개인 정보 보호 및 보안 조항
일반 조항
온라인 서비스 약관에 대한 첨부 1에는 공식적으로 개인 정보 보호 & 보안 약관이 포함되어 있습니다.
데이터 보호 추가 조항 또는 DPA(용어에서 정의됨)는 제품에 의한 고객 데이터, 전문 서비스 데이터 및 개인 데이터의 처리 및 보안과 관련된 양 당사자의 의무를 명시합니다. 데이터 보호 추록은 https://aka.ms/DPA에서 다운로드할 수 있습니다. DPA와 고객 라이선싱 계약의 다른 약관(이 약관) 사이에 충돌하거나 일치하지 않는 내용이 있는 경우, DPA가 우선합니다.
DPA의 예외.
아래 표의 개인 정보 보호 및 보안 약관은 명시된 각 제품에 대한 DPA를 수정 또는 보충합니다.
| 제품군 | 온라인 서비스 | 개인 정보 보호 & 보안 약관 |
|---|---|---|
| Microsoft Azure | Azure AI 서비스 | Services in Containers 고객의 전용 하드웨어에 설치된 컨테이너의 운영 환경은 Microsoft의 통제하에 있지 않으므로 DPA의 조건은 a) 청구 엔드포인트와 관련하여 개인 데이터를 수집하거나 b) 컨테이너에서 작동하는 서비스를 다운로드하기 전에 사용자 지정 모델 교육을 위해 Microsoft에 고객 데이터를 제공하는 경우를 제외하고 해당 컨테이너에 적용되지 않습니다. |
비활성 서비스 구성 및 맞춤형 모델 데이터 보유 및 삭제를 위해 비활성화된 서비스 구성 또는 맞춤형 모델은 Microsoft의 재량에 따라 고객의 구독이 만료된 온라인 서비스로 간주될 수 있습니다. 구성 또는 맞춤형 모델은 90일 동안 (1) 통화가 이루어지지 않은 경우, (2) 수정되지 않고 현재 할당된 키가 없는 경우 및 (3) 고객이 로그인하지 않은 경우 비활성화됩니다. | ||
| Multi-Cloud Scanning Connectors for Microsoft Purview | 다른 클라우드 공급자를 사용한 고객 배포의 상호 운용성을 활성화하기 위해, Microsoft는 다른 클라우드에서 호스트되는 고객 데이터에 대한 특정 옵션인 이산 데이터 스캐너 기능 다른 클라우드 내에서 작동할 수 있습니다("Multi-Cloud Scanning Connectors for Microsoft Purview"). Microsoft는 설명서에서 고객이 Multi-Cloud Scanning Connectors for Microsoft Purview를 활성화 및 사용하는 방법을 공개합니다. 명확히 하기 위해, Multi-Cloud Scanning Connectors for Microsoft Purview는 Microsoft Purview에 대한 별도의 추가 사항입니다. Multi-Cloud Scanning Connectors for Microsoft Purview는 Microsoft Azure Core Service가 아니며, DPA의 다음 조항은 Multi-Cloud Scanning Connectors for Microsoft Purview에 적용되지 않습니다. "교육기관", "CJIS 고객 계약", "HIPAA 사업" 및 "부록 A - 보안 조치". Multi-Cloud Scanning Connectors for Microsoft Purview와 관련된 경우에만, DPA에 대한 다음의 수정 사항이 적용됩니다.
추가 기능은 다른 클라우드에서 호스팅되는 동안 고객이 Multi-Cloud Scanning Connectors for Microsoft Purview를 사용하는 경우에는 해당 클라우드 공급자가 제공하는 표준 데이터 보호 약관이 적용됩니다. | |
| Visual Studio 앱 센터 | 고객의 Visual Studio 앱 센터 테스트 사용에는 https://aka.ms/actestprivacypolicy에서 확인할 수 있는 개인정보취급방침이 적용됩니다. 고객은 Visual Studio 앱 센터 테스트를 사용하여 개인 데이터를 저장 또는 처리할 수 없습니다. | |
| Azure Arc에서 지원하는 SQL 관리 인스턴스 | Azure 관리 서비스를 실행하고 청구 목적으로 사용량을 측정하기 위해 개인 데이터를 수집하는 경우를 제외하면 Microsoft에서 제어할 수 없는 환경에서 실행되는 Azure Arc가 지원하는 SQL 관리 인스턴스의 데이터 처리에는 DPA의 약관이 적용되지 않습니다. | |
| Microsoft Genomics | Microsoft 개인정보취급방침과 충돌하는 경우에 이 Microsoft Genomics 항이 통제하는 경우를 제외하고, https://aka.ms/privacy에서 확인할 수 있는 Microsoft 개인 정보 취급 방침은 고객의 Microsoft Genomics에 적용되고 DPA에는 적용되지 않습니다. Broad License Terms(사용권 조항) Microsoft Genomics에는 Broad Institute, Inc. ('Broad')에서 GATK(Genetic Analysis Toolkit)에 대한 액세스가 포함됩니다. GATK와 관련 문서를 Microsoft Genomics의 일부로 사용하는 것에는 Broad의 GATK 최종 사용자 사용권 계약(여기 https://software.broadinstitute.org/gatk/eula/index?p=Azure의 "Broad EULA")이 적용됩니다. Microsoft는 고객의 GATK 사용에 관한 특정 통계 및 기술 정보를 수집하고 Broad와 공유할 수 있습니다. 고객은 Broad에 고객의 지위를 Genomics에서 고객의 GATK 사용자로 보고할 수 있는 권한을 Microsoft에게 부여합니다. | |
