데이터 처리 계약

본 데이터 처리 계약(이하 “DPA”)은 귀하(이하 “고객” 또는 “개인정보 처리 위탁자”)와 EVRIZ USA, Inc.(이하 “회사”) 간의 서비스 이용 약관의 일부를 구성합니다. 본 DPA는 PhishSense 플랫폼(이하 “서비스”)과 관련하여 회사가 고객을 대신하여 수행하는 개인정보 처리를 규율합니다.

고객 데이터가 저장 및 처리되는 모든 서버 인프라는 대한민국에 소재한 개인사업자인 이브리즈(이하 “EVRIZ Korea”)가 소유하고 운영합니다. EVRIZ Korea는 주요 인프라 운영자이자 개인정보 처리 수탁자입니다. EVRIZ USA, Inc.는 EVRIZ Korea와의 라이선스 계약에 따라 PhishSense 브랜드 및 웹사이트를 운영합니다.

• 개인정보: 서비스를 통해 처리되는 식별된 또는 식별 가능한 자연인에 관한 모든 정보.
• 개인정보 처리 위탁자(Controller): 개인정보 처리의 목적 및 수단을 결정하는 고객.
• 개인정보 처리 수탁자(Processor): 위탁자를 대신하여 개인정보를 처리하는 EVRIZ Korea.
• 재수탁자(Sub-processor): 처리 수탁자가 개인정보 처리를 위해 계약한 제3자.
• 정보주체(Data Subject): 개인정보의 대상이 되는 개인.
• 관련 데이터 보호 법률: GDPR, PIPA, CCPA 및 기타 해당 데이터 보호 법률.

2.1 처리 대상

처리 수탁자는 피싱 시뮬레이션 캠페인, 보안 인식 교육 및 관련 보고서와 분석을 포함하는 서비스 제공에 필요한 범위에서 개인정보를 처리합니다.

2.2 정보주체 범주

피싱 시뮬레이션 캠페인의 대상으로 지정된 고객의 직원, 계약자 및 승인된 인원.

2.3 개인정보 유형

• 시뮬레이션 대상자의 이름 및 이메일 주소
• 조직 내 역할 및 부서
• 시뮬레이션 상호작용 데이터 (이메일 열람, 링크 클릭, 자격 증명 제출)
• 교육 완료 및 평가 결과
• 시뮬레이션 상호작용 중 수집된 IP 주소 및 기기/브라우저 정보

2.4 기간

처리는 고객의 구독 기간 동안 계속되며, 해지 또는 만료 후 30일의 데이터 보유 기간이 추가됩니다. 관련 법률에 의해 더 긴 기간이 요구되는 경우는 예외입니다.

처리 수탁자는 다음을 이행합니다:

• 관련 법률에 의해 요구되지 않는 한, 위탁자의 문서화된 지시에 따라서만 개인정보를 처리합니다.
• 개인정보를 처리할 권한이 있는 인원이 기밀 유지에 동의했음을 보증합니다.
• 위험에 적합한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 시행합니다.
• 정보주체의 접근 요청 대응 및 데이터 보호 의무 준수를 지원합니다.
• 본 DPA 준수를 입증하는 데 필요한 모든 정보를 위탁자에게 제공합니다.
• 개인정보 침해를 인지한 경우 부당한 지체 없이 위탁자에게 통지합니다.

처리 수탁자는 다음 보안 조치를 유지합니다:

• 전송 중(TLS 1.2+) 및 저장 시(AES-256) 개인정보 암호화
• 정기적인 접근 제어 검토 및 최소 권한 원칙
• 관리자 접근에 대한 다중 인증(MFA)
• 정기적인 취약점 평가 및 침투 테스트
• 물리적 접근 제어가 갖춰진 안전한 데이터센터 시설
• 자동화된 백업 및 재해 복구 절차
• 직원 보안 인식 교육 및 기밀 유지 계약
• 사고 대응 및 침해 통지 절차

5.1 승인

고객은 처리 수탁자가 재수탁자를 활용하는 것에 대해 일반적인 승인을 부여합니다. 처리 수탁자는 재수탁자 목록에 대한 변경 예정 사항을 최소 14일 전에 고객에게 통지하여 이의를 제기할 수 있도록 합니다.

5.2 현재 재수탁자

5.3 의무

처리 수탁자는 각 재수탁자가 본 DPA에 명시된 것보다 낮지 않은 수준의 데이터 보호 의무에 구속되도록 보장합니다.

처리 수탁자는 관련 데이터 보호 법률에 따라 접근, 정정, 삭제, 데이터 이동성, 처리 제한 또는 처리 반대 권리를 포함한 정보주체 요청에 대한 위탁자의 대응 의무를 지원합니다.

처리 수탁자가 정보주체로부터 직접 요청을 받은 경우, 즉시 위탁자에게 통지하고 관련 법률에 의해 요구되지 않는 한 위탁자의 지시 없이 해당 요청에 응답하지 않습니다.

모든 고객 데이터는 EVRIZ Korea가 운영하는 대한민국에 위치한 서버에만 저장됩니다. 적절한 수준의 데이터 보호를 제공하지 않는 국가의 재수탁자에게 개인정보가 이전되는 경우, 처리 수탁자는 해당되는 경우 표준 계약 조항(SCC)을 포함한 적절한 보호 조치가 시행되도록 보장합니다.

개인정보 침해가 발생한 경우, 처리 수탁자는 다음을 이행합니다:

• 침해를 인지한 후 부당한 지체 없이, 어떠한 경우에도 72시간 이내에 위탁자에게 통지합니다.
• 위탁자가 관련 데이터 보호 법률에 따른 통지 의무를 이행할 수 있도록 충분한 정보를 제공합니다.
• 침해의 조사, 완화 및 시정을 지원하기 위해 위탁자와 협력하고 합리적인 상업적 조치를 취합니다.

고객의 구독이 해지 또는 만료되면, 처리 수탁자는 위탁자의 선택에 따라 다음을 수행합니다:

• 일반적으로 사용되는 형식으로 모든 개인정보를 위탁자에게 반환하거나;
• 모든 개인정보를 삭제하고 해당 삭제를 증명합니다.

삭제는 구독 기간 종료 후 30일 이내에 완료됩니다. 관련 법률이 개인정보 보유를 요구하는 경우는 예외입니다.

본 데이터 처리 계약에 대한 문의:

데이터 처리 인프라 관련 문의: