업데이트: 출시 노트에서 새로운 기능 및 제품 업데이트를 확인하세요.

이 페이지는 Cloud Translation API를 통해 번역되었습니다.

데이터 처리 관련 추가 조항

최종 수정일: 2023년 8월 8일 | 이전 버전

Jibe와 본 부칙에 동의하는 상대방 ('파트너')은 프로세서 서비스 제공에 관한 계약 (수시로 개정되는 '계약')을 체결했습니다.

본 데이터 처리 부록 (부록 '데이터 처리 부록' 포함)은 Jibe와 파트너 간에 체결되며 계약을 보완합니다. 본 데이터 처리 추가 조항은 약관 시행일부터 효력이 발생하며, 관련 주제 (프로세서 서비스와 관련된 데이터 처리 및 보안 약관 포함)와 관련하여 이전에 적용되었던 약관을 대체합니다.

파트너를 대신하여 본 데이터 처리 부록에 동의하는 경우 귀하는 (a) 파트너가 본 데이터 처리 부록에 구속되는 완전한 법적 권한이 귀하에게 있고, (b) 귀하가 본 데이터 처리 부록의 내용을 읽고 이해했으며, (c) 귀하가 파트너를 대신하여 본 데이터 처리 부록에 동의함을 보증합니다. 귀하에게 파트너를 구속할 법적 권한이 없으면 이 데이터 처리 부록에 동의하지 마시기 바랍니다.

1. 소개

이 데이터 처리 추가 조항은 유럽 데이터 보호법 및 비유럽 데이터 보호법과 관련하여 특정 데이터의 처리 및 보안에 적용되는 약관에 대한 당사자의 동의를 반영합니다.

2. 정의 및 해석

2.1 이 데이터 처리 추가 조항에서:

'추가 제품'은 Jibe 또는 서드 파티에서 제공하는 제품, 서비스 또는 애플리케이션으로서 (a) '프로세서 서비스'에 포함되지 않으며 (b) '프로세서 서비스'의 사용자 인터페이스 내에서 사용할 수 있거나 '프로세서 서비스'와 통합된 제품, 서비스 또는 애플리케이션을 의미합니다.

'비유럽 데이터 보호법의 추가 약관'은 '부록 3'에 언급된 추가 약관을 의미하며, 특정 '비유럽 데이터 보호법'과 관련된 특정 데이터 처리에 적용되는 약관에 대한 당사자의 동의를 반영합니다.

'적절한 국가'란 다음을 의미합니다.

(a) 'EU GDPR'에 따라 처리되는 데이터의 경우: 'EU GDPR'에 따른 적절한 데이터 보호 조치를 취하고 있는 것으로 인정되는 'EEA' 또는 개별 국가 또는 지역,

(b) '영국 GDPR'에 따라 처리되는 데이터의 경우: '영국 GDPR' 및 2018년 데이터 보호법(Data Protection Act 2018)에 따라 적절한 데이터 보호 조치를 취하고 있는 것으로 인정되는 영국 또는 개별 국가 또는 지역, 및/또는

(c) 스위스 FDPA에 따라 처리되는 데이터의 경우: 스위스 또는 (i) 스위스 연방 데이터 보호 및 정보 위원회에서 게시한 바와 같이 적절한 수준의 보호를 보장하는 법률이 적용되는 국가 목록에 포함되거나 (ii) 스위스 FDPA에 따라 스위스 연방 위원회에서 적절한 데이터 보호 조치를 취하고 있는 것으로 인정되는 국가 또는 지역(각각 선택적 데이터 보호 프레임워크를 기반으로 하지 않는 경우)

'대체 전송 솔루션'은 SCC가 아닌 솔루션으로, 유럽 데이터 보호법에 따라 개인 정보를 제3국에 합법적으로 전송할 수 있습니다(예: 참여 현지 법인이 적절한 보호 조치를 제공하는 것으로 인정되는 데이터 보호 프레임워크).

'데이터 이슈'는 Jibe가 관리하거나 다른 방식으로 통제하는 시스템에 저장된 파트너 개인 정보의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 이러한 데이터에 대한 액세스로 이어지는 Jibe의 보안 정책 위반을 의미합니다. 실패한 로그인 시도, 핑, 포트 검색, DoS 공격, 기타 방화벽이나 네트워크로 연결된 시스템에 대한 네트워크 공격을 포함해 '파트너 개인 정보'의 보안을 훼손하지 않는 실패한 시도나 활동은 '데이터 이슈'에 포함되지 않습니다.

'정보주체 도구'는 Jibe 법인이 정보주체에게 제공하는 도구 (있는 경우)로, Jibe가 파트너 개인 정보와 관련하여 정보주체의 특정 요청 (예: 온라인 광고 설정 또는 선택 해제 브라우저 플러그인)에 표준화된 방식으로 직접 응답할 수 있도록 지원합니다.

'EEA'는 유럽 경제 지역을 의미합니다.

'EU GDPR'은 2016년 4월 27일 유럽 의회 및 위원회의 개인 정보 처리 및 데이터의 자유로운 이동과 관련된 자연인 보호 규정 (EU) 2016/679를 의미하며 지침 95/46/EC를 폐지 및 대체합니다.

'유럽 데이터 보호법'은 해당하는 경우 (a) GDPR 및/또는 (b) 스위스 FDPA를 의미합니다.

'유럽 법률'은 경우에 따라 (a) EU 또는 EU 회원국 법률 (EU GDPR이 파트너 개인 정보 처리에 적용되는 경우) 및/또는 (b) 영국 또는 영국 일부의 법률 (UK GDPR이 파트너 개인 정보 처리에 적용되는 경우)을 의미합니다.

'GDPR'은 해당할 경우 다음을 의미합니다. (a) EU GDPR 및/또는 (b) 영국 GDPR

'Jibe'는 본 계약의 당사자인 Jibe 법인을 의미합니다.

'Jibe 법인'은 Jibe Mobile, Inc., Jibe Mobile Limited 또는 Jibe Mobile, Inc.를 직접 또는 간접적으로 지배하거나, Jibe Mobile, Inc.의 지배를 받거나, Jibe Mobile, Inc.와 공동으로 지배권을 행사하는 기타 법인을 의미합니다.

'ISO 27001 인증'은 ISO/IEC 27001:2013 인증 또는 이와 비슷한 프로세서 서비스 인증을 의미합니다.

'신규 하위 처리자'는 11.1항 (하위 처리자 참여에 대한 동의)에 명시된 의미를 지닙니다.

'비유럽 데이터 보호법'은 'EEA', 스위스, 영국을 제외한 유럽 지역에서 발효 중인 데이터 보호법 또는 개인 정보 보호법을 의미합니다.

'통지 이메일 주소'는 (i) 파트너가 Jibe에 제공했거나 (ii) 파트너가 프로세서 서비스의 사용자 인터페이스 또는 Jibe에서 제공하는 기타 수단을 통해 Jibe로부터 본 데이터 처리 부록과 관련된 특정 알림을 수신하도록 지정한 이메일 주소 (있는 경우)를 의미합니다. 명확히 하기 위해 Jibe에 알림 이메일 주소를 제공하고 알림 이메일 주소가 업데이트되면 Jibe에 알리는 것은 파트너의 책임입니다.

'파트너 개인 정보'는 Jibe의 프로세서 서비스 제공 시 파트너를 대신하여 Jibe에서 처리하는 개인 정보를 의미합니다.

'파트너 SCC'는 해당하는 경우 SCC (컨트롤러-프로세서), SCC(프로세서-컨트롤러) 또는 SCC (프로세서-프로세서)를 의미합니다.

'프로세서 서비스'는 RCS Business Messaging 서비스를 의미합니다 (developers.google.com/business-communications/rcs-business-messaging 참고).

'SCC'는 해당하는 경우 파트너 SCC 또는 SCC (프로세서 간, Jibe 내보내기)를 의미합니다.