| Azure SQL Edge | Microsoft에서 IoT 장치의 운영 환경을 통제하고 있으므로, DPA의 약관은 Azure 관리 서비스를 실행하고 청구 목적으로 사용량을 측정하기 위해 개인 데이터를 수집하는 경우를 제외하고 고객의 IoT 장치에 설치된 Azure SQL Edge에는 적용되지 않습니다. | |
| Azure Local | Microsoft는 고객이 제품 설명서에 기술된 Windows 진단 데이터의 수집에 집중할 때 개인 데이터의 관리자입니다. Microsoft는 관리자로서 Microsoft 개인정보취급방침(aka.ms/privacy) 및 DPA 약관에 따라 이 개인 데이터를 취급합니다. | |
| Azure Stack Hub | Microsoft는 고객이 제품 설명서에 기술된 Windows 진단 데이터의 수집에 집중할 때 개인 데이터의 관리자입니다. Microsoft는 관리자로서 Microsoft 개인정보취급방침(aka.ms/privacy) 및 DPA 약관에 따라 이 개인 데이터를 취급합니다. Microsoft 클라우드 계약 또는 Microsoft 고객 계약 고객이 재판매인이 호스팅하는 Microsoft Azure Stack Hub 소프트웨어 또는 서비스를 사용하는 경우에는 Microsoft와 다른 내용의 재판매인의 개인 정보 보호 방침이 적용될 수 있습니다. | |
| Azure VMware 솔루션 | 전문 서비스 데이터를 VMware에 양도 고객이 Microsoft에 Azure VMware 솔루션에 관한 기술 지원에 대해 문의하고 Microsoft가 이 문제에 대한 지원을 위해 VMware와 협력해야 하는 경우, Microsoft는 지원 케이스에 포함된 전문 서비스 데이터와 개인 데이터를 VMware에 전송합니다. VMware와 Microsoft 사이의 지원 양도 계약에 따라 양도가 이루어지며, 계약에서는 Microsoft와 VMware를 전문 서비스 데이터의 독립 프로세서로 확립합니다. Microsoft는 전문 서비스 데이터를 VMwar에 양도하기 전에 고객에게서 양도에 대한 동의를 받아 기록한다. VMware 데이터 처리 계약 전문 서비스 데이터가 (위의 조항에 따라) VMware에 양도되면, 지원 케이스에 포함된 개인 데이터를 포함해 독립 계약자로서 VMware의 전문 서비스 데이터의 처리에는 L3 지원에 양도된 Microsoft AVS 고객에 대한 VMware 데이터 처리 계약이 적용됩니다(https://docs.broadcom.com/doc/global-customers-dpa). 또한 고객이 Azure VMware 솔루션에 대한 기술 지원을 요청하는 대리인이 Microsoft를 대신해 전문 서비스 데이터를 VMware에 양도하는 것에 대해 동의할 수 있도록 승인한다. | |
| Bing | Bing | 데이터 보호 부록은 Bing Search Services 또는 제품 내에서 이루어지는 Bing 사용에는 적용되지 않습니다. Bing 기반 제품의 구성 요소에 대해 제품 문서에서 공개한 바와 같이 Microsoft 개인정보취급방침(https://privacy.microsoft.com/privacystatement)이 적용됩니다. |
| Bing Maps | Bing Maps 개인 정보 보호 고객의 Bing Maps 및 Bing Maps Mobile Asset Management Platform 사용에는 Microsoft Bing Maps Platform API 이용 약관의 Microsoft 개인정보취급방침(사이트: https://go.microsoft.com/fwlink/?LinkId=521839) 및 개인 정보 취급 조건이 적용됩니다. | |
| GitHub | GitHub Offerings | 고객의 볼륨 라이선싱 계약(이 제품 약관 및 DPA 포함)에 상반되는 내용이 있더라도, 고객이 독립 실행형으로 또는 Visual Studio Enterprise나 Professional with GitHub Enterprise 형식으로 라이선스가 허여된 GitHub Enterprise를 포함해 GitHub Offerings를 사용하는 경우에는 https://aka.ms/github_privacy에서 확인할 수 있는 GitHub 개인정보취급방침 및 https://aka.ms/github_dpa에 있는 GitHub 데이터 보호 계약이 적용됩니다. |
| Office 365 Services | Office 365 Education | 고객이 EU 또는 EFTA 지역 외부에서 프로비저닝되고 고객이 Office 365 Education을 구독하고 있으며 다만 교육용 Advanced Data Residency 추가 기능을 구입하지 않았다면 제품 약관 중 "핵심 온라인 서비스를 위한 고객 데이터 보존 위치" 섹션의 제반 요건에도 불구하고 Microsoft는 유럽 연합(EU) 또는 북미 지역 내 어디에서나 고객의 Office 365 Education 테넌트를 프로비저닝하고 고객 데이터를 전송하며 보존 중인 고객 데이터를 저장할 수 있습니다. 고객이 EU 또는 EFTA 지역 내에서 프로비저닝되고 고객이 Office 365 Education을 구독하고 있으며 다만 교육용 Advanced Data Residency 추가 기능을 구입하지 않았다면 제품 약관 중 "핵심 온라인 서비스를 위한 고객 데이터 보존 위치" 섹션의 제반 요건에도 불구하고 Microsoft는 유럽연합(EU) 내 어디에서나 고객의 Office 365 Education 테넌트를 프로비저닝하고 고객 데이터를 전송하며 보존 중인 고객 데이터를 저장할 수 있습니다. |
