법률의 적용을 받습니다. 특정 서비스 제품과 관련하여 고객 콘텐츠에 포함된 개인 데이터가 처리되는 국가 목록은 여기에서 확인할 수 있는 해당 하위 처리자 목록에 명시되어 있습니다. VMware는 VMware 서비스 약관에 명시된 대로, 정부 액세스 요청 및 필수 공개와 관련된 약속을 준수하는 능력을 저해할 수 있는 관련 법률을 인지하지 못합니다.

고객에 대한 VMware 서비스 제공과 관련하여, VMware는 유럽 경제 지역(“EEA”), 스위스 및 영국에 있는 고객 콘텐츠에 포함된 개인 데이터를(관련 용어는 VMware 데이터 처리 부록에 정의되어 있음) 처리자로서의 역량을 활용하여 제3국으로 전송할 수 있습니다. 일반 데이터 보호 규정('GDPR')은 영국 국내 법률에 통합되었으며, 따라서 EEA 외부로의 개인 데이터 전송에 대한 GDPR에 따라 허용되는 데이터 전송 메커니즘은 영국에서의 전송에도 적용됩니다. 스위스의 경우 연방 데이터 보호법('FADP')이 GDPR과 유사한 프레임워크를 따르며, 따라서 (차이를 설명하는 데 필요한 수정 사항을 포함한) 스위스에서의 전송에는 동일한 데이터 전송 메커니즘이 적용됩니다.

고객 개인 데이터의 수령인 또는 수입자에는 VMware Group 내 법인과 VMware 서비스를 제공하기 위해 VMware를 대신하여 개인 데이터를 처리하는, VMware와 관계하는 선택된 제3자 벤더('하위 처리자')가 포함됩니다. VMware Group 내 법인 및 서비스 제품 및 고객 지원과 관련하여 고객의 개인 데이터를 처리하는 데 사용하는 하위 처리자의 목록과 위치 정보는 여기에서 확인할 수 있습니다.

그룹 내 전송: 처리자 역할을 수행하는 VMware가 EEA에서 비롯된 개인 데이터를 공유할 때마다 VMware는 아일랜드 데이터 보호 위원회 및 VMware 구속력 있는 기업 규칙(‘VMware의 EEA BCR')으로 알려진 동급의 승인된 구속력 있는 기업 규칙을 기반으로 이를 수행합니다. 이 기업 규칙은 개인 데이터를 위한 적합한 보호 방법을 수립하고 VMware 그룹에서 법적 구속력을 지닙니다.

VMware의 BCR은 2018년 5월 23일에 유럽 데이터 보호국의 승인을 받았습니다. 여기서 이 검토가 완료되었다는 확인을 검토할 수 있습니다. VMware의 구속력 있는 기업 규칙에 관한 추가 정보와 VMware의 EEA BCR 처리자 정책에 액세스하려면 VMware의 처리자 구속력 있는 기업 규칙을 참조하십시오. VMware의 EEA BCR에 대한 그룹 내부 계약에 서명한 VMware 계열사 목록을 확인하려면 여기를 클릭하십시오. 자세한 내용을 보려면 여기를 클릭하십시오.

VMware의 영국 내 구속력 있는 기업 규칙(“VMware의 영국 BCR”) 적용은 현재 보류 중이며, 영국 BCR이 발효되면 VMware의 데이터 처리 부록이 업데이트될 것입니다. 자세한 내용을 보려면 FAQ "브렉시트와 관련한 VMware 데이터 전송 전략은 무엇입니까?"를 참조하십시오.

타사 하위 처리자에게 전송: VMware는 EEA, 스위스 및 영국에서 데이터가 안전하고 보안이 유지되며 합법적인 방법으로 전송되게 하고 이후 전송을 보호할 수 있도록, 최신 버전의 Controller to Processor(처리자에 대한 제어자) SCC가 통합된 데이터 처리 계약(DPA)을 하위 처리자에게 적용합니다. 유럽연합 집행위원회(European Commission)는 SCC의 새 초안 버전을 게시했으며 여기에서 확인할 수 있습니다. 새 SCC가 승인되고 발효되면 VMware는 유럽연합 집행위원회에서 정한 새 요구 사항에 따라 하위 처리자와 함께 이러한 새 SCC를 구현하는 데 필요한 조치를 취합니다.

