MSA 데이터 처리 부속합의서

이 데이터 처리 부속합의서(이하 “DPA”)는 Avetta와 고객사 간의 Avetta 기본 구독 계약(“기본 계약”)에 통합되어 그 일부를 이루며 주 계약에 따라 서비스를 제공할 때 Avetta가개인정보를 확보, 취급, 처리, 공개, 전송 또는 저장하는 데 적용되는 추가 약관, 요구 사항 및 조건을 명시합니다. 이 DPA에서 정의되지 않은 모든 대문자 용어는 주 계약에 명시된 의미를 갖습니다.

1. 정의 및 해석.

1.1 정의.

"해당 데이터 보호 법률"은 주 계약과 관련하여 각 당사자의 개인정보 처리에 적용되는 법률 및 규정을 의미합니다, 해당되는 경우 여기에는 (i) 유럽의회 및 유럽연합이사회의 일반 데이터 보호 규정(EU) 2016/679(이하 “GDPR”), 단 고객사가 직접 또는 간접적으로 사업을 운영하는 관련 EU 회원국의 법률 및 규정에 따라 개정 및 보완된 경우도 포함, (ii) 2018년 영국 데이터 보호법 및 영국 일반 데이터 보호 규정(이하 “UK GDPR”), (iii) 1988년 호주 개인정보 보호법 및 호주 개인정보 보호 원칙, (iv) 2018년 캘리포니아 소비자 개인정보 보호법(2020년 캘리포니아 개인정보 보호법에 의해 개정됨) 및 관련 규정이나 지침(총칭하여, “CCPA”), (v) 캐나다 개인정보 보호 및 전자문서법(이하 “PIPEDA”), (vi) 현재 시행 중이거나 향후 시행될 기타 모든 국제적, 연방, 주, 준주, 지방 및 지역 차원의 개인정보 보호법, 규칙, 규정, 지침 및 정부 요구 사항이 포함됩니다.

"정보 주체"는 개인정보의 대상이자 개인정보가 직접 또는 간접적으로 관련 또는 식별되는 개인을 의미합니다.

"데이터 프라이버시 프레임워크”에는 미국과 유럽 사이의 상거래를 촉진하기 위해 미국 상무부, 유럽연합 집행위원회, 영국 정부 및 스위스 연방 행정부에 의해 개발된 유럽연합-미국 데이터 프라이버시 프레임워크, 유럽연합-미국 데이터 프라이버시 프레임워크의 영국으로의 확대, 스위스-미국데이터 프라이버시 프레임워크가 포함되며 이는 EEA, 영국(지브롤터) 및 스위스에서 미국으로 개인정보를 전송할 때 미국 기관에 신뢰할 수 있는 메커니즘을 제공하는 동시에 EU, 영국, 스위스 법률에 부합하는 데이터 보호를 보장합니다.

“EEA”는 유럽 연합의 모든 회원국과 아이슬란드, 노르웨이 및 리히텐슈타인으로 구성된 유럽 경제 지역을 의미합니다.

"EU SCC"는 유럽위원회 결정의 부속서(EU) 2021/914에 명시된 바와 같이 유럽연합에서 제3국으로 개인정보를 전송할 때 유럽연합 집행위원회가 사용하는 표준 계약 조항을 의미하며, 그 사본은 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en에서 확인할 수 있습니다.

"개인정보"는 Avetta가 처리하는 모든 정보 중 (i) 해당 데이터로만 또는 Avetta의 소유 또는 통제에 속한 다른 정보와 결합하여 직접 또는 간접적으로 식별할 수 있는 개인을 식별하거나 그와 관련된 정보, 또는 (ii) 해당 데이터 보호 법률에서 보호받는 개인 데이터 또는 개인 정보로 정의하는 모든 정보를 의미합니다.

"처리, 처리하다, 처리 중"은 개인정보를 사용하는 모든 활동을 의미하며, 해당 데이터 보호 법률에서 따로 정의하면 그 정의를 따릅니다. 여기에는 데이터를 확보, 기록 또는 보관하거나 데이터를 정리, 수정, 검색, 사용, 공개, 삭제 또는 폐기 등 데이터에 대한 작업 또는 일련의 작업을 수행하는 것이 포함됩니다. 처리에는 제3자에게 개인정보를 전송하는 것도 포함됩니다.

"보안 침해"란 개인정보의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해를 의미합니다.

"정보 주체의 권리 요청"란 정보 주체가 해당 데이터 보호 법률에 따른 권리를 행사하는 것을 의미합니다.

"영국 부속합의서"는 유럽연합 집행위원회의 표준 계약 조항에 대한 영국 정보 위원회 사무소의 국제 데이터 전송 부속합의서를 의미하며, 그 사본은 https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance에서 확인할 수 있습니다.

1.2 이 별첨은 DPA의 일부를 구성하며, DPA 본문에 전부 기재된 것과 동일한 효력을 가입니다. 이 DPA를 지칭할 때 본문뿐 아니라 별첨까지 포함하는 것으로 합니다.

1.3 문서 또는 서면으로 한다는 표현에는 이메일도 포함됩니다.

