데이터 처리 계약서

Botpress 데이터 처리 계약(DPA)

이 DPA는 서비스 약관에 명시된 Botpress 그룹의 해당 법인과 고객 간의 계약을 보완하며, 그 일부를 구성합니다. 이 DPA는 해당 계약에 참조로 포함되는 시점부터 효력이 발생합니다.

1. 정의

1.a 본 문서에서 정의되지 않은 대문자 용어는 계약서에 명시된 의미를 갖습니다.

1.b 본 DPA에서:

(a) “계약”은 서비스 약관에서 해당 용어에 부여된 의미를 가집니다.

(b) “Botpress 그룹”은 Botpress 및 그 계열사를 의미합니다.

(c) “캘리포니아 개인정보”는 CCPA의 보호를 받는 개인정보를 의미합니다.

(d) “캐나다 데이터 보호법”은 2000년 캐나다 개인정보 보호 및 전자문서법(SC 2000, c 5)과 민간 부문 개인정보 보호에 관한 법률(CQLR c P-39.1)을 의미하며, 개정, 대체 또는 변경될 수 있습니다.

(e) “CCPA”는 캘리포니아 민법 제1798.100조 이하(2018년 캘리포니아 소비자 개인정보 보호법)를 의미합니다.

(f) “소비자”, “사업자”, “판매”, “서비스 제공자”는 CCPA에서 정한 의미를 갖습니다.

(g) “관리자”는 단독 또는 타인과 공동으로 개인정보 처리 목적과 수단을 결정하는 자를 의미합니다.

(h) “데이터 보호법”은 본 DPA의 당사자에게 적용되는 전 세계의 모든 데이터 보호 및 개인정보 관련 법률을 의미하며, 여기에는 유럽 데이터 보호법, 캐나다 데이터 보호법, CCPA 등이 포함되며, 각 법률은 개정, 폐지, 통합 또는 대체될 수 있습니다.

(i) “정보주체”는 개인정보가 관련된 개인을 의미합니다.

(j) “유럽”은 유럽연합, 유럽경제지역 및/또는 그 회원국, 스위스, 영국을 의미합니다.

(k) “유럽 데이터 보호법”은 유럽에서 적용되는 데이터 보호법을 의미하며, 개정, 대체 또는 변경될 수 있습니다.

(l) “유럽 데이터”는 유럽 데이터 보호법의 보호를 받는 개인정보를 의미합니다.

(m) “허용된 계열사”는 (i) 계약에 따라 소프트웨어 서비스를 사용할 수 있는 고객의 계열사, (ii) Botpress가 처리하는 개인정보의 관리자로 자격을 갖춘 자, (iii) 유럽 데이터 보호법의 적용을 받는 자를 의미합니다.

(n) “자”는 넓게 해석되며, 개인, 법인, 유한책임회사, 유한합자회사, 회사, 협회, 파트너십, 신탁 또는 유산, 합작투자, 정부기관 또는 그 하위기관, 기타 모든 단체를 포함합니다.

(o) “개인정보”는 식별되었거나 식별 가능한 개인과 관련된 모든 정보를 의미합니다.

(p) “처리” 또는 “처리하다”는 프로세서가 개인정보에 대해 수행하는 모든 작업 또는 일련의 작업을 의미하며, 자동화 여부와 관계없이 적용됩니다.

(q) “프로세서”는 관리자를 대신하여 개인정보를 처리하는 자를 의미합니다.

(r) “규제기관”은 해당되는 경우, 서비스 제공 또는 수령과 관련된 개인정보 처리의 전부 또는 일부에 대해 규제, 감독 또는 정부 권한을 가진 자 또는 법 집행기관, 기타 기관(법적 체계에 근거하든 아니든)을 의미하며, 유럽 데이터 보호 감독기관을 포함합니다.

(s) “보안 침해”는 Botpress 및/또는 하위 프로세서가 서비스 제공과 관련하여 전송, 저장 또는 기타 방식으로 처리하는 개인정보에 대해 발생한 보안 위반으로, 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근을 초래하는 사건을 의미합니다. 단, 개인정보의 보안이 침해되지 않은 사건(로그인 실패, 핑, 포트 스캔, 서비스 거부 공격, 방화벽 또는 네트워크 시스템에 대한 기타 네트워크 공격 등)은 제외됩니다.

