스페인 칙령 1720/2007, 스페인 기본법 15/1999(LOPD)

  • 아티클

스페인 칙령 1720/2007, 스페인 기본법 15/1999의 개요

AEPD는 국경 간 데이터 전송을 비롯하여 개인 정보 보호에 관한 스페인 기본법 15/1999(정보보호에 관한 기본법 15/1999, 또는 LOPD, Ley Orgánica 15/1999 de Protección de Datos)의 준수를 감독하는 공공 기관입니다. 2014년, AEPD는 Microsoft Azure, Dynamics 365 및 Office 365를 다루는 EU 모델 조항에 적용 가능한 Microsoft 사용 약관을 검토하고 해당 약관은 고객이 자신의 개인 데이터를 해당 서비스로 이동할 수 있도록 적절한 보호 장치를 제공하는 것을 결정하는 결의안을 발표했습니다.

칙령 1720/2007 제8호에는 이행해야 하는 기본, 중간 수준 및 높은 수준의 보안 대책의 구체적인 목록을 포함하여 개인 데이터 처리에 대한 엄격한 요구 사항이 규정되어 있습니다. Microsoft는 스페인의 독립적 타사 감사 기업인 BDO Auditores를 보유하여 칙령 1720/2007에서 정한 높은 수준의 요구 사항 준수에 대해 Microsoft Azure 및 Office 365를 평가하고 중간 수준의 요구 사항 준수에 대해 Microsoft Dynamics 365를 평가합니다. 감사자는 면접, 시설 방문 및 환경, 물리적 보안 대책의 검토를 기반으로 Microsoft Azure 및 Office 365 정보 시스템, 시설 그리고 데이터 처리 등이 수정이 필요 없는 높은 수준의 기준을 충족한다고 결정했습니다.

Microsoft 및 스페인 칙령 1720/2007, 스페인 기본법 15/1999

Microsoft는 스페인 기본법 15/1999 (LOPD, Ley Orgánica 15/1999 de Protección de Datos)에 따라 국제간 데이터 전송을 관리하는 높은 기준을 준수하여 스페인 정보보호청(AEPD, Agencia Española de Protección de Datos)으로 부터 승인을 받은, 고객의 이점을 위한 최초의 하이퍼 스케일 클라우드 서비스 제공 업체입니다. Microsoft는 또한 온라인 서비스가 칙령 1720/2007 제8호에 명시된 보안 조치를 준수하여 타사 감사 인증을 획득한 최초의 하이퍼 스케일 클라우드 서비스 제공 업체입니다. 이 승인을 통해 고객은 유럽 연합 모델 조항이 적용되는 Microsoft Azure, Dynamics 365 및 Office 365 서비스로 개인 데이터를 전송할 수 있습니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

Office 365 및 LOPD

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Microsoft Entra ID, Azure Information Protection, Bookings, 준수 관리자, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Office 365용 Microsoft Defender, Microsoft Graph, Microsoft Teams, 웹용 Microsoft To-Do, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 Cloud App Security, Office 365 그룹, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, StaffHub, Stream, Sway, Viva Engage

감사, 보고서 및 인증서

Microsoft Azure

  • 권한 부여(스페인어): Office 365, Azure 및 Dynamics 365 서비스가 스페인 현지 데이터 보호법을 준수하기 위한 적절한 보호를 제공한다는 스페인 데이터 보호 결의안입니다.

Microsoft Office 365

  • 권한 부여(스페인어): Office 365, Azure 및 Dynamics 365 서비스가 스페인 현지 데이터 보호법을 준수하기 위한 적절한 보호를 제공한다는 스페인 데이터 보호 결의안입니다.

Microsoft Dynamics 365

  • 권한 부여(스페인어): Office 365, Azure 및 Dynamics 365 서비스가 스페인 현지 데이터 보호법을 준수하기 위한 적절한 보호를 제공한다는 스페인 데이터 보호 결의안입니다.

자주하는 질문

높은 수준의 기준을 충족하는 것은 Microsoft 고객에게 어떤 도움이 되나요?

높은 수준의 기준은 상태 정보와 같이 중요한 데이터를 처리하는 데 적용됩니다. Microsoft Azure 및 Office 365를 사용하는 고객은 중요한 데이터가 칙령 1720/2007에 따라 처리되고 있다는 사실에 안심할 수 있습니다.

우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?

예. 사용자의 기관에서 LOPD 또는 칙령 1720/2007에 따라 인증을 요구하거나 원하는 경우 AEPD의 승인 및 보안 조치 인증을 준수 평가에 사용할 수 있습니다. 하지만, Microsoft Azure, Dynamics 365 또는 Office 365에 배포된 대로 구현을 평가하기 위한 평가업체와의 계약과 기관 내의 제어 수단 및 프로세스에 대해서는 사용자에게 그 책임이 있습니다.

리소스