1.4 이 DPA의 조항과 주 계약의 조항이 상충되거나 불명확한 경우, DPA의 조항이 우선 적용되며, 이 DPA의 조항과 별첨 A의 조항이 상충하는 경우에는 해당 별첨 A의 관련 조항이 우선 적용됩니다.

2. 역할 및 처리 범위.

2.1 당사자의 역할. 고객사와 Avetta는 다음을 인정하고 동의합니다.

(a) Avetta는 고객사를 대신하여 고객사의 지시에 따라 개인정보를 처리하는 범위 내에서 데이터 처리자입니다.

(b) Avetta는 개인정보가 서비스 제공 또는 청구, 계정 관리, 기술 지원, 보안 위협 예방 및 감지, 제품 개발, 분석 사용, 영업 및 마케팅(예: 고객사의 관리자 사용자에게 뉴스레터 전송) 등 Avetta의 정당한 사업상의 이익과 관련된 자체 목적으로 처리되는 범위 내에서 데이터 관리자입니다.

2.2 고객사의 개인정보 처리. 고객사는 다음을 인정하고 동의합니다.

(a) 고객사는 고객사 또는 그 정보 주체로부터 Avetta 및/또는 사이트에 제출된 개인정보의 정확성, 품질 및 적법성에 대해 전적으로 책임져야 합니다.

(b) 고객사는 해당 데이터 보호 법률을 준수하며 정보 주체로부터 수집된 개인정보만 Avetta에 업로드하고 제출해야 합니다.

(c) 고객사는 민감한 데이터를 포함한 개인정보를 Avetta로 적법하게 전송하고 주 계약 및 이 DPA에 따라 다양한 관할 구역에서 Avetta가 개인정보를 처리할 수 있도록 하기 위하여, 해당 데이터 보호 법률에 따라 고객사가 모든 필요한 동의 및 안내사항을 마련하고 모든 기타 요구 사항을 충족했는지 확인해야 합니다.

(d) 동의가 개인정보 처리의 법적 기반이거나 서비스 사용에 필요한 경우, 고객사는 각 경우에 해당 데이터 보호 법률에 따라 (i) 정보 주체로부터 그러한 동의를 얻기 위한 메커니즘 및 (ii) 정보 주체가 그러한 동의를 철회할 수 있는 메커니즘을 항상 제공하고 유지해야 합니다.

(e) 고객사의 서비스 사용은 정보 주체의 권리를 침해하지 않습니다.

2.3 데이터 처리 세부 정보. 별첨 B에는 주 계약에 따른 서비스 제공과 관련하여 Avetta가 처리할 개인정보의 일반 범주, 정보 주체의 유형, 기타 세부 사항이 설명되어 있습니다.

3. Avetta의 의무.

3.1 Avetta는 별첨 B에 명시된 특정 전송 목적으로만 개인정보를 처리합니다. Avetta는 (i) 정보 주체의 사전 동의를 얻은 경우, (ii) 특정 행정, 규제 또는 법적 절차의 맥락에서 법적 청구의 입증, 실행 또는 방어에 필요한 경우, 또는 (iii) 해당 데이터 보호 법률에서 사전 동의 없이 별첨 B에 명시된 특정 목적에 부차적인 목적을 위한 개인정보 사용을 허용하는 경우, 개인정보를 다른 목적으로 사용할 수 있습니다. Avetta가 고객사의 데이터 처리자 역할을 하는 범위 내에서 Avetta는 고객사의 지침에 따라 개인정보를 처리합니다. 당사자는 고객사의 지침이 주 계약의 범위 내에 있어야 하며, 고객사는 추가 지침에 대해 Avetta의 사전 서면 동의를 받아야 한다는 데 동의합니다. Avetta는 해당 지침이 해당 데이터 보호 법률을 위반한다고 판단될 경우 고객사에 즉시 통지해야 합니다. 해당되는 경우, 고객사는 해당 정보 주체와 관련하여 필요한 모든 커뮤니케이션, 알림, 지원 및/또는 승인에 책임이 있습니다.

3.2 Avetta는 Avetta의 처리 성격과 Avetta가 이용할 수 있는 정보를 고려하여 고객사가 규정 준수 의무를 충족할 수 있도록 해당 데이터 보호 법률에 따라 합리적인 지원을 제공합니다. 해당 고객사는 이러한 지원을 제공하는 것과 관련하여 Avetta에 발생한 모든 비용을 부담해야 합니다. 이러한 규정 준수 의무에는 자연인의 권리 및 자유에 대한 높은 리스크를 초래할 가능성이 있는 경우, 처리 작업이 개인정보 보호에 미치는 영향을 평가(이하 “데이터 보호 영향 평가”)할 의무가 포함될 수 있습니다.

4. Avetta 직원.

4.1 Avetta는 개인정보 처리에 접근할 수 있거나 관련된 모든 직원이 (i) 개인정보 처리 관련 데이터 보호 법률에 대한 교육을 받았으며, 해당 데이터 보호 법률 및 이 DPA에 따른 Avetta의 의무와 개인의 의무를 모두 인지하고 있고 (ii) 적절한 기밀유지 의무(계약상 또는 법률상 의무)를 지고 있음을 보장합니다.

4.2 Avetta는 개인정보에 접근할 수 있는 모든 Avetta 직원의 신뢰성, 청렴성 및 정직성을 보장하기 위해 합리적인 조치를 취합니다.

5. 보안.