(t) “서비스”는 Botpress 그룹의 어떤 법인이든 고객 또는 그 계열사에 제공하는 소프트웨어 서비스 또는 전문 서비스를 의미합니다.

(u) “표준 계약 조항”은 2021년 6월 4일 유럽연합 집행위원회 결정(EU) 2021/914에 첨부된 표준 계약 조항을 의미하며, 개정, 대체 또는 변경될 수 있습니다.

“하위 프로세서”는 Botpress 또는 Botpress 계열사가 계약에 따른 서비스 제공과 관련하여 Botpress의 의무 이행을 지원하기 위해 고용한 모든 프로세서를 의미합니다. 하위 프로세서에는 제3자 또는 Botpress 계열사가 포함될 수 있으나, Botpress에 고용되거나 계약된 개인은 포함되지 않습니다.

“제3국”은 (i) 유럽연합 집행위원회가 개인정보 보호 수준이 적절하다고 인정하지 않은 관할권 또는 수신자, 그리고 (ii) 관련 당국이나 법원이 개인정보 보호 수준이 적절하다고 인정하는 적절한 체계에 포함되지 않은 관할권 또는 수신자를 의미합니다.

“사용 데이터”는 소프트웨어 사용과 관련된 승인 사용자의 데이터로, 개별 사용자를 식별하는 것이 필요한 경우 개인정보를 포함할 수 있으나, 대화 데이터는 제외됩니다. 사용 데이터에는 고객의 임직원 및 계약자에 관한 개인정보가 포함될 수 있으나, 고객 봇과 상호작용하는 최종 사용자에 관한 정보는 포함되지 않습니다.

2. 당사자의 역할

서비스를 통해 대화 데이터를 처리함에 있어, 양 당사자는 고객이 컨트롤러(관리자)로, Botpress가 프로세서로 역할을 수행함을 인정하고 동의합니다.

고객이 컨트롤러를 대신하여 프로세서로 역할을 하는 경우, Botpress는 고객의 하위 프로세서로 간주됩니다.

사용 데이터와 관련하여 Botpress는 컨트롤러(관리자)로 역할을 합니다.

3. 데이터 보호법 준수

3.a 각 당사자는 개인정보 처리를 모든 적용 가능한 데이터 보호법에 따라 수행해야 합니다.

3.b Botpress는 고객 또는 고객의 업계에 적용되나 Botpress에 일반적으로 적용되지 않는 데이터 보호법의 준수에 대해 책임지지 않습니다.

3.c Botpress가 법적 요구로 인해 고객의 지침에 따라 개인정보를 처리할 수 없게 된 사실을 알게 될 경우, Botpress는 (i) 해당 법률이 허용하는 범위 내에서 신속히 고객에게 그 법적 요구를 통지하고, (ii) 필요한 경우, 고객이 적용 가능한 법률에 부합하는 새로운 지침을 내릴 때까지 모든 처리를 중단합니다(단순 저장 및 보안 유지 제외). 본 조항이 적용되는 경우, Botpress는 고객의 지침이 합법적이라고 합리적으로 판단할 때까지 해당 소프트웨어 서비스 또는 전문 서비스의 미이행에 대해 계약상 책임을 지지 않습니다.

4. Botpress의 의무

4.a Botpress는 본 DPA에 명시된 목적 또는 고객으로부터 받은 합법적인 지침의 범위 내에서 합의된 목적을 위해서만 개인정보를 처리합니다. 단, 관련 법률에 의해 달리 요구되는 경우는 예외로 합니다.

4.b Botpress는 개인정보를 보안 사고로부터 보호하기 위해 본 DPA의 별첨 2(“보안 조치”)에 명시된 내용을 포함하여 적절한 기술적·조직적 조치를 구현하고 유지합니다. Botpress는 보안 조치의 보호 수준이 실질적으로 저하되지 않는 한, 자체 재량으로 보안 조치를 수정하거나 업데이트할 수 있습니다.