| Microsoft Dynamics 365 Services | 덴마크의 Dynamics 365 Business Central 및 Dynamics 365 Finance | 부기 관련 법률 및 규정 본 약관은 부기법에 따라 덴마크에 사업체를 두고 있는 고객에게만 적용됩니다. DPA는 회계 자료의 보존, 삭제 및 공개를 제외하고 Microsoft가 Dynamics 365 Business Central 및 Dynamics 365 Finance에서 고객 정보를 처리하는 방식을 규율합니다. DPA와 고객 라이선싱 계약의 다른 약관 사이에 충돌하거나 일치하지 않는 내용이 있는 경우, 이 약관이 우선합니다. 용어 정의 "회계 자료"는 부기법에서 요구하는 바에 따라 고객이 디지털 표준 부기 시스템에서 제공하거나 고객을 대신하여 제공하는 기업의 모든 기록된 거래 및 영수증과 기타 데이터(개인정보 포함)를 포함하여 부기를 구성하는 모든 문서를 의미합니다. "부기법"이란 2022년 5월 24일에 제정된 덴마크 부기법 및 덴마크 내 기업 및 디지털 표준 부기 시스템 제공업체의 부기 및 회계 의무를 규제하는 모든 행정 명령을 의미합니다. "덴마크 당국"이란(i)부기법 또는 기타 관련 법률에 따라 기업을 조사하고 회계 자료를 요청할 수 있는 법적 권한이 있는 덴마크 공공 기관 또는(ii) 기업의 경영권을 인수한 청산인, 파산 관재인 또는 구조조정 담당자를 의미합니다. "디지털 표준 부기 시스템"이란 기업이 부기법의 규정 및 표준에 따라 회계 자료를 기록하고 저장할 수 있는 기능이 포함된 디지털 서비스 또는 소프트웨어를 의미하며, 또는 제공자 또는 제3자가 호스팅하는 서버에 완전한 백업 사본이 저장되어 있는 것을 의미합니다. 회계 자료의 데이터 보존 및 삭제 고객은 Dynamics 365 Business Central 또는 Dynamics 365 Finance를 사용함으로써 고객이 부기법에 따라 부기 시스템을 변경하거나 파산하거나 청산하더라도 Microsoft 및 그 계열사가 법적 의무에 따라 고객의 회계 자료를 관련 기록 거래 및 영수증의 회계 연도 종료일로부터 5년 동안 복사, 저장 및 보유할 수 있음("보유 기간")에 동의합니다. Microsoft는 고객의 회계 자료를 해당 서비스 또는 유럽 연합의 고객 정보를 처리하는 기본 컴퓨터 장비와 동일한 위치에 있는 Microsoft가 관리하는 저장소에 보관합니다. 보유 기간 동안 고객은 이 저장소의 회계 자료에 액세스하거나, 추출하거나, 수정하거나, 삭제할 수 없습니다. Microsoft는 기타 고객 정보를 보호할 때 적용되는 것과 동일한 보안 조치를 적용하여 고객의 계정 자료를 보호합니다. 보존 기간이 끝나면, Microsoft는 고객의 회계 자료를 삭제합니다. Microsoft는 고객의 회계 자료의 삭제에 대해 어떠한 책임도 지지 않습니다. 회계 자료 공개 Microsoft는 부기법에 따라 고객의 회계 자료를 공개해야 하는 요청을 충족하기 위해 필요한 경우 덴마크 당국에 고객의 회계 자료를 공개하거나 이에 대한 액세스 권한을 제공할 수 있습니다. 고객이 디지털 표준 부기 시스템에 저장하는 기타 데이터는 공개 대상이 아닙니다. 덴마크 당국은 기업으로부터 직접 정보를 얻을 수 없는 경우에만 디지털 표준 부기 시스템 공급자에게 회계 자료를 요청할 권한이 있습니다. Microsoft는 고객의 회계 자료를 덴마크 당국에 공개하는 것에 대해 어떠한 책임도 지지 않습니다. |
| Microsoft Relationship Sales | LinkedIn Sales Navigator LinkedIn Sales Navigator는 LinkedIn Corporation에서 제공합니다. 고객은 판매 리드를 생성하기 위한 목적에 한해 LinkedIn Sales Navigator Service를 사용할 수 있습니다. 각 LinkedIn Sales Navigator 사용자는 LinkedIn의 구성원이어야 하며, https://www.linkedin.com/legal/preview/user-agreement에서 제공하는 LinkedIn 사용자 계약을 준수하는 것에 동의해야 합니다. 고객의 볼륨 라이선싱 계약(제품 약관 포함)에 달리 명시된 경우에도 불구하고, 고객의 LinkedIn Sales Navigator 서비스 사용에는https://www.linkedin.com/legal/privacy-policy에서 제공하는 LinkedIn 개인정보취급방침이 적용됩니다. LinkedIn Corporation(데이터 처리자)과 고객(데이터 관리자)은 https://legal.linkedin.com/dpa에 있는 LinkedIn 데이터 처리 계약의 조건을 준수합니다. | |
| Microsoft 365 | Legacy Glint Services | Legacy Glint Services에 대한 고객의 액세스 및 사용에는 Legacy Glint Services에 대한 고객의 가장 최근 활성화된 LinkedIn 주문 양식에 명시된 약정이 적용됩니다. Microsoft 제품 약관, DPA 또는 고객과 Microsoft 간의 계약을 포함하되 이에 국한하지 않는 Microsoft 약관은 Legacy Glint Services에 적용되지 않습니다. |