VMware는 브렉시트와 관련한 VMware의 데이터 전송 전략과, 특히 구속력 있는 기업 규칙(BCR) 및 표준 계약 조항(SCC) 사용에 대한 고객의 우려를 해결하기 위해 FAQ “브렉시트 및 국제 데이터 전송”을 마련했습니다. 이 FAQ는 여기에서 확인할 수 있습니다.

개인 데이터 전송에 대한 적절한 보호 장치를 보장하기 위해 VMware가 구현한 메커니즘에 관한 추가 정보는 FAQ "VMware가 처리자 역할을 하는 EEA, 스위스 및 영국 외부로의 개인 데이터 전송에 대한 적절한 보호를 보장하기 위해 VMware는 어떤 메커니즘을 구현했습니까?"를 참조하십시오.

서비스 제품의 보안은 VMware에게 가장 중요한 일입니다. 서비스 제품에 관련하여 사용하는 보안 조치 목록은 Trust Center 보안 페이지를 참조하십시오.

서비스 제품을 사용할 때 귀하는 서비스 제품 사용에 적용되는 모든 법률을 준수할 수 있도록 필요한 기술적, 조직적 및 관리적 통제를 구성하고 구현할 책임이 있습니다. 이러한 책임은 선택한 데이터 유형에 따라 달라질 수 있습니다. 고객 콘텐츠 보안에 관한 귀하의 책임은 관련 계약에 명시되어 있으며 (a)고객님이 고객님의 사용자에게 제공하는 액세스 권한 관리, (b)서비스 제품의 구성, (c)고객 컨텐츠를 서비스 제품으로, 또는 서비스 제품에서 전송하는 동안 보안 유지, (d)필요하다고 판단되는 경우 암호화 기술을 사용하여 고객 컨텐츠 보호, (e)고객 컨텐츠 백업 등을 포함합니다.

VMware는 ISO 27001 기준(해당하는 경우)에 부합하는 정보 보안 관리 프로그램을 실행하며 적합한 관리, 시행, 절차가 이루어지고 있는지 연간 1회 이상 검토하고 있습니다. 서비스 제품에 관련하여 사용하는 보안 조치 목록은 Trust Center 보안 페이지를 참조하십시오.

VMware는 VMware 서비스 제품 또는 지원 및 구독 서비스의 제공과 관련하여 VMware를 대신해 서비스를 수행하는 제3자를 고용하고 활용합니다. 자세한 내용은 여기에서 확인할 수 있습니다. 하위 처리자로서 개인 데이터를 처리하는 제3자의 참여와 관련하여(관련 용어는 데이터 처리 부록에 정의되어 있음), VMware는 다음 프로세스 및 절차를 구현했습니다.

1. 계약상의 약속 및 국제 데이터 전송: VMware는 데이터 처리 부록에 나오는, VMware가 고객에게 하는 계약상의 약속과 실질적으로 유사한 조건으로 개인 데이터의 적절한 개인정보 보호, 보안 및 기밀성을 유지하기 위해 하위 처리자가 필요하다고 명시하는 데이터 처리 계약을 모든 하위 처리자와 함께 체결합니다. VMware는 다른 합법적인 데이터 전송 메커니즘이 있고 하위 처리자가 적절한 계약상의 약속을 하지 않는 한, EU 표준 계약 조항에 의존합니다.

