Liferay 트러스트 센터/데이터 보호

라이플레이는 잠재 고객과 고객이 비즈니스 요구에 안전하고 규정 준수를 준수하는 디지털 솔루션을 찾는 것이 얼마나 중요한지 이해합니다. 또한 단순한 공급업체가 아니라 고객에게 신뢰할 수 있는 파트너라는 것을 약속드립니다.

당사는 고객으로부터 받은 귀중한 정보를 안전하게 보호하고 적용되는 데이터 보호법에 따라 취급하는 데 주력하고 있습니다. FOSS 커뮤니티의 일원으로 IP 및 FOSS 라이센스에 대한 모범 사례를 적용합니다. 또한 성실하게 사업을 실시하고 최종적으로는 고객이나 지역사회와의 견고한 관계를 구축하는 것을 신조로 하고 있습니다.

이 트러스트 센터는 각 고객의 실사 프로세스를 지원하고 보안 및 컴플라이언스에 대한 우리의 노력을 입증하기 위해 설계된 포괄적 인 리소스 컬렉션을 제공합니다.

데이터 보호

당사는 데이터 보호 규정 준수의 복잡성을 인식하고 있습니다. 따라서 당사는 조직으로서의 데이터 보호법의 준수와 당사 제품에 내장된 기능을 구별하고 있습니다. 당사의 제품은 고객이 업무 내에서 컴플라이언스를 준수하기 위한 노력을 지원하도록 설계되었습니다.
클라우드 기반 서비스의 일환으로 개인 데이터를 처리하는 경우 당사는 적용되는 데이터 보호법에 따라 데이터를 처리할 것을 약속합니다. 덧붙여 본 서약은 계약서에 명기되어 있습니다.

  • 견고한 보안 조치: 당사는 개인 데이터의 보안을 보장하기 위해 견고한 기술 및 조직적 조치를 채택하고 유지하기 위해 최선을 다하고 있습니다.
  • 목적에 따른 데이터 처리: 당사는 고객의 지시에 따라 고객에게 서비스를 제공하는 데 필요한 범위 내에서만 개인 데이터를 처리합니다.
  • 검토된 복처리자: 당사의 계약은 동등한 데이터 보호 기준 및 엄격한 공급업체 실사를 조건으로 하는 복처리자와의 계약만을 인정하며, 해당되는 경우 관련 데이터 전송 메커니즘을 보장합니다.
  • 개인 데이터 등의 내보내기 및 삭제: 당사는 구독 기간 종료 시 개인 데이터 등의 내보내기 또는 삭제를 용이하게 하고 고객이 데이터 주체의 요구에 대응할 수 있도록 지원합니다.
  • 감사 협력: 컴플라이언스를 준수하는 데이터 처리 방법을 검토하기 위해 감사와 함께 고객과 협력할 것을 약속합니다.
  • 데이터 침해 시 커뮤니케이션: 데이터 침해가 발생하면 당사는 영향을 받는 고객과 적시에 포괄적인 커뮤니케이션을 보장하여 잠재적인 영향을 최소화합니다.
계약서에 명시된 당사의 헌신은 데이터 보호에 대한 당사의 적극적인 자세와 고객의 데이터 보호 규정 준수 노력을 지원하는 당사의 헌신적인 자세를 반영합니다.
데이터 보호: Liferay SaaS
데이터 보호: Liferay PaaS
데이터 보호: Liferay Self Hosted
데이터 보호: Liferay Analytics Cloud
프라이버시 약관
라이프레이의 복처
기술적 및 조직적 조치

개인정보 처리방침

백서: 데이터 보호

데이터 보호: Liferay SaaS

일반적인 질문

Liferay는 GDPR/LGPD를 준수합니까?
대답의 범위가 넓기 때문에 적절하게 대답하기 어려운 질문이지만, 당사는 조직으로 적용되는 데이터 보호법을 준수하는 것과 고객 조직의 컴플라이언스 노력을 지원하는 사용 가능한 제품 기능을 구별합니다. 당사가 클라우드 기반 서비스를 제공할 때, 고객을 대신하여 개인 데이터를 처리하는 범위 내에서 당사는 그 처리가 계약상의 의무에 따라 이루어지는 것을 보증합니다.

  • 당사는 적절한 기술적 및 조직적 조치를 시행합니다.
  • 당사는 귀하의 지시에 따라 개인 데이터를 처리합니다.
  • 당사는 동일한 수준의 보호를 제공하는 복처리자만 참여할 수 있으며, 이러한 복처리자로의 모든 데이터 이전이 적용되는 데이터 이전 요구사항을 준수함을 보장할 의무가 있습니다.
  • 당사는 구독 서비스가 만료될 때 데이터를 내보내거나 삭제할 수 있도록 약속하고, 수신한 데이터 주체의 요청에 따라 고객의 노력을 지원합니다.
  • 당사는 당사가 개인 데이터의 처리가 준수하는 것을 증명하기 위해 적용되는 데이터 보호법에 따라 요구되는 감사에 대해 고객과 협력할 의무를 집니다.
  • 당사는 어떠한 데이터 침해에 대해서도 부당한 지연 없이 고객에게 통지할 것을 약속합니다.

호스팅

정보/시스템은 어디에서 호스팅됩니까?
Liferay SaaS는 호스팅 제공업체로 Google Cloud EMEA Ltd.(아일랜드)의 Google Cloud Platform(GCP)을 사용합니다. 또한 고객 데이터를 백업하기 위해 Amazon Web Services EMEA SARL(AWS)을 사용합니다.

데이터 센터는 유럽에 있습니까?
Liferay SaaS의 경우 Google Cloud EMEA Ltd.(아일랜드)가 호스팅 제공업체입니다. 데이터의 호스팅 위치는 고객이 선택한 지역에 따라 다릅니다. 사용 가능한 지역은 여기에서 확인할 수 있습니다.
고객 데이터를 백업하려면 Amazon Web Services EMEA SARL(AWS)을 사용합니다. AWS KMS를 사용하여 BYOK 암호화를 적용하여 AWS와 그 복처자가 개인 데이터에 대한 액세스를 방지합니다. 키는 고객이 프로덕션을 위해 선택한 Google Cloud Platform(GCP) 리전에 해당하는 AWS 리전의 HSM에 저장됩니다.

라이프레이와 DPA를 체결해야 합니까?
부속서 6의 제9조에 의거하여 고객이 유럽경제영역(EEA), 스위스, 영국, 중남미, 멕시코에 설립되어 있는 경우, 및 해당하는 오더폼에서 당사자간 별도의 합의가 없는 한 오더폼 효력 발생일 시점에서 www.liferay.com/legal 에서 이용가능한 데이터의 처리에 관한 첨부데이터(DPA) 부속 문서 9 및 DPA는 https://www.liferay.com/legal 에서 확인할 수 있습니다.
다른 지역 고객이 DPA를 체결하고자 하는 경우, 당사는 요청에 따라 이를 가능하게 합니다.

개인 데이터의 국경을 넘어 이전

개인 데이터의 국경을 넘은 이전이 있습니까? 또한 데이터는 어느 국가에서 호스팅됩니까?
당사는 외부의 프로바이더 및 당사의 계열사를 복처리자로서 이용합니다. 일부 복처리자는 EEA 영역 밖에 위치하기 때문에 이러한 복처리자를 이용하면 복처자가 유지보수를 실시하거나 고객에게 지원을 제공할 때 필요한 경우 등 특정 이유로 EU/EEA 영역 내에 저장된 고객 데이터에 EU/EEA 영역 외부에서 원격으로 액세스할 필요가 있을 수 있습니다. 이러한 이전을 위해 당사는 GDPR에서 요구하는 적절한 보호 조치를 시행합니다. 이 건에 대한 자세한 사항 및 국경을 넘은 데이터 이전의 경우에 당사가 채용하는 컴플라이언스 조치, 데이터의 이전처 국가에 대해서는 https://www.liferay.com/legal/cloud-services-data 를 참조하십시오.

서비스가 이전 대상인 적절한 보호 조치를 충족하는지 여부를 제시하십시오(감독 기관이 채택하고 유럽 위원회가 승인한 표준 데이터 보호 조항, 구속 기업 법칙, 승인된 인증 메커니즘, 승인된 행동 규범 등).
데이터 보호법에 요구되는 경우, 당사는 적절한 보호 조치를 시행합니다. 적용되는 전송 메커니즘은 https://www.liferay.com/legal/cloud-services-data 에서 확인할 수 있습니다.


타사의 논리적 액세스 외에도 데이터가 물리적으로 이전되었는지 여부를 제시합니다.
고객 데이터를 백업하려면 Amazon Web Services EMEA SARL(AWS)을 사용합니다. AWS KMS를 사용하여 BYOK 암호화를 적용하여 AWS와 그 복처자가 개인 데이터에 대한 액세스를 방지합니다. 키는 고객이 프로덕션을 위해 선택한 Google Cloud Platform(GCP) 리전에 해당하는 AWS 리전의 HSM에 저장됩니다.

고객은 제3국에서 데이터에 액세스할 수 있는 일부 복처리자의 사용을 허용합니다.

EMEA, 브라질, 일본 고객의 경우 EEA 및 EU 충분성 인증 영역 외부로의 이전은 브라질로의 이전으로 제한됩니다. 이와 관련하여 당사는 브라질의 신뢰할 수 있는 법률 사무소로부터 법적 의견을 얻었으며 EU 데이터 보호법에 따라 개인 데이터에 부여된 보호 수준을 방해할 수 있는 법률이 브라질 법에 존재하지 않음을 확인했습니다.

고객이 당사 제품인 Liferay SaaS, Liferay PaaS(기본적으로 비활성화됨) 또는 Analytics Cloud의 애널리틱스 기능을 독립형 제품으로 사용하기로 결정하는 범위 내에서 Liferay, Inc(미국)가 데이터에 액세스할 수 있습니다. Liferay, Inc. (US)는 EU-미국 및 스위스-US 간의 데이터 프라이버시 프레임워크 인증을 받았기 때문에 EEA에서 Liferay, Inc.로 개인 데이터를 이전하는 것은 2023년 7월 11일자 유럽 위원회의 충분성 인증을 받을 수 있습니다. 또한 기본적으로 Analytics Cloud는 시스템에서 생성한 식별자와 관련된 이벤트 데이터만 수집합니다. 그렇지 않으면 고객은 Liferay DXP/Liferay SaaS 및 Liferay PaaS 인스턴스에 저장된 다른 식별자 및 정보의 동기화를 완벽하게 관리하지만 고객 측의 위험 평가가 필요합니다. Liferay, Inc.는 이전에 회사의 서비스에 저장된 고객 데이터에 대한 어떠한 요청도 받지 않았으며 그에 응하지 않았습니다.

정부 기관의 데이터 요청 정책

정부 기관의 액세스 처리와 관련하여 라이프레이는 어떤 조치와 절차를 취하고 있습니까?
고객이 당사 제품인 Liferay SaaS, Liferay SaaS(기본적으로 비활성화됨) 또는 Analytics Cloud(AC)의 애널리틱스 기능을 독립형 제품으로 사용하기로 결정하는 한도에서 Liferay, Inc(미국)가 데이터에 액세스할 수 있습니다. Liferay, Inc.는 대통령령(EO) 12.333호에 따라 당국에 자발적으로 협력하지 않는 동안 FISA702조의 적용을 받을 수 있습니다. 그러나 EO14.086이 발효되어 EEA 국가가 '적격국'으로 지정된 이래 유럽위원회는(2023년 7월 11일자의 미국에 대한 충분성 인정에 따라) 미국의 감시법 및 관행은 유럽의 데이터 보호법 하에서 데이터 주체에게 부여되는 보호를 방해할 것 같은 것은 없다고 생각하고 있습니다. Liferay, Inc.는 EU-미국 및 EU-스위스 간 데이터 프라이버시 프레임워크 인증을 받았습니다. 또한 기본적으로 AC는 시스템이 생성한 식별자와 관련된 이벤트 데이터만 수집합니다. 그렇지 않으면 고객은 Liferay SaaS 인스턴스에 저장된 다른 식별자 및 정보의 동기화를 완전히 관리하지만 고객 측의 위험 평가가 필요합니다. Liferay, Inc.는 이전에 회사의 서비스에 저장된 고객 데이터에 대한 어떠한 요청도 받지 않았으며 그에 응하지 않았습니다.
당사는 그룹사로서 이러한 요구를 처리하기 위한 프로세스를 도입하고 있습니다.
수신된 모든 데이터 요청은 개인정보처리소로 이전되어야 합니다. 프라이버시 사무소는 데이터 요청을 확인하고, 필요에 따라 법무 부서 및/또는 관할의 외부 어드바이저 및/또는 데이터 보호 감독자(DPO)에 상담하고, 다음 사항을 확인합니다. 신체 또는 관할 당국에 통지 또는 협의하는 라이프레이의 잠재적인 법적 또는 계약상의 의무 및 그러한 통지의 법적 허용성.