'SCC (컨트롤러-프로세서)'는 business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa에 명시된 약관을 의미합니다.

'SCC (프로세서-컨트롤러)'는 business.safety.google/gdprprocessorterms/sccs/p2c에 명시된 약관을 의미합니다.

'SCC (프로세서-프로세서)'는 business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa에 명시된 약관을 의미합니다.

'SCC (프로세서 간, Jibe 내보내기)'는 business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group에 명시된 약관을 의미합니다.

'보안 문서'는 ISO 27001 인증 및 Jibe가 프로세서 서비스와 관련하여 제공할 수 있는 기타 보안 인증 또는 문서를 의미합니다.

'보안 조치'는 7.1.1항 (Jibe의 보안 조치)에 명시된 의미와 동일합니다.

'재처리자'는 '데이터 처리 추가 조항'에 따라 '프로세서 서비스'의 일부와 관련 기술 지원을 제공하기 위해 '파트너 개인 정보'에 대한 논리적 액세스와 처리가 허용되는 제3자를 의미합니다.

'감독 기관'은 해당하는 경우 다음을 의미합니다. (a) EU GDPR에 정의된 '감독 기관' 및/또는 (b) 영국 GDPR 또는 스위스 FDPA에 정의된 '위원'(Commissioner)

'스위스 FDPA'는 1992년 6월 19일자 연방 데이터 보호법(스위스)을 의미합니다.

'기간'은 '약관 시행일'부터 '계약'에 따라 'Jibe'의 '프로세서 서비스' 제공이 종료되는 날까지의 기간을 의미합니다.

'약관 시행일'은 '계약'의 시행일을 의미합니다.

'영국 GDPR'은 2018년 영국 유럽연합 (탈퇴)법에 따라 개정되고 영국 법률에 통합된 EU GDPR 및 해당 법에 따라 제정된 보조 법률을 의미합니다.

2.2 본 데이터 처리 추가 조항에 사용되는 '컨트롤러', '정보주체', '개인 정보', '처리', '프로세서'는 GDPR에 정의된 의미를 갖으며, '데이터를 가져오는 측' 및 '데이터를 내보내는 측'은 관련 SCC에 정의된 의미를 갖습니다.

2.3 '포함' 및 '포함하여'라는 단어는 '포함하되 이에 국한되지 않음'을 의미합니다. 본 데이터 처리 부록의 모든 예시는 설명을 위한 것이며 특정 개념의 유일한 예시는 아닙니다.

2.4 법적 제도, 법령 또는 기타 법규에 대한 언급은 때때로 개정되거나 다시 제정된 상태를 참조합니다.

2.5 본 데이터 처리 부록의 번역본이 영문본의 내용과 일치하지 않는 부분이 있다면 영문본이 우선합니다.

3. 이 데이터 처리 추가 조항의 기간

본 데이터 처리 부록은 약관 시행일부터 발효되며, 약관이 만료되었는지 여부와 관계없이 본 데이터 처리 부록에 설명된 대로 Jibe가 모든 파트너 개인 정보를 삭제할 때까지 효력이 유지되며, 이후 자동으로 만료됩니다.

4. 이 데이터 처리 추가 조항의 적용

4.1 유럽 데이터 보호법의 적용 5(데이터 처리)~12 (Jibe에 문의; 레코드 처리) (양 끝값 포함)는 다음과 같은 경우를 포함하여 '유럽 데이터 보호법'이 파트너 개인 정보 처리에 적용되는 범위에만 적용됩니다.

(a) 처리 활동이 파트너의 EEA 또는 영국 내 사업장의 활동과 관련된 경우

(b) 파트너 개인 정보가 EEA 또는 영국 내에 거주하는 정보주체에 관련된 개인 정보에 해당하며, 처리 활동이 해당 정보주체에 대한 상품 또는 서비스의 제공이나 해당 정보주체의 EEA 또는 영국 내 활동에 대한 모니터링에 관련된 경우

4.2 프로세서 서비스에 대한 적용 이 데이터 처리 추가 조항은 당사자가 이 데이터 처리 추가 조항에 동의한 프로세서 서비스에만 적용됩니다 (예: (a) 파트너가 이 데이터 처리 추가 조항을 수락하기 위해 클릭한 프로세서 서비스 또는 (b) 계약에 이 데이터 처리 추가 조항이 참조로 포함된 경우 계약의 대상인 프로세서 서비스).

4.3 비유럽 데이터 보호법의 추가 약관 통합 '비유럽 데이터 보호법의 추가 약관'은 이 '데이터 처리 추가 조항'을 보완합니다.

5. 데이터 처리

5.1 역할 및 규정 준수, 승인.

5.1.1 처리자와 컨트롤러의 책임 양 당사자는 다음을 인정하고 이에 동의합니다.

(a) 부록 1에서는 '파트너 개인 정보' 처리의 주제 및 세부정보를 설명합니다.

(b) Jibe는 유럽 데이터 보호법에 따라 파트너 개인 정보의 처리자입니다.

(d) 각 당사자는 파트너 개인 정보 처리와 관련하여 유럽 데이터 보호법에 따라 해당하는 의무를 준수합니다.

5.1.2 프로세서 파트너. 파트너가 프로세서인 경우:

(a) 파트너는 관련 컨트롤러가 (i) 지침, (ii) 파트너가 Jibe를 또 다른 프로세서로 지명한 사실, (iii) Jibe가 11항 (재처리자)에 설명된 대로 재처리자를 고용한다는 사실을 승인했음을 지속적으로 보증합니다.

(b) '파트너'는 제5.4항('안내 알림'), 7.2.1항('이슈 알림'), 11.4항('하위 프로세서 변경에 대한 이의 제기 기회')에 따라 Jibe에서 제공한 모든 알림 또는 SCC를 언급하는 모든 알림을 관련 컨트롤러에게 즉시 전달합니다.

5.2 파트너의 지침 파트너는 본 데이터 처리 부록에 서명함으로써 Jibe에게 파트너 개인 정보를 관련 법규에 따라(a) '프로세서 서비스' 및 관련 기술 지원을 제공하기 위해, (b) 파트너가 '프로세서 서비스'를 사용하고('프로세서 서비스'의 설정 및 기타 기능 포함) 관련 기술 지원을 통해 추가로 명시된 대로, (c) 본 데이터 처리 부록을 포함하여 '계약'의 양식에 명시된 대로, (d) 파트너가 제공하고 Jibe가 본 데이터 처리 부록의 목적상 지침을 구성하는 것으로 확인한 기타 서면 지침 (총칭하여 '지침')에 추가로 명시된 대로 처리하도록 지시합니다.

5.3 Jibe의 지침 준수. Jibe는 유럽 법규에서 금지하지 않는 한 지침을 준수합니다.

5.4 안내 알림. Jibe는 Jibe의 판단에 따라 (a) 유럽 법규에서 Jibe가 지침을 준수하는 것을 금지하거나 (b) 지침이 유럽 데이터 보호법을 준수하지 않거나 (c) Jibe가 다른 이유로 지침을 준수할 수 없는 경우, 각 경우 유럽 법규에서 이러한 통지를 금지하지 않는 한 파트너에게 즉시 통지합니다. 본 5.4항(안내 알림)은 '계약'의 다른 부분에 명시된 각 당사자의 권리와 의무를 축소하지 않습니다.

5.5 추가 제품 파트너가 추가 제품을 사용하는 경우, 프로세서 서비스는 추가 제품이 프로세서 서비스와 상호 운용하기 위해 필요한 경우 추가 제품이 파트너 개인 정보에 액세스하도록 허용할 수 있습니다. 필요한 경우 당사자는 추가 제품에서 파트너 개인 정보를 처리하는 방법을 다루는 별도의 데이터 처리 약관을 체결합니다.

6. 데이터 삭제

6.1 계약 기간 중 삭제.