2. 개인정보보호 검토 프로세스 및 개인정보보호 적용 설계: VMware는 포괄적인 중앙 집중식 제3자 벤더 관리 프로세스를 사용하여 신규 공급업체를 온보딩합니다. 이 프로세스에는 중앙 집중식 도구를 사용하여 제3자 개인정보 보호 및 보안 검토를 시작하고, 수행하고, 추적하여 규정 준수 노력을 지원하는 작업이 포함됩니다. VMware 개인정보보호 팀은 처리되는 개인 데이터의 범주 및 처리 목적 결정을 포함한 하위 처리자가 제공하는 서비스에 대한 상세한 개인정보 검토를 수행합니다. 하위 처리자의 개인 데이터 액세스 및 처리와 관련된 위험을 완화하고 규정 준수를 보장하기 위한 개인정보보호 제어 구현도 검토됩니다.

3. 보안 검토 프로세스: VMware는 하위 처리자에 대한 보안 검토 수행을 위한 정책과 프로세스를 유지합니다. VMware 보안 팀은 신규 하위 처리자에 대한 최초 보안 검토를 수행하고, 식별된 보안 위험 수준을 기반으로 지속적인 모니터링을 수행합니다.

4. 하위 처리자 목록 및 신규 하위 처리자 알림: VMware는 개별 서비스 제품에서 사용하며 지원 및 구독 서비스와 관련된 하위 처리자의 목록을 유지 관리합니다. 각 서비스 제품 목록은 여기에서 확인할 수 있습니다. VMware는 고객이 VMware에서 제공하는 메커니즘을 통해 특정 서비스에 대한 통지를 수신하도록 등록한 경우, 신규 하위 처리자 고용을 고객에게 사전에 통지합니다. 신규 하위 처리자 통지를 받으려면 여기로 이동하여 관련 하위 처리자 목록 통지를 사용 설정하십시오.

VMware는 온프레미스 제품 및 서비스 제품이 관련 개인정보보호 원칙 및 법적 요구 사항을 준수하는 방식으로 설계되게 하는 개인정보보호 설계 프레임워크를 구현합니다. VMware의 온프레미스 제품 및 서비스 제품의 설계 수명주기에서 개인정보 검토 프로세스가 구현되었으며, 여기에는 개인정보 검토를 통한 제품 또는 서비스 제출의 문서화된 지침, 개인정보 검토를 수행하도록 임명된 법률 고문, (필요한 경우) 데이터 처리 영향 평가 및 관련 데이터 보호 및 개인정보 보호법에 따라 제품/서비스를 설계하기 위한 일반 개인정보 요구 사항이 포함됩니다.

또한 VMware는 포괄적인 중앙 집중식 제3자 벤더 관리 프로세스를 사용하여 신규 공급업체를 온보딩합니다. 이 프로세스에는 중앙 집중식 도구를 사용하여 제3자 개인정보 보호 및 보안 검토를 시작하고, 수행하고, 추적하여 규정 준수 노력을 지원하는 작업이 포함됩니다. VMware 개인정보보호 팀은 처리되는 개인 데이터의 범주 및 처리 목적 결정을 포함한 하위 처리자가 제공하는 서비스에 대한 상세한 개인정보 검토를 수행합니다. 하위 처리자의 개인 데이터 액세스 및 처리와 관련된 위험을 완화하고 규정 준수를 보장하기 위한 개인정보보호 제어 구현도 검토됩니다.

VMware에는 외부 데이터 보호 컨설팅 회사의 이사이자 변호사인 데이터 보호 담당자(DPO)가 있습니다. DPO의 역할은 GDPR 38조 및 39조에서 설명합니다. DPO는 개인 데이터 보호와 관련된 모든 문제에 관여하고, GDPR에 따른 의무에 관해 조직에 조언하고, 규정 준수를 모니터링하고, 데이터 보호 영향 평가에 관한 조언을 하고, 감독 기관의 연락 담당자가 되어야 합니다. VMware 개인정보보호 팀은 필요한 경우 VMware의 DPO와 협력합니다. VMware의 DPO에 연락하려면 dpo@vmware.com으로 이메일을 보내십시오. VMware 개인정보보호 팀은 필요한 경우 쿼리를 처리하고 DPO와 협력합니다.