4.c Botpress는 개인정보를 고객의 기밀 정보로 취급하며, 개인정보에 접근하거나 처리할 권한이 있는 모든 임직원 또는 계약자가 해당 개인정보와 관련하여 적절한 기밀 유지 의무(계약상 또는 법적)를 지도록 보장합니다.

4.d Botpress는 본 DPA에 따라 처리된 모든 개인정보를 계약 종료 또는 만료 시 삭제하거나 반환합니다. 관련 법률에 따라 개인정보를 보관해야 하거나, 개인정보가 백업 시스템에 보관된 경우에는 해당 데이터가 안전하게 격리되고 추가 처리가 이루어지지 않도록 보호되며, 관련 삭제 정책에 따라 삭제됩니다.

5. 고객의 의무

5.a 고객은 소프트웨어 서비스 또는 소프트웨어의 사용이 모든 관련 데이터 보호법을 준수하도록 책임을 집니다. 여기에는 (i) 본 DPA에 따라 Botpress가 고객을 대신하여 개인정보를 처리하도록 지정할 권한이 있는지 확인하는 것, (ii) 본 계약(및 본 DPA)의 조건에 따라 개인정보를 Botpress에 이전하거나 접근 권한을 제공할 권리가 있는지 확인하는 것, (iii) 개인정보 처리에 관한 고객의 지침이 관련 법률, 특히 데이터 보호법을 준수하는지 확인하는 것이 포함됩니다.

5.b 고객은 개인정보 처리가 관련 법률, 특히 데이터 보호법을 위반할 수 있거나 위반한 것으로 통보받은 경우, 그 사실을 Botpress에 서면으로 신속히 통지해야 합니다.

5.c 고객은 Botpress가 구현한 보안 조치가 관련 데이터 보호법에 따른 고객의 의무를 충분히 충족하는지 판단할 책임이 있습니다. 또한 고객은 소프트웨어 서비스에 대한 접근이 안전하게 유지되고, 권한이 있는 인원에게만 허용되도록 해야 할 책임이 있습니다.

‍6. 보안 침해

6.a Botpress는 보안 침해 사실을 인지한 경우 즉시 고객에게 통지하며, 해당 보안 침해와 관련된 정보를 파악되는 대로 또는 고객이 합리적으로 요청하는 경우 신속하게 제공합니다.

6.b 요청 시, Botpress는 고객이 데이터 보호법에 따라 규제기관 및/또는 영향을 받은 정보주체에게 보안 침해 사실을 통지할 수 있도록 필요한 범위 내에서 신속하게 합리적인 지원을 제공합니다.

7. 하위처리자

7.a Botpress는 개인정보 처리를 위해 하위처리자를 지정할 수 있습니다. 현재 하위처리자 목록은 별첨 3에 명시되어 있으며, 하위처리자 변경 시 고객에게 통지됩니다.

7.b Botpress는 본 DPA(필요한 경우 표준 계약조항 포함)와 동일한 수준의 개인정보 보호를 제공하는 하위처리자를 선정합니다. Botpress는 각 하위처리자가 본 DPA의 의무를 준수하도록 책임지며, 하위처리자의 행위 또는 누락으로 인해 Botpress의 의무 위반이 발생한 경우에도 책임을 집니다.

7.c Botpress가 고객을 대신하여 유럽 데이터를 처리하는 경우, 고객은 데이터 보호상의 합리적인 사유가 있을 때 새로운 하위처리자에 대해 이의를 제기할 수 있습니다. 이의가 접수되면 Botpress는 상호 합리적인 해결책을 찾기 위해 성실히 논의합니다. 해결이 불가능할 경우, Botpress는 새로운 하위처리자 지정을 포기하거나, 해당 하위처리자를 사용하는 소프트웨어 서비스 부분에 대한 고객의 구독을 양 당사자에게 책임 없이 종료할 수 있습니다(단, 종료 전 발생한 비용에는 영향 없음).

7.d 법률 또는 표준 계약조항에 따라 필요한 경우, Botpress는 하위처리자와의 계약에 관한 필요한 정보를 고객에게 합리적으로 제공하기 위해 노력합니다. 단, 일부 정보는 비공개로 제공되거나 삭제될 수 있음을 고객은 동의합니다.