수신자인 당사는 데이터 요청에 응할 때 데이터 요청의 합리적인 해석과 프라이버시 오피스의 법적 평가에 근거하여 허용 가능한 최소한의 정보를 제공해야 합니다. 개인 정보 보호 사무소는 각 데이터 요청에 대해 법적 평가를 문서화하고 데이터 요청을 수령한 후 최소 5년간 문서를 저장해야 합니다.

복처리자

개인 데이터 처리를 위한 복처리자는 있습니까?
예, 당사는 https://www.liferay.com/legal/cloud-services-data 목록에 나열된 복처리자를 사용합니다. 본 리스트에서는 법인 정보 및 연락처의 상세, 소재지, 처리의 기능 및 상세, 해당되는 경우 데이터 전송 메커니즘(GDPR)을 확인할 수 있습니다.
DPA에 따라 당사는 신규 복처리자의 선임을 고객에게 사전에 통지해야 합니다. 그 통지를 받은 후 10일 이내에, 고객이 (합리적인 근거에 근거하여) 제안된 선임에 반대하는 취지를 서면으로 당사에 통지한 경우, Liferay 또는 Liferay 계열사는 고객으로부터 제기된 이의에 대처하기 위한 합리적인 조치가 취해질 때까지 제안된 복처자를 선임(또는 고객의 개인 당사가 고객으로부터 통지를 받은 후 30일 이내에 상업상 합리적인 방법으로 이의에 대처할 수 있습니다. 당사의 경우, 고객은 (i) 당사가 제안하는 본 서비스의 사용을 결정하거나 반환을 받을 수 있습니다.

제3자 액세스

제3자가 고객 데이터에 접근할 수 있습니까? 가능하다면 어떤 방식으로 접근합니까?

불가능합니다.
당사가 채택한 기술적 및 조직적 조치(TOM, 상세 내용 링크)는 고객 데이터에 대한 제3자의 접근을 허용하지 않습니다. 고객 데이터는 원칙적으로 Google Cloud Platform(GCP)에서만 처리 및 저장되며, 개인 디바이스(BYOD), 휴대용 저장장치, 개인용 전자기기 등의 다른 저장소에 고객 데이터를 보관하는 것이 엄격히 금지되어 있습니다.

고객 데이터 백업은 Amazon Web Services EMEA SARL(AWS)을 통해 이루어지며, AWS KMS의 BYOK(Bring Your Own Key) 암호화를 통해 데이터를 안전하게 보호합니다. 또한 AWS 등 제3자 서비스 공급자를 이용하기 전에 철저한 공급자 평가, 데이터 처리 계약(DPA) 체결, 기술적·조직적 보호조치(TOM) 문서 점검 등의 절차를 반드시 수행하고 있습니다.

보안 대책
라이플레이의 TOM은 GDPR 관점에서 '적절한'가?
당사는 Liferay DXP Cloud 서비스에 대해 취득한 ISO 27001, SOC 2, HIPAA, CSA STAR 인증에 의해 입증된 바와 같이 업계 표준에 따라 TOM을 강구합니다. 자세한 내용은 https://www.liferay.com/legal/cloud-services-data 를 확인하십시오.

보안 대책(인증)
GDPR, 개인 정보, 보안 및 재해 복구에 대한 인증이 있습니까? ISO27001과 같은 보안 인증 및 SOC2와 같은 감사 보고서를 제공할 수 있습니까? 가능하면 유효한 문서의 사본을 보내주십시오.
당사의 인증 프로그램에는 ISO 27001/27017/27018, SOC 2 Type 2, HIPAA, CSA STAR Level 2가 포함됩니다. 당사의 정보 보안 프로그램에 대한 자세한 내용은 https://www.liferay.com/resources/product-info/Liferay+Liferay DXP+Cloud+Data+Security+and+Protection 백서 를 참조하십시오. 요청에 따라 인증서 발급도 가능합니다.

보안 대책(암호화)
라이프레이는 고객의 데이터를 보호하기 위해 암호화를 사용합니까?
GDPR에서 암호화는 일반적인 필수 요구 사항이 아닙니다. 그러나 특정 상황에서는 암호화 기술의 사용이 "적절한"일 수 있습니다. 예를 들어, 이전하는 모든 데이터는 최소한의 AES-256 암호화를 사용하는 강제 SSL 연결을 사용합니다. Liferay SaaS에 저장된 데이터는 저장 시 암호화됩니다.

개인 데이터 등 삭제
Liferay 서비스에서 모든 고객 데이터가 복구 불가능하게 삭제되는 경우는 언제입니까?
귀하는 귀하의 구독이 만료되거나 종료될 때 14일 이내에 고객 데이터 검색을 위해 Liferay 서비스에 대한 액세스를 요청할 수 있습니다. 요청에 따라 당사는 이러한 요청을 수령한 후 14일 동안 이러한 목적을 위한 서비스에 대한 액세스를 고객에게 제공합니다. 또한 고객의 구독이 만료되거나 종료된 후 30일 후에 시스템에서 복구할 수 없는 데이터를 삭제합니다.

데이터를 영구적으로 삭제하는 방법에 대해 알려주세요.
Liferay에는 기업이 GDPR 규정을 준수하고 플랫폼이 사용자 데이터를 관리하는 방식을 계속 제어할 수 있는 데이터 보호 도구가 포함되어 있습니다. 자세한 내용은 https://www.liferay.co.jp/capabilities/security 를 참조하십시오.

비밀 유지

라이프레이는 개인 데이터를 처리할 권한이 있는 담당자가 비밀 유지를 철저히 하고 있는지 확인하고 있습니까?
예, 당사의 정책은 직원이 직무를 수행할 때 비밀 유지를 보장합니다. 모든 직원은 해당하는 경우 고용 계약 또는 계약 계약에 포함된 비밀 유지 대상이 됩니다.


라이프레이는 개인 데이터를 제3자에게 공개합니까?
아니요, 당사의 직원, 계약자 및 승인된 복처리자에게만 필요에 따라 공개됩니다.

신원 조사
라이프레이는 직원의 신원 조사를 실시하고 있습니까?
당사는 현지 적용법에서 인정된 범위 내에서 클라우드 서비스 이행에 관련된 직원의 보안 점검 및 신원 조사를 실시합니다.

훈련
라이프레이는 직원들에게 프라이버시 교육을 제공합니까? 직원의 수료를 증명하는 것이 있습니까?
네. 직원은 개인 데이터 처리 및 정보 보안에 대한 온 디맨드 개인 정보 보호 교육을 매년 수강해야합니다. 교육 수료에 대해서는 기록되고 증명도 가능합니다.

PIA & DPIA

라이프레이는 서비스의 개인정보 영향 평가(PIA) 및 데이터 보호 영향 평가(DPIA)를 실시하고 있습니까?
클라우드 서비스의 목적상, 당사는 처리자로서 관리자인 고객을 대신하여 데이터를 처리합니다. 따라서, 적용되는 데이터 보호법 또는 고객의 사내 규정에 근거하여 PIA/DPIA를 실시할 필요가 있는 경우는, 관리자인 고객이 그 책임을 지는 것으로 합니다. 단, 당사는 필요에 따라 문서화 등 합리적으로 고객을 지원합니다.


고객은 Liferay 제품에 대해 DPIA를 시행해야 합니까?
고객은 Liferay를 사용할 때 DPIA를 구현할 필요가 없습니다. 실제로 고객이 Liferay 서비스를 사용하는 방식에 따라 다릅니다.
GDPR 제35조에 따라 데이터 보호 영향 평가는 다음 상황을 포함하여 처리가 자연인의 권리와 자유에 대해 높은 위험을 초래할 수 있는 경우에만 필요합니다.

  1. 고객의 서비스 이용은 데이터 주체와 관련된 개인적 측면의 체계적이고 광범위한 평가로 이어지고 데이터 주체에 심각한 영향을 미치는 의사 결정의 근거로 사용되는 경우.
  2. 고객이 본 서비스를 이용함으로써 특정 기밀정보(건강, 일반정보 또는 생체정보, 민족적 출신, 정치적 의견, 종교적 또는 철학적 신조에 관한 데이터 등)가 대량으로 처리되는 경우.
  3. 고객이 당사 서비스를 이용할 때 공공 지역에 대한 대규모 조직 모니터링을 수반할 수 있는 경우.
  4. 우리는 여러 가지 다른 사용 사례에서 사용할 수 있는 다목적 솔루션을 고객에게 제공하기 때문에 당사가 고객을 대신하여 그러한 평가를 수행할 수 있는 입장에 있지 않다는 것은 분명합니다.
다만, DPIA가 필요한지의 판단이나 DPIA의 실시에 대해서는, 관리자인 고객이 주로 책임을 집니다만, 당사는 고객에게 적절한 지원(제공한 기능의 문서화)을 제공합니다.

데이터 침해
라이플레이는 데이터 침해에 대처하기 위한 공식적인 프로세스를 제공합니까?
예, 데이터 인시던트 대응 정책을 제정하고 있으며 데이터 침해가 발생한 경우에는 지체 없이 고객에게 통지하는 계약상의 의무를 지고 있습니다. 이 알림은 고객이 당사에 긴급 연락처를 제공하지 않는 한 고객의 계정(관리자)과 연결된 이메일 주소로 전송됩니다.

데이터 주체의 권리
라이플레이는 데이터 침해에 대처하기 위한 공식적인 프로세스를 제공합니까?
예, 당사는 관리자로서 DSR을 받을 경우 데이터 주체의 요청(DSR) 정책을 마련하고 있습니다. 그러나 당사가 처리자 역할을 하는 경우 Liferay의 클라우드 제품은 고객이 DSR을 준수할 수 있는 기능을 제공합니다. Liferay의 클라우드 제품이 컴플라이언스를 실현할 수 없는 경우, 당사는 요청에 따라 고객을 지원합니다. 따라서 고객은 관리자로서 DSR의 취급에 책임을 집니다. DSR은 일반적으로 고객을 대상으로 하지만, 당사는 계약 문서에 따라 DSR을 수령할 경우 고객이 향후 대응 방법을 결정할 수 있도록 부당한 지연 없이 고객에게 통지할 의무가 있습니다.

내부 통제

제3자가 고객 데이터에 접근할 수 있습니까? 가능하다면 그 방법은 무엇입니까?
아니요, 접근할 수 없습니다. 당사가 채택한 기술적 및 조직적 보호 조치(TOM, https://www.liferay.com/legal/cloud-services-data)를 통해 고객 데이터에 대한 제3자의 접근을 엄격히 제한하고 있습니다. 고객 데이터는 Google Cloud Platform 환경에서만 관리되며, 직원 개인용 장비(BYOD), 데이터 저장 장치 등 기타 전자 기기에 데이터를 저장하는 것은 금지되어 있습니다. 백업 데이터는 Amazon Web Services EMEA SARL(AWS)를 통해 관리되며, AWS KMS를 이용한 BYOK(Bring Your Own Key) 암호화 방식으로 보호됩니다. 또한 제3자 서비스 업체를 이용할 경우, 서비스 제공 전에 철저한 공급업체 평가, 데이터 처리 계약(DPA) 체결, 그리고 기술적 및 조직적 보호조치(TOM)에 대한 사전 검토와 승인이 이루어집니다.