유럽연합 일반 데이터 보호 규정(EU General Data Protection Regulation, GDPR)에 따라, VMware는 고객 컨텐츠의 '처리자'입니다. GDPR에 따른 VMware의 처리자로서의 의무와 책임은 데이터 처리 부록에 명시되어 있으며, VMware는 고객 컨텐츠에 포함된 개인정보를 해당 계약서와 데이터 처리 부록에 따라 처리합니다. 또한, VMware는 처리자로서 처리하는 개인정보에 대해 구속력 있는 기업 규칙(BCR) 승인을 받았습니다. VMware의 BCR 사본은 여기에서 확인하실 수 있으며, VMware 승인에 대한 근거는 유럽연합 집행위원회 웹 사이트에서 확인하실 수 있습니다.

VMware는 고객이 여러 시스템 및 환경에서 애플리케이션을 구축, 관리, 보호 및 실행할 수 있게 하는 엔터프라이즈 솔루션을 제공합니다. VMware는 고객에게 제공하는 서비스 제품의 특성상 일반적으로 고객 콘텐츠에 대한 정부의 직접적인 액세스 요청을 보증하지는 않는다고 생각하지만, Schrems II 판결을 준수하고 제어자로서 처리하는 데이터와 관련한 고객의 규정 준수 노력을 지원하고자 다음과 같은 조치를 취했습니다.

정부 액세스 요청에 대한 강화된 계약상의 약속

VMware는 서비스 약관의 '필수 공개' 섹션을 업데이트하여, VMware가 다음 약속을 추가하여 정부 액세스 요청을 처리함을 명확하게 설명합니다.

고객 통지가 법적으로 금지되지 않은 경우 VMware는 다음을 수행합니다.

- 고객에게 통지: 고객 콘텐츠 공개 요구가 있는 경우 고객에게 이를 알립니다.

- 정부 기관을 고객에게 안내: 관련 정부 당국에 VMware는 고객을 대신하여 행동하는 서비스 제공업체이며 고객 콘텐츠에 대한 모든 액세스 요청은 고객이 VMware에 알려 준 담당자나 고객의 법무 부서에 서면으로 전달해야 함을 알립니다.

- 액세스 제한: 고객의 승인이 있는 경우에만 고객 콘텐츠에 대한 액세스를 제공합니다. 고객이 요청하는 경우 당사는 모든 요구에 이의를 제기하기 위해 합리적인 조치를 고객의 비용으로 취할 것입니다.

VMware가 고객에게 통지하는 것이 법적으로 금지된 경우 VMware는 다음을 수행합니다.

- 법적 효력 평가: VMware는 공개 요구를 평가하여 법적으로 유효하고 구속력이 있는지 확인합니다,

- 불법적인 요청에 이의를 제기: 명령이 관련 법률을 준수하지 않는다고 합리적으로 판단되는 경우 VMware는 해당 명령에 이의를 제기합니다.

- 공개 범위 제한: VMware는 공개 범위를 반드시 공개해야 하는 정보로만 제한하고, 관련 법률에 따라 정보를 공개합니다.

정부 액세스 요청 및 미국 당국 처리 절차에 관한 투명성

VMware의 BCR에 명시된 약속을 포함한 정부 액세스 요청을 처리하기 위한 VMware의 약속과 프로세스를 고객이 더 잘 이해할 수 있도록, VMware는 고객 콘텐츠 액세스에 대한 정부 요청 처리를 위한 VMware 원칙을 준비했습니다.

또한 VMware는 Schrems II 관점에서의 FISA 702항 및 행정 명령 12333 적용에 관한 VMware 진술을 준비했습니다. 이 진술의 목적은 EU에서 미국으로 전송되는 데이터에 미국 정보 기관이 액세스하는 것에 대한 우려를 해결하고, 행정 명령(EO)12333 및 국외정보감시법(FISA) 702항이라는 두 미국 법률의 적용 가능성을 고객이 이해하도록 지원하는 것입니다. VMware는 VMware에서 제공하는 서비스의 특성을 고려할 때 서비스 제품 제공과 관련하여 702항 또는 EO 12333의 적용을 받을 가능성이 낮다고 확신합니다.