| 다른 온라인 서비스 | Microsoft Intune | Intune Company Portal App을 사용하여 장치를 관리하는 경우, (개인 정보 보호 & 보안 약관의 핵심 온라인 서비스에 정의된 바와 같이) Microsoft Intune 온라인 서비스에 적용되는 약관이 Intune Company Portal App의 사용에 적용됩니다. Intune Company Portal App이 운영되는 모바일 플랫폼의 제3자 공급자(예, Apple, Google) 데이터 처리, 정책 또는 관행에는 Intune Company Portal App에 관한 Microsoft의 약정이 적용되지 않습니다. |
| 관리 장치 및 응용 프로그램 | Microsoft Managed Desktop(MMD)은 Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender for Endpoint, Office 및 고객이 구성하는 온라인 서비스(있는 경우)를 비롯한 다른 Microsoft 제품들 간의 데이터(고객 데이터 포함)를 통합합니다(이 조항의 목적에 따라 통칭해서 "MMD 통합 서비스"). MMD 통합 서비스 간에 데이터가 전송되면 해당 데이터는 해당 데이터가 있는 서비스에 적용되는 제품 약관의 적용을 받습니다. |
| 제품군 | 소프트웨어 제품 | 개인 정보 보호 & 보안 약관 |
|---|---|---|
| 인프라 및 기타 서버 | Azure FXT Edge Filer | 데이터 수집 다음의 경우를 제외하고, 제품에는 데이터 보호 추가 조항이 적용됩니다. (1) DPA의 ISO 27001, ISO 27002 및 ISO 27018 준수 증서가 적용되지 않는 경우 및 (2) 인터넷 기반 기능에 다른 약관이 적용되지 않는 한, 인터넷 기반 기능을 통해 처리된 모든 데이터의 사용에 DPA가 아닌 Microsoft 개인정보취급방침(aka.ms/privacy)이 적용되는 경우 |
| SQL Server | SQL Server | 데이터 수집 다음의 경우를 제외하고, 제품에는 데이터 보호 추가 조항이 적용됩니다. (1) DPA의 ISO 27001, ISO 27002 및 ISO 27018 준수 증서가 적용되지 않는 경우 및 (2) 인터넷 기반 기능에 다른 약관이 적용되지 않는 한, 인터넷 기반 기능을 통해 처리된 모든 데이터의 사용에 DPA가 아닌 Microsoft 개인정보취급방침(aka.ms/privacy)이 적용되는 경우 |
| Visual Studio | Visual Studio 정기가입 | 데이터 수집 다음의 경우를 제외하고, 제품에는 데이터 보호 추가 조항이 적용됩니다. (1) 처리된 데이터에 대한 DPA의 ISO 27001, ISO 27002 및 ISO 27018 준수 증서가 적용되지 않는 경우 및 (2) 인터넷 기반 기능에 다른 약관이 적용되지 않는 한, 인터넷 기반 기능을 통해 처리된 모든 데이터의 사용에 DPA가 아닌 Microsoft 개인정보취급방침(aka.ms/privacy)이 적용되는 경우. 그러한 경험에 액세스하지 못하도록 설정하는 방법을 포함해 Visual Studio의 연결된 경험에 대한 https://docs.microsoft.com/visualstudio/ide/reference/connected-experiences?view=vs-2019에서 확인할 수 있습니다. |
| Windows 데스크톱 운영 체제 | Windows 데스크톱 운영 체제 | Windows 진단 데이터 프로세서 구성 Windows 진단 데이터 프로세서 구성을 지원하는 Windows 10/11 Enterprise, Pro 및 Education 버전의 경우에는 Microsoft가 해당 구성이 설정되는 장치에서 수집된 Windows 진단 데이터에 대한 프로세서입니다. 이 구성은 장치에 Microsoft Entra ID 계정을 통합하고 제품 설명서(www.aka.ms/wddprocessor)에 설명된 다른 필요 조치를 취하여 설정합니다. 위에 제공된 경우를 제외하고, Microsoft는 계속해서 Microsoft가 고객의 서비스 기반 기능의 사용과 관련하여 처리하는 데이터를 포함해 Windows의 사용과 관련하여 처리되는 개인 데이터 관리자가 됩니다. Microsoft는 관리자로서 Microsoft 개인정보취급방침(www.aka.ms/privacy)에 따라 개인 데이터를 취급하며, 데이터 보호 추가 조항 (www.aka.ms/DPA) 약관은 적용되지 않습니다. |
| Windows Server | Windows Multipoint Server, Windows Server Standard, Datacenter 및 Essentials | Windows Server 제품 데이터 처리 Microsoft는 Windows 서버 제품의 사용과 관련하여 처리된 개인 데이터 관리자가 됩니다. Microsoft는 관리자로서 Microsoft 개인정보취급방침(aka.ms/privacy) 및 데이터 보호 추가 조항 기반 개인 데이터 사항을 취급합니다. Windows 서버 제품 및 고객의 구성 옵션과 관련한 개인 데이터 처리에 대한 자세한 내용은 제품 설명서를 확인하십시오. |
DPA에서 제외된 소프트웨어 제품