6.1.1 삭제 기능이 있는 처리자 서비스 계약 기간 동안 다음과 같은 경우:

(a) 프로세서 서비스의 기능에 파트너가 파트너 개인 정보를 삭제할 수 있는 옵션이 포함되어 있습니다.

(b) 파트너가 '처리자 서비스'를 사용하여 특정 '파트너 개인 정보'를 삭제하고,

(c) 삭제된 파트너 개인 정보를 파트너가 복구할 수 없는 경우 (예: '휴지통'에서) Jibe는 유럽 법규에서 저장을 요구하지 않는 한 합리적으로 가능한 최단 시일 내에 시스템에서 해당 파트너 개인 정보를 삭제합니다.

6.1.2 삭제 기능이 없는 프로세서 서비스. 계약 기간 동안 파트너가 파트너 개인 정보를 삭제할 수 있는 옵션이 프로세서 서비스의 기능에 포함되어 있지 않은 경우, Jibe는 프로세서 서비스의 특성과 기능을 고려할 때 가능한 한, 그리고 유럽 법규에서 저장을 요구하지 않는 한, 파트너가 삭제를 용이하게 하기 위해 요청하는 모든 합당한 요청을 준수합니다. Jibe는 이 섹션 6.1.2(삭제 기능이 없는 프로세서 서비스)에 따라 데이터 삭제에 대해 Jibe의 합당한 비용을 기준으로 요금을 청구할 수 있습니다. Jibe는 이러한 데이터 삭제 이전에 관련 비용과 계산 근거에 대한 세부정보를 파트너에게 제공합니다.

6.2 계약 기간 만료 시 삭제. 계약 기간이 만료되면 파트너는 관련 법규에 따라 Jibe의 시스템에서 모든 파트너 개인 정보 (기존 사본 포함)를 삭제하도록 Jibe에 지시합니다. Jibe는 유럽 법규에 따라 보관해야 하는 경우가 아니라면 합리적으로 가능한 최단 시일 내에 이 지시를 준수합니다.

7. 데이터 보안

7.1 Jibe의 보안 조치 및 지원

7.1.1 Jibe의 보안 조치 Jibe는 부록 2('보안 조치')에 명시된 바와 같이 파트너 개인 정보가 실수로 또는 무단으로 파기되거나 부주의로 인해 손실, 변경, 무단 공개 또는 액세스되는 것을 방지하기 위해 기술적 및 조직적 조치를 이행하고 유지합니다. 부록 2에 설명된 대로 보안 조치에는 (a) 개인 정보를 암호화하는 조치, (b) Jibe의 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성, 탄력성을 보장하는 데 도움이 되는 조치, (c) 사고 후 개인 정보에 대한 액세스를 적시에 복원하는 데 도움이 되는 조치, (d) 효과를 정기적으로 테스트하기 위한 조치가 포함됩니다. Jibe는 보안 조치를 수시로 업데이트하거나 수정할 수 있습니다. 단, 이러한 업데이트와 수정이 프로세서 서비스의 전반적인 보안을 저하시키지 않는 경우에 한합니다.

7.1.2 액세스 및 규정 준수. Jibe는 (a) 직원, 계약자, 하위 처리자가 지침을 준수하는 데 필요한 경우에만 파트너 개인 정보에 액세스하도록 승인하고, (b) 직원, 계약자, 하위 처리자의 수행 범위에 해당하는 범위에서 보안 조치를 준수하도록 적절한 조치를 취하며, (c) 파트너 개인 정보를 처리할 권한이 있는 모든 사람이 비밀유지에 서약했거나 적절한 법적 비밀유지 의무가 있는지 확인합니다.

7.1.3 Jibe의 보안 지원 파트너 개인 정보 처리의 특성과 Jibe에 제공되는 정보를 고려하여 Jibe는 파트너(또는 파트너가 처리자인 경우 관련 컨트롤러)가 GDPR 32~34항(양 끝값 포함)에 따른 파트너(또는 파트너가 처리자인 경우 관련 컨트롤러)의 의무를 비롯하여 개인 정보 보안 및 개인 정보 유출과 관련된 파트너(또는 파트너가 처리자인 경우 관련 컨트롤러)의 의무를 준수할 수 있도록 다음과 같이 지원합니다.

(a) 7.1.1항 (Jibe의 보안 조치)에 따라 보안 조치를 이행하고 유지합니다.

(b) 7.2항 (데이터 이슈) 조건 준수

7.2 데이터 이슈

7.2.1 이슈 알림 Jibe가 데이터 이슈를 인지한 경우 (a) 파트너에게 데이터 이슈를 신속하게 지체 없이 알리고 (b) 피해를 최소화하고 파트너 개인 정보를 보호하기 위한 합당한 조치를 신속하게 취합니다.

7.2.2 데이터 이슈 세부정보. 7.2.1항(이슈 알림)에 따라 전송되는 알림에는 영향을 받은 파트너 리소스를 비롯한 데이터 이슈의 성격, 데이터 이슈를 해결하고 잠재적 위험을 완화하기 위해 Jibe에서 취한 조치 또는 취할 계획인 조치, 데이터 이슈를 해결하기 위해 파트너가 취해야 한다고 Jibe에서 권장하는 조치(있는 경우), 추가 정보를 얻을 수 있는 연락처의 세부정보가 포함됩니다. 이러한 정보를 모두 동시에 제공할 수 없는 경우 Jibe의 최초 알림에는 해당 시점에 제공 가능한 정보가 포함되며 추가 정보는 제공 가능해지는 대로 지체 없이 제공됩니다.

7.2.3 알림 전송. Jibe는 데이터 이슈 알림을 알림 이메일 주소로 전송하거나 Jibe의 재량에 따라(파트너가 알림 이메일 주소를 제공하지 않은 경우 포함) 다른 직접 통신 (예: 전화 통화, 대면 회의)으로 전송합니다. 파트너는 알림 이메일 주소를 제공하고 유효한 최신 알림 이메일 주소를 제공할 전적인 책임을 집니다.

7.2.4 서드 파티 알림 파트너는 파트너에게 적용되는 이슈 알림 법규를 준수하고 데이터 이슈와 관련된 서드 파티 알림 의무를 이행해야 할 단독 책임이 있습니다.

7.2.5 Jibe의 책임 인정 금지. Jibe가 본 7.2항 (데이터 이슈)에 따라 데이터 이슈를 알리거나 대응한다고 해서 Jibe가 데이터 이슈에 대한 잘못이나 책임을 인정하는 것은 아닙니다.

7.3 파트너의 보안 책임 및 평가.

7.3.1 파트너의 보안 책임 파트너는 7.1항 (Jibe의 보안 조치 및 지원) 및 7.2항 (데이터 이슈)에 따른 Jibe의 의무를 침해하지 않는 범위에서 다음과 같이 동의합니다.

(a) 파트너는 다음을 포함하여 프로세서 서비스 사용에 대한 책임을 집니다.

(i) 파트너 개인 정보에 대한 위험에 적합한 수준의 보안을 유지하기 위해 '처리자 서비스'를 적절하게 사용해야 합니다.

(ii) 파트너가 프로세서 서비스에 액세스할 때 사용하는 계정 인증 정보, 시스템, 기기를 보호해야 합니다.

(b) 'Jibe'는 '파트너'가 'Jibe' 및 'Jibe'의 하위 프로세서 시스템 외부에 저장하거나 전송하기로 선택한 '파트너 개인 정보'를 보호할 의무가 없습니다.

7.3.2 파트너의 보안 평가. 파트너는 7.1.1항에 설명된 대로 Jibe에서 구현하고 유지 관리하는 보안 조치(Jibe의 보안 조치)가 파트너 개인 정보 처리의 성격, 범위, 맥락, 목적, 최신 기술, 구현 비용, 개인에 대한 위험을 고려하여 파트너 개인 정보에 대한 위험에 적절한 수준의 보안을 제공한다는 것을 인정합니다.