개인 데이터 전송에 대한 법적 근거를 보장하기 위해 업데이트된 하위 처리자와의 계약

미국-유럽 개인정보보호 실드(EU-U.S. Privacy Shield) 무효화 이후, VMware는 이전에는 데이터 전송 메커니즘으로 미국-유럽 개인정보보호 실드를 사용했던 모든 하위 처리자와 함께 표준 계약 조항을 구현했습니다. 데이터 처리자로서 VMware는 VMware의 데이터 처리 부록에 명시된 관련 VMware 서비스 제품의 제공과 관련하여 EU 외부로 개인 데이터를 전송할 때 구속력 있는 기업 규칙에 의존합니다. VMware의 BCR에 대한 추가 정보는 여기VMware Trust Center에서 확인할 수 있습니다. 

기술적 및 조직적 조치

VMware는 VMware의 데이터 처리 부록에 명시된 적절한 기술적 및 조직적 조치를 구현하고 유지 관리하겠다고 확약합니다. VMware의 Trust Center 웹사이트에는 서비스 제품과 관련하여 VMware가 유지 관리하는 제3자 인증 및 감사가 요약되어 있습니다. 또한 VMware 서비스 제품의 특성을 감안할 때, 고객은 서비스 제품을 구성하는 방법을 제어할 수 있으며 서비스 제품의 사용과 관련하여 처리되는 데이터를 보호하는 데 필요한 관리적 및 기술적 제어를 구현할 수 있습니다. 많은 경우 VMware는 시스템 및 인프라를 관리할 때 고객이 선택할 수 있는 온프레미스 솔루션과 호스팅 솔루션을 모두 제공합니다.

VMware 서비스에서 처리하는 데이터 유형에 대한 투명성 – 데이터시트

EDPB(European Data Protection Board)는 'Schrems II'에 대한 FAQ에서, 유럽연합 외부로의 개인 데이터 전송에 대한 적절한 수준의 보호 장치가 있는지를 결정할 때 전송되는 데이터 유형을 고려해야 하며, 제어자는 사례별 분석을 수행하여 이러한 전송이 제기하는 위험을 결정한다고 설명합니다. VMware 서비스 제품 사용과 관련하여 처리되는 데이터 유형을 고객이 쉽게 이해할 수 있도록, VMware는 각 서비스 제품에 대한 서비스 설명(여기에서 확인 가능)을 제공하고 VMware Trust Center의 개인정보 보호 섹션에서 특정 서비스 제품에 대한 데이터시트를 제공합니다. Workspace One 서비스 제품의 경우 VMware는 Workspace One Disclosure도 제공합니다.

캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)는 캘리포니아 주의 소비자에게 서비스를 제공하는 비즈니스에 적용됩니다. 이 법은 개인정보 처리에 관련한 특정 권한을 개인에게 부여합니다. CCPA에 따라 VMware는 고객 컨텐츠 내에 포함된 개인정보 처리와 관련하여 고객의 ‘Service Provider'로서의 역할을 수행합니다. VMware는 해당 계약서에 명시된 바에 따라 고객에게 서비스를 제공하는 데 필요한 경우를 제외하고는 어떤 목적으로도 이러한 개인정보에 액세스하거나 사용하지 않으며 데이터 처리 부록에 명시된 바에 따라 CCPA에 준하여 데이터 주체 액세스 요청에 대응하여 고객을 지원합니다. 여기에서 VMware는 CCPA, VMware의 캘리포니아 개인정보 취급방침에 따른 '비즈니스'의 역할을 수행하며 다른 개인정보 취급방침은 수집 및 사용되는 데이터의 카테고리와 관련하여 필요한 공개 및 개인정보의 판매를 비롯하여 비즈니스로서 VMware가 이러한 개인정보를 취급하는 방법에 관한 세부정보를 제공합니다. VMware의 서비스 프로비저닝에 대한 CCPA의 적용가능성에 관한 세부정보를 보려면 여기를 클릭하십시오.

시작할 준비가 되셨습니까?