8. 개인정보의 이전

8.a Botpress 그룹 내에서 유럽 데이터가 아닌 개인정보 처리는 해당 개인정보 보호 관할권의 관련 법률이 허용하는 모든 관할지역에서 이루어질 수 있습니다.

8.b 유럽 데이터의 처리는 다음의 경우에 한해 이루어집니다 :

a) 유럽 내에서;

b) 유럽연합 집행위원회의 결정에 따라 적절한 보호 수준이 인정된 관할지역에서;

c) 적절한 보호조치를 제공하는 조직 또는 기관(표준 계약조항을 포함)을 통해, 어떤 관할지역에서든;

d) 고객 또는 해당 정보주체의 서면 동의가 있는 관할지역에서.

8.c 유럽 데이터가 제3국에서 처리되는 경우, 양 당사자는 해당 개인정보 및 처리에 한해 표준 계약조항을 체결한 것으로 간주합니다. 표준 계약조항과 관련하여 양 당사자는 다음에 동의합니다 :

a) 고객이 관리자인 경우, Botpress는 처리자로서 모듈 2(관리자-처리자)가 적용됩니다.

b) 고객이 처리자이고 Botpress가 하위처리자인 경우, 모듈 3(처리자-처리자)이 적용됩니다.

c) 사용 데이터와 관련해서는 모듈 1(관리자-관리자)이 적용됩니다.

d) 표준 계약조항의 조항 7에서 선택적 도킹 조항은 적용되지 않습니다;

e) 표준 계약조항의 조항 9에서는 옵션 2가 적용되며, 하위처리자 변경에 대한 사전 서면 통지 기간은 10일입니다;

f) 표준 계약조항의 조항 11에서 선택적 문구는 적용되지 않습니다;

g) 조항 17(옵션 1)에서는 표준 계약조항이 아일랜드 법률의 적용을 받습니다;

h) 조항 18(b)에서는 분쟁이 아일랜드 법원에서 해결됩니다;

i) Botpress가 "데이터 수입자", 고객이 "데이터 수출자"(자신 및 허용된 계열사를 대표하여)가 됩니다;

j) 본 DPA의 별첨 1 및 별첨 2에 명시된 관련 정보가 표준 계약조항의 부속서에 포함된 것으로 간주됩니다;

k) 표준 계약조항이 본 DPA의 어떤 조항과 충돌하는 경우, 해당 충돌 범위 내에서 표준 계약조항이 우선합니다.

8.d 스위스 및 영국 이전. 고객과 Botpress 및/또는 하위처리자 간의 개인정보 이전이 스위스 또는 영국의 데이터 보호법 적용을 받는 경우, 표준 계약조항은 해당 스위스 및 영국 데이터 보호법의 요구사항(관련 법률, 적용법, 관할 기관 및 법원에 대한 언급 포함)을 반영하도록 수정된 것으로 간주합니다.

9. CCPA 처리

9.a 고객의 지침에 따라 캘리포니아 개인정보를 처리할 때, 양 당사자는 고객이 CCPA상 사업자이고 Botpress는 서비스 제공자임을 인정하고 동의합니다. 양 당사자는 Botpress가 캘리포니아 개인정보를 서비스 제공자로서 본 계약에 따른 소프트웨어 서비스 및 전문 서비스(“사업 목적”)를 수행하기 위해서만 또는 CCPA가 허용하는 범위 내에서 처리함에 동의합니다.

10. 제3자 요청

10.a 고객은 정보주체 또는 규제기관이 개인정보와 관련하여 요청하는 사항에 대응할 책임이 있으며, 개인정보 처리와 관련된 정보를 조회할 수 있는 소프트웨어 서비스의 기능을 활용해야 합니다.

10.b 고객이 정보주체 또는 규제기관의 요청(“요청”)에 독자적으로 대응할 수 없는 경우, Botpress는 본 계약에 따라 개인정보 처리와 관련된 요청에 대응할 수 있도록 합리적인 지원을 제공합니다. 단, Botpress가 본 DPA상의 의무를 이행하지 않아 발생한 요청이 아닌 경우, 고객은 Botpress의 합리적인 지원 비용을 부담해야 합니다.