7.4 보안 인증. 보안 조치의 지속적인 효과를 평가하고 보장하기 위해 Jibe는 ISO 27001 인증 또는 기타 적절한 조치를 유지하여 보안 조치의 효과를 입증합니다.

7.5 규정 준수 검토 및 감사

7.5.1 보안 문서 검토. Jibe는 이 데이터 처리 부속 약관에 따른 의무를 준수함을 입증하기 위해 파트너가 검토할 수 있도록 보안 문서를 제공합니다.

7.5.2 파트너의 감사 권리.

(a) Jibe는 7.5.3항 (감사를 위한 추가 비즈니스 약관)에 따라 파트너 또는 파트너가 임명한 서드 파티 감사자가 Jibe가 본 데이터 처리 부록에 따른 의무를 준수하는지 확인하기 위한 감사 (검사 포함)를 실시하도록 허용합니다. 감사 과정에서 Jibe는 이러한 규정 준수를 입증하는 데 필요한 모든 정보를 제공하고 7.4항 (보안 인증) 및 본 7.5항 (규정 준수 검토 및 감사)에 설명된 대로 감사에 기여합니다.

(b) 제10.2항 (제한된 유럽 전송)에 따라 SCC가 적용되는 경우 Jibe는 파트너 (또는 파트너가 임명한 서드 파티 감사자)가 관련 SCC에 설명된 대로 감사를 실시하도록 허용하고, 이러한 감사 과정에서 각 SCC에 필요한 모든 정보를 7.5.3항 (감사를 위한 추가 비즈니스 약관)에 따라 제공합니다.

7.5.3 감사를 위한 추가적인 비즈니스 조건

(a) 파트너는 12.1항(Jibe에 문의)에 설명된 대로 7.5.2(a)항 또는 7.5.2 (b)항에 따른 감사 요청을 Jibe에 전송합니다.

(b) Jibe가 7.5.3(a)항에 따른 요청을 수신하면 Jibe와 파트너는 7.5.2(a)항 또는 7.5.2(b)항에 따른 감사의 시작일, 범위 및 기간과 여기에 적용되는 보안 및 기밀 유지 통제에 대해 미리 논의하여 합리적인 수준으로 결정합니다.

(c) Jibe는 7.5.2 (a)항 또는 7.5.2(b)항에 따른 감사에 대해 비용(Jibe의 합당한 비용 기준)을 청구할 수 있습니다. Jibe는 이러한 감사 이전에 관련 비용과 계산 원칙에 대한 세부정보를 파트너에게 제공합니다. 파트너는 파트너가 임명한 제3자 감사자가 이러한 감사를 수행하기 위해 청구한 모든 요금에 대한 책임을 집니다.

(d) Jibe는 파트너가 7.5.2(a)항 또는 7.5.2(b)항에 따라 감사를 수행하도록 임명한 서드 파티 감사인이 Jibe의 합리적인 판단에 따라 적절한 자격 요건을 갖추지 않았거나 독립적이지 않거나 Jibe의 경쟁자이거나 다른 뚜렷한 부적합 사유가 있는 경우 이에 이의를 제기할 수 있습니다. Jibe가 이렇게 반대 의사를 표시할 경우 파트너는 다른 감사인을 임명하거나 직접 감사를 실시해야 합니다.

(e) 본 '데이터 처리 부록'의 어떠한 내용도 Jibe가 다음 정보를 '파트너' 또는 '파트너'의 제3자 감사자에게 공개하거나 '파트너' 또는 '파트너'의 제3자 감사자가 다음 정보에 액세스할 수 있도록 허용하도록 요구하지 않습니다.

(i) 'Jibe 법인'의 기타 모든 파트너 또는 고객의 모든 데이터

(ii) 'Jibe 법인'의 모든 내부 회계 또는 재무 정보

(iii) 'Jibe 법인'의 모든 영업비밀

(iv) Jibe의 합리적인 판단에 따라 (A) Jibe 법인의 시스템 또는 시설의 보안을 손상시킬 수 있거나 (B) Jibe 법인이 유럽 데이터 보호법에 따른 의무 또는 파트너 또는 서드 파티에 대한 보안 또는 개인 정보 보호 의무를 위반하게 할 수 있는 정보

(v) 파트너 또는 제3자 감사자가 '유럽 데이터 보호법'에 따른 파트너의 의무를 선의의 원칙으로 이행하기 위해서가 아닌 다른 이유로 액세스하려고 하는 정보

8. 영향 평가 및 자문

처리의 특성과 Jibe에 제공되는 정보를 고려하여 Jibe는 파트너가 데이터 보호 영향 평가 및 사전 컨설트와 관련하여 파트너 (또는 파트너가 프로세서인 경우 관련 컨트롤러)의 의무 (해당하는 경우 파트너 또는 관련 컨트롤러의 GDPR 35항 및 36항에 따른 의무 포함)를 준수하도록 다음과 같이 지원합니다.

(a) 7.5.1항(보안 문서 검토)에 따라 보안 문서를 제공합니다.

(b) 본 '데이터 처리 추가 조항'에 포함된 정보 제공

9. 정보주체 권리

9.1 정보주체의 요청에 대한 응답 'Jibe'가 '파트너 개인 정보'와 관련하여 정보주체로부터 요청을 받는 경우 '파트너'는 'Jibe'에 권한을 부여하며 이에 따라 'Jibe'는 '파트너'에게 다음과 같이 할 것임을 알립니다.

(a) 정보주체 도구의 표준 기능에 따라 정보주체의 요청에 직접 응답합니다 (정보주체 도구를 통해 요청한 경우).

(b) '파트너'에게 요청을 제출하도록 정보주체에게 조언하고, 이 경우 '파트너'가 해당 요청에 응답할 책임이 있습니다('정보주체 도구'를 통해 요청하지 않은 경우).

9.2 Jibe의 정보주체 요청 지원. Jibe는 파트너 (또는 파트너가 처리자인 경우 관련 컨트롤러)가 GDPR에 따른 정보주체 권리 행사 요청에 응답할 의무를 이행하도록 지원합니다. 이때 모든 경우에 파트너 개인 정보 처리의 특성과 해당하는 경우 GDPR 제11조(해당하는 경우)를 고려합니다.

(a) '프로세서 서비스'의 기능 제공

(b) 9.1항 (정보주체 요청에 대한 응답)의 약속 준수

9.3 정정. '파트너'는 '파트너 개인 정보'가 부정확하거나 오래되었다는 사실을 알게 된 경우 '유럽 데이터 보호법'에서 요구하는 경우 가능하다면 '프로세서 서비스'의 기능을 사용하는 방법 등으로 해당 데이터를 정정하거나 삭제할 책임이 있습니다.

10. 데이터 전송

10.1 데이터 저장 및 처리 시설. 이 10항 (데이터 전송)의 나머지 조항에 따라 Jibe는 Jibe 또는 그 하위 처리자가 시설을 유지하는 모든 국가에서 파트너 개인 정보를 처리할 수 있습니다.

10.2 제한된 유럽 전송. 당사자는 '적절한 국가'에서 파트너 개인 정보를 처리하거나 '적절한 국가'로 전송하기 위해 SCC 또는 대체 전송 솔루션이 필요하지 않다는 점을 인정합니다.

파트너 개인 정보가 다른 국가로 전송되고 이러한 전송에 유럽 데이터 보호법이 적용되는 경우 ('제한된 유럽 전송') 다음 사항이 적용됩니다.

(a) 'Jibe'가 '제한된 유럽 전송'에 대해 '대체 전송 솔루션'을 채택하는 경우 'Jibe'는 '파트너'에게 관련 솔루션을 알리고 해당 '제한된 유럽 전송'이 해당 솔루션에 따라 이루어지도록 합니다.

