프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2018.01.11 – 전자금융거래법 고시① 적용범위, 4대의의, 개인정보측면의 핵심의미

목록

전자금융거래법고시 전자금융감독규정 2절~6절
<전자금융거래의 안전성확보&이용자 보호규정>①
2016.10월 개정시행 전자금융감독규정 원문보기 2017. 5월 발간 전자금융감독규정 해설서 원문보기
적용대상 <금융회사> <전자금융업자>의 모든 <전자금융거래>
전자금융거래에 사용하는
모든 데이터 <전산자료>
<전산자료> 중 중요정보는
개인정보( 특히 고유식별정보, 개인신용정보)
금융회사 전자금융업자
(법적인 정의)
전자화폐, 전자자금이체,
직불전자지급수단,
선불전자지급수단
전자지급결제대행업자 등
전자금융거래와 관련하여 전자금융보조업자의 고의나 과실은 금융회사 or 전자금융업자의 고의나 과실로 본다.
전자금융보조업자 (전자금융거래의 수탁자) (동일한 안전조치 기준 적용)
핀테크, 비트코인 등
금융플랫폼이
혁신되면서
범위 확대 중
<전자금융거래>
<금융회사> or
<전자금융업자>가
전자적장치로
금융상품제공
이용자가
<금융회사> or
<전자금융업자>
종사자와
대면or의사소통
없이 자동화거래
&<전산자료> 보유현황관리
&책임자 지정·운영
중요도에 따라
<전산자료> 정기백업
접근통제 & 접속기록관리
<전산자료> 입력·출력·열람시 접근권한 통제
외부자에게 ID 부여시 최소권한 할당 & 통제장치
ID,PW개인별 부여,
<전산자료> 등록·변경·폐기를 체계적관리




유출통제
<전산자료> & 전산장비의
반출·반입을 통제













<정보처리시스템>
현황파악
<중요단말기>지정, 보호대책강화
단말기에 이용자정보 등
주요정보 보관금지
(불가피할 경우 보관사유,
기간&PW 등을 책임자승인)
<정보자산중요도평가기준>수립
→<중요정보처리시스템> 지정
(고유식별정보와 개인신용정보가 있는 경우
<중요정보처리시스템>임)
→<중요정보처리시스템> 내역은
정보보호위원회심의를 거쳐
금감원에 제출
DMZ구간내에 이용자정보 등
주요정보 저장 & 관리금지
(거래로그 관리목적시
예외로 하되 반드시 암호화저장)
<단말기> <공개용웹서버>
<단말기>
접근통제 & 접속기록관리
<정보처리시스템> <유해사이트>
단말기를 통한
이용자정보 조회시
다음을
<정보처리시스템>에
자동기록&
1년이상 보존
사용자, 사용일시,
변경·조회내용,
접속방법
<정보처리시스템> 가동기록은
1년 이상 보존,
접속성공여부와 상관없이
다음 자동기록·유지
1. <정보처리시스템> 접속일시, 접속자 & 접근을
확인할 수 있는 접근기록
2. <전산자료>사용일시, 사용자 & 자료의 내용을
확인할 수 있는 접근기록
3. <정보처리시스템>내 <전산자료>처리내용을
확인할 수 있는 로그인, 액세스로그 등 접근기록
(5회 내에서) 규정이상의 접속오류시
<정보처리시스템> 접속제한
이용자중요원장에
직접 접근/조회/수정/삭제/삽입시
작업자 & 작업내용을 5년보존
유출통제(출력물 매체)
단말기에서 <매체> & 휴대용전산장비
접근을 통제(유출, 악성코드 방지목적)
<전산자료> 출력시 접근권한통제
단말기에서 음란, 도박 등 비업무프로그램
or 인터넷접근에 대한 통제대책 마련
내부·외부 IP의 인터넷 접속내용을
1년 이상 별도로 기록·보관
DB, 서버단 엔드포인트 유출경로(네트워크,매체, 출력물)





단말기 <전산자료>
암호화 저장
PC사용자의
관리자권한 제거,
승인된 프로그램만
설치/실행토록
대책수립
단말기보안강화 메일보안강화 외부망보안강화 원격접속통제
메일을 통한
<전산자료> 외부전송시
정보유출탐지/차단/
사후모니터링 수립
본문과 첨부파일 포함하여
메일을 통한
악성코드 감염 예방 대책
외부망을 통한
<전산자료> 외부전송시
정보유출탐지/차단/
사후모니터링 수립
지능형 해킹(APT)
차단대책 수립
원격접속시
모든 작업내역 기록
매일 이상여부 점검
책임자가