Liferay는 데이터 보호를 전담하는 부서가 있습니까?
네, 당사는 글로벌 데이터 보호 오피스(Global Privacy Office)를 운영하고 있습니다.
이메일: dataprotection@liferay.com

Liferay는 데이터 보호 책임자(DPO)를 임명하여 관련 기관에 신고하였습니까?
네, 당사는 관련 법률에 따라 데이터 보호 책임자(DPO)를 임명하고, 각 국가의 데이터 보호 당국에 통지하고 있습니다. 아래는 각 국가별 데이터 보호 책임자 연락처입니다.

데이터 보호 프로그램이 운영 중입니까?
네, Liferay는 적용 법규를 준수하는 데이터 보호 프로그램을 운영하며, 당사의 제품과 솔루션을 통해 고객의 컴플라이언스 목표 달성을 지원하고 있습니다.

데이터 보호 프로그램 매뉴얼은 제공받을 수 있습니까?
네, 요청하시면 데이터 보호 프로그램 매뉴얼을 제공해 드릴 수 있습니다.

2차 이용
라이프레이는 귀하의 개인 데이터를 2차 목적으로 사용합니까?
당사는 서비스를 제공하고 고객과의 계약 관계를 유지하기 위해 프라이버시 통지( https://www.liferay.co.jp/privacy-policy )에 따라 Liferay 서비스를 이용하는 고객의 개인 데이터를 관리자로 처리합니다. 당사는 적절한 청구에 필요한 범위 내에서 익명화된 집계 통계를 작성하고 Liferay 서비스 및 제품을 개선하기 위해 데이터를 사용하는 경우를 제외하고는 고객의 지시에 따라 고객의 최종 사용자 개인 데이터를 처리합니다. 다른 목적으로는 처리하지 않습니다. 또한 서버 로그를 사용하여 이러한 통계를 작성합니다.

개인 데이터 등의 범위
라이프레이는 어떤 카테고리의 개인 데이터를 처리합니까? 또한 라이플레이가 수행하는 데이터 처리에는 기밀 데이터가 포함됩니까?
범위는 완전히 고객에 의해 결정됩니다. 민감한 데이터에 대한 일반적인 카테고리는 https://www.liferay.com/legal/cloud-services-data에서 찾을 수 있으며 고객의 사용 사례에 따라 다릅니다.

ROPA
처리 활동 기록(ROPA)을 유지하고 있습니까?
당사는 GDPR 제30조에 따라 ROPA를 유지합니다.

감사

고객이 규정 준수 감사를 수행할 수 있습니까?
감사는 DPA에 명시된 특정 범위 및 조건 하에서 허용됩니다.

당사는 고객을 위해 행해진 고객 개인 데이터의 처리에 관한 처리자의 기록을 포함하여 컴플라이언스를 증명하는데 필요한 모든 정보를 요구에 따라 고객에게 제공합니다. 또한 고객의 개인 데이터 처리와 관련하여 고객 및 고객 감사인의 감사(검사 포함)를 인정하고 이에 기여합니다.

감사를 실시하는 고객은, 실시되는 감사 또는 검사에 대해서, 당사에 합리적인 통지를 실시하는 것으로 하고, 그러한 감사 또는 검사의 과정에서, 당사 종업원이 당해 시설에 있을 때에, 당사의 시설, 비품, 인원 및 사업에 대해, 어떠한 손해, 해 또는 혼란을 일으키지 않도록 합리적인 노력을 합니다.

아래의 경우, 당사 또는 복처리자는 그러한 감사나 사찰을 위해 그 시설에의 액세스를 허가할 필요는 없습니다.

  1. 본인의 신원 및 권한에 대해 합리적인 증거를 제시하지 않는 모든 사람에 대하여.
  2. 감사 또는 검사를 긴급히 실시해야 하는 경우를 제외하고, 해당 시설에서의 통상의 영업시간외.
  3. DPA에 명시된 예외를 제외하고 12개월 동안 한 번 이상 감사 또는 검사 목적.

요구된 감사범위가 지난 12개월 이내에 적격한 제3자 감사인에 의해 실시된 SOC 2 Type I 또는 유사한 인증 또는 보고서로 취급되며, 해당하는 경우 당사가 감사대상 통제에 알려진 중대한 변경이 없는 것을 확인한 경우 고객은 적용법에 따라 합리적으로 가능한 것에 대한 대응의

당사의 DPA에 대해서는 https://www.liferay.com/legal 을 확인하십시오.

보험

Liferay는 보안 침해에 대한 책임보험에 가입되어 있습니까?
네, 당사는 데이터 침해를 포함하는 일반 배상책임 보험에 가입되어 있습니다.

보험 증서를 제공받을 수 있습니까?
네, 요청 시 보험 증서를 제공해 드릴 수 있으며, 자세한 사항은 비즈니스 담당자에게 문의해 주시기 바랍니다.

법적 근거
개인 데이터 처리의 법적 근거와 목적은 무엇입니까?
목적 및 법적 근거를 정하는 것은 관리자로서의 고객의 의무입니다. 고객은 클라우드 서비스를 통해 고객의 개인 데이터를 처리할 목적으로 당사가 데이터 처리자가 되어 고객의 지시에 따라 클라우드 서비스를 고객에게 제공하기 위해 필요한 범위에서만(단, 그 이외의 목적을 포함하지 않음), 고객을 대신하여 해당 개인 데이터를 처리하는 것을 임명되어 권한을 부여하는 것에 동의합니다.

데이터 보호 당국에 등록

Liferay는 데이터 보호 당국에 등록되어 있습니까?
Liferay는 영국 데이터 보호 당국에 등록되어 있으며, 그 외 지역에서는 해당 등록 의무가 적용되지 않습니다.

프라이버시 바이 디자인
라이프레이는 프라이버시 바이 디자인의 원칙을 고려합니까?
네, 새로운 제품, 서비스, 프로세스(PIA/DPIA)의 기능에 대해서는 대응하고 있습니다.

벤더 관리
라이프레이에는 서비스 제공업체나 복처자와의 계약에 대한 공급업체 관리 정책이 있습니까?
네, 있습니다. 우리는 개인 정보 보호 및 보안 검토 및 적절한 계약 및 DPA 체결을위한 법적 검토를 수행합니다. 보안 검토는 매년 정보 보안 부서에서 수행합니다.

데이터 보호: Liferay PaaS

일반적인 질문

Liferay는 GDPR/LGPD와 같은 데이터 보호법을 준수하고 있습니까?
해당 질문은 그 범위가 넓어 간단히 답변하기 어렵습니다만, 당사는 데이터 보호 준수를 크게 두 가지로 구분하여 관리합니다. 하나는 당사 조직 자체가 적용 대상이 되는 데이터 보호법을 준수하는 것이며, 또 하나는 고객사의 컴플라이언스 이행을 지원하는 Liferay 제품의 기능을 제공하는 것입니다.

당사가 클라우드 기반의 서비스를 제공할 때 고객사를 대신하여 개인정보를 처리하는 경우, 다음과 같은 계약상 의무를 철저히 준수합니다.

  • 당사는 적절한 기술적 및 조직적 보호 조치를 실행합니다.
  • 당사는 고객사의 명시된 지침에 따라서만 개인정보를 처리합니다.
  • 당사는 동일한 수준의 데이터 보호를 제공할 수 있는 재위탁 처리자만을 이용하며, 모든 재위탁 처리자와의 데이터 이전이 관련 법률상의 데이터 이전 요구사항을 준수하도록 보장할 책임이 있습니다.
  • 당사는 구독 서비스 종료 시 고객이 데이터를 내보내거나 삭제할 수 있도록 지원하며, 데이터 주체의 요청에 고객이 대응할 수 있도록 지원합니다.
  • 당사는 개인정보 처리에 대한 법적 준수를 증명하기 위해, 관련 법률에 따라 요구되는 감사 및 검증을 수행합니다.

호스팅

정보/시스템은 어디에서 호스팅됩니까?
Liferay PaaS는 호스팅 제공업체로 Google Cloud EMEA Ltd.(아일랜드)의 Google Cloud Platform(GCP)을 사용합니다.

데이터 센터는 유럽에 있습니까?
Liferay AC, Liferay PaaS 및 Liferay SaaS의 경우 Google Cloud EMEA Ltd.(아일랜드)가 호스팅 제공업체입니다. 데이터의 호스팅 위치는 고객이 선택한 지역에 따라 다릅니다. 유럽에서 사용 가능한 지역은 런던(영국)과 프랑크푸르트(독일)입니다.

라이프레이와 DPA를 체결해야 합니까?
부속서 4의 제11조에 의거하여 고객이 유럽경제영역(EEA), 스위스, 영국, 중남미, 멕시코에 설립되어 있는 경우, 및 해당하는 오더폼에 있어서 당사자간 별도의 합의가 없는 한 오더폼 효력 발생일 시점에서 www.liferay.com/legal 에서 이용가능한 데이터의 처리에 관한 첨부데이터(DPA) 부속서 4 및 DPA는 https://www.liferay.com/legal 에서 확인할 수 있습니다.
다른 지역 고객이 DPA를 체결하고자 하는 경우, 당사는 요청에 따라 이를 가능하게 합니다.

개인 데이터의 국경을 넘어 이전

개인 데이터의 국경을 넘은 이전이 있습니까? 또한 데이터는 어느 국가에서 호스팅됩니까?
당사는 외부의 프로바이더 및 당사의 계열사를 복처리자로서 이용합니다. 일부 복처리자는 EEA 영역 밖에 위치하기 때문에 이러한 복처리자를 이용하면 복처자가 유지보수를 실시하거나 고객에게 지원을 제공할 때 필요한 경우 등 특정 이유로 EU/EEA 영역 내에 저장된 고객 데이터에 EU/EEA 영역 외부에서 원격으로 액세스할 필요가 있을 수 있습니다. 이러한 이전을 위해 당사는 GDPR에서 요구하는 적절한 보호 조치를 시행합니다. 이 건에 대한 자세한 사항 및 국경을 넘은 데이터 이전의 경우에 당사가 채용하는 컴플라이언스 조치, 데이터의 이전처 국가에 대해서는 https://www.liferay.com/legal/cloud-services-data 를 참조하십시오.

서비스가 이전 대상인 적절한 보호 조치를 충족하는지 여부를 제시하십시오(감독 기관이 채택하고 유럽 위원회가 승인한 표준 데이터 보호 조항, 구속 기업 법칙, 승인된 인증 메커니즘, 승인된 행동 규범 등).
데이터 보호법에 요구되는 경우, 당사는 적절한 보호 조치를 시행합니다. 적용되는 전송 메커니즘은 https://www.liferay.com/legal/cloud-services-data 에서 확인할 수 있습니다.

타사의 논리적 액세스 외에도 데이터가 물리적으로 이전되었는지 여부를 제시합니다.
고객 데이터를 백업하려면 Amazon Web Services EMEA SARL(AWS)을 사용합니다. AWS KMS를 사용하여 BYOK 암호화를 적용하여 AWS와 그 복처자가 개인 데이터에 대한 액세스를 방지합니다. 키는 고객이 프로덕션을 위해 선택한 Google Cloud Platform(GCP) 리전에 해당하는 AWS 리전의 HSM에 저장됩니다.

고객은 제3국에서 데이터에 액세스할 수 있는 일부 복처리자의 사용을 허용합니다.

EMEA, 브라질, 일본 고객의 경우 EEA 및 EU 충분성 인증 영역 외부로의 이전은 브라질로의 이전으로 제한됩니다. 이와 관련하여 당사는 브라질의 신뢰할 수 있는 법률 사무소로부터 법적 의견을 얻었으며 EU 데이터 보호법에 따라 개인 데이터에 부여된 보호 수준을 방해할 수 있는 법률이 브라질 법에 존재하지 않음을 확인했습니다.