(b) 'Jibe'가 '제한된 유럽 전송'에 대해 '대체 전송 솔루션'을 채택하지 않거나 '파트너'에게 'Jibe'가 더 이상 '제한된 유럽 전송'에 대해 '대체 전송 솔루션'을 채택하지 않는다고 알린 경우 다음 사항이 적용됩니다.

(i) Jibe의 주소가 적절한 국가에 있는 경우:

(A) SCC (프로세서-프로세서, Jibe 내보내기)는 Jibe에서 하위 프로세서로의 '제한된 유럽 전송'에 적용됩니다.

(B) 또한 파트너의 주소가 적절한 국가에 있지 않은 경우, 파트너가 컨트롤러 또는 프로세서인지와 관계없이 Jibe와 파트너 간에 이루어지는 제한된 유럽 전송에 대해 SCC(프로세서-컨트롤러)가 적용됩니다.

(ii) Jibe의 주소가 적절한 국가에 있지 않은 경우:

파트너와 Jibe 간에 이루어지는 '제한된 유럽 전송'에 대해 SCC (컨트롤러-프로세서) 또는 SCC (프로세서-프로세서)(파트너가 컨트롤러 또는 프로세서인지에 따라 다름)가 적용됩니다.

10.3 보충 조치 및 정보. Jibe는 7.5.1항 (보안 문서 검토), 부록 2 (보안 조치)에 설명된 대로 파트너 개인 정보를 보호하기 위한 보완 조치에 관한 정보와 프로세서 서비스의 특성 및 파트너 개인 정보 처리에 관한 기타 자료 (예: 고객센터 도움말)를 포함하여 제한된 유럽 전송과 관련된 정보를 파트너에게 제공합니다.

10.4 계약 해지. 파트너가 현재 또는 의도적으로 처리자 서비스를 사용하는 것을 토대로 대체 전송 솔루션 또는 SCC(해당하는 경우)가 파트너 개인 정보에 적절한 보호 조치를 제공하지 않는다고 판단하는 경우 파트너는 Jibe에 서면으로 알림을 보내 편의를 위해 즉시 계약을 해지할 수 있습니다.

10.5 데이터 센터 정보. Google LLC 데이터 센터의 위치에 대한 정보는 www.google.com/about/datacenters/locations/index.html에서 확인할 수 있습니다.

11. 재처리자

11.1 재처리자 참여에 대한 동의. 파트너는 특히 11.2항 (재처리자에 대한 정보)에 명시된 재처리자가 약관 시행일로부터 재처리자로 참여할 수 있도록 승인합니다. 또한 파트너는 일반적으로 11.4항(재처리자 변경에 대해 반대할 기회)에 따라 기타 제3자가 재처리자('새로운 재처리자')로 참여할 수 있도록 승인합니다.

11.2 재처리자에 대한 정보. 파트너의 서면 요청이 있으면 Jibe는 하위 프로세서 및 하위 프로세서 위치에 관한 정보를 제공합니다. 이러한 요청은 12.1항 (Jibe에 문의)에 명시된 연락처 세부정보를 사용하여 Jibe에 전송해야 합니다.

11.3 재처리자 참여 요건 재처리자를 고용할 때 Jibe는 다음을 수행합니다.

(a) 서면 계약을 통해 다음과 같은 사항을 보장합니다.

(i) 하위 처리자는 하위 계약된 의무를 수행하는 데 필요한 범위 내에서만 파트너 개인 정보에 액세스하고 이를 사용하며, 계약 (이 데이터 처리 추가 조항 포함)에 따라 이를 수행합니다.

(ii) 파트너 개인 정보 처리에 유럽 데이터 보호법이 적용되는 경우 본 데이터 처리 부록의 데이터 보호 의무 (해당하는 경우 GDPR 28(3)에 언급됨)가 재처리자에게 부과됩니다.

(b) 하도급받은 모든 의무에 대해서, 그리고 하도급자의 모든 작위와 부작위에 대해서 전적으로 책임을 집니다.

11.4 재처리자 변경에 대해 반대를 표현할 기회.

(a) 계약 기간 중에 신규 하위 프로세서가 참여하는 경우, 신규 하위 프로세서가 파트너 개인 정보를 처리하기 최소 30일 전에 Jibe는 알림 이메일 주소로 이메일을 보내 파트너에게 참여 (관련 하위 프로세서의 이름 및 위치, 해당 하위 프로세서가 수행할 활동 포함)를 알립니다.

(b) 파트너는 11.4(a)에 설명된 대로 신규 하위 처리자의 참여에 관해 알림을 받은 후 90일 이내에 Jibe에 서면으로 통지하여 편의를 위해 본 계약을 즉시 해지함으로써 신규 하위 처리자에 반대할 수 있습니다.

12. Jibe에 문의, 기록 처리

12.1 Jibe에 문의하기 파트너는 이 데이터 처리 추가 조항에 따른 권리를 행사할 때 issuetracker.google.com을 통해 연락할 수 있는 Jibe의 RCS 데이터 보호 담당자를 통해 또는 Jibe에서 제공하는 기타 수단을 통해 Jibe에 문의할 수 있습니다.

12.2 Jibe의 기록 처리. Jibe는 GDPR에서 요구하는 대로 처리 활동에 관한 적절한 문서를 보관합니다. 파트너는 GDPR에 따라 Jibe가 (a) (i) Jibe가 대리하는 각 처리자 또는 컨트롤러의 이름 및 연락처 세부정보, 해당 처리자 또는 컨트롤러의 현지 대리인 및 데이터 보호 담당자 (해당하는 경우)의 이름 및 연락처 세부정보, (ii) 관련 SCC에 따라 해당하는 경우 파트너의 감독 기관의 이름 및 연락처 세부정보를 포함하여 특정 정보의 기록을 수집하고 유지해야 하며 (b) 이러한 정보를 감독 기관에 제공해야 한다고 확인합니다. 따라서 '파트너'는 요청 시 그리고 '파트너'에 해당하는 경우 '프로세서 서비스'의 사용자 인터페이스 또는 'Jibe'에서 제공하는 기타 수단을 통해 'Jibe'에 이러한 정보를 제공하며, 반드시 최신 상태의 정확한 정보를 제공합니다.

12.3 컨트롤러 요청. Jibe는 파트너 개인 정보의 컨트롤러라고 주장하는 서드 파티로부터 요청이나 안내를 받은 경우 서드 파티에게 파트너에게 문의하도록 안내합니다.

13. 책임

'계약'에 다음 법률이 적용되는 경우:

(a) 미국의 주인 경우, 본 계약의 다른 조항과 관계없이 본 데이터 처리 부록에 따라 또는 이와 관련하여 어느 당사자가 다른 당사자에 대해 부담하는 총 책임은 해당 당사자의 책임이 본 계약에 따라 제한되는 최대 금액 또는 지급 금액으로 제한됩니다. 따라서 본 계약의 책임 제한 조항에서 비밀유지 또는 배상 청구를 제외하는 것은 유럽 데이터 보호법 또는 유럽 외 지역 데이터 보호법과 관련된 본 계약의 청구에 적용되지 않습니다.

(b) 미국의 주가 아닌 관할권의 법률이 적용되는 경우, 본 '데이터 처리 부록'에 따르거나 본 '데이터 처리 부록'과 관련된 당사자 및 해당 당사자의 제휴사의 총 합산 책임에는 '계약'이 적용됩니다.

14. 이 데이터 처리 추가 조항의 효력

14.1 우선순위. SCC, 비유럽 데이터 보호법의 추가 약관, 본 데이터 처리 추가 조항, 계약의 나머지 부분 간에 상충하거나 일치하지 않는 부분이 있는 경우 다음 우선순위가 적용됩니다.

(a) SCC

(b) '비유럽 데이터 보호법의 추가 약관'

(d) 계약의 나머지 부분

본 '데이터 처리 추가 조항'의 수정안에 따라 '계약'은 완전한 효력을 유지합니다.