5.1 처리의 성격, 범위, 맥락 및 목적, 실행 비용, 그리고 정보 주체의 자유와 권리에 대한 다양한 위험의 가능성과 심각성을 고려하여 Avetta는 해당 위험에 적합한 보안 수준을 보장하기 위해 별첨 B의 부속서 II에 설명된 보안 조치를 포함하여 적절한 기술적, 조직적 조치를 시행했습니다. Avetta는 수시로 부속서 II를 검토하고 업데이트할 수 있으나 그러한 업데이트가 서비스 또는 개인정보의 전반적인 보안을 실질적으로 저하시켜서는 안 됩니다.

5.2 고객사는 Avetta가 제공한 데이터 보안 관련 정보를 검토하고, 서비스가 해당 데이터 보호 법률에 따른 고객사의 요구 사항 및 법적 의무를 충족하는지에 대해 독립적으로 판단할 책임이 있습니다.

6. 보안 침해 및 개인정보 유출.

6.1 Avetta는 보안 침해 사항을 알게 되는 즉시 고객사에 통지해야 하며, 해당 데이터 보호 법률에서 요구하는 침해 사항 보고 의무를, 그 법률이 요구하는 기간 내에 이행할 수 있도록 고객사에 합리적이고 필요한 지원을 제공해야 합니다. Avetta의 알림은 고객사가 서비스 내에 등록한 이메일로 전송되며, 그러한 이메일이 등록되지 않은 경우, 고객사는 알림 수단이 Avetta의 합리적인 재량에 따라 결정되며 이로 인해 Avetta가 적시에 통지하지 못할 수 있음을 인정합니다. Avetta는 보안 침해를 억제, 조사, 완화하기 위해 신속하게 합리적인 조치를 취해야 합니다. 보안 침해가 의심되는 경우, 고객사는 infosec@avetta.com으로 즉시 보고해야 합니다.

6.2 Avetta는 가능한 한 적시에 고객사에 보안 침해에 대한 정보를 제공해야 합니다. 여기에는 보안 침해의 성격과 결과, Avetta가 보안 침해를 완화하거나 억제하기 위해 취하거나 제안한 조치, Avetta의 조사 상태, 추가 정보를 얻을 수 있는 연락처, 관련된 데이터의 범주 및 대략적인 수가 포함되며 이에 국한되지 않습니다. 보안 침해와 관련하여 Avetta 또는 Avetta를 대신하여 고객사와 주고받는 커뮤니케이션이 보안 침해와 관련하여 Avetta의 결함 또는 책임을 인정하는 것으로 해석되어서는 안 됩니다.

7. 개인정보의 국외 전송, 필수 계약 조항.

7.1 고객사는 서비스를 제공하는 데 필요한 경우, Avetta가 전 세계적으로 개인정보를 전송, 접근 및 처리할 수 있다는 사실을 인정하고 동의합니다.

7.2 해당 데이터 보호 법률이 Avetta로 개인정보를 전송하는 특정 메커니즘 및/또는 Avetta의 개인정보 처리에 대한 계약 조항(총칭하여, “전송 메커니즘”)을 규정한 경우, Avetta는 해당 특정 전송 메커니즘을 (Avetta의 일반적인 지원 범위 내) 별첨 A에 제공합니다.

7.3 해당 데이터 보호 법률이 개인정보 처리에 대한 전송 및/또는 계약 조항에 대한 추가 요구 사항을 규정한 경우, Avetta는 고객사가 해당 요구 사항을 준수할 수 있도록 고객사와 합리적으로 협력하는 데 동의하며, 적절한 경우, 별첨 A의 전송 메커니즘을 업데이트합니다. 고객사는 추가 또는 수정된 전송 메커니즘에 법적 효력을 부여하기 위해 합리적으로 필요한 추가 서류를 작성하고 추가 조치를 취하는 데 동의합니다.

8. (하위) 처리자.

8.1 고객사는 Avetta가 데이터 처리자로 활동하는 범위 내에서, Avetta가 Avetta의 (하위) 처리자에 나열된 하위 처리자를 서비스 제공과 관련된 개인정보 처리에 이용할 수 있다는 점에 동의합니다. 새로운 하위 처리자를 승인하거나 하위 처리자를 교체하기 최소 10일 전에 Avetta는 제안된 새로운 하위 처리자를 Avetta의 (하위) 처리자에 게시하여 고객사에 변경 사항을 통보합니다. 고객사는 이 웹 사이트에서 업데이트된 내용을 정기적으로 확인해야 할 책임이 있습니다. 고객사가 Avetta의 DPA 규정 준수와 관련된 새로운 하위 처리자 임명에 정당한 이의를 제기하는 경우, Avetta는 고객사의 반대를 처리하기 위해 합리적인 노력을 기울입니다. 해결책을 찾을 수 없는 경우, Avetta는 단독 재량으로 새로운 하위 처리자를 임명하지 않거나 고객사가 어느 당사자에게도 책임을 지지 않고 주 계약을 중단 또는 종료할 수 있도록 허용합니다. Avetta는 주 계약에 따라 지불한 금액을 환불할 의무가 없습니다. 또한 고객사는 Avetta가 데이터 관리자로서 활동하는 범위 내에서 Avetta가 Avetta의 (하위) 처리자에서 설명한 추가 서비스 제공업체를 여기에 명시된 목적으로 이용할 수 있다는 사실을 인정하고 동의합니다.