고객이 당사 제품인 Liferay SaaS, Liferay PaaS(기본적으로 비활성화됨) 또는 Analytics Cloud의 애널리틱스 기능을 독립형 제품으로 사용하기로 결정하는 범위 내에서 Liferay, Inc(미국)가 데이터에 액세스할 수 있습니다. Liferay, Inc. (US)는 EU-미국 및 스위스-US 간의 데이터 프라이버시 프레임워크 인증을 받았기 때문에 EEA에서 Liferay, Inc.로 개인 데이터를 이전하는 것은 2023년 7월 11일자 유럽 위원회의 충분성 인증을 받을 수 있습니다. 또한 기본적으로 Analytics Cloud는 시스템에서 생성한 식별자와 관련된 이벤트 데이터만 수집합니다. 그렇지 않으면 고객은 Liferay DXP/Liferay SaaS 및 Liferay PaaS 인스턴스에 저장된 다른 식별자 및 정보의 동기화를 완벽하게 관리하지만 고객 측의 위험 평가가 필요합니다. Liferay, Inc.는 이전에 회사의 서비스에 저장된 고객 데이터에 대한 어떠한 요청도 받지 않았으며 그에 응하지 않았습니다.

정부 기관의 데이터 요청 정책

정부 기관의 액세스 처리와 관련하여 라이프레이는 어떤 조치와 절차를 취하고 있습니까?
고객이 당사 제품인 Liferay SaaS, Liferay SaaS(기본적으로 비활성화됨) 또는 Analytics Cloud(AC)의 애널리틱스 기능을 독립형 제품으로 사용하기로 결정하는 한도에서 Liferay, Inc(미국)가 데이터에 액세스할 수 있습니다. Liferay, Inc.는 대통령령(EO) 12.333호에 따라 당국에 자발적으로 협력하지 않는 동안 FISA702조의 적용을 받을 수 있습니다. 그러나 EO14.086이 발효되어 EEA 국가가 '적격국'으로 지정된 이래 유럽위원회는(2023년 7월 11일자의 미국에 대한 충분성 인정에 따라) 미국의 감시법 및 관행은 유럽의 데이터 보호법 하에서 데이터 주체에게 부여되는 보호를 방해할 것 같은 것은 없다고 생각하고 있습니다. Liferay, Inc.는 EU-미국 및 EU-스위스 간 데이터 프라이버시 프레임워크 인증을 받았습니다. 또한 기본적으로 AC는 시스템이 생성한 식별자와 관련된 이벤트 데이터만 수집합니다. 그렇지 않으면 고객은 Liferay SaaS 인스턴스에 저장된 다른 식별자 및 정보의 동기화를 완전히 관리하지만 고객 측의 위험 평가가 필요합니다. Liferay, Inc.는 이전에 회사의 서비스에 저장된 고객 데이터에 대한 어떠한 요청도 받지 않았으며 그에 응하지 않았습니다.

당사는 그룹사로서 이러한 요구를 처리하기 위한 프로세스를 도입하고 있습니다.

수신된 모든 데이터 요청은 개인정보처리소로 이전되어야 합니다. 프라이버시 사무소는 데이터 요청을 확인하고, 필요에 따라 법무 부서 및/또는 관할의 외부 어드바이저 및/또는 데이터 보호 감독자(DPO)와 상담하여 다음 사항을 확인합니다. 신체 또는 관할 당국에 통지 또는 협의하는 라이프레이의 잠재적인 법적 또는 계약상의 의무 및 그러한 통지의 법적 허용성.

수신자인 당사는 데이터 요청에 응할 때 데이터 요청의 합리적인 해석과 프라이버시 오피스의 법적 평가에 근거하여 허용 가능한 최소한의 정보를 제공해야 합니다. 개인 정보 보호 사무소는 각 데이터 요청에 대해 법적 평가를 문서화하고 데이터 요청을 수령한 후 최소 5년간 문서를 저장해야 합니다.

복처리자

정부 기관에 의한 데이터 접근 및 처리와 관련하여 Liferay는 어떤 대응 조치 및 절차를 마련하고 있습니까?

네, 당사는 https://www.liferay.com/legal/cloud-services-data에 명시된 재위탁 처리자(서브 프로세서)를 활용하고 있습니다. 해당 목록에는 각 법인의 정보 및 연락처, 소재지, 처리 기능 및 세부 사항, 그리고 GDPR 적용 시 데이터 이전 메커니즘이 포함되어 있습니다.

DPA(데이터 처리 계약)에 따라, 당사는 새로운 재위탁 처리자를 지정할 경우 사전에 고객에게 통지합니다. 고객은 해당 통지를 받은 후 10일 이내에 서면을 통해 (합리적인 근거를 바탕으로) 새로운 재위탁 처리자 지정에 반대할 수 있습니다.

만약 고객이 반대 의사를 제출하면, Liferay 또는 Liferay 계열사는 고객이 제기한 이의 사항을 해결할 때까지 해당 재위탁 처리자를 지정하거나 고객의 개인정보를 공개하지 않습니다.

당사가 고객의 반대 요청을 받은 후 30일 이내에 상업적으로 합리적인 방식으로 해결할 수 없는 경우, 고객은 다음 옵션 중 하나를 선택할 수 있습니다.

  1. 당사가 제안한 서비스를 계속 이용하거나,
  2. 당사에 서면으로 통지하여, 해당 재위탁 처리자의 사용이 필수적인 서비스 관련 범위 내에서 계약을 즉시 종료하고, 계약 종료 시점까지 미사용 서비스에 대해 선불 요금의 일할 계산된 환불을 받을 수 있습니다.

제3자 액세스
제3자가 고객 데이터에 액세스할 수 있습니까? 가능한 경우 그 방법은 무엇입니까?
할 수 없습니다. 당사가 채용하는 기술적 및 조직적 조치(TOM)( https://www.liferay.com/legal/cloud-services-data )는 고객이 제출한 개인 데이터의 기밀성, 완전성, 가용성을 확보하기 위해 실시됩니다. 개인 데이터를 처리하는 데 사용되는 주요 시스템은 Google Cloud Platform이며 직원 워크스테이션, BYOD, 데이터 캐리어 등 기타 전자 기기에 개인 데이터를 저장하는 것은 금지되어 있습니다. 또한 고객 데이터를 백업하기 위해 Amazon Web Services EMEA SARL(AWS)을 사용합니다. AWS KMS를 사용하여 BYOK 암호화를 적용하여 AWS와 그 복처자가 개인 데이터에 대한 액세스를 방지합니다. 키는 고객이 프로덕션을 위해 선택한 Google Cloud Platform(GCP) 리전에 해당하는 AWS 리전의 HSM에 저장됩니다. 부처리자가 개인 데이터를 처리하기 전에, 부처리자가 제공하는 각 서비스 또는 각 시스템은 벤더 평가, DPA, 기술적 및 조직적 대책(TOM) 문서 및 각 시스템의 보호 대책이나 적용 데이터 보호법의 준수에 대해 기재한 추가의 보충 문서에 근거해, 재검토되고 승인되는 것으로 합니다.

보안 대책
라이플레이의 TOM은 GDPR 관점에서 '적절한'가?
당사는 Liferay DXP Cloud 서비스에 대해 취득한 ISO 27001, SOC 2, HIPAA, CSA STAR 인증에 의해 입증된 바와 같이 업계 표준에 따라 TOM을 강구합니다. 자세한 내용은 https://www.liferay.com/legal/cloud-services-data 를 확인하십시오.

보안 대책(인증)
GDPR, 개인정보 보호, 보안 및 재해 복구에 대한 인증이 있습니까? ISO27001과 같은 보안 인증 및 SOC2와 같은 감사 보고서를 제공할 수 있습니까? 가능하면 유효한 문서의 사본을 보내주십시오.
당사의 인증 프로그램에는 ISO 27001/27017/27018, SOC 2 Type 2, HIPAA, CSA STAR Level 2가 포함됩니다. 당사의 정보 보안 프로그램에 대한 자세한 내용은 https://www.liferay.com/resources/product-info/Liferay+Liferay DXP+Cloud+Data+Security+and+Protection 백서 를 참조하십시오. 요청에 따라 인증서 발급도 가능합니다.

보안 대책(암호화)
라이프레이는 고객의 데이터를 보호하기 위해 암호화를 사용합니까?
GDPR에서 암호화는 일반적인 필수 요구 사항이 아닙니다. 그러나 특정 상황에서는 암호화 기술의 사용이 "적절한"일 수 있습니다. 예를 들어, 이전하는 모든 데이터는 최소한의 AES-256 암호화를 사용하는 강제 SSL 연결을 사용합니다. Liferay SaaS에 저장된 데이터는 저장 시 암호화됩니다.

개인 데이터 등 삭제

Liferay 서비스에서 모든 고객 데이터가 복구 불가능하게 삭제되는 경우는 언제입니까?
귀하는 귀하의 구독이 만료되거나 종료될 때 14일 이내에 고객 데이터 검색을 위해 Liferay 서비스에 대한 액세스를 요청할 수 있습니다. 요청에 따라 당사는 이러한 요청을 수령한 후 14일 동안 이러한 목적을 위한 서비스에 대한 액세스를 고객에게 제공합니다. 또한 고객의 구독이 만료되거나 종료된 후 30일 후에 시스템에서 복구할 수 없는 데이터를 삭제합니다.


데이터를 영구적으로 삭제하는 방법에 대해 알려주세요.
Liferay DXP에는 기업이 GDPR 규정을 준수하고 플랫폼이 사용자 데이터를 관리하는 방식을 계속 제어할 수 있는 데이터 보호 도구가 포함되어 있습니다. 이러한 도구를 사용하면 사용자의 개인 데이터를 지우고 요청 시 사용자의 개인 데이터를 기계 판독 가능 형식으로 내보낼 수 있습니다. 데이터를 지우는 경우 관리자는 간단한 인터페이스를 통해 개인 정보가 포함될 수 있는 콘텐츠를 확인하고 필요에 따라 콘텐츠를 편집 및 삭제할 수 있습니다. Liferay에는 타사 제품의 응용 프로그램에서 이러한 기능을 구현하거나 즉시 사용할 수 있는 응용 프로그램의 기본 동작을 비활성화하는 API가 포함되어 있습니다. 자세한 내용은https://help.liferay.com/hc/en/articles/360018156151-GDPR-Tools 를 참조하십시오.
Liferay Analytics Cloud는 기본적으로 13개월 동안 데이터를 유지합니다. 고객은 애플리케이션 설정 제어판에서 보존 기간을 7개월로 변경할 수 있습니다. 13개월 이상 데이터를 보관해야 하는 경우 Liferay Analytics Cloud 고객 지원에 문의하여 맞춤 보관 기간을 정의할 수 있습니다. 또한 라이플레이는 고객 연락처가 만료된 후 30일 동안 모든 데이터를 보관합니다. 고객 구독 종료 후 14일 이내에 고객은 이 데이터에 대한 액세스를 요청할 수 있습니다. 이 데이터는 추가 14일 동안 데이터 검색 목적으로 제공됩니다. 모든 데이터는 고객의 구독 기간이 종료된 후 30일 후에 복원할 수 없는 형태로 삭제됩니다. 또한 당사 고객은 기간 중 언제든지 개인 데이터 삭제를 요청할 수 있습니다.

비밀 유지

라이프레이는 개인 데이터를 처리할 권한이 있는 담당자가 비밀 유지를 철저히 하고 있는지 확인하고 있습니까?
예, 당사의 정책은 직원이 직무를 수행할 때 비밀 유지를 보장합니다. 모든 직원은 해당하는 경우 고용 계약 또는 계약 계약에 포함된 비밀 유지 대상이 됩니다.


라이프레이는 개인 데이터를 제3자에게 공개합니까?
아니요, 당사의 직원, 계약자 및 승인된 복처리자에게만 필요에 따라 공개됩니다.

신원 조사
라이프레이는 직원의 신원 조사를 실시하고 있습니까?
당사는 현지 적용법에서 인정된 범위 내에서 클라우드 서비스 이행에 관련된 직원의 보안 점검 및 신원 조사를 실시합니다.

훈련
라이프레이는 직원들에게 프라이버시 교육을 제공합니까? 직원의 수료를 증명하는 것이 있습니까?
네. 직원은 개인 데이터 처리 및 정보 보안에 대한 온 디맨드 개인 정보 보호 교육을 매년 수강해야합니다. 교육 수료에 대해서는 기록되고 증명도 가능합니다.