14.2 SCC 수정 금지. '계약'(본 '데이터 처리 추가 조항' 포함)의 어떠한 내용도 '표준 계약 조항'을 수정 또는 부정하거나 '유럽 데이터 보호법'에 따른 정보주체의 기본권 및 자유를 제한하려는 의도로 작성되지 않습니다.

14.3 '컨트롤러 약관'에 미치는 영향 없음. 이 데이터 처리 추가 조항은 프로세서 서비스 이외의 서비스에 대한 컨트롤러-컨트롤러 관계를 반영하는 Jibe와 파트너 간의 별도 약관에 영향을 미치지 않습니다.

14.4 기존 영국 표준 계약 조항. 2022년 9월 21일 또는 계약의 효력 발생일(둘 중 더 늦은 날짜)부터 영국 GDPR 이전에 관한 SCC의 보충 약관이 적용되며, 영국 GDPR 및 2018년 데이터 보호법에 따라 승인되고 이전에 파트너와 Jibe가 체결한 모든 표준 계약 조항('기존 영국 SCC')을 대체하고 종료합니다. 이 섹션 14.4(기존 영국 표준 계약 조항)는 기존 영국 표준 계약 조항이 효력을 유지하는 동안 기존 영국 표준 계약 조항에 따라 발생했을 수 있는 당사자의 권리 또는 정보주체의 권리에 영향을 미치지 않습니다.

15. 이 데이터 처리 추가 조항의 변경사항

15.1 URL 변경. Jibe는 때때로 본 데이터 처리 추가 조항에 언급된 URL 및 해당 URL의 콘텐츠를 변경할 수 있습니다. 단, Jibe는 15.2(b)~15.2(d)항(데이터 처리 추가 조항 변경)에 따라 SCC를 변경하거나 유럽 데이터 보호법에 따라 채택될 수 있는 SCC의 새 버전을 통합할 수 있습니다. 이 경우 각각 유럽 데이터 보호법에 따른 SCC의 유효성에 영향을 미치지 않는 방식으로 변경해야 합니다.

15.2 데이터 처리 추가 조항 변경사항 다음과 같은 경우 'Jibe'에서 본 '데이터 처리 추가 조항'을 변경할 수 있습니다.

(a) 15.1항 (URL 변경)에 설명된 대로 본 '데이터 처리 추가 조항'에 명시적으로 허용된 경우

(b) 변경사항이 법인의 이름 또는 형태의 변경을 반영하는 경우

(c) 관련 법률, 관련 규정, 법원 명령 또는 정부 규제 기관 또는 정부 기관에서 발표한 지침을 준수하기 위해 변경이 반드시 필요한 경우 또는 해당 변경사항이 'Jibe'의 '대체 전송 솔루션' 채택을 반영하는 경우

(d) (i) 프로세서 서비스의 전반적인 보안이 저하되지 않으며, (ii) (x) 비유럽 데이터 보호법 관련 추가 약관의 경우 비유럽 데이터 보호법 관련 추가 약관의 범위 내에서 데이터를 사용하거나 달리 처리할 수 있는 Jibe의 권리 또는 (y) 이 데이터 처리 추가 조항의 나머지 부분의 경우 5.3항 (Jibe의 안내 준수)에 설명된 대로 Jibe의 파트너 개인 정보 처리 권리의 범위를 확장하거나 제한을 삭제하지 않으며, (iii) 그 밖의 경우 Jibe가 합리적으로 판단한 바와 같이 이 데이터 처리 추가 조항에 따른 파트너의 권리에 중대한 부정적인 영향을 미치지 않습니다.

15.3 변경사항 알림. Jibe가 15.2항(c) 또는 (d)에 따라 이 데이터 처리 부록을 변경하려는 경우, Jibe는 변경사항이 적용되기 최소 30일 (또는 관련 법규, 관련 규정, 법원 명령 또는 정부 규제 기관 또는 기관에서 발행한 가이드라인을 준수하는 데 필요한 더 짧은 기간) 전에 (a) 알림 이메일 주소로 이메일을 보내거나 (b) 프로세서 서비스의 사용자 인터페이스를 통해 파트너에게 알림을 보내 변경사항을 전달합니다. 파트너가 이러한 변경사항에 이의를 제기하는 경우 파트너는 Jibe로부터 변경사항을 통지받은 후 90일 이내에 Jibe에 서면으로 통지하여 편의에 따라 계약을 해지할 수 있습니다.

부록 1: 주제 및 데이터 처리 세부정보

주제

'파트너'에 대한 'Jibe'의 '프로세서 서비스' 및 관련 기술 지원 제공

처리 기간

'계약 기간'에 '계약 기간' 종료 시점부터 본 '데이터 처리 추가 조항'에 따라 'Jibe'가 '파트너 개인 정보'를 모두 삭제할 때까지의 기간을 더합니다.

처리의 성격 및 목적

Jibe는 본 데이터 처리 부록에 따라 파트너에게 프로세서 서비스 및 관련 기술 지원을 제공하기 위해 파트너 개인 정보의 수집, 기록, 구성, 구조화, 저장, 변경, 검색, 사용, 공개, 결합, 삭제, 파기 (프로세서 서비스 및 안내의 성격에 따라 해당하는 경우)를 포함하여 파트너 개인 정보를 처리합니다.

개인 정보의 유형

파트너 또는 파트너 최종 사용자가 (혹은 파트너 또는 파트너 최종 사용자의 지시에 따라) 처리 서비스를 통해 Jibe에 제공하는 개인 관련 데이터입니다.

정보주체의 카테고리

정보주체에는 파트너 또는 파트너의 지시에 따라 프로세서 서비스를 통해 Jibe에 데이터가 제공되는 개인이 포함됩니다.

부록 2: 보안 조치

Jibe는 약관 시행일을 기준으로 부록 2의 보안 조치를 이행하고 유지합니다. Jibe는 이러한 보안 조치를 수시로 업데이트하거나 수정할 수 있습니다. 단, 이러한 업데이트 및 수정으로 인해 프로세서 서비스의 전반적인 보안이 저하되지 않는 경우에 한합니다.

1. 데이터 센터 및 네트워크 보안

(a) 데이터 센터.

인프라. Jibe는 데이터 센터를 지리적으로 분산하여 유지합니다. Jibe는 모든 프로덕션 데이터를 물리적으로 안전한 데이터 센터에 저장합니다.

중복화. 인프라 시스템은 단일 장애점을 제거하고, 예상되는 환경 위험의 영향을 최소화하도록 설계되었습니다. 이중 회로, 스위치, 네트워크 또는 기타 필요한 기기는 이러한 중복화를 제공하는 데 효과적입니다. 프로세서 서비스는 Jibe가 특정 유형의 예방적/교정적 유지관리를 중단 없이 수행할 수 있도록 설계되었습니다. 모든 환경 장비와 시설은 문서화된 예방적 유지관리 절차가 있으며, 이 문서에는 제조사 또는 내부 사양에 따른 유지관리 이행 프로세스와 주기가 자세하게 설명되어 있습니다. 데이터 센터 장비의 예방적/교정적 유지관리는 문서화된 절차에 따라 표준 프로세스를 통해 예정됩니다.