9. 정보 주체 권리 행사 요청.

9.1 당사자는 해당 데이터 보호 법률에서 정한 기간 내에 정보 주체의 권리 요청에 응할 수 있도록 합리적으로 필요한 지원을 제공하는 데 동의합니다.

10. 제3자 데이터 접근 요청.

10.1Avetta는 법률이나 해당 기관 또는 단체의 법적 구속력이 있는 명령에 의해 달리 금지되지 않는 한, 정부 또는 규제 기관 또는 법 집행 기관이 고객사의 개인정보 공개를 요청하는 경우, 고객사에 통지해야 합니다.

11. 기간 및 종료.

11.1 이 DPA는 주 계약 발효일 또는 Avetta에 최초로 개인정보가 제공된 날짜 중 더 빠른 날짜에 발효되며, 주 계약이 유효한 한 완전한 효력을 유지합니다.

11.2 이 DPA의 조항 중 개인정보 보호를 위해 주 계약 종료 시 또는 그 이후에도 명시적으로든 묵시적으로든 효력을 가지거나 유지해야 하는 조항은 모두 완전한 효력을 유지합니다.

12. 데이터 반환 및 폐기.

12.1 고객사의 요청에 따라, Avetta는 Avetta가 보유 또는 관리하는 고객사 개인정보의 사본 또는 접근 권한을 고객사에 Avetta 표준 형식으로 제공합니다. 단, Avetta가 개인정보를 폐기하기 전에 해당 요청이 제출된 경우에 한합니다.

12.2 주 계약 종료 후, Avetta는 합리적인 기간 내에 SaaS 플랫폼에서 이 DPA와 관련된 고객사 개인정보를 안전하게 삭제하거나 폐기합니다. 이 요구 사항은 (i) 개인정보 보유가 법률, 규정, 세금, 회계 또는 보고 요건을 충족하기 위한 것이거나 Avetta가 소송의 가능성이 있다고 판단하는 경우, 법적 청구의 제기, 행사 또는 방어를 위한 것일 때 적용되지 않으며 (ii) Avetta의 백업 정책에 따라 백업 파일이 덮어쓰기되거나 삭제되기 전까지, 백업 시스템에 있는 개인정보에 적용되지 않습니다. 이러한 경우 Avetta는 해당 데이터를 삭제할 수 있을 때까지 관련 법률이 요구하는 경우를 제외하고는 추가 처리가 이루어지지 않도록 분리하여 보호합니다.

13. 감사.

13.1 서면 요청이 있을 경우, 고객사에 추가 비용 없이 Avetta는 고객사 및/또는 적절한 자격을 갖춘 제3자 담당자(총칭하여, “감사관”)에게 DPA에 따른 Avetta의 의무 준수 여부를 입증하는, 합리적으로 요청된 문서에 대한 접근 권한을 제공해야 합니다. 이러한 문서는 ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 22301:2019(이하 “ISO 인증”), 및 SOC 2 Type II처럼 별첨 B의 부속서 II에 나열되어 있는 관련 감사 또는 인증입니다. Avetta는 또한 감사관이 제출한 서면 감사 질문지에 답변하며, (고객사의 비용으로) 원격 회의 또는 대면 회의를 통해 후속 질문에 답변합니다. 단, (i) 이러한 감사 질문지는 ISO 인증 또는 SOC 2 Type II 감사 보고서에서 이미 다루어진 주제나 영역을 다루지 않으며, (ii) 고객사는 관할 데이터 보호 기관의 지시로 필요한 경우 및 시기 외에, 1년에 한 번 이상 이 권리를 행사하지 않습니다. Avetta는 감사관이 보고서 검토 또는 Avetta에 대한 감사를 수행하기 전에 Avetta와 별도의 기밀유지 협약을 체결하도록 요구할 수 있으며, Avetta는 감사관이 적절한 자격을 갖추지 못하거나 Avetta의 직접 경쟁자라고 합리적인 판단을 내리는 경우, 해당 감사관에 대해 서면으로 이의를 제기할 수 있습니다. Avetta가 이러한 이의를 제기하면 고객사는 다른 감사관을 임명해야 합니다. 감사관의 보고서 검토 또는 감사 수행과 관련하여 발생한 모든 비용은 고객사에만 부과됩니다.

14. 총칙.

14.1 당사자는 이 DPA가 Avetta와 고객사가 서비스와 관련하여 이전에 체결했을 수 있는 기존 데이터 처리 부속합의서, 첨부 문서, 부속 문서 또는 표준 계약 조항을 교체하고 대신하는 데 동의합니다. Avetta는 이 DPA를 수시로 업데이트할 수 있지만(예: 적용 가능한 데이터 보호 법률의 변경 사항, 또는 합병, 인수, 조직 구조조정 또는 이와 유사한 사건, 새로운 기능, 제품 또는 서비스의 출시, 또는 기존 서비스의 중대한 변경 사항에 대한 응답으로), 이러한 업데이트로 인해 개인정보의 프라이버시나 보안을 크게 저하시켜서는 안 됩니다. Avetta는 업데이트된 버전을 MSA 데이터 처리 부속합의서 또는 Avetta가 지정한 후속 웹 사이트에 게시합니다.