PIA & DPIA

라이프레이는 서비스의 개인정보 영향 평가(PIA) 및 데이터 보호 영향 평가(DPIA)를 실시하고 있습니까?
클라우드 서비스의 목적상, 당사는 처리자로서 관리자인 고객을 대신하여 데이터를 처리합니다. 따라서, 적용되는 데이터 보호법 또는 고객의 사내 규정에 근거하여 PIA/DPIA를 실시할 필요가 있는 경우는, 관리자인 고객이 그 책임을 지는 것으로 합니다. 단, 당사는 필요에 따라 문서화 등 합리적으로 고객을 지원합니다.


고객은 Liferay 제품에 대해 DPIA를 시행해야 합니까?
고객은 Liferay를 사용할 때 DPIA를 구현할 필요가 없습니다. 실제로 고객이 Liferay 서비스를 사용하는 방식에 따라 다릅니다.
GDPR 제35조에 따라 데이터 보호 영향 평가는 다음 상황을 포함하여 처리가 자연인의 권리와 자유에 대해 높은 위험을 초래할 수 있는 경우에만 필요합니다.

  1. 고객의 서비스 이용은 데이터 주체와 관련된 개인적 측면의 체계적이고 광범위한 평가로 이어지고 데이터 주체에 심각한 영향을 미치는 의사 결정의 근거로 사용되는 경우.
  2. 고객이 본 서비스를 이용함으로써 특정 기밀정보(건강, 일반정보 또는 생체정보, 민족적 출신, 정치적 의견, 종교적 또는 철학적 신조에 관한 데이터 등)가 대량으로 처리되는 경우.
  3. 고객이 당사 서비스를 이용할 때 공공 지역에 대한 대규모 조직 모니터링을 수반할 수 있는 경우.
  4. 우리는 여러 가지 다른 사용 사례에서 사용할 수 있는 다목적 솔루션을 고객에게 제공하기 때문에 당사가 고객을 대신하여 그러한 평가를 수행할 수 있는 입장에 있지 않다는 것은 분명합니다.
다만, DPIA가 필요한지의 판단이나 DPIA의 실시에 대해서는, 관리자인 고객이 주로 책임을 집니다만, 당사는 고객에게 적절한 지원(제공한 기능의 문서화)을 제공합니다.

데이터 침해
라이플레이는 데이터 침해에 대처하기 위한 공식적인 프로세스를 제공합니까?
예, 데이터 인시던트 대응 정책을 제정하고 있으며 데이터 침해가 발생한 경우에는 지체 없이 고객에게 통지하는 계약상의 의무를 지고 있습니다. 이 알림은 고객이 당사에 긴급 연락처를 제공하지 않는 한 고객의 계정(관리자)과 연결된 이메일 주소로 전송됩니다.

데이터 주체의 권리
라이플레이는 데이터 침해에 대처하기 위한 공식적인 프로세스를 제공합니까?
예, 당사는 관리자로서 DSR을 받을 경우 데이터 주체의 요청(DSR) 정책을 마련하고 있습니다. 그러나 당사가 처리자 역할을 하는 경우 Liferay의 클라우드 제품은 고객이 DSR을 준수할 수 있는 기능을 제공합니다. Liferay의 클라우드 제품이 컴플라이언스를 실현할 수 없는 경우, 당사는 요청에 따라 고객을 지원합니다. 따라서 고객은 관리자로서 DSR의 취급에 책임을 집니다. DSR은 일반적으로 고객을 대상으로 하지만, 당사는 계약 문서에 따라 DSR을 수령할 경우 고객이 향후 대응 방법을 결정할 수 있도록 부당한 지연 없이 고객에게 통지할 의무가 있습니다.

내부 통제
라이프레이에는 개인정보 보호를 담당하는 전임 역할과 팀이 있습니까?
네, 우리는 글로벌 개인 정보 보호 사무소 (dataprotection@liferay.com)가 있습니다.

라이프레이는 데이터 보호 책임자(DPO)를 임명하고 데이터 보호 당국에 통지합니까?
예, 당사는 해당 법률에 따라 의무화된 지역에서 DPO를 임명합니다.
참고로 고객의 위치에 따라 관련 연락처는 다음과 같습니다.
브라질 : Grupo Adaptalia Brasil ( dpo-br@liferay.com )
스페인 : Grupo Adaptalia Spain ( dpo-es@liferay.com )
아일랜드 : ByteLaw ( dpo-ie@liferay.com )
프랑스: ByteLaw ( dpo-fr@liferay.com )
헝가리: ByteLaw ( dpo-hu@liferay.com )
독일: ByteLaw ( dpo-de@liferay.com )

공식적인 데이터 보호 프로그램이 있습니까?
당사는 적용되는 데이터 보호법에 따라 개인 데이터를 처리하고 Liferay의 혁신적인 기술이 고객의 컴플라이언스 목표를 달성하는 데 도움이되는 데이터 보호 프로그램을 도입했습니다.

데이터 보호 프로그램 매뉴얼을 공유할 수 있습니까?
네, 요청에 따라 제공 가능합니다.

2차 이용

Liferay는 고객의 개인 데이터를 2차적 목적으로 사용합니까?

당사는 서비스를 제공하고 고객과의 계약 관계를 유지하기 위해, 개인정보 처리방침에 따라 Liferay 서비스를 이용하는 고객의 개인 데이터를 관리자로서 처리합니다.

당사는 고객의 지침에 따라 고객의 엔드 유저 개인 데이터를 처리하며, 다음의 경우를 제외하고는 다른 목적으로 데이터를 사용하지 않습니다.

  • 서비스 운영 및 청구에 필요한 범위 내에서 익명화된 집계 통계를 생성
  • Liferay 서비스 및 제품의 개선 목적으로 데이터 활용

또한, 당사는 서버 로그를 활용하여 이러한 통계를 생성하며, 그 외의 용도로 개인 데이터를 처리하지 않습니다.

개인 데이터 등의 범위
라이프레이는 어떤 카테고리의 개인 데이터를 처리합니까? 또한 라이플레이가 수행하는 데이터 처리에는 기밀 데이터가 포함됩니까?
범위는 완전히 고객에 의해 결정됩니다. 기밀 데이터에 대한 일반적인 범주는 https://www.liferay.com/legal/cloud-services-data에서 찾을 수 있으며 고객의 사용 사례에 따라 다릅니다.

ROPA
처리 활동 기록(ROPA)을 유지하고 있습니까?
당사는 GDPR 제30조에 따라 ROPA를 유지합니다.

감사

고객이 규정 준수 감사를 수행할 수 있습니까?
감사는 DPA에 명시된 특정 범위 및 조건 하에서 허용됩니다.

당사는 고객을 위해 행해진 고객 개인 데이터의 처리에 관한 처리자의 기록을 포함하여 컴플라이언스를 증명하는데 필요한 모든 정보를 요구에 따라 고객에게 제공합니다. 또한 고객의 개인 데이터 처리와 관련하여 고객 및 고객 감사인의 감사(검사 포함)를 인정하고 이에 기여합니다.

감사를 실시하는 고객은, 실시되는 감사 또는 검사에 대해서, 당사에 합리적인 통지를 실시하는 것으로 하고, 그러한 감사 또는 검사의 과정에서, 당사 종업원이 당해 시설에 있을 때에, 당사의 시설, 비품, 인원 및 사업에 대해, 어떠한 손해, 해 또는 혼란을 일으키지 않도록 합리적인 노력을 합니다.

아래의 경우, 당사 또는 복처리자는 그러한 감사나 사찰을 위해 그 시설에의 액세스를 허가할 필요는 없습니다.

  1. 본인의 신원 및 권한에 대해 합리적인 증거를 제시하지 않는 모든 사람에 대하여.
  2. 감사 또는 검사를 긴급히 실시해야 하는 경우를 제외하고, 해당 시설에서의 통상의 영업시간외.
  3. DPA에 명시된 예외를 제외하고 12개월 동안 한 번 이상 감사 또는 검사 목적.

요구된 감사범위가 지난 12개월 이내에 적격한 제3자 감사인에 의해 실시된 SOC 2 Type I 또는 유사한 인증 또는 보고서로 취급되며, 해당하는 경우 당사가 감사대상 통제에 알려진 중대한 변경이 없는 것을 확인한 경우 고객은 적용법에 따라 합리적으로 가능한 것에 대한 대응의

당사의 DPA에 대해서는 https://www.liferay.com/legal 을 확인하십시오.

보험
라이프레이는 보안 침해에 대한 배상 책임 보험에 가입하고 있습니까?
당사는 데이터 침해를 대상으로 한 일반 배상 책임 보험(GL)과 에러스 앤 오미션스 보험(E&O)에 가입하고 있습니다.

보험 증권을 공유할 수 있습니까?
요청에 따라 비밀 유지 의무에 따라 증권을 제공할 수 있습니다.

법적 근거
개인 데이터 처리의 법적 근거와 목적은 무엇입니까?
목적 및 법적 근거를 정하는 것은 관리자로서의 고객의 의무입니다. 고객은 클라우드 서비스를 통해 고객의 개인 데이터를 처리할 목적으로 당사가 데이터 처리자가 되어 고객의 지시에 따라 클라우드 서비스를 고객에게 제공하기 위해 필요한 범위에서만(단, 그 이외의 목적을 포함하지 않음), 고객을 대신하여 해당 개인 데이터를 처리하는 것을 임명되어 권한을 부여하는 것에 동의합니다.

데이터 보호 당국에 등록
라이프레이는 데이터 보호 당국에 등록되어 있습니까?
Liferay UK Ltd.는 ICO(영국)에 등록되어 있습니다. 그 외에는 해당 요건은 적용되지 않습니다.

프라이버시 바이 디자인

Liferay는 '프라이버시 바이 디자인(Privacy by Design)' 원칙을 고려하고 있습니까?

네, 당사는 새로운 제품, 서비스 및 프로세스 설계 시 **개인정보 영향 평가(PIA) 및 데이터 보호 영향 평가(DPIA)**를 통해 프라이버시 보호 원칙을 준수하고 있습니다.

벤더 관리

Liferay는 서비스 제공업체 및 재위탁 처리자와의 계약과 관련하여 벤더 관리 정책을 보유하고 있습니까?

네, 보유하고 있습니다. 당사는 프라이버시 및 보안 검토, 그리고 적절한 계약 및 데이터 처리 계약(DPA) 체결을 위한 법적 검토를 수행하고 있습니다.

또한, 정보 보안 부서에서 매년 보안 검토를 실시하여, 모든 벤더 및 재위탁 처리자가 Liferay의 보안 기준을 준수하도록 관리하고 있습니다.

데이터 보호: Liferay Self Hosted

일반적인 질문

Liferay는 GDPR/LGPD를 준수합니까?
답변의 범위가 넓은 질문 때문에 제대로 대답하기 어렵지만, 당사는 조직으로 적용되는 데이터 보호법을 준수하는 것과 고객의 조직의 컴플라이언스 노력을 지원하는 이용 가능한 제품 기능을 구별하고 있습니다. 당사가 클라우드 기반 서비스를 제공할 때, 고객을 대신하여 개인 데이터를 처리하는 범위 내에서 당사는 그 처리가 계약상의 의무에 따라 이루어지는 것을 보증합니다.

  • 당사는 적절한 기술적 및 조직적 조치를 시행합니다.
  • 당사는 귀하의 지시에 따라 개인 데이터를 처리합니다.
  • 당사는 동일한 수준의 보호를 제공하는 복처리자만 참여하도록 허용되며, 당사는 그러한 복처리자로의 모든 데이터 이전이 적용되는 데이터 이전 요구사항을 준수함을 보장할 의무가 있습니다.
  • 당사는 구독 서비스가 만료될 때 데이터를 내보내거나 삭제할 수 있도록 약속하고, 수신한 데이터 주체의 요청에 따라 고객의 노력을 지원합니다.
  • 당사는 당사가 개인 데이터의 처리가 준수하는 것을 증명하기 위해 적용되는 데이터 보호법에 따라 요구되는 감사에 대해 고객과 협력할 의무를 집니다.
  • 당사는 어떠한 데이터 침해에 대해서도 부당한 지연 없이 고객에게 통지할 것을 약속합니다.