전력. 데이터 센터 전력 시스템은 중복화되어 1일 24시간 및 주 7일 지속적인 운영에 영향을 미치지 않고 유지할 수 있도록 설계되었습니다. 대부분의 경우 기본 전원과 대체 전원원은 데이터 센터에서 중요한 인프라 구성요소에 각각 동일한 용량으로 제공됩니다. 백업 전력은 무정전 전원공급 (UPS) 배터리 같이 다양한 메커니즘으로 제공됩니다. 특히 UPS 배터리는 전력회사 브라운아웃, 블랙아웃, 과도 전압, 부족 전압, 허용오차를 벗어나는 주파수 조건 시에도 안정적인 전력을 일관적으로 공급하여 보호합니다. 백업 전력은 전력회사 전원이 중단될 경우를 대비해 백업 발전기 시스템이 가동될 때까지 최대 10분동안 일시적으로 데이터 센터에 최대 용량의 전력을 공급하도록 설계되었습니다. 발전기는 몇 초 안에 자동으로 가동되며, 일반적으로 몇 일 동안 최대 용량의 비상 전력을 데이터 센터에 충분히 공급할 수 있습니다.

서버 운영 체제. Jibe 서버는 비즈니스의 고유한 서버 요구사항에 맞게 맞춤설정된 강화된 운영체제를 사용합니다. 데이터는 데이터 보안 및 중복화를 강화할 목적으로 독점 알고리즘을 사용해 저장됩니다. Jibe는 코드 검토 프로세스를 도입하여 프로세서 서비스를 제공하는 데 사용되는 코드의 보안을 강화하고 프로덕션 환경에서 보안 제품을 개선합니다.

비즈니스 연속성 Jibe는 데이터를 여러 시스템으로 복제하여 우발적인 파기 또는 손실에서 보호합니다. Jibe는 비즈니스 연속성 계획/재해 복구 프로그램을 설계하여 정기적으로 계획하고 테스트합니다.

암호화 기술. Jibe의 보안 정책에 따라 개인 정보를 비롯한 모든 사용자 데이터에 대해 저장 데이터 암호화가 요구됩니다. 데이터는 보통 파트너 또는 고객의 아무런 작업도 필요로 하지 않고 하드웨어 수준을 포함하여, 데이터 센터 내 Jibe의 프로덕션 스토리지 스택의 여러 수준에서 암호화됩니다. 여러 암호화 레이어를 사용하면 중복된 데이터 보호 기능이 추가되며 Jibe에서 애플리케이션 요구사항에 따라 최적의 접근 방식을 선택할 수 있습니다. 모든 개인 데이터는 일반적으로 AES256을 사용하여 스토리지 수준에서 암호화됩니다. Jibe는 Jibe의 FIPS 140-2 검증 모듈이 통합된 공통 암호화 라이브러리를 사용하여 프로세서 서비스 전반에서 일관되게 암호화를 구현합니다.

(b) 네트워크 및 전송

데이터 전송 데이터 센터는 일반적으로 고속 비공개 링크를 통해 연결되어 데이터 센터 사이에 안전하고 빠른 데이터 전송을 제공합니다. 이는 전자 전송 중에 승인 없이 데이터를 읽거나, 복사하거나, 변경하거나, 삭제하지 못하도록 설계되었습니다. Jibe는 인터넷 표준 프로토콜을 통해 데이터를 전송합니다.

외부 공격 노출 영역 Jibe는 다수의 계층으로 이루어진 네트워크 기기 및 침입 탐지를 도입하여 외부 공격 표면을 차단합니다. Jibe는 잠재적 공격 벡터를 고려하여 목적에 따라 적절한 기술을 외부 대응 시스템에 적용합니다.

침입 감지 침입 감지는 진행 중인 공격 활동에 대한 정보와 이슈에 대응하는 데 필요한 정보를 제공하는 데 목적이 있습니다. Jibe의 침입 감지는 다음과 같습니다.

예방 조치를 통해 Jibe의 공격 노출 영역의 크기와 구성요소를 엄격하게 제어합니다.
데이터 진입점에 지능형 탐지 제어 솔루션을 도입합니다.
특정 위험한 상황을 자동으로 해결하는 기술을 도입합니다.

Incident Response Jibe는 다양한 커뮤니케이션 채널을 모니터링하여 보안 사고를 탐지하고, Jibe의 보안 요원이 알려진 사고에 신속히 대응합니다.

암호화 기술 Jibe는 HTTPS 암호화 (TLS 연결이라고도 함)를 사용합니다. Jibe 서버는 RSA와 ECDSA로 서명된 타원 곡선 디피-헬만(Diffie-Hellman) 암호화 키 교환을 지원합니다. 이 완전 forward secrecy (PFS) 기법은 트래픽을 보호할 뿐만 아니라 키 유출 또는 암호 해독으로 인한 침투의 영향을 최소화하는 데도 효과적입니다.

2. 접근 및 현장 통제

(a) 현장 통제.

데이터 센터 현장 보안 운영팀. Jibe의 데이터 센터는 현장 보안 운영팀을 유지하면서 1일 24시간, 주 7일 동안 데이터 센터의 물리적 보안 역할을 맡기고 있습니다. 현장 보안 운영 요원은 폐쇄 회로 TV ('CCTV') 카메라와 모든 경보 시스템을 모니터링합니다. 현장 보안 운영팀은 데이터 센터의 내부와 외부를 정기적으로 순찰합니다.

데이터 센터 액세스 절차 Jibe는 데이터 센터에 대한 물리적 액세스를 허용하는 공식 액세스 절차를 유지합니다. 데이터 센터는 현장 보안 운영팀에 연결된 경보 시스템과 함께 전자식 카드 키를 사용해야 접근이 가능한 시설 내에 있습니다. 데이터 센터에 입장하는 개인은 모두 자신의 신분을 밝혀야 할 뿐만 아니라 현장 보안 운영팀에게 신분증을 제시해야 합니다. 승인된 직원, 하청업체, 방문자만 데이터 센터에 입장할 수 있습니다. 승인된 직원과 하청업자만 이러한 시설에 대한 전자식 카드 키 접근을 요청할 수 있습니다. 데이터 센터 전자식 카드 키 액세스 요청은 사전에 서면으로 제출해야 하며 승인된 데이터 센터 직원의 승인이 필요합니다. 임시 데이터 센터 액세스가 필요한 다른 모든 방문자는 (i) 방문하려는 특정 데이터 센터 및 내부 영역에 대해 데이터 센터 관리자의 사전 승인을 받아야 하고, (ii) 현장 보안 운영팀에 로그인해야 하며, (iii) 승인된 개인을 식별하는 승인된 데이터 센터 액세스 기록을 참조해야 합니다.

데이터 센터 현장 보안 기기 Jibe의 데이터 센터는 시스템 경보기로 연결된 전자식 카드 키와 생체 인식 접근 통제 시스템을 도입하고 있습니다. 접근 통제 시스템은 개인이 경계 출입구, 하역 지역 및 기타 주요 지역에 접근할 때 전자식 카드 키를 모니터링하여 기록합니다. 무단 활동과 잘못된 액세스 시도는 액세스 제어 시스템에 기록되고, 필요하다면 조사가 진행됩니다. 비즈니스 운영과 데이터 센터를 통틀어 승인된 액세스는 개인의 직무에 따라 제한됩니다. 데이터 센터의 방화문에는 경보기가 장착되어 있습니다. 데이터 센터 내부와 외부에서는 CCTV 카메라가 작동합니다. 카메라는 무엇보다 경계, 데이터 센터 건물 출입구, 하역장 등 전략적으로 중요한 구역을 촬영할 수 있는 위치에 설치되었습니다. 현장 보안 운영 요원은 CCTV 모니터링, 녹화, 제어 장비를 관리합니다. 이러한 CCTV 장비는 데이터 센터 곳곳의 케이블을 통해 연결됩니다. 카메라는 현장에서 디지털 비디오 레코더를 통해 1일 24시간, 주 7일 녹화됩니다. 감시 기록물은 활동에 따라 최소 7일 동안 보관됩니다.

(b) 액세스 제어.

인프라 보안 요원. Jibe는 직원에 대한 보안 정책을 마련하여 유지하는 동시에 교육 패키지의 일환으로 직원에게 보안 교육을 요구하고 있습니다. Jibe의 인프라 보안 요원은 Jibe의 보안 인프라에 대한 지속적인 모니터링과 프로세서 서비스에 대한 검토, 그리고 보안 이슈에 대한 대응을 책임 집니다.