14.2 EU SCC에 따른 책임을 포함하여, 이 DPA 또는 관련하여 발생하는 Avetta의 책임은 주 계약에 명시된 책임 면제 및 제한 조항의 적용을 받습니다. Avetta는 어떠한 경우에도 정보주체에 대한 책임이나 관할 데이터 보호 당국이 부과하는 책임을 제한하거나 배제하지 않습니다.

14.3 EU SCC에서 명시적으로 규정했거나 해당 데이터 보호 법률에 따라 요구되는 경우를 제외하면, 이 DPA는 제3자에게 어떤 수혜권도 부여하지 않으며 오직 당사자 및 각 당사자가 허용한 승계인 및 양수인에게만 적용되고, 그 외의 어떤 제3자에게도 이익을 주기 위한 것이 아니며, 또한 어떤 조항도 제3자가 집행할 수 없습니다.

14.4 이 DPA 및 관련된 모든 조치는 주 계약에 명시된 법에 따라 규정되고 해석되며, 어떠한 저촉법 원칙도 적용되지 않습니다. 당사자는 주 계약에 명시된 법원의 인적 관할권 및 재판 장소에 동의합니다.

14.5 어떤 이유로든 이 DPA의 조항이 무효하거나 집행 불가능하다고 판단되는 경우, 다른 DPA 조항은 계속 유효하게 적용됩니다. 전술한 내용의 일반성을 제한하지 않고, 고객사는 이 DPA의 어떤 조항이 집행 불가능하더라도 제14.2조(책임 한계)가 효력을 유지한다는 데 동의합니다.

별첨 A

전송 메커니즘 및 필수 계약 조항

이 별첨 A는 Avetta가 지원하는 전송 메커니즘을 제공합니다. 고객사에서 Avetta로의 전송에 해당하지 않는 경우, 전송 메커니즘은 적용되지 않으며, 이 DPA에 포함되지 않습니다. 나열된 전송 메커니즘이 해당 데이터 보호 법률에 따라 적용 가능하거나 적용 가능하게 되면, (해당 당사자들이 서명해야 하는 경우) 이는 당사자들이 서명한 것으로 간주되며 이 DPA에 포함됩니다.

1. 데이터 프라이버시 프레임워크. 미국으로의 개인정보 전송 시, Avetta는 미국 상무부에서 관리하는 유럽연합-미국 데이터 프라이버시 프레임워크, 유럽연합-미국 데이터 프라이버시 프레임워크의 영국으로의 확대, 스위스-미국 데이터 프라이버시 프레임워크에 대한 자체 인증을 완료했습니다. 자세한 내용은 데이터 프라이버시 프레임워크 정책에서 Avetta 데이터 프라이버시 프레임워크 고지를 참조하십시오.

2. 유럽연합 표준 계약 조항(EU SCC). 처리가 EEA 외부에서 Avetta로의 개인정보 전송과 관련되어 있고, 국제 전송에 다른 합법적인 근거가 없는 경우(예: 관련 데이터 프라이버시 프레임워크가 무효화됨), 해당 전송은 EU SCC의 적용을 받습니다. 구체적으로

1. Avetta가 데이터 관리자 역할을 하는 경우, 고객사와 Avetta 간의 개인정보 전송에 아래 조건으로 보완된 EU SCC 제1모듈(관리자 간의 전송)이 적용됩니다.
   1. 제7조(도킹 조항)에 있는 선택적 문구가 사용됩니다.
   2. 제11조 (a)항(구제)에 있는 선택적 문구는 사용되지 않습니다.
   3. 제17조에는 첫 번째 선택지가 사용되며, 벨기에 법이 준거법이 됩니다.
   4. 제18조 (b)항의 경우, 선택된 관할 법원은 벨기에 법원입니다.
2. 처리와 관련하여 고객사가 데이터 관리자이고 Avetta 데이터 처리자인 경우, 아래 조건으로 보완된 EU SCC 제2모듈(관리자와 처리자 간의 전송)이 적용됩니다.
   1. 제7조(도킹 조항)에 있는 선택적 문구가 사용됩니다.
   2. 제9조 a항에 대해 옵션 2(일반 서면 승인)가 선택되었으며 정해진 기간은 10일입니다.
   3. 제11조 (a)항(구제)에 있는 선택적 문구는 사용되지 않습니다.
   4. 제17조에는 첫 번째 선택지가 사용되며, 벨기에 법이 준거법이 됩니다.
   5. 제18조 (b)항의 경우, 선택된 관할 법원은 벨기에 법원입니다.
3. EU SCC의 부속서 I, 부속서 II 및 부속서 III는 별첨 B에 명시된 정보를 바탕으로 완료된 것으로 간주됩니다.

3. 영국 부속합의서. 처리가 영국 외부에서 Avetta로의 개인정보 전송과 관련되어 있고, 국제 전송에 다른 합법적인 근거가 없는 경우(예: 관련 데이터 프라이버시 프레임워크가 무효화됨), 해당 전송은 아래 조건에 의해 보완된 UK 부속합의서의 적용을 받습니다.