DXP(개인 데이터 등에의 액세스)

라이플레이가 DXP 제품의 개인 데이터에 액세스하지 않는 이유는 무엇입니까? 이에 대해 어디서 합의했습니까? 왜 개인 데이터 처리 계약(DPA)을 체결하지 않았습니까?
당사는 Liferay DXP 제품을 통해 고객을 위해 개인 데이터를 처리하지 않습니다. 또한 당사는 개인 데이터를 공개하지 않고 이용할 수 있도록 프리미스 기반 소프트웨어를 중심으로 한 서비스를 제공하고 있습니다. 개인 데이터 처리를 피하는 것을 목표로 하며, 수집된 개인 데이터의 공개를 최소화하는 것은 개인 데이터 처리와 관련하여 자연인의 이익을 보호하는 가장 기본적이고 효과적인 방법입니다. 따라서 데이터의 최소화는 효과적인 데이터 보호의 핵심이라고 말할 필요가 없을 때까지 가장 중요한 원칙 중 하나입니다.

따라서 당사의 엔터프라이즈 서비스 계약(ESA)의 13.10조에는 고객이 Liferay 서비스를 사용할 때 개인 데이터(계약 관계를 수립하는 데 필요한 연락처 데이터 제외) 제공, 공개 또는 액세스 권한 부여가 필요하지 않음을 문서로 확인하는 조항이 포함되어 있습니다.

당사는 고객을 대신하여 개인 데이터를 처리하지 않으므로 DPA에 서명할 필요가 없습니다.
Liferay Analytics Cloud를 온프레미스 기반 애드온으로 구입하는 Liferay DXP 고객은 당사와 DPA를 수립해야 합니다.

데이터 보호: Liferay Analytics Cloud

일반적인 질문

Liferay는 GDPR/LGPD를 준수합니까?
답변의 범위가 넓은 질문 때문에 제대로 대답하기 어렵지만, 당사는 조직으로 적용되는 데이터 보호법을 준수하는 것과 고객의 조직의 컴플라이언스 노력을 지원하는 이용 가능한 제품 기능을 구별하고 있습니다. 당사가 클라우드 기반 서비스를 제공할 때, 고객을 대신하여 개인 데이터를 처리하는 범위 내에서 당사는 그 처리가 계약상의 의무에 따라 이루어지는 것을 보증합니다.

  • 당사는 적절한 기술적 및 조직적 조치를 시행합니다.
  • 당사는 귀하의 지시에 따라 개인 데이터를 처리합니다.
  • 당사는 동일한 수준의 보호를 제공하는 복처리자만 참여하도록 허용되며, 당사는 그러한 복처리자로의 모든 데이터 이전이 적용되는 데이터 이전 요구사항을 준수함을 보장할 의무가 있습니다.
  • 당사는 구독 서비스가 만료될 때 데이터를 내보내거나 삭제할 수 있도록 약속하며, 수신한 데이터 주체의 요청에 따라 고객의 노력을 지원합니다.
  • 당사는 당사가 개인 데이터의 처리가 준수하는 것을 증명하기 위해 적용되는 데이터 보호법에 따라 요구되는 감사에 대해 고객과 협력할 의무를 집니다.
  • 당사는 어떠한 데이터 침해에 대해서도 부당한 지연 없이 고객에게 통지할 것을 약속합니다.

호스팅

정보/시스템은 어디에서 호스팅됩니까?
Liferay PaaS는 호스팅 제공업체로 Google Cloud EMEA Ltd.(아일랜드)의 Google Cloud Platform(GCP)을 사용합니다.

데이터 센터는 유럽에 있습니까?
Liferay AC, Liferay PaaS 및 Liferay SaaS의 경우 Google Cloud EMEA Ltd.(아일랜드)가 호스팅 제공업체입니다. 데이터의 호스팅 위치는 고객이 선택한 지역에 따라 다릅니다. 유럽에서 사용 가능한 지역은 런던(영국)과 프랑크푸르트(독일)입니다.

라이프레이와 DPA를 체결해야 합니까?
부속서 4의 제11조에 의거하여 고객이 유럽경제영역(EEA), 스위스, 영국, 중남미, 멕시코에 설립되어 있는 경우, 및 해당하는 오더폼에 있어서 당사자간 별도의 합의가 없는 한 오더폼 효력 발생일 시점에서 www.liferay.com/legal 에서 이용가능한 데이터의 처리에 관한 첨부데이터(DPA) 부속 문서 4 및 DPA는 https://www.liferay.com/legal 에서 확인할 수 있습니다.
다른 지역 고객이 DPA를 체결하고자 하는 경우, 당사는 요청에 따라 이를 가능하게 합니다.

개인 데이터의 국경을 넘어 이전

개인 데이터의 국경을 넘은 이전이 있습니까? 또한 데이터는 어느 국가에서 호스팅됩니까?
당사는 외부의 프로바이더 및 당사의 계열사를 복처리자로서 이용합니다. 일부 복처리자는 EEA 영역 밖에 위치하기 때문에 이러한 복처리자를 이용하면 복처자가 유지보수를 실시하거나 고객에게 지원을 제공할 때 필요한 경우 등 특정 이유로 EU/EEA 영역 내에 저장된 고객 데이터에 EU/EEA 영역 외부에서 원격으로 액세스할 필요가 있을 수 있습니다.
이러한 이전을 위해 당사는 GDPR에서 요구하는 적절한 보호 조치를 시행합니다. 이 건에 대한 자세한 사항 및 국경을 넘은 데이터 이전의 경우에 당사가 채용하는 컴플라이언스 조치, 데이터의 이전처 국가에 대해서는 https://www.liferay.com/legal/cloud-services-data 를 참조하십시오.

서비스가 이전 대상인 적절한 보호 조치를 충족하는지 여부를 제시합니다(감독 기관이 채택하고 유럽 위원회가 승인한 표준 데이터 보호 조항, 구속 기업 법칙, 승인된 인증 메커니즘, 승인된 행동 규범 등).

데이터 보호법에 의무가 있는 경우 당사는 EU 표준 계약 조항(UE SCC)을 채택합니다. 적용되는 전송 메커니즘은 https://www.liferay.com/legal/cloud-services-data 에서 확인할 수 있습니다.

타사의 논리적 액세스 외에도 데이터가 물리적으로 이전되었는지 여부를 제시합니다.
또한 고객 데이터를 백업하기 위해 Amazon Web Services EMEA SARL(AWS)을 사용합니다. AWS KMS를 사용하여 BYOK 암호화를 적용하여 AWS와 그 복처자가 개인 데이터에 대한 액세스를 방지합니다. 키는 고객이 프로덕션을 위해 선택한 Google Cloud Platform(GCP) 리전에 해당하는 AWS 리전의 HSM에 저장됩니다.

고객은 제3국에서 데이터에 액세스할 수 있는 일부 복처리자의 사용을 허용합니다.

EMEA, 브라질, 일본 고객의 경우 EEA 및 EU 충분성 인증 범위를 벗어나는 것은 브라질로 이전하는 것으로 제한됩니다. 이와 관련하여 당사는 브라질의 신뢰할 수 있는 법률 사무소로부터 법적 의견을 얻었으며 EU 데이터 보호법에 따라 개인 데이터에 부여된 보호 수준을 방해할 수 있는 법률이 브라질 법에 존재하지 않음을 확인했습니다.

고객이 당사 제품인 Liferay SaaS, Liferay PaaS(기본적으로 비활성화됨) 또는 Analytics Cloud의 애널리틱스 기능을 독립형 제품으로 사용하기로 결정하는 범위 내에서 Liferay, Inc(미국)가 데이터에 액세스할 수 있습니다. Liferay, Inc. (US)는 EU-미국 및 스위스-US 간의 데이터 프라이버시 프레임워크 인증을 받았기 때문에 EEA에서 Liferay, Inc.로 개인 데이터를 이전하는 것은 2023년 7월 11일자 유럽 위원회의 충분성 인증을 받을 수 있습니다. 또한 기본적으로 Analytics Cloud는 시스템에서 생성한 식별자와 관련된 이벤트 데이터만 수집합니다. 그렇지 않으면 고객은 Liferay DXP/Liferay SaaS 및 Liferay PaaS 인스턴스에 저장된 다른 식별자 및 정보의 동기화를 완벽하게 관리하지만 고객 측의 위험 평가가 필요합니다. Liferay, Inc.는 이전에 회사의 서비스에 저장된 고객 데이터에 대한 어떠한 요청도 받지 않았으며 그에 응하지 않았습니다.

법적 및 NDA 대상, RFP 목적, 감사 또는 협의(요청된 경우에만 Google에 대한 설명 제공): 데이터 이전(호스팅 서비스를 제공하는 복처리자 Google EMEA Ltd의 수신자 위치 및 목적)에 대한 자세한 내용은 https://cloud.google.com/terms/subprocessors 를 참조하세요. 수신자에 따라 적용 가능한 전송 메커니즘은 충분성 인증 또는 SCC 중 하나입니다. 또한, 어느 복처자도, 계속적 또는 정기적으로 데이터에 액세스 할 필요는 없고, 또 액세스하고 있지 않은 것에 주의해 주세요. 유지보수 및 지원 활동은 하위 데이터 스토리지 레벨에서 수행됩니다. 데이터는 해당 레이어에서 저장할 때 암호화됩니다. 그러나 고객이 활성화하면 유지 관리 또는 기술 지원 컨텍스트 내에서 고객이 데이터에 대한 액세스를 제공 할 수 있습니다 (관리 콘솔을 통해 또는 예를 들어 스크린 샷 또는 데이터 덤프에서). 당사는 고객 데이터에 대한 액세스가 필요한 "음성 전송", "데이터 라벨링", "apigee 기술 지원 서비스"라는 서비스를 Liferay DXP Cloud 제공 목적으로 사용하지 않습니다. Google의 투명성 보고서는 https://transparencyreport.google.com/user-data/enterprise 에서 확인할 수 있습니다.

정부 기관의 데이터 요청 정책

정부 기관의 액세스 처리와 관련하여 라이프레이는 어떤 조치와 절차를 취하고 있습니까?
고객이 당사 제품인 Liferay SaaS, Liferay SaaS(기본적으로 비활성화됨) 또는 Analytics Cloud(AC)의 애널리틱스 기능을 독립형 제품으로 사용하기로 결정하는 한도에서 Liferay, Inc(미국)가 데이터에 액세스할 수 있습니다. Liferay, Inc.는 대통령령(EO) 12.333호에 따라 당국에 자발적으로 협력하지 않는 동안 FISA702조의 적용을 받을 수 있습니다. 그러나 EO14.086이 발효되어 EEA 국가가 '적격국'으로 지정된 이래 유럽위원회는(2023년 7월 11일자의 미국에 대한 충분성 인정에 따라) 미국의 감시법 및 관행은 유럽의 데이터 보호법 하에서 데이터 주체에게 부여되는 보호를 방해할 것 같은 것은 없다고 생각하고 있습니다. Liferay, Inc.는 EU-미국 및 EU-스위스 간 데이터 프라이버시 프레임워크 인증을 받았습니다. 또한 기본적으로 AC는 시스템이 생성한 식별자와 관련된 이벤트 데이터만 수집합니다. 그렇지 않으면 고객은 Liferay SaaS 인스턴스에 저장된 다른 식별자 및 정보의 동기화를 완전히 관리하지만 고객 측의 위험 평가가 필요합니다. Liferay, Inc.는 이전에 회사의 서비스에 저장된 고객 데이터에 대한 어떠한 요청도 받지 않았으며 그에 응하지 않았습니다.

당사는 그룹사로서 이러한 요구를 처리하기 위한 프로세스를 도입하고 있습니다.

