For those planning training sessions or candidates intending to take an online exam during this period, we will be offering online exam sessions on December 27 and 29, as well as January 5, 2024. You can check the link to online exam events here.

데이터보호정책

1 서문

PECB 그룹(이하 ‘PECB’, ‘우리’, 관련 대명사)은 등록, 신청, 교육, 시험, 인증 목적과 지원 서비스를 위해 제공되는 정보의 데이터 관리자(controller) 및 처리자(processor) 입니다.

우리의 데이터보호정책에 명시되어 있듯이, PECB는 직원, 고객, 이해당사자, 관련 당사자의 정보를 처리함에 있어 충분한 주의를 기울이고 기밀성을 유지할 책임이 있습니다. 이 정책은 PECB가 데이터를 수집, 저장, 취급, 보호하는 방법을 규정합니다.

이 정책에 규정된 규칙은 전자기기, 문서, 기타 저장장치에 저장된 모든 형태의 데이터에 적용됩니다.

2 프라이버시 요소

PECB는 성명, 전화번호, 계정 정보, 자택 주소 등을 포함하여 개인 신원을 파악할 수 있는 정보 혹은 데이터를 수집 및 처리하고 있습니다. 

PECB의 개인정보 이용에는 캐나다 개인정보보호 및 전자문서법(PIPEDA)과 유럽 일반데이터보호규정(GDPR), GDPR과 동일한 수준의 기타 국가 개인정보법이 적용됩니다.  

PECB는 우리가 관리하는 모든 개인정보를 데이터보호 원칙을 준수하면서 처리합니다.

PECB의 데이터 처리 방식은 다음 사항을 준수합니다.

  • 합법성, 공정성, 투명성을 바탕으로 처리
  • 구체적이고 명시적이며 제한된 목적으로 수집(목적 제한)
  • 충분성, 관련성, 과도하지 않음(데이터 최소화)
  • 필요한 경우, 정확성 유지 및 최신화
  • 필요 이상의 기간 동안 보유하지 않음(보유)
  • 적절한 보안 수준과 기밀성에 따라 취급

3 역할과 책임

모든 PECB 직원과 협력자는 데이터의 수집, 저장, 취급, 보호가 적절히 이루어질 수 있도록 보장할 책임이 있습니다. 데이터보호책임자(DPO) 연락처 정보는 다음과 같습니다.

책임자:  데이터보호책임자

이메일:     dpo@pecb.com

전화:   +1-844-426-7322

다음은 특정 담당자 혹은 부서의 책임에 대한 설명입니다.

3.1 데이터보호책임자

  • 관리자 혹은 처리자, 그리고 그 직원에게 데이터보호법에 따른 의무 설명 및 조언
  • 개인정보 처리와 자신의 권리 행사에 관한 개인의 요청을 담당하는 창구 역할 수행
  • 데이터보호 전략 감독 및 실행
  • 일반데이터보호규정(GDPR) 컴플라이언스를 보장하기 위한 사정 및 심사 정기 실시

3.2. 정보보안 관리자

  • 사이버보안 인식제고 프로그램 및 리스크 관리를 정기적으로 감독 및 개선
  • 보안위원회와 협력하여 ISO/IEC 27000 시리즈 표준을 기반으로 정보보안 관리시스템(ISMS)의 설계, 실행, 운영, 유지를 리드  
  • 정보보안의 보안태세 평가를 위한 주기적 테스트가 이루어지도록 보장
  • 관련 컴플라이언스 모니터링과 개선 활동의 설계 및 운영을 리드하여 내부 보안정책, 적용 법률 및 규제에 대한 컴플라이언스 보장
  • 컨트롤 개발 및 관리를 통해 다양한 보안 법률, 표준, 규제 요구사항에 대한 컴플라이언스 보장

3.3. IT 시스템 관리자

  • 정보의 비공개, 경쟁금지, 기밀성과 관련된 모든 PECB 정책을 철저히 준수
  • 다양한 웹 기술 및 도구의 최신 동향을 지속적으로 숙지
  • 필요한 경우 네트워킹 시스템 하드웨어/소프트웨어 업데이트 실시 및 보안패치 설치
  • 네트워크 및 네트워킹 장치의 일반적인 상태 확인 및 모니터링 
  • 매일 시스템 모니터링 실시, 모든 하드웨어/서버 리소스/시스템/IT 프로세스의 무결성 및 가용성 검증, 시스템 및 애플리케이션 로그 검토, 백업과 같은 계획된 업무의 완수 여부 검증
  • 컴퓨터 네트워크, 소프트웨어, 디지털 보안 실행, 구성, 유지

3.4. 컴플라이언스 부서

  • 인증 보유자, 강사, 채점관, 응시자, 감독관의 개인정보에 대한 액세스가 미승인 당사자에게 공유 혹은 제공되지 않도록 보장  
  • 신청자가 제공하는 추가 문서 및 데이터를 적절하게 저장 및 중앙집중화해 데이터의 기밀성, 무결성, 가용성을 확보