제품별 약관에 규정된 경우를 제외하고, DPA의 약관은 다음에 적용되지 않습니다. 이 소프트웨어 제품의 일부로서 소프트웨어 제품, Windows 데스크톱 운영 체제, Windows 서버 및 인터넷 기반 기능. 이러한 제품에는 각각 관련 제품별 약관의 개인 정보 보호 및 보안 약관이 적용됩니다.
Microsoft가 아닌 타사 제품
고객이 (온라인 서비스에 대한 공통 라이선스 약관에 정의된) Microsoft가 아닌 타사 제품을 사용할 경우에는 다른 개인 정보 취급 및 보안 약관을 포함한 별도의 약관이 적용됩니다.
DPA 조건 지역 배제
Dynamics 365 및 Power Platform 온라인 서비스의 경우, "Microsoft는 고객 데이터를 처리하는 기본 컴퓨터 장비가 있는 위치와 다른 위치에 고객 데이터의 사본과 데이터 복구 절차를 저장합니다"라고 기술되어 있는 부록 A에 명시된 DPA의 특별 약관은 다음의 지역에 적용되지 않습니다. 아랍에미리트 및 남아프리카 공화국.
핵심 온라인 서비스
“핵심 온라인 서비스”라는 용어는 미리 보기를 제외한 아래 표의 서비스에만 적용됩니다.
| 온라인 서비스 | |
|---|---|
| Microsoft Dynamics 365 Core Services | 다음 서비스는 독립 실행형 서비스에 속하거나 Dynamics 365 상표의 계획 또는 응용 프로그램에 각각 포함됩니다. Dynamics 365 Contact Center, Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations, and Dynamics 365 Sales. Dynamics 365 Core Services에 포함되지 않는 항목으로는 (1) 앱, 태블릿, 휴대폰 등에 사용되는 Dynamics 365를 포함하되 이에 국한하지 않는 지원 대상 장치 또는 소프트웨어용 Dynamics 365 Services, (2) LinkedIn Sales Navigator 또는 (3) 해당 서비스에 대한 라이선스 약정에 명시적으로 정의된 경우를 제외하고 Dynamics 365 Core Services와 함께 제공되거나 그와 연결된 그 밖의 개별 브랜드 서비스가 있습니다. |
| Office 365 Services | 독립형 서비스에 속하거나 Office 365 또는 Microsoft 365 브랜드 플랜 또는 제품군에 포함된 서비스로는 고객 Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream(클래식), Microsoft Teams, Microsoft To-Do, Office 365용 Microsoft Defender, 웹용 Office, 비즈니스용 OneDrive, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage 및 Microsoft 365 Copilot이 있습니다. Office 365 Services에는 엔터프라이즈용 Microsoft 365 앱, Microsoft의 제어 범위를 벗어나 작동하는 PSTN 서비스의 일부, 클라이언트 소프트웨어 또는 Office 365나 Microsoft 365 브랜드 플랜 또는 제품군에서 사용할 수 있는 개별 브랜드 서비스(예: Bing 또는 'Office 365용' 브랜드 서비스)가 포함되지 않습니다. |
| Microsoft 365 Compliance Services | 다음 서비스는 각각 독립 실행형 서비스 형태 또는 Microsoft 365 상표의 계획 또는 상품군에 포함되는 형태입니다. Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management, Microsoft Priva Subject Rights Request. |
| Microsoft Azure Core Services | Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (Classic), Microsoft Purview Data Catalog (Classic), Microsoft Purview Data Estate Insights (Classic), Microsoft Purview Data Policies (Classic), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network 및 VPN Gateway. |
| Microsoft Intune 온라인 서비스 | Microsoft Intune의 클라우드 서비스 부분입니다. |
| Microsoft Power Platform Core Services | 독립형 서비스에 속하거나 Office 365 또는 Microsoft Dynamics 365 브랜드 플랜 또는 제품군에 포함된 서비스로는 Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages 및 Microsoft Copilot Studio가 있습니다. Microsoft Power Platform Core Services에는 Power BI Report Server, Power BI, PowerApps 또는 Microsoft Power Automate 모바일 애플리케이션, Power BI Desktop 또는 Power Apps Studio를 포함하되 이에 국한하지 않는 어떠한 클라이언트 소프트웨어도 포함되어 있지 않습니다. |
| Microsoft 365 Copilot Chat | 회사 또는 학교 계정으로 사용하는 Microsoft 365 Copilot Chat. |