받은 모든 데이터 요청은 개인정보처로 이전되어야 합니다. 프라이버시 사무소는 데이터 요청을 확인하고, 필요에 따라 법무 부서 및/또는 관할의 외부 어드바이저 및/또는 데이터 보호 감독자(DPO)와 상담하여 다음 사항을 확인합니다. 신체 또는 관할 당국에 통지 또는 협의하는 라이프레이의 잠재적인 법적 또는 계약상의 의무 및 그러한 통지의 법적 허용성.

수신자인 당사는 데이터 요청에 응할 때 데이터 요청의 합리적인 해석과 프라이버시 오피스의 법적 평가에 근거하여 허용 가능한 최소한의 정보를 제공해야 합니다. 개인 정보 보호 사무소는 각 데이터 요청에 대해 법적 평가를 문서화하고 데이터 요청을 수령한 후 최소 5년간 문서를 저장해야 합니다.

복처리자

정부 기관의 액세스 처리와 관련하여 라이프레이는 어떤 조치와 절차를 취하고 있습니까?

예, 당사는 https://www.liferay.com/legal/cloud-services-data 목록에 나열된 복처리자를 사용합니다. 본 리스트에서는 법인 정보 및 연락처의 상세, 소재지, 처리의 기능 및 상세, 해당되는 경우 데이터 전송 메커니즘(GDPR)을 확인할 수 있습니다.

DPA에 따라 당사는 신규 복처리자의 선임을 고객에게 사전에 통지해야 합니다. 그 통지를 받은 후 10일 이내에, 고객이 (합리적인 근거에 근거하여) 제안된 선임에 반대하는 취지를 서면으로 당사에 통지한 경우, Liferay 또는 Liferay 계열사는 고객으로부터 제기된 이의에 대처하기 위한 합리적인 조치가 취해질 때까지 제안된 복처자를 선임(또는 고객의 개인 당사가 고객으로부터 통지를 받은 후 30일 이내에 상업상 합리적인 방법으로 이의에 대처할 수 있습니다. 당사의 경우, 고객은 (i) 당사가 제안하는 본 서비스의 사용을 결정하거나 반환을 받을 수 있습니다.

제3자 액세스

제3자가 고객 데이터에 접근할 수 있습니까? 가능하다면 그 방법은 무엇입니까?

불가능합니다. 당사는 기술적 및 조직적 보호 조치(TOM)를 적용하여, 고객이 제공한 개인 데이터의 기밀성, 무결성, 가용성을 철저히 보호합니다.

  • 개인 데이터 처리는 **Google Cloud Platform(GCP)**에서 수행되며,
    직원 워크스테이션, 개인 기기(BYOD), 데이터 저장 장치 등 기타 전자 장치에 데이터를 저장하는 것은 금지되어 있습니다.
  • 고객 데이터의 백업은 **Amazon Web Services EMEA SARL(AWS)**에서 관리되며,
    AWS KMS 기반의 BYOK(Bring Your Own Key) 암호화를 적용하여 AWS 및 그 재위탁 처리자(서브 프로세서)의 접근을 차단합니다.
  • 암호화 키는 고객이 본 환경용으로 선택한 GCP 리전과 동일한 AWS 리전의 HSM(하드웨어 보안 모듈)에 저장됩니다.

또한, 재위탁 처리자가 개인 데이터를 처리하기 전에, 해당 서비스 및 시스템은 반드시 다음을 충족해야 합니다.

  • 벤더 평가데이터 처리 계약(DPA) 체결
  • 기술적 및 조직적 보호 조치(TOM) 문서 검토
  • 각 시스템의 보안 대책 및 적용 데이터 보호법 준수 여부 확인

이러한 기준을 충족한 경우에만 데이터 처리를 승인합니다.

보안 대책

Liferay의 기술적 및 조직적 보호 조치(TOM)는 GDPR 관점에서 "적절한" 조치입니까?

네, 당사는 Liferay DXP Cloud 서비스에 대해 ISO 27001, SOC 2, HIPAA, CSA STAR 인증을 획득하였으며, 이를 통해 **업계 표준에 부합하는 기술적 및 조직적 보호 조치(TOM)**를 시행하고 있음을 증명하고 있습니다.

자세한 사항은 https://www.liferay.com/legal/cloud-services-data 에서 확인할 수 있습니다.

보안 대책(인증)
GDPR, 개인정보 보호, 보안 및 재해 복구에 대한 인증이 있습니까? ISO27001과 같은 보안 인증 및 SOC2와 같은 감사 보고서를 제공할 수 있습니까? 가능하면 유효한 문서의 사본을 보내주십시오.
당사의 인증 프로그램에는 ISO 27001/27017/27018, SOC 2 Type 2, HIPAA, CSA STAR Level 2가 포함됩니다. 당사의 정보 보안 프로그램에 대한 자세한 내용은 https://www.liferay.com/resources/product-info/Liferay+Liferay DXP+Cloud+Data+Security+and+Protection 백서 를 참조하십시오. 요청에 따라 인증서 발급도 가능합니다.

보안 대책(암호화)

Liferay는 고객 데이터를 보호하기 위해 암호화를 사용합니까?

GDPR에서는 암호화가 일반적으로 필수 요구 사항은 아니지만, 특정 상황에서는 암호화 기술의 사용이 **"적절한 조치"**로 간주될 수 있습니다.

  • 전송 중인 데이터는 최소한 AES-256 암호화 및 강제 SSL 연결을 통해 보호됩니다.
  • Liferay SaaS에 저장된 데이터저장 시(At Rest) 암호화를 적용하여 보안을 강화합니다.

개인 데이터 등 삭제

Liferay 서비스에서 모든 고객 데이터가 복구 불가능하게 삭제되는 경우는 언제입니까?
귀하는 귀하의 구독이 만료되거나 종료될 때 14일 이내에 고객 데이터 검색을 위해 Liferay 서비스에 대한 액세스를 요청할 수 있습니다. 요청에 따라 당사는 이러한 요청을 수령한 후 14일 동안 이러한 목적을 위한 서비스에 대한 액세스를 고객에게 제공합니다. 또한 고객의 구독이 만료되거나 종료된 후 30일 후에 시스템에서 복구할 수 없는 데이터를 삭제합니다.


데이터를 영구적으로 삭제하는 방법에 대해 알려주세요.
Liferay DXP에는 기업이 GDPR 규정을 준수하고 플랫폼이 사용자 데이터를 관리하는 방식을 계속 제어할 수 있는 데이터 보호 도구가 포함되어 있습니다. 이러한 도구를 사용하면 사용자의 개인 데이터를 지우고 요청 시 사용자의 개인 데이터를 기계 판독 가능 형식으로 내보낼 수 있습니다. 데이터를 지우는 경우 관리자는 간단한 인터페이스를 통해 개인 정보가 포함될 수 있는 콘텐츠를 확인하고 필요에 따라 콘텐츠를 편집 및 삭제할 수 있습니다. Liferay에는 타사 제품의 응용 프로그램에서 이러한 기능을 구현하거나 즉시 사용할 수 있는 응용 프로그램의 기본 동작을 비활성화하는 API가 포함되어 있습니다. 자세한 내용은https://help.liferay.com/hc/en/articles/360018156151-GDPR-Tools 를 참조하십시오.
Liferay Analytics Cloud는 기본적으로 13개월 동안 데이터를 유지합니다. 고객은 애플리케이션 설정 제어판에서 보존 기간을 7개월로 변경할 수 있습니다. 13개월 이상 데이터를 보관해야 하는 경우 Liferay Analytics Cloud 고객 지원에 문의하여 맞춤 보관 기간을 정의할 수 있습니다. 또한 라이플레이는 고객 연락처가 만료된 후 30일 동안 모든 데이터를 보관합니다. 고객 구독 종료 후 14일 이내에 고객은 이 데이터에 대한 액세스를 요청할 수 있습니다. 이 데이터는 추가 14일 동안 데이터 검색 목적으로 제공됩니다. 모든 데이터는 고객의 구독 기간이 종료된 후 30일 후에 복원할 수 없는 형태로 삭제됩니다. 또한 당사 고객은 기간 중 언제든지 개인 데이터 삭제를 요청할 수 있습니다.

비밀 유지

라이프레이는 개인 데이터를 처리할 권한이 있는 담당자가 비밀 유지를 철저히 하고 있는지 확인하고 있습니까?
예, 당사의 정책은 직원이 직무를 수행할 때 비밀 유지를 보장합니다. 모든 직원은 해당하는 경우 고용 계약 또는 계약 계약에 포함된 비밀 유지 대상이 됩니다.


라이프레이는 개인 데이터를 제3자에게 공개합니까?
아니요, 당사의 직원, 계약자 및 승인된 복처리자에게만 필요에 따라 공개됩니다.

신원 조사
라이프레이는 직원의 신원 조사를 실시하고 있습니까?
당사는 현지 적용법에서 인정된 범위 내에서 클라우드 서비스 이행에 관련된 직원의 보안 점검 및 신원 조사를 실시합니다.

훈련
라이프레이는 직원들에게 프라이버시 교육을 제공합니까? 직원의 수료를 증명하는 것이 있습니까?
네. 직원은 개인 데이터 처리 및 정보 보안에 대한 온 디맨드 개인 정보 보호 교육을 매년 수강해야합니다. 교육 수료에 대해서는 기록되고 증명도 가능합니다.

PIA & DPIA

라이프레이는 서비스의 개인정보 영향 평가(PIA) 및 데이터 보호 영향 평가(DPIA)를 실시하고 있습니까?
클라우드 서비스의 목적상, 당사는 처리자로서 관리자인 고객을 대신하여 데이터를 처리합니다. 따라서, 적용되는 데이터 보호법 또는 고객의 사내 규정에 근거하여 PIA/DPIA를 실시할 필요가 있는 경우는, 관리자인 고객이 그 책임을 지는 것으로 합니다. 단, 당사는 필요에 따라 문서화 등 합리적으로 고객을 지원합니다.


고객은 Liferay 제품에 대해 DPIA를 시행해야 합니까?
고객은 Liferay를 사용할 때 DPIA를 구현할 필요가 없습니다. 사실, 고객의 Liferay 서비스 사용에 따라 다릅니다.
GDPR 제35조에 따라 데이터 보호 영향 평가는 다음 상황을 포함하여 처리가 자연인의 권리와 자유에 대해 높은 위험을 초래할 수 있는 경우에만 필요합니다.

  1. 고객의 서비스 이용은 데이터 주체와 관련된 개인적 측면의 체계적이고 광범위한 평가로 이어지고 데이터 주체에 심각한 영향을 미치는 의사 결정의 근거로 사용되는 경우.
  2. 고객이 본 서비스를 이용함으로써 특정 기밀정보(건강, 일반정보 또는 생체정보, 민족적 출신, 정치적 의견, 종교적 또는 철학적 신조에 관한 데이터 등)가 대량으로 처리되는 경우.
  3. 고객이 당사 서비스를 이용할 때 공공 지역에 대한 대규모 조직 모니터링을 수반할 수 있는 경우.
  4. 우리는 여러 가지 다른 사용 사례에서 사용할 수 있는 다목적 솔루션을 고객에게 제공하기 때문에 당사가 고객을 대신하여 그러한 평가를 수행할 수 있는 입장에 있지 않다는 것은 분명합니다.
다만, DPIA가 필요한지의 판단이나 DPIA의 실시에 대해서는, 관리자인 고객이 주로 책임을 집니다만, 당사는 고객에게 적절한 지원(제공한 기능의 문서화)을 제공합니다.

데이터 침해
라이플레이는 데이터 침해에 대처하기 위한 공식적인 프로세스를 제공합니까?
예, 데이터 인시던트 대응 정책을 제정하고 있으며 데이터 침해가 발생한 경우에는 지체 없이 고객에게 통지하는 계약상의 의무를 지고 있습니다. 이 알림은 고객이 당사에 긴급 연락처를 제공하지 않는 한 고객의 계정(관리자)과 연결된 이메일 주소로 전송됩니다.

데이터 주체의 권리

Liferay는 데이터 침해(Data Breach)에 대응하기 위한 공식 프로세스를 보유하고 있습니까?