1. 이 영국 부속합의서의 당사자는 DPA의 당사자가 됩니다.
2. 이 영국 부속합의서가 수정하는 EU SCC는 별첨 A 제2조에 참조된 해당 EU SCC입니다. 그리고 영국 부속합의서의 표 1~3에는 해당되는 관련 정보를 작성해야 합니다
3. 영국 부속합의서 표 4의 목적을 위하여, “데이터 수입자”를 선택해야 합니다.
4. 영국 부속합의서의 제2부는 다음과 같습니다. “제2부는 승인된 부속합의서의 필수 조항으로, ICO가 발행하고 2018년 데이터 보호법 제119A조에 따라 2022년 2월 2일에 의회에 제출된 템플릿 부속합의서 B.1.0을 의미하며, 해당 필수 조항 제18조에 따라 개정되는 바에 따른다.”

4. 스위스 표준 계약 조항. 처리가 스위스 외부에서 Avetta로의 개인정보 전송과 관련되어 있고 국제 전송에 다른 합법적인 근거가 없는 경우(예: 관련 데이터 프라이버시 프레임워크가 더 이상 유효한 전송 메커니즘이 아님), 해당 전송은 별첨 A의 제2조에 언급된 EU SCC의 적용을 받지만, 다음은 제외합니다.

1. “회원국”이라는 용어는 스위스에 거주하는 정보 주체가 자신의 상주지(스위스)에서 이러한 표준 계약 조항의 제18조 (c)항에 따라 자신의 권리를 위해 소송을 제기할 수 있는 가능성을 배제하는 방식으로 해석되서는 안 됩니다.
2. 전송이 전적으로 연방 데이터 보호법(이하 “FADP”)에 따라 이루어지는 경우, GDPR에 대한 언급은 FADP에 대한 언급으로 이해되야 합니다.
3. 전송이 FADP와 GDPR 모두의 적용을 받는 경우, GDPR에 대한 언급은 전송이 FADP에 따라 적용을 받는 범위 내에서 FADP에 대한 언급으로 이해됩니다.

5. CCPA 계약 조항. 캘리포니아 거주자의 개인정보가 처리되는 경우, 당사자는 또한 다음 사항을 준수해야 합니다.

1. Avetta는 (i) 주 계약 및 CCPA에 명시된 허용된 목적으로만 개인정보를 수집, 사용, 보유 또는 공개하며 그 외의 어떠한 상업적 목적으로도 이를 이용하지 않습니다. (ii) 개인정보를 판매하거나, 교차 맥락 행동 기반 광고를 위해 개인정보를 공유하지 않습니다. (iii) 서비스 제공에 필요한 경우를 제외하고는, Avetta와 고객사 간의 직접적인 업무 관계 외부에서 개인정보를 수집, 사용, 보유 또는 공개하지 않습니다. (iv) Avetta가 고객사로부터 또는 고객사를 대신하여 수신한 개인정보를, 교차 맥락 행동 기반 광고와 관련이 없고 CCPA에 따라 허용되는 사업적 목적을 제외하고는, 다른 개인을 대신하여 수집한 개인정보와 결합하지 않습니다. (v) 개인정보와 관련하여 CCPA가 요구하는 수준과 최소한 동등한 수준의 개인정보 보호를 제공해야 합니다. Avetta는 이러한 제한 사항을 이해하고 준수할 것임을 보증합니다.
2. 고객사는 (i) DPA에 대한 Avetta의 규정 준수 상태를 모니터링하고 (ii) Avetta가 CCPA에 따라 개인정보를 사용하도록 보장하기 위해 합리적이고 적절한 조치를 취할 권리가 있습니다. Avetta는 CCPA에 따른 의무를 더 이상 충족할 수 없다고 판단하는 경우, 고객사에 통지해야 하며, 그러한 경우 Avetta는 고객사와 협력하여 CCPA 및 본 DPA를 준수할 때까지 처리 활동을 중단하고 시정하기 위해 합리적이고 적절한 모든 조치를 취해야 합니다.

별첨 B

개인정보 처리 세부 정보

이 별첨 B는 DPA의 일부를 구성하며, Avetta가 서비스 제공과 관련하여 수행하는 처리에 대해 설명합니다.

부속서 I – 데이터 처리 설명

A. 당사자 목록

데이터 내보내기:

데이터 가져오기:

B. 전송 설명

C. 관할 감독 기관

부속서 II – 기술적 및 조직적 보안 조치

개요

Avetta 서비스형 소프트웨어 애플리케이션(“SaaS 서비스”)은 처음부터 보안을 염두에 두고 설계되었습니다. Connect 및 Workforce Management SaaS 서비스는 각 처리 계층에 전반에 여러 보안 제어 장치가 설계되어 있어 다양한 보안 위험을 해결합니다. 이러한 보안 제어 장치는 변경될 수 있지만, 모든 변경 사항은 SaaS 플랫폼의 전반적인 보안 상태를 유지하거나 개선합니다.

아래의 주요 보안 통제 영역은 Avetta Connect 및 Workforce Management SaaS 서비스의 각 구성 요소에 적용됩니다. Avetta는 Amazon 웹 서비스(AWS)를 주로 활용하고 제한적으로 Equinix를 사용하는 클라우드 서비스 제공업체 플랫폼에서 SaaS 서비스를 호스팅합니다.