| Microsoft 365 Copilot for Sales | Microsoft 365 Copilot for Sales. |
| Microsoft Defender 전문가 | Microsoft Defender Experts의 클라우드 서비스 부분. |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps의 클라우드 서비스 부분(이전의 Microsoft Cloud App Security). |
| Microsoft Defender for Endpoint 서비스 | Microsoft Defender for Endpoint의 클라우드 서비스 부분. |
| Microsoft Defender for Identity | Microsoft Defender for Identity의 클라우드 서비스 부분. |
| Microsoft Defender XDR | Microsoft Defender XDR의 클라우드 서비스 부분. |
| Microsoft Sentinel | Microsoft Sentinel의 클라우드 서비스 부분입니다. |
| Windows 365 | Windows 365의 클라우드 서비스 부분, Windows 365 클라우드 PC에서 실행되는 Windows 운영 체제는 제외합니다. |
핵심 온라인 서비스용 보안 관행 및 정책
또한 각 핵심 온라인 서비스는 DPA의 온라인 서비스에 대한 보안 관행 및 정책 외에도 아래 표에 표시된 제어 표준 및 프레임워크를 준수하고 고객 데이터 보호에 대한 DPA의 부록 A에 명시된 보안 대책을 구현 및 유지합니다.
| 온라인 서비스 | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
|---|---|---|
| Office 365 Services | 예 | 예 |
| Microsoft 365 Compliance Services | 예 | 예 |
| Microsoft Dynamics 365 Core Services | 예 | 예 |
| Microsoft Azure Core Services | 다름* | 다름* |
| Microsoft Intune 온라인 서비스 | 예 | 예 |
| Microsoft Power Platform Core Services | 예 | 예 |
| Microsoft 365 Copilot Chat | 예 | 예 |
| Microsoft 365 Copilot for Sales | 예 | 예 |
| Microsoft Defender 전문가 | 다름* | 다름* |
| Microsoft Defender for Cloud Apps | 예 | 예 |
| Microsoft Defender for Endpoint 서비스 | 예 | 예 |
| Microsoft Defender for Identity | 예 | 예 |
| Microsoft Defender XDR | 예 | 예 |
| Microsoft Sentinel | 예 | 예 |
| Windows 365 | 예 | 예 |
*현재 범위는 감사 보고서에 상세히 설명되어 있으며 Microsoft 보안 센터에 요약되어 있습니다.
핵심 온라인 서비스에 대한 고객 데이터 위치
핵심 온라인 서비스의 경우, Microsoft는 온라인 서비스별 약관에 다르게 규정된 경우를 제외하고 다음과 같이 보존 고객 데이터를 특정 주요 지리적 위치(각각 Geo라고 함)에 저장합니다.
- Office 365 Services. 고객이 오스트레일리아, 브라질, 캐나다, EU, 프랑스, 독일, 인도, 일본, 노르웨이, 카타르, 남아프리카 공화국, 대한민국, 스웨덴, 스위스, 영국, 아랍에미리트 또는 미국에서 테넌트를 제공하는 경우, Microsoft는 해당 Geo 내에서만 다음의 고객 데이터를 저장합니다. (1) Exchange Online 사서함 콘텐츠(이메일 본문, 일정 항목 및 이메일 첨부 파일의 콘텐츠), (2) SharePoint Online 사이트 콘텐츠 및 해당 사이트 내에 저장된 파일, (3) OneDrive for Business에 업로드된 파일 및 (4) Microsoft Teams 채팅 메시지(개인 메시지, 채널 메시지, 모임 메시지 및 채팅에 사용되는 이미지를 포함)와 (SharePoint의) Microsoft Stream(Classic)을 사용하는 고객을 대상으로 한 모임 녹음/녹화. (5) Microsoft 365 Copilot과의 저장된 상호 작용 내용(이전 약정에 포함되지 않은 범위). 고객이 Advanced Data Residency 정기가입을 구입하는 경우 Microsoft는 이 조항 및 https://aka.ms/adroverview에 있는 제품 설명서의 "고급 데이터 상주 및 약정" 조항에 따라 특정 고객 데이터를 해당 지역에 저장합니다.
- Microsoft Intune 온라인 서비스. 고객이 Microsoft Intune 테넌트 계정을 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Intune Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Microsoft Power Platform Core Services. 고객이 Power Platform Core Services를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Power Platform Trust Center에 설명된 경우를 제외하고 특정 Geo 내에 고객 데이터를 저장합니다.
- Microsoft Azure Core Services. 고객이 Geo 내에서 배포할 특정 서비스를 구성하는 경우 Microsoft는 보존 고객 데이터를 지정한 Geo에 저장합니다. 고객이 특정 서비스를 통해 특정 지역 또는 미국 이외의 지역에서 배포를 구성할 수 없으며, 서비스에서는 다른 위치에 백업을 저장할 수 없습니다. 자세한 내용은 Microsoft Trust Center(Microsoft가 수시로 업데이트할 수 있지만 일반에 공개된 기존 서비스에 대해 예외를 추가하지 않음)를 참조하십시오.
- Microsoft 365 Copilot for Sales. Microsoft 365 Copilot for Sales가 고객 데이터를 생성하고 고객이 Dynamics 365 코어 서비스를 프로비전하여 사용 가능한 지역 내에서 배포하는 경우, 해당 고객 데이터는 Microsoft Dynamics 365 보안 센터에 설명된 경우를 제외하고 지정된 지역 내에 저장됩니다. Microsoft 365 Copilot for Sales가 고객 데이터를 생성하고 고객이 제3자 고객 관계 관리 시스템을 사용하는 경우, Microsoft 365 Copilot for Sales은 위에서 설명한 대로 고객이 Office 365 서비스에서 테넌트를 프로비전한 위치에 따라 해당 고객 데이터를 저장합니다. Office 365 서비스 및 Microsoft Dynamics 365와 관련되고 Microsoft 365 Copilot for Sales에 의해 생성되지 않은 기본 고객 데이터는 계속해서 위의 해당 서비스에 대한 각 조항을 적용받습니다.
- Microsoft Defender for Cloud Apps. 고객이 EU 또는 미국에서 테넌트를 프로비전하는 경우, Microsoft는 Microsoft Defender for Cloud Apps Trust Center에 설명된 경우를 제외하고 Microsoft Power BI 보존 고객 데이터를 해당 지역 내에서만 저장합니다.
- Microsoft Dynamics 365 Core Services. 고객이 Dynamics 365 Core Services를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft 365 Trust Center에 설명된 경우를 제외하고 특정 Geo 내에 고객 데이터를 저장합니다.
- Microsoft Defender for Endpoint 서비스. 고객이 Microsoft Defender for Endpoint 테넌트를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Defender for Endpoint Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Microsoft Defender for Identity. 고객이 Microsoft Defender for Identity 테넌트를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Defender for Identity Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Microsoft Defender XDR. 고객이 Microsoft Defender XDR 테넌트를 제공하여 사용 가능한 Geo 내에서 배포하는 경우, 해당 서비스에 대해 Microsoft는 Microsoft Defender XDR Trust Center에 명시된 경우를 제외하고 특정 Geo 내에 보존 고객 데이터를 저장합니다.
- Windows 365. Windows 365 테넌트가 사용 가능한 지역 내에 배포되면 해당 테넌트에 대해 Microsoft는 지정된 지역 내 미사용 고객 데이터를 저장합니다. 고객이 동일한 테넌트 내 Windows 365 클라우드 PC를 사용 가능한 다른 지역에 프로비전하는 경우, 각 클라우드 PC에 대해 Microsoft는 지정된 지역 내 미사용 클라우드 PC 고객 데이터를 저장합니다.
EU 데이터 경계 서비스
"EU 데이터 경계"라는 용어는 유럽 연합(EU) 및 유럽자유무역연합(EFTA)에만 위치한 Microsoft 컴퓨터, 컴퓨팅 환경 및 물리적 데이터 센터를 의미합니다. "EU 데이터 경계 서비스"라는 용어는 미리 보기를 제외한 아래 표의 온라인 서비스에만 적용됩니다.
| EU 데이터 경계 서비스 | |
|---|---|
| Azure | EU 데이터 경계 내 지역에서 배포를 활성화하며 다음과 같은 지역 외 서비스를 활성화하는 Azure 서비스: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Local, Azure Lighthouse, Azure Managed Applications, Azure Migrate, Azure Monitor, Azure Resource Manager, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Local, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | 클라우드 PC, 고객 Lockbox, Exchange Online, Exchange Online용 Exchange Online Archiving, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, (SharePoint의) Microsoft Stream(클래식), Microsoft Teams, Microsoft To-Do, 웹용 Office, Microsoft 365 앱의 일부로 제공되는 온라인 서비스, 비즈니스용 OneDrive, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Microsoft 365 Copilot Chat, Communications Compliance, eDiscovery and Audit, 내부 위험 관리, 정보 장벽, Microsoft Purview 데이터 손실 방지, Microsoft Intune, Priva 개인 정보 위험 관리, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning 및 Microsoft Viva Pulse |
| Microsoft 365 Copilot for Sales | Microsoft 365 Copilot for Sales |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
EU 데이터 경계 서비스를 위한 고객 데이터, 개인 데이터 및 전문 서비스 데이터의 위치
EU 데이터 경계 서비스를 위해 Microsoft는 아래와 같이 EU 데이터 경계 내에 고객 데이터 및 개인 데이터를 저장하고 처리하며 전문 서비스 데이터를 저장합니다.
고객은 EU 데이터 경계 서비스를 다음과 같이 구성해야 합니다.