10.c 본 계약에 따른 개인정보 처리와 관련된 요청이나 기타 연락이 Botpress에 직접 접수된 경우, Botpress는 즉시 고객에게 통지하고, 정보주체 또는 규제기관에게 해당 요청을 고객에게 직접 제출하도록 안내합니다. 개인정보와 관련된 이러한 요청이나 연락에 실질적으로 대응할 책임은 전적으로 고객에게 있습니다.

11. 개인정보 관련 감사

11.a 고객의 요청과 Botpress에 대한 합리적인 사전 통지에 따라, 고객은 자신의 비용으로 Botpress가 고객을 대신하여 처리하는 개인정보가 고객의 지침에 따라 처리되고 있는지 확인하기 위한 필요한 검증을 수행할 수 있습니다. 고객의 요청이 있을 경우, Botpress는 Botpress가 수행하는 처리에 대한 감사 및 점검을 허용해야 합니다. 이러한 감사는 고객 또는 고객이 선정하고 Botpress가 합리적으로 승인한 제3자가 고객을 대신하여 수행할 수 있습니다. 고객은 Botpress 그룹의 사업장, 장비, 인력 및 업무에 어떠한 손해나 방해도 발생하지 않도록 모든 필요한 조치를 취해야 합니다.

11.b 고객과 Botpress는 고객이 실시하는 감사의 성격, 범위 및 기간에 대해 사전에 합의해야 하며, 고객은 해당 감사와 관련된 모든 합리적인 비용을 Botpress에 상환해야 합니다. 이 비용은 감사 시작 전에 고객의 요청에 따라 산정될 수 있습니다. 가능하다면, 고객의 감사 요구사항은 Botpress가 제공하는 제3자 감사 보고서를 통해 충족될 수 있습니다(해당 보고서가 제공되는 경우).

11.c Botpress가 고객을 대신하여 유럽 데이터를 처리하는 경우, Botpress는 고객의 합리적인 요청이 있을 때 (기밀을 유지하는 조건으로) (i) 보안 테스트 보고서의 요약본과 (ii) Botpress가 본 DPA를 준수하고 있음을 확인하는 데 필요한 고객의 모든 합리적인 정보 요청에 대한 서면 답변을 제공합니다. 단, 고객은 Botpress가 DPA를 준수하지 않을 합리적인 근거를 제시하지 않는 한, 이러한 권리를 연간 1회 이상 행사할 수 없습니다.

12. 책임의 제한

12.a Botpress 및 그 계열사의 책임은 본 DPA(및 당사자 간의 기타 DPA) 및 표준 계약 조항(해당되는 경우)과 관련하여, 계약, 불법행위 또는 기타 책임 이론에 관계없이, 책임 발생 원인이 된 12개월 동안 고객이 Botpress에 서비스 대가로 지급한 총 수수료 금액으로 제한됩니다.

13. 관할권

적용되는 데이터 보호법에 의해 달리 요구되지 않는 한, 본 DPA는 계약서에 적용되는 법률에 따라 해석 및 적용되며, 본 계약과 관련된 모든 분쟁은 제안서에 명시된 관할 법원의 관할에 따라 해결됩니다.

데이터 보호법에서 본 DPA가 유럽연합 회원국의 법률에 따라야 한다고 요구하는 경우, 본 DPA는 아일랜드 법률에 따라 해석되며, 본 계약과 관련된 분쟁은 아일랜드 법원에서 해결됩니다.

14. 일반 사항

14.a 우선순위. 본 DPA의 조항과 계약서의 다른 조항 간에 불일치가 있는 경우, 명시적으로 다른 조항이 우선하거나 본 DPA의 조항이 배제 또는 수정된다고 규정하지 않는 한, 항상 본 DPA의 조항이 우선합니다.

14.b 수정. Botpress는 데이터 처리 관행의 변경을 반영하기 위해 본 DPA를 수정할 수 있습니다. 언어 명확화를 위한 변경(고객에게 정기적으로 안내됨)을 제외한 모든 수정 사항은 고객에게 제출되며, 고객이 수락하지 않는 한 적용되지 않습니다. 관련 법률에 따라 본 DPA의 수정이 필요한 경우, 고객은 해당 수정을 수락하거나 소프트웨어 서비스 구독을 해지할 수 있습니다.

14.c  분리 가능성. 이 DPA의 개별 조항이 무효이거나 집행 불가능하다고 판단되더라도, 다른 조항의 유효성과 집행 가능성에는 영향을 미치지 않습니다.‍

‍

별첨 1 – 처리 세부사항

관리자 식별

고객

담당자 : 고객이 수락한 제안서에 명시된 담당자.

처리자 식별

고객이 캐나다에 위치한 경우 : Technologies Botpress Inc. 고객이 그 외 지역에 위치한 경우 : Botpress, Inc.

담당자:

Jean-Bernard Perron [email protected]

데이터 주체의 범주

고객은 소프트웨어 서비스를 사용하는 과정에서 개인정보를 제출할 수 있으며, 그 범위는 관련 서비스 약관에 따라 전적으로 고객이 결정하고 통제할 수 있습니다. 이 개인정보는 다음과 같은 데이터 주체 범주와 관련될 수 있습니다(이에 국한되지 않음):

• 고객을 대신하여 소프트웨어를 사용하는 개인
• 고객 봇의 최종 사용자

개인정보의 범주

고객은 소프트웨어 서비스에 개인정보를 제출할 수 있으며, 최종 사용자가 소프트웨어 서비스에 개인정보를 제출하도록 허용할 수 있습니다. 그 범위는 관련 서비스 약관에 따라 전적으로 고객이 결정하고 통제합니다.

소프트웨어 서비스는 민감한 데이터 처리를 목적으로 설계되지 않았으므로, 민감한 데이터 처리가 적합한지 여부는 고객이 직접 판단해야 합니다.

Botpress는 권한 있는 사용자에 대한 연락처 정보(이름, 이메일, 전화번호)와 제품 사용에 관한 사용 및 행동 데이터를 기술 지원 및 통계 목적으로 처리합니다.

처리의 성격

• 고객에게 제공되는 서비스를 제공, 유지 및 개선하는 데 필요한 저장 및 기타 처리;
• 계약(본 DPA 포함) 및/또는 관련 법률에 따라 요구되는 공개;
• Botpress는 계약에 따라 서비스를 제공하는 데 필요한 범위 내에서, 그리고 고객이 서비스를 사용하는 과정에서 추가로 지시하는 대로 개인정보를 처리합니다.
• Botpress는 기술 지원 및 통계 목적(제품 개선 및 개발을 위함)으로 사용 데이터를 처리합니다.

개인정보 보관 기간

Botpress가 데이터를 삭제하거나 고객에게 반환해야 하는 의무를 제외하고, 계약에 따라 Botpress는 별도의 서면 합의가 없는 한 계약 기간 동안 개인정보를 처리합니다.

‍

‍별첨 2 – 보안 조치‍

1. 거버넌스

Botpress는 개인정보와 관련된 적절한 정책 및 절차를 시행합니다. 예시:

• 정보 보안 절차;
• 개인정보 사용 정책;
• 보안 및 개인정보 침해 보고 절차;
• 위험 평가 메커니즘;
• 내부 감사 절차;
• 계약상 조치;

‍2. 사용자 접근

• Botpress 사용자의 역할과 개인정보 및 정보 시스템에 접근할 수 있는 사용자 프로필의 기능과 책임이 명확하게 정의되어 있습니다.
• Botpress는 보안 규칙이 업무 수행에 미치는 영향과 해당 규칙 위반 시 결과에 대해 사용자에게 안내하는 조치를 취합니다.
• 개인정보에 접근하거나 전송할 때 평문 프로토콜은 사용되지 않습니다. 이러한 작업에는 SSL 프로토콜만 허용됩니다.
• Botpress는 개인정보가 포함될 수 있는 물리적 매체 또는 장비의 처리 또는 폐기 절차의 보안을 보장합니다.
• 개인정보는 다른 Botpress 데이터와 물리적으로 분리되어 있거나, 데이터베이스 또는 가상 환경에 있는 경우 논리적으로 분리되어 있습니다. 개인정보가 다른 데이터, 시스템 또는 고객과 관련 없는 애플리케이션과 물리적으로 분리되어 있지 않은 경우, Botpress는 접근 제어를 포함한 적절한 보안 통제를 적용합니다.