네, 당사는 데이터 관리자로서 데이터 주체 요청(DSR, Data Subject Request) 정책을 수립하고 있으며, DSR을 접수한 경우 이에 따라 처리합니다.

그러나, Liferay가 데이터 처리자 역할을 수행하는 경우, Liferay 클라우드 제품은 고객사가 DSR 준수를 원활하게 수행할 수 있도록 관련 기능을 제공합니다.

  • Liferay 클라우드 제품을 통해 DSR 요청 처리가 가능할 경우, 고객사가 직접 처리할 수 있도록 지원합니다.
  • Liferay 클라우드 제품만으로 컴플라이언스를 준수할 수 없는 경우, 고객 요청에 따라 필요한 지원을 제공합니다.

따라서, **DSR 처리에 대한 최종 책임은 데이터 관리자(고객사)**에게 있으며, Liferay는 DSR 요청을 수령하면 지체 없이 고객사에 통지하여 대응 방법을 결정할 수 있도록 지원할 의무를 가집니다.

내부 통제

Liferay는 프라이버시 관리를 담당하는 전담 역할 또는 팀을 보유하고 있습니까?
네, 당사는 **글로벌 프라이버시 오피스(Global Privacy Office)**를 운영하고 있습니다.
문의: dataprotection@liferay.com

Liferay는 데이터 보호 책임자(DPO)를 임명하고, 데이터 보호 당국에 통보하였습니까?
네, 당사는 적용 법률에 따라 의무화된 지역에서 DPO를 임명하고 있습니다.

다음은 고객의 지역에 따른 관련 연락처입니다.

Liferay는 공식적인 데이터 보호 프로그램을 운영하고 있습니까?
네, 당사는 적용되는 데이터 보호법을 준수하여 개인 데이터를 처리하며,
Liferay의 혁신적인 기술이 고객사의 컴플라이언스 목표 달성에 기여할 수 있도록
데이터 보호 프로그램을 운영하고 있습니다.

데이터 보호 프로그램 매뉴얼을 제공받을 수 있습니까?
네, 요청 시 제공해 드릴 수 있습니다.

2차 이용
라이프레이는 귀하의 개인 데이터를 2차 목적으로 사용합니까?
당사는 서비스를 제공하고 고객과의 계약 관계를 유지하기 위해 프라이버시 통지( https://www.liferay.co.jp/privacy-policy )에 따라 Liferay 서비스를 이용하는 고객의 개인 데이터를 관리자로 처리합니다. 당사는 적절한 청구에 필요한 범위 내에서 익명화된 집계 통계를 작성하고 Liferay 서비스 및 제품을 개선하기 위해 데이터를 사용하는 경우를 제외하고는 고객의 지시에 따라 고객의 최종 사용자 개인 데이터를 처리합니다. 다른 목적으로는 처리하지 않습니다. 또한 서버 로그를 사용하여 이러한 통계를 작성합니다.

개인 데이터 등의 범위

라이프레이는 어떤 카테고리의 개인 데이터를 처리합니까? 또한 라이플레이가 수행하는 데이터 처리에는 기밀 데이터가 포함됩니까?
다음 데이터는 브라우저에서 클라이언트 측에서 캡처되며 Analytics Cloud 서비스 내에서 처리 및 저장됩니다.

이벤트 데이터: Liferay Analytics Cloud는 클라이언트측 JavaScript를 사용하여 해당하는 경우 Liferay DXP, Liferay SaaS-SM 또는 Liferay SaaS에서 방문자 활동에서 얻은 방문자 상호작용 데이터를 추적합니다. 여기에는 클릭 수, 스크롤 거리, 뷰 수, 다운로드 수, 제출 수, 페이지 로딩에 대한 데이터가 포함됩니다. 상호작용 데이터는 보고를 위해 Analytics Cloud 서비스로 전송됩니다.

위치 및 기술 데이터: Liferay Analytics Cloud 서비스의 타사 라이브러리는 캡처된 이벤트 데이터를 기반으로 방문자의 위치 정보와 기술(브라우저 유형, 운영 체제)의 두 가지 유형의 데이터를 결정합니다. 방문자의 데이터가 Liferay Analytics Cloud 외부에 노출되지 않도록 하기 위해 라이브러리는 내부적으로 호스트되고 실행됩니다.

개인 데이터: 개인 데이터는 직원, 학생, 기부자 등 개인과 관련된 정보입니다. 개인 데이터를 포함한 모든 데이터는 전송 시 HTTPS로 암호화되고 저장된 데이터는 백엔드로 암호화됩니다.
인증되지 않은 방문자의 경우 Liferay Analytics Cloud는 IP 주소 및 브라우저 세션 정보를 추적합니다.
알려진 방문자나 인증된 방문자의 경우 Liferay Analytics Cloud에는 해당 방문자의 식별자 필드로 추적되는 이메일 주소만 필요합니다. 기타 개인 데이터 등은 모두 Liferay Analytics Cloud 고객이 AC에 동기화할지 여부를 선택합니다. 예를 들어 고객이 이름, 주소 및 전화 번호를 AC에 동기화하지 않으려면 데이터 매핑 인터페이스를 통해 고객이 이러한 필드를 삭제할 수 있습니다. 이렇게 하면 AC가 데이터 소스에서 이 속성 추적을 중지합니다.


개인 프로필 정보: 웹사이트 방문자로부터 웹로그 분석 이벤트 데이터를 추적하는 것 외에도 고객은 Liferay DXP, Liferay SaaS-SM, Liferay SaaS(해당되는 경우), Salesforce 또는 CSV 파일을 가져와 저장된 정보로 개인 프로필 정보를 향상시킬 수 있습니다. 이렇게 하면 행동 데이터와 프로필 데이터를 집계하고 사이트 방문자를 더 잘 이해할 수 있습니다. Analytics Cloud로 가져온 프로필 정보는 보다 정확한 개인화를 위한 다차원 잠재고객 세그먼트를 만드는 데 사용할 수 있습니다. 궁극적으로 고객에 의해 제어되며 서비스는 기밀 정보를 처리하지 않도록 설정됩니다.

ROPA
처리 활동 기록(ROPA)을 유지하고 있습니까?
당사는 GDPR 제30조에 따라 ROPA를 유지합니다.

감사

고객은 Liferay에 대한 컴플라이언스 감사(Compliance Audit)를 수행할 수 있습니까?

네, 감사는 데이터 처리 계약(DPA)에 명시된 범위 및 조건 내에서 허용됩니다.

당사는 고객의 요청이 있을 경우,

  • 고객의 개인 데이터 처리 기록을 포함한 모든 필수 정보를 제공하여 컴플라이언스 준수를 증명할 수 있도록 지원합니다.
  • 고객 및 고객이 지정한 감사인에 의해 수행되는 감사(검사 포함)를 허용하며, 이에 적극 협력합니다.

감사 절차 및 조건

감사를 수행하는 고객사는 사전 통지를 통해 Liferay에 합리적인 고지를 제공해야 합니다.
또한, 감사 또는 검사가 진행되는 동안 Liferay의 시설, 장비, 직원 및 사업 운영에 손해, 방해 또는 혼란이 발생하지 않도록 합리적인 조치를 취해야 합니다.

다음과 같은 경우, Liferay 또는 재위탁 처리자는 시설 접근을 허용할 의무가 없습니다.

  1. 감사자의 신원 및 권한에 대한 합리적인 증거가 제공되지 않은 경우
  2. 긴급한 감사 요청이 아닌 경우, 해당 시설의 정상 영업시간 외에 요청된 경우
  3. DPA에 명시된 예외를 제외하고, 12개월 내 1회를 초과하는 감사 요청
  4. 요청된 감사 범위가 과거 12개월 이내에 수행된 SOC 2 Type I 또는 유사한 감사·인증 보고서에서 이미 다루어진 사항이며, Liferay가 해당 통제(Control) 항목에 중대한 변경이 없음을 확인한 경우

고객사는 해당 법률이 허용하는 범위 내에서, 기존 감사 보고서의 결과를 수용하는 것에 동의해야 하며, 동일한 항목에 대한 반복 감사를 요청할 수 없습니다.

Liferay의 DPA에 대한 자세한 내용은 https://www.liferay.com/legal에서 확인할 수 있습니다.

보험

Liferay는 보안 침해(Security Breach)에 대한 배상 책임 보험에 가입되어 있습니까?

네, 당사는 **데이터 침해를 포함하는 일반 배상 책임 보험(GL, General Liability Insurance) 및 오류 및 누락 책임 보험(E&O, Errors & Omissions Insurance)**에 가입되어 있습니다.

보험 증서를 제공받을 수 있습니까?

네, 요청하시면 비밀 유지 의무를 준수하는 조건하에 보험 증서를 제공해 드릴 수 있습니다.

법적 근거
개인 데이터 처리의 법적 근거와 목적은 무엇입니까?
목적 및 법적 근거를 정하는 것은 관리자로서의 고객의 의무입니다. 고객은 클라우드 서비스를 통해 고객의 개인 데이터를 처리할 목적으로 당사가 데이터 처리자가 되어 고객의 지시에 따라 클라우드 서비스를 고객에게 제공하기 위해 필요한 범위에서만(단, 그 이외의 목적을 포함하지 않음), 고객을 대신하여 해당 개인 데이터를 처리하는 것을 임명되어 권한을 부여하는 것에 동의합니다.

데이터 보호 당국에 등록

Liferay는 데이터 보호 당국에 등록되어 있습니까?

**Liferay UK Ltd.**는 영국 정보위원회(ICO, Information Commissioner's Office)에 등록되어 있습니다.
그 외 지역에서는 해당 등록 의무가 적용되지 않습니다.

프라이버시 바이 디자인
라이플레이는 프라이버시 바이 디자인의 원칙을 고려합니까?
네, 새로운 제품, 서비스, 프로세스(PIA/DPIA)의 기능에 대해서는 대응하고 있습니다.

추적 기술
애널리틱스 클라우드에서 추적하는 데 사용되는 기술은 무엇입니까?
로컬 스토리지와 쿠키입니다.

벤더 관리
라이프레이에는 서비스 제공업체나 복처자와의 계약에 대한 공급업체 관리 정책이 있습니까?
네, 있습니다. 우리는 개인 정보 보호 및 보안 검토 및 적절한 계약 및 DPA 체결을위한 법적 검토를 수행합니다. 보안 검토는 매년 정보 보안 부서에서 수행합니다.

프라이버시 약관

당사가 고객을 대신하여 고객의 개인 데이터를 처리할 때 적용되는 법적 조건은 아래 내용을 참조하시기 바랍니다.

데이터 처리 관련 첨부 문서
데이터 처리 관련 문서 라이플레이 데이터 처리 관련 문서(DPA)는 EEA, 영국, 라틴 아메리카, 멕시코에 위치한 Liferay SaaS, Liferay PaaS, Liferay Analytics Cloud 고객에게 기본적으로 적용되며 고객의 요청에 따라 계약에 통합될 수 있습니다.
Liferay PaaS(구명: Liferay Experience Cloud Self-Managed):
이 부속서에는 Liferay PaaS 서비스의 구독 제공과 관련된 개인 데이터를 관리하는 조건이 포함되어 있습니다.

라이프레이의 복처

복처리자
라이프레이는 서비스를 제공하기 위해 특정 복처를 이용합니다.

기술적 및 조직적 조치

기술적 및 조직적 조치
라이프레이는 고객의 데이터를 보호하기 위해 기술적 및 조직적 조치를 지속적으로 강화하고 있습니다.

프라이버시 알림

고객 정보 관리를 위한 당사의 노력

웹사이트 프라이버시 알림
본 개인 정보 보호 정책은 Liferay 웹 사이트 (www.liferay.com)에서 개인 정보를 취급하는 방법을 알려주기 위해 작성되었습니다.
구인 응모자의 프라이버시 통지
이 Liferay 구인 응모자 프라이버시 통지(이하 「프라이버시 통지」)에서는, 당사의 모집 직종에 응모할 때에, 당사가 응모자의 개인 데이터를 어떻게 수집해, 사용하는지에 대해 알려 드리겠습니다.

백서: 데이터 보호

Liferay 서비스 및 소프트웨어 데이터 보호