감사 및 인증

Avetta SaaS 서비스는 ISO/IEC 27001:2022, ISO/IEC 27701:2019, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 22301:2019(이하 “ISO 인증”)에 따라 인증되었습니다. Avetta는 내부 통제 감사를 수행하여 ISO 인증에 대한 규정 준수 상태를 매년 검토합니다. 이 감사는 Avetta의 고위 임원 리더십 팀으로 구성된 정보 보안 및 개인정보 보호 관리 시스템 위원회가 검토합니다.

Avetta는 SaaS 서비스를 위해 컴퓨팅 및 스토리지에 주로 글로벌 AWS 리전을 활용합니다. AWS는 SOC2, ISO/IEC 27001:2022, ISO/IEC 27017:2015, ISO/IEC 27018:2019, ISO/IEC 27701:2019, ISO/IEC 22301:2019, ISO/IEC 20000-1:2018, and ISO/IEC 9001:2015 등 여러 인증을 획득한 최고 수준의 시설을 제공합니다. 이러한 AWS 시설은 Avetta 고객 데이터가 저장되고 처리되는 곳에 최첨단 물리적 보호 장치를 제공합니다. Avetta는 특정 지역에서 Workforce Management를 위한 클라우드 서비스 제공업체로 Equinix를 사용합니다. Equinix는 또한 ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 14001, ISO/IEC 9001, ISO/IEC 50001, SOC 1 Type II, and SOC 2 Type II를 비롯하여 여러 인증을 유지하고 있습니다. 클라우드 서비스 제공업체에 대한 자세한 내용은, https://aws.amazon.com/compliance/programs/ 및 https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6에서 확인하시기 바랍니다.

재해 복구 및 비즈니스 연속성

SaaS 서비스에서 높은 수준의 시스템 가용성을 유지하도록 Avetta는 일반 운영 데이터 처리 시설과 지리적으로 다른 위치에 있는 백업/페일오버 AWS 데이터 센터를 사용합니다. 이를 통해 Avetta는 AWS 운영 시설을 중단시킬 수 있는 모든 환경적, 물리적 또는 우발적인 사고에 신속하게 대응할 수 있습니다.

Avetta는 최소 연1회 검토되는 종합적인 재해 복구 및 비즈니스 연속성 계획을 유지하고 있습니다. 이 검토를 통해 Avetta 직원은 Avetta의 정상적인 사업 활동을 중단시킬 수 있는 사고가 발생했을 때를 대비한 비상조치계획에 익숙해질 수 있습니다.

Avetta의 시스템은 2시간 미만의 복구 지점 목표(RPO)와 4시간 미만의 복구 시간 목표(RTO)를 지원하도록 설계되었습니다.

Avetta는 또한 조직 내에서 적절한 리스크 완화 전략 및 통제가 실행되었는지 확인하기 위해 정기적으로 종합적인 리스크 평가를 실시합니다.

사고 대응

Avetta는 종합적인 사고 대응 계획을 유지하고 있습니다. 이 계획은 관련 프로세스 및 절차와 함께 Avetta 직원이 Avetta 환경에서 의심스럽거나 잠재적인 보안 침해 또는 기타 의심되는 사이버 보안 활동에 신속하게 대응할 수 있도록 합니다. 자격을 갖춘 보안팀 구성원들이 이끄는 사고대응팀은 이러한 상황을 평가하고 적절한 실천 계획과 완화 전략을 개발합니다. 침해 의심 사례가 확인되면 사고대응팀은 지정된 프로토콜에 따라 즉시 조치를 취하고 적절하게 대응하여 악의적인 활동을 완화하고 법적 입증 자료를 보존합니다. 또한 통지 절차도 이행됩니다.

암호화

Avetta SaaS 서비스에서 저장된 데이터는 AES-256 방식으로 암호화된 상태로 유지됩니다. 추가 데이터 요소는 SALT 방식으로 암호화됩니다. 이러한 암호화 프로세스는 고객 데이터에 대한 높은 수준의 기밀성 및 무결성을 유지합니다. Avetta SaaS 서비스에서는 논리적 데이터 분리가 유지되어 승인되지 않은 출처에서 고객 데이터에 접근할 수 없습니다. 고객 데이터 접근은 고유한 신원 및 액세스 관리를 통해 제어되며, 이러한 기능은 권한이 없는 사용자가 고객 데이터에 접근하는 것을 차단합니다.

Avetta의 보안 조치는 “최소 권한” 방식에 기반하여 구현되며 이는 업무상 필요가 인정되는 직원만 특정 데이터와 시스템 기능에 액세스할 수 있음을 의미합니다.

웹 애플리케이션 보안 관리

고객은 SaaS 서비스에 TLS 1.2 이상의 보안 커뮤니케이션 프로토콜을 통해서만 접속할 수 있습니다. 이를 통해 최종 사용자와 SaaS 서비스 간에 데이터를 안전하게 전송할 수 있는 암호화 채널이 설정됩니다. 이는 데이터를 전송을 처리하는 과정에서 고객의 데이터를 보호합니다.