3. 접근 제어

Botpress는 개인정보를 저장하는 서버, 관련 데이터베이스 및 기타 하드웨어/소프트웨어 구성요소를 접근이 통제되고 모니터링되는 안전한 데이터 센터에 보관하여, 허가된 인원만 출입할 수 있도록 합니다.

Botpress는 개인정보를 생성, 전송 또는 처리하는 모든 시스템에 효과적인 논리적 접근 제어 조치를 적용합니다. 이러한 조치에는 다음이 포함되나 이에 국한되지 않습니다:

• 사용자는 고유 식별자("사용자 ID")와 이름을 사용하여 인증을 받아야 합니다.
• 충분히 복잡하고 강력한 비밀번호 정책.
  
• 개인정보가 포함된 정보 자원에 대한 사용자 접근 권한/특권은 사용자의 업무와 책임에 따라 꼭 필요한 경우에만 부여되어야 합니다.
• 개인 데이터에 접근할 수 있는 컴퓨터 시스템에 대한 사용자의 접근 권한은 사용자가 퇴사하거나, 직무 변경으로 더 이상 접근이 필요하지 않을 경우 즉시 삭제되어야 합니다.
• 개인 데이터를 지원하는 데 사용되는 타사 제품/애플리케이션의 기본 비밀번호와 보안 설정은 반드시 변경해야 합니다.
• 타사 서비스 제공업체는 개인 데이터 처리 시 Botpress의 승인된 사용자와 동일한 수준의 보안 요구사항과 의무를 따라야 합니다.
• 개인정보에 접근할 수 있는 사용자 계정 및 관련 권한의 정당성을 매년 재검증합니다.

‍4. 네트워크 보안 아키텍처

Botpress는 개인 데이터를 생성, 전송 또는 처리하는 모든 시스템에 효과적인 네트워크 접근 제어 조치를 적용하며, 이러한 조치에는 다음이 포함되나 이에 국한되지 않습니다.

• 방화벽은 항상 작동 상태를 유지하며, Botpress의 내부(사설) 네트워크와 외부(인터넷) 네트워크 경계에 설치되어 있습니다.
• Botpress 네트워크에는 적절하게 구성되고 모니터링되는 침입 탐지 및 방지 시스템이 사용됩니다.
• 개인 데이터 처리를 위해 사용하는 데이터베이스 및 기타 정보 시스템에는 일상적인 프로그램 수행에 필요한 서비스/프로세스 및 포트만 활성화되어 있습니다. 호스트 내의 그 외 모든 서비스/프로세스는 비활성화됩니다.
• 개인 데이터 처리를 위해 사용되는 모든 정보 시스템, 저장소 및 기타 시스템은 반드시 통제된 데이터 센터 환경에 물리적으로 위치해야 하며, 정보 시스템 보호 목적으로만 사용되어야 합니다.
• Botpress 데이터 센터와의 통신에는 항상 안전한 채널(예: TLS, SFTP, SSH, IPSEC 등)을 사용해야 합니다.

5. 취약점 관리 통제

Botpress는 개인 데이터를 생성, 전송 또는 처리하는 모든 시스템에 효과적인 취약점 관리 통제 조치를 적용하며, 이러한 조치에는 다음이 포함되나 이에 국한되지 않습니다.

• Botpress가 관리하며 개인 데이터에 직접 또는 간접적으로 접근할 수 있는 워크스테이션에 도달하기 전에 피싱 이메일과 악성 소프트웨어를 필터링할 수 있도록 네트워크 예방 및 탐지 장치를 배포합니다.
• Botpress가 관리하며 개인 데이터를 처리하는 모든 워크스테이션에 바이러스 및 악성코드 예방 및 탐지 소프트웨어를 설치합니다.
• 개인 데이터에 접근, 처리 또는 저장하는 모든 장치의 보호를 위해 표준 패치 관리 프로세스 및 관행을 유지합니다.
  