- Azure의 경우, 고객은 EU 데이터 경계 내에 위치한 Azure 지역에 서비스를 배포해야 합니다. 자세한 내용은 Azure의 데이터 보존(https://azure.microsoft.com/explore/global-infrastructure/data-residency)을 참조하십시오. 지정된 Azure 지역에 배포를 활성화할 수 없는 서비스의 경우, 고객은 EU 데이터 경계에 대한 Azure 지역 외 서비스 구성(https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services)의 지침을 준수해야 합니다. 개인 서비스 데이터를 Azure용 EU 데이터 경계 내에 저장하기 위해 고객은 https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services의 설명에 따라 Azure Resource Manager를 EU 데이터 경계로 구성해야 합니다.
- Dynamics 365 및 Power Platform에서 청구 주소지가 EU 또는 EFTA 내에 위치한 테넌트를 고객이 프로비전하는 경우, 고객이 EU 데이터 경계 내 지역(Geo) 내에서 모든 환경을 생성한다면 해당 테넌트는 EU 데이터 경계 범위 내에 위치합니다.
- Microsoft 365의 경우 고객이 EU 또는 EFTA 내의 테넌트를 프로비저닝하는 경우 해당 테넌트는 EU 데이터 경계 내에 속하게 됩니다. 단, 고객이 Microsoft 365 테넌트 범위를 여러 지리적 위치 또는 국가로 확대할 수 있는 Microsoft 365 Multi-Geo Capabilities 추가기능도 구매한 테넌트는 예외로 합니다(https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
- Microsoft 365 Copilot for Sales 고객이 Dynamics 365를 사용하고 Microsoft 365 Copilot for Sales가 고객 데이터를 생성하는 경우, 위의 Dynamics 365 및 Power Platform에 관한 규정이 고객 데이터의 저장 및 처리에 적용됩니다. Microsoft 365 Copilot for Sales 고객이 제3자 고객 관계 관리 시스템을 사용하고 Microsoft 365 Copilot for Sales가 고객 데이터를 생성하는 경우, 위의 Microsoft 365에 관한 위의 규정이 고객 데이터의 저장 및 처리에 적용됩니다. Microsoft 365, Dynamics 365 및 Power Platform과 관련되고 Microsoft 365 Copilot for Sales에 의해 생성되지 않은 기본 고객 데이터 및 개인 데이터는 계속해서 위의 Microsoft 365, Dynamics 365 및 Power Platform에 대한 각 조항을 적용받습니다.
EU 데이터 경계 서비스를 이용하는 경우, EU 데이터 경계 외부에서 고객 데이터, 개인 데이터 또는 전문 서비스 데이터의 전송이 제한될 수 있습니다. 이는 아래에 명시되어 있으며 https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn 또는 후속 위치에 있는 EU 데이터 경계에 관한 투명성 설명서에 자세히 설명되어 있습니다. 이러한 데이터 전송은 데이터 보호 추록 및 제품 약관에 따라 수행합니다.
- 원격 액세스. EU 데이터 경계 외부에 위치한 Microsoft 직원은 필요에 따라 원격으로 EU 데이터 경계 내의 데이터 처리 시스템에 액세스하여 EU 데이터 경계 서비스에 관한 운영, 문제해결, 지원 및 보안 서비스를 제공할 수 있습니다.
- 고객이 개시한 데이터 전송. 고객은 EU 데이터 경계 외부 위치에서 EU 데이터 경계 서비스에 액세스하거나, EU 데이터 경계 외부에 있는 수신자에게 이메일을 보내거나, EU 데이터 경계에 없는 그 밖의 서비스와 함께 EU 데이터 경계 서비스를 사용하는 등 다양한 방법으로 EU 데이터 경계 외부로 데이터 전송을 개시할 수 있습니다.
- 고객 보호. Microsoft는 보안 위협으로부터 고객을 감지하고 보호하기 위해 필요하다면 EU 데이터 경계 외부로 제한된 데이터를 전송합니다.
- 디렉터리 데이터. Microsoft는 서비스를 제공하기 위해 EU 데이터 경계 외부 Microsoft Entra ID의 Microsoft Entra Directory(사용자 이름 및 이메일 주소 포함)에서 제한된 디렉터리 데이터를 복제할 수 있습니다.
- 네트워크 전송. 라우팅 지연을 줄이고 라우팅 회복력을 유지하기 위해 Microsoft는 다양한 네트워크 경로를 사용하므로 때때로 데이터가 EU 데이터 경계 외부로 전송될 수도 있습니다.
- 서비스 및 플랫폼 품질, 회복력 및 관리. 서비스 품질을 모니터링 및 유지관리하거나 서비스 사용 또는 성능의 통계적 측정 정확성을 보장하기 위해 필요한 경우, 익명처리된 개인 데이터 및 개인 서비스 데이터가 EU 데이터 경계 외부로 전송될 수 있습니다.
- 서비스별 이전. 특정 지원 활동 및 EU 데이터 경계 서비스에 적용될 수 있는 전송에 대한 정보는 위에서 참조한 투명성 설명서를 참조하세요.