접근 통제 및 권한 관리. 파트너의 관리자와 사용자가 프로세서 서비스를 사용하려면 중앙 인증 시스템 또는 싱글 사인온(SSO)을 사용하여 자신을 인증해야 합니다.

내부 데이터 액세스 프로세스 및 정책 - 액세스 정책. Jibe의 내부 데이터 액세스 프로세스와 정책은 비인가자 및/또는 무단 시스템이 개인 정보를 처리하는 데 사용되는 시스템에 액세스하지 못하도록 설계되었습니다. Jibe는 (i) 승인된 사용자만 액세스 권한이 있는 데이터에 액세스할 수 있도록 허용하고, (ii) 처리, 사용, 녹화 후에도 승인 없이는 개인 정보를 읽거나, 복사하거나, 변경하거나, 삭제할 수 없도록 시스템을 설계하는 것을 목표로 합니다. 이러한 시스템은 부적절한 액세스를 탐지하도록 설계됩니다. Jibe는 중앙 집중식 액세스 관리 시스템을 도입하여 프로덕션 서버에 대한 개인 액세스를 제어하는 동시에 제한된 소수의 인가자에게만 액세스 권한을 부여합니다. LDAP, Kerberos, 그리고 디지털 인증서를 이용하는 독점 시스템은 Jibe에 안전하고 유연한 액세스 메커니즘을 제공하도록 설계되었습니다. 이러한 메커니즘은 사이트 호스트, 로그, 데이터, 구성 정보에 대해서만 승인된 액세스 권한을 부여하도록 설계됩니다. Jibe는 고유한 사용자 ID, 강력한 비밀번호, 2단계 인증, 엄격한 모니터링이 필요한 액세스 목록의 사용을 요구하여 무단 계정 사용의 가능성을 최소화합니다. 액세스 권한 부여 또는 수정은 인가자의 작업 책임, 승인 작업을 수행하는 데 필요한 직무 요건, 그리고 알 권리를 기준으로 결정됩니다. 또한 액세스 권한의 부여 또는 수정은 Jibe의 내부 데이터 액세스 정책 및 교육을 따라야 합니다. 승인은 모든 변경사항에 대한 감사 레코드를 유지보수하는 워크플로 도구에서 관리됩니다. 시스템에 대한 액세스는 책임에 대한 감사 추적 파일을 만들 목적으로 로깅됩니다. 인증 (워크스테이션 로그인 등)을 위해 비밀번호를 도입한 경우에는 업계 표준 사례에 따라 비밀번호 정책을 마련합니다. 이러한 표준으로는 비밀번호 재사용에 대한 제한과 충분한 비밀번호 안전성이 있습니다.

3. 데이터

(a) 데이터 저장, 격리, 인증

Jibe는 Google LLC 소유 서버의 다중 테넌트 환경에 데이터를 저장합니다. 데이터, 프로세서 서비스 데이터베이스, 파일 시스템 아키텍처는 여러 지역으로 분산된 데이터 센터에 복제됩니다. Jibe는 각 파트너 또는 고객의 데이터를 논리적으로 격리합니다. 중앙 인증 시스템은 모든 프로세서 서비스에서 데이터의 균일한 보안을 강화하기 위해 사용됩니다.

(b) 사용 중단된 디스크 및 디스크 파기 가이드라인

데이터가 저장된 특정 디스크가 성능 문제, 오류 또는 하드웨어 장애를 일으킬 경우 사용 중단될 수도 있습니다('사용 중단 디스크'). 사용 중단된 모든 디스크는 재사용 또는 파기를 목적으로 Jibe의 시설을 떠나기 전에 연속된 데이터 파기 프로세스('데이터 파기 가이드라인')을 거치게 됩니다. 사용 중단된 디스크는 다단계 프로세스를 통해 삭제되며, 최소 2곳 이상의 외부 검증 기관에게 완전한 검증을 받습니다. 삭제 결과는 추적을 위해 사용 중단 디스크의 일련번호로 로깅됩니다. 마지막으로 삭제된 사용 중단 디스크는 재사용 및 재배포를 위해 재고로 등록됩니다. 하드웨어 장애로 인해 사용 중단 디스크를 삭제하지 못할 경우에는 파기가 가능할 때까지 안전하게 보관합니다. 각 시설에서는 데이터 파기 가이드라인 준수 여부를 모니터링하기 위해 정기적으로 감사를 실시합니다.

온라인 광고 데이터는 일반적으로 그 자체로 '가명'으로 간주되는 온라인 식별자와 연결됩니다(즉, 추가 정보를 사용하지 않고는 특정 개인에게 기인할 수 없음). Jibe는 가명 데이터와 개인 식별 사용자 정보 (예: 사용자의 Jibe 계정 데이터와 같이 그 자체로 개인을 식별하고, 개인에게 연락하거나 개인의 정확한 위치를 확인하는 데 사용될 수 있는 정보)를 분리하기 위한 강력한 정책과 기술적 및 조직적 제어 조치를 마련하고 있습니다. Jibe 정책은 엄격히 제한된 상황에서만 가명 데이터와 개인 식별 정보 간의 정보 흐름을 허용합니다.

(d) 리뷰 실행

Jibe는 출시 전에 새로운 제품 및 기능에 대한 출시 검토를 실시합니다. 여기에는 전문적인 훈련을 받은 개인 정보 보호 엔지니어가 실시하는 개인 정보 보호 검토가 포함됩니다. 개인 정보 보호 검토에서 개인 정보 보호 엔지니어는 가명처리, 데이터 보관 및 삭제와 관련된 정책을 포함하되 이에 국한되지 않는 모든 관련 Jibe 정책 및 가이드라인이 준수되는지 확인합니다.

4. 직원 보안

Jibe 직원은 기밀성, 비즈니스 윤리, 적절한 사용, 직업 기준에 대한 회사의 가이드라인에 따라 행동해야 합니다. Jibe는 관련 지역 노동법과 법규에 따라 법적으로 허용되는 범위까지 타당한 신원 조회를 실시합니다.

직원은 비밀유지 협약을 이행하고, Jibe의 비밀유지 및 개인정보처리방침의 수신과 준수를 인정해야 합니다. 직원에게는 보안 교육이 제공됩니다. 파트너 개인 정보를 취급하는 직원은 자신의 역할에 따라 추가 요건을 완료해야 합니다. Jibe의 직원은 승인 없이 파트너 개인 정보를 처리하지 않습니다.

5. 보조 프로세서 보안

Jibe는 재처리자 참여에 앞서 재처리자의 보안 및 개인정보 보호관행에 대해 감사를 실시하여 재처리자가 부여되는 데이터 액세스 권한과 제공하기로 한 서비스 범위에 비추어 볼 때 타당한 수준의 보안 및 개인정보 보호를 제공하도록 보장합니다. Jibe에서 재처리자가 제출한 위험을 평가하고 나면 재처리자는 11.3항 (재처리자 참여 요건)의 요구사항에 따라 적절한 보안, 기밀성, 개인정보 보호 계약 조항을 체결해야 합니다.

부록 3: '비유럽 데이터 보호법의 추가 약관'

다음 '비유럽 데이터 보호법의 추가 약관'은 본 '데이터 처리 부록'을 보완합니다.

business.safety.google/processorterms/lgpd의 LGPD 프로세서 부록(2020년 8월 27일자)
business.safety.google/processorterms/us-state-laws의 미국 주법 부록(2022년 12월 12일자)

LGPD 처리자 부록 및 미국 주 법률 부록에서 Google LLC 또는 Google에 대한 언급은 Jibe를 의미합니다.

Jibe 데이터 처리 추가 조항, 버전 4.0

이전 버전

2020년 11월 2일

데이터 처리 관련 추가 조항 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.