고객은 SaaS 서비스 관리 기능을 통해 필요한 경우 SaaS 서비스 사용자 및 관련된 접근 권한을 생성하거나 해제할 수 있습니다. SaaS 서비스는 고객이 SAML 2.0 신원 공급업체를 통한 싱글 사인온을 사용하여 SaaS 서비스 계정에 접근할 때 다중 인증을 활성화할 수 있도록 합니다. SaaS 서비스는 고객이 맞춤형 암호 정책을 활성화할 수 있도록 하며, 이는 SaaS 서비스의 비밀번호가 고객사 내부 정책과 일치하도록 조정하는 데 도움이 됩니다.

네트워크

Safe SaaS 서비스는 클라우드 서비스 제공업체의 네트워크 통제 기능을 활용하여 네트워크 출입을 제한합니다. 보안 그룹을 사용하여 네트워크 활동을 승인된 엔드포인트로 제한합니다. SaaS 서비스는 클라우드 서비스 인프라 내 비공개 영역, DMZ 및 신뢰할 수 없는 영역을 활용하여 논리적으로 분리된 여러 개의 Cloudflare 가상 환경을 비롯한 다층 네트워크 아키텍처를 사용합니다.

모니터링 및 감사

SaaS 서비스 시스템과 네트워크는 보안 사고, 시스템 건전성, 네트워크 이상, 처리 활동, 인프라 처리 수준 및 가용성을 탐지하기 위해 모니터링됩니다. Avetta는 침입 탐지 시스템을 사용하여 네트워크 활동을 모니터링하여 Avetta의 지정된 팀 구성원에게 의심스러운 행동을 경고합니다. 모든 공용 웹 서비스에도 웹 애플리케이션 방화벽이 구현됩니다.

Avetta는 애플리케이션, 네트워크, 사용자 및 운영 체제 이벤트를 로컬 syslog 서버 및 SIEM에 기록합니다. 이러한 로그는 의심스러운 활동 및 위협을 대상으로 자동으로 분석 및 검토됩니다. 시스템 활동 이상은 필요한 경우 적절한 조치와 함께 상위 부서로 전달될 수 있습니다. Avetta는 보안 정보 및 이벤트 관리 시스템을 활용하는데, 이 시스템은 Avetta 네트워크 및 보안 환경에 대한 지속적인 보안 분석을 제공하며 가능하거나 의심스러운 활동의 징후에 대한 경보, 탐지 및 보고를 기록합니다. 이러한 모든 기능과 활동은 Avetta의 DevOps 및 사이버 보안 직원이 관리합니다.

취약점 관리

Avetta는 적절한 보안 통제가 구현되고 효과적으로 작동하도록 지원하기 위해 포괄적인 보안 프로그램의 일환으로 정기적으로 웹 애플리케이션 취약성 평가, 정적 코드 분석, 외부 보안 평가를 수행합니다. Avetta는 네트워크 및 웹 취약성 평가를 수행하기 위해 반년마다 독립적인 제3자 취약성 및 침투 테스트 전문가를 고용합니다. 이러한 외부 감사의 범위에는 오픈 웹 애플리케이션 보안 프로젝트(OWASP) 상위 10개 웹 취약점에 대한 규정 준수가 포함됩니다. 취약성 평가 결과는 식별된 취약성을 해결하기 위해 Avetta 소프트웨어 개발 수명 주기(이하 “SDLC”)에 포함됩니다. 특정 취약점에 대해서는 우선순위가 정해지고, 해결 과정을 추적하기 위해 Avetta 내부 티켓 시스템에 입력됩니다.

보안 소프트웨어 개발

Avetta는 SDLC 내에서 안전한 개발 관행을 준수합니다. 이러한 관행에는 정적 코드 분석과 실시간 코드 분석 도구가 포함됩니다. 또한 동료 평가는 운영 환경에 코드를 배포하기 전에 수행됩니다. Avetta는 생산, 테스트/품질 보증, 데모 등 별도의 처리 환경을 구현했습니다. Avetta 소프트웨어 개발자는 매년 보안 코딩 교육을 받아야 합니다.

Avetta 사이버 보안 팀

Avetta에는 사이버 보안 석사 학위를 받은 사이버 보안 관리자가 이끌고 있는 전담 보안 팀이 있습니다. 이 팀은 전사적인 정기 보안 교육, 보안 훈련, 정기 취약성 및 침투 테스트를 실시합니다. 이러한 노력을 통해 사이버 보안 팀은 고객정보 처리의 보안을 확보하기 위해 기술적 및 조직적 조치의 효과성을 정기적으로 테스트, 평가 및 검증합니다.

사이버 보안 팀은 또한 연간 감사 및 인증에 참여하고 사이버 보안 세미나에 참석합니다.

개인정보 및 데이터 보호

Avetta는 강력한 정보 보안 및 개인정보 보호 정책을 유지하고 있습니다. 이 정책은 고객 정보의 안전을 보장하기 위해 준수되는 절차를 간략히 설명합니다. 데이터 보존, 접근성 및 인증 지침, 허용 가능한 사용 지침, 데이터 프라이버시 지침을 비롯하여 시행되는 통제 방안이 상세히 설명되어 있습니다.

부속서 III – 하위 처리자 목록

Avetta의 현재 하위 처리자 목록은 다음에서 확인할 수 있습니다. Avetta의 (하위) 처리자.