• 개인 데이터가 포함된 장치 및 문서는 접근한 정보를 식별할 수 있어야 하며, 목록화되어야 하고, 보안 문서에 따라 데이터 접근이 허가된 사용자만 접근할 수 있어야 합니다.
• 전송 및 이동 과정에서 개인 데이터의 도난, 분실 또는 무단 접근을 방지하기 위한 조치를 시행합니다.

6. 데이터 백업, 복구 및 가용성

Botpress는 최대한의 다운타임 및 데이터 손실을 최소화하기 위해 다음과 같은 재해 복구 및 비즈니스 연속성 계획을 시행합니다.

• Botpress는 당사자 간에 합의된 기간 내, 또는 합의가 없을 경우 개인 데이터의 특성을 고려해 합리적인 기간 내에 개인 데이터가 포함된 시스템의 기능을 복구할 수 있도록 재해 복구 기능을 제공합니다.
• Botpress는 개인 데이터가 Botpress의 권한 있는 직원 외에는 접근할 수 없도록 체계적으로 보장합니다(예: 외부 백업은 반드시 암호화됩니다).
• 환경적 위협, 위험 및 무단 접근 가능성을 줄이기 위해 장비는 환경적 위험이 높은 장소에서 멀리 떨어진 곳에 배치하고, 합리적인 거리 내에 중복 장비를 추가로 설치해야 합니다.
• 장비를 전력 장애, 네트워크 중단 등과 같은 유틸리티 서비스 중단으로부터 보호하기 위해 보안 메커니즘과 중복 시스템을 구현해야 합니다.
• 데이터 보존 및 저장에 관한 정책과 절차를 수립하고, 규제, 법적, 계약상 또는 비즈니스 요구사항을 준수할 수 있도록 백업 또는 중복 메커니즘을 구현해야 합니다. 디스크 또는 테이프 백업 복구 테스트는 계획된 주기로 시행해야 합니다.

7. 보안 감사

Botpress는 개인 데이터를 생성, 전송 또는 처리하는 모든 시스템에 효과적인 통제 조치를 적용하며, 이러한 통제에는 다음이 포함되나 이에 국한되지 않습니다.

• 개인 데이터가 포함된 외부(공용) 인프라 장치에 대한 타사 취약점 스캔 또는 감사가 실시됩니다.
• 개인 데이터를 저장 및 처리하는 Botpress 시스템에 대해 타사 침투 테스트가 실시됩니다.
• 애플리케이션 또는 프로세스가 금융 정보를 지원하는 경우, 주기적으로 타사 평가가 실시됩니다.
• Botpress는 침투 테스트 결과로 확인된 모든 취약점에 대해 조치를 취하고, 시정 조치에 대해 고객에게 통지할 것을 약속합니다.
  

8. 교육 및 인식

Botpress는 개인정보를 처리하는 시스템에 접근하는 직원 및 서비스 제공업체를 대상으로 보안 인식 프로그램을 시행합니다. 여기에는 다음이 포함됩니다:

• Botpress는 직원들이 Botpress 서비스와 관련된 정보 위험 관리 위협 및 이슈, 그리고 관련 정보 위험 관리 정책을 이해하도록 보장합니다.
• Botpress 직원은 표준 위험 관리 분류 체계 및 적절한 절차에 관한 관련 정보 위험 관리 정책과 절차에 대해 교육과 정기적인 업데이트를 받습니다.
• 하청업체 직원도 Botpress의 정보 위험 관리 분류 체계와 적절한 절차에 대해 인지하도록 합니다.
• 작업 공간이 비워질 때 민감한 데이터가 포함된 문서가 보이지 않도록 정리하고, 일정 시간 비활성 시 워크스테이션 세션이 자동 로그아웃되도록 정책과 절차를 수립해야 합니다.

‍

별표 3 – 하위 처리자

Botpress는 Trust Center에서 최신 하위 처리자 목록을 유지합니다. 별도의 명시가 없는 한, 모든 데이터는 미국에서 처리됩니다.