3.5. 사업개발 부서

PECB 승인 리셀러 및 에이전트의 개인정보에 대한 액세스가 다음 사항을 보장하도록 함

  • 승인된 개인에 한함
  • 미승인 당사자에게 공유 혹은 제공하지 않음

3.6. 시스템 관리자

PECB 웹사이트에 등록된 회원의 개인정보에 대한 액세스가 다음 사항을 보장하도록 함

  • 승인된 개인에 한함
  • 미승인 당사자에게 공유 혹은 제공하지 않음

4 일반 가이드라인

  • 이해당사자의 개인정보에 대한 액세스는 업무 책임에 따른 작업을 수행하기 위해 해당 정보가 필요한 직원으로 제한됩니다.
  • 비공식적인 데이터 공유는 금지되어 있습니다.  기밀 정보에 대한 액세스가 필요할 경우, 직원들은 직속 상사에게 요청해야 합니다. 
  • 모든 PECB 직원은 포괄적인 교육을 통해 개인정보를 취급할 때 따르는 책임을 이해해야 합니다. 
  • 직원들의 프로세스에 포함된 데이터는 아래 장에 명시된 데이터 저장 가이드라인에 따라 보호 및 저장되어야 합니다. 
  • 특히 계정 정보 및 암호는 제한된 액세스와 함께 암호화된 방식으로 저장되어야 합니다.
  • 개인정보는 회사 내부 혹은 외부의 미승인 개인에게 공개되거나 전달되어서는 안 됩니다.
  • 데이터보호 관련하여 불확실한 경우, 직원들은 직속 상사 혹은 데이터보호책임자에게 도움을 요청해야 합니다.

5 데이터 저장

다음 규칙은 데이터 저장 및 안전한 저장 프로세스를 설명합니다. 종이로 저장된 데이터는 승인된 개인에 한하여 안전하게 저장되어야 합니다.  해당 가이드라인은 특정 이유로 인쇄된 전자적으로 저장된 데이터에도 적용됩니다.

  • 하드카피 파일은 잠금장치가 있는 서랍 혹은 서류 정리 보관함에 보관되어야 합니다. 
  • 하드카피 파일에 액세스할 수 있는 직원들은 기밀성을 보장해야 하며, 기밀정보 방치금지 정책(clean desk policy)을 준수해야 합니다. 
  • 인쇄한 파일이 더 필요하지 않을 경우 안전하게 분쇄 후 파기해야 합니다.

데이터를 전자적으로 저장할 경우, 미승인 액세스, 우발적 삭제, 악의적 해킹 시도로부터 반드시 보호해야 합니다.

  • 데이터는 정기적으로 변경하는 강력한 암호로 보호되어야 하며, 암호가 직원들 사이에서 공유되어서는 절대로 안 됩니다.
  • 데이터를 이동식 매체에 저장해서는 안 됩니다(CD 혹은 DVD 등). 업무상의 목적으로 필요할 경우, 이동식 매체는 잠금 형태로 안전하게 보관되어야 합니다.
  • 데이터는 PECB 시설에 위치한 지정된 서버에만 저장되어야 하며, 승인된 클라우드 컴퓨팅 서비스에만 업로드되어야 합니다.  
  • 암호화의 최소 요구조건은 AES 128 Bit입니다.  이는 PECB 시설 혹은 클라우드에 저장된 전송 데이터 혹은 저장 데이터에 해당됩니다.
  • PECB에서는 마이크로소프트 익스체인지(Microsoft Exchange), 센딘블루(Sendiblue), 아마존 SES(Amazon Simple Email Service)를 이용하여 이메일을 통해 소통하며, 전송계층보안(Transport Layer Security)을 통해 안전한 커뮤니케이션을 강화하고 있습니다.
  • 개인정보가 포함된 서버는 승인된 개인만 액세스할 수 있는 안전한 위치에 있어야 합니다.  해당 위치는 모니터링 및 액세스 컨트롤해야 합니다. 
  • 데이터는 매일 백업해야 합니다.  백업은 PECB의 표준 백업 절차에 따라 정기적으로 검사해야 합니다. 
  • 데이터를 노트북 혹은 기타 휴대기기(예: 태블릿PC, 스마트폰)에 직접 저장해서는 안 됩니다. 
  • 데이터를 포함하는 모든 서버 및 컴퓨터는 승인된 보안 소프트웨어 및 방화벽으로 보호되어야 합니다. 
  • PECB 시스템 및 웹사이트에 입력되는 모든 데이터는 고유한 형태로 저장되며, 권한 확대를 방지하기 위한 조치를 취하고 있습니다.
  • PECB 웹사이트의 데이터베이스에 입력되는 모든 데이터는 정보 송수신시 암호화된 커뮤니케이션을 보장하는 인증으로 보호됩니다.

6 데이터 이용

  • PECB가 수집한 모든 데이터는 철저히 PECB 관련 서비스만을 위한 것입니다.  수집된 데이터는 완전한 대응 혹은 서비스를 제공하기 위해 사용됩니다. 수집된 데이터로 PECB와 관련이 없는 서비스를 제공하지 않습니다.
  • 개인정보를 취급하는 직원들은 컴퓨터 스크린을 사용하지 않을 때 반드시 잠금 상태가 되도록 해야 합니다. 
  • 데이터는 전자적으로 전송되기 전에 암호화해야 합니다.  
  • 직원들은 개인정보 사본을 개인 컴퓨터에 저장해서는 안 됩니다.  모든 데이터의 원본은 항상 액세스 및 업데이트해야 합니다.

7 데이터 정확성 및 조치

PECB는 데이터보호를 위해 다음과 같은 합리적 단계와 책임을 따릅니다. 

  • 민감정보에 대한 액세스 제한 및 모니터링
  • 효과적인 데이터 수집 절차 수립
  • 직원 대상 온라인 프라이버시 및 보안 교육 실시
  • 온라인 데이터를 사이버공격으로부터 보호하기 위한 안전한 네트워크 구축
  • 프라이버시 위반 혹은 데이터 악용 사례 보고를 위한 명확한 절차 수립
  • 데이터 취급 방법에 관한 조항을 계약에 포함하거나, 방침을 설명
  • 지속적인 데이터 업데이트 
  • 마케팅 데이터베이스를 사망자 명단 등과 대조
  • 추적 로그를 설치하여 데이터가 오용되지 않도록 직원들의 활동 모니터링
  • 방화벽 및 보호 소프트웨어를 설치하여 이메일 혹은 외장드라이브를 이용한 대량 데이터의 전송 여부를 확인함으로써 직원들이 PECB 장치에서 외부로 데이터를 공유 및 배포하는 것을 방지
  • 데이터보호 관행 수립(문서 파쇄, 잠금 보호, 데이터 암호화, 잦은 백업, 액세스 권한 등)

8 데이터 주체의 액세스 요청

PECB가 보유하는 개인정보 및 기타 데이터의 주체인 모든 개인 및 기관에게는 다음과 같은 권리가 있습니다.

  • PECB가 보유하는 정보와 그 이유에 대해 문의
  • 해당 정보에 대한 액세스 방법 문의
  • 최신 정보로의 업데이트 방법에 관한 안내
  • PECB가 데이터보호 의무를 준수하는 방법에 관한 안내

PECB 고객은 이러한 정보에 대한 요청을 직접 이메일 (information.security@pecb.com)을 통해 데이터 주체의 액세스를 요청하거나 다음 여기여기에서 디지털 양식으로 요청할 수 있습니다. 우리는 데이터 주체로서 액세스를 요청하는 사람에게 정보를 전달하기 전에 언제나 신원을 확인합니다. 데이터 주체에게는 PECB 계정 생성시 사용한 이메일로 확인 요청이 전송됩니다. 

요청한 데이터 사본은 최초에 한해 무료로 제공됩니다. 이후 추가 사본은 건당 30달러가 부가됩니다. 요청에 대한 응답은 14일

8.1 데이터 수정

PECB 고객은 다음 이메일 주소 information.security@pecb.com 혹은 여기에서 제공되는 디지털 양식을 통해 데이터

8.2 데이터 삭제

PECB 고객은 다음 이메일 주소 information.security@pecb.com 혹은 여기에서 제공되는 디지털 양식을 통해 데이터 삭제 요청을 할 수 있습니다. 삭제 전에 해당 데이터에 대한 모든 필요 정보가 제공됩니다.  

삭제를 진행하기 전에, 데이터보호책임자로부터 데이터 삭제 결과를 설명하는 문서가 데이터 주체에게 제공됩니다.  데이터 삭제

9 아동

PECB 웹사이트는 아동 혹은 16세 미만의 개인을 대상으로 하지 않습니다. PECB는 16세 미만인 개인의 개인식별정보(Personally Identifiable Information)를 수집하지 않습니다. PECB는 캐나다 프라이버시감독위원회(OPC)와 유럽 일반데이터보호규정(EU GDPR)의 규정을 준수하기 위해 노력합니다. 아동 혹은 16세 미만의 개인이 PECB에 개인정보를 제공했다고 판단될 경우, 해당 개인의 부모 혹은 보호자는 다음 메일로 연락주시기 바랍니다. dpo@pecb.com.

10 데이터 공개

PECB는 특정 상황에서 필요한 경우 데이터 주체의 동의 없이 사법당국에 데이터를 공개할 수 있습니다. 그러나 데이터 관리자는 해당 요청이 합법적인지 확인하고, 필요한 경우 이사회 및 PECB의 법률 자문에게 도움을 요청할 수 있습니다.

11 프라이버시 방침

우리 웹사이트에서 프라이버시 방침을 확인하실 수 있습니다. 이는 우리가 수집하는 정보의 종류, 수집 및 활용 목적, 관여하는 제3의 처리자, 고객 데이터 보호 방법을 제시합니다.  프라이버시 방침은 다음 링크에서 확인 가능합니다. https://pecb.com/ko/pecb-privacy-statement.

뉴스레터를 구독하세요