Google Apps

간단히 말해 Google은 사용자의 데이터를 소유하지 않습니다. 해당 데이터가 Apps에 가입한 기관의 것인지 아니면 개별 사용자의 것인지에 대해서는 Google에서 어떠한 결정도 내릴 수 없지만(두 당사자 간의 문제임) Google의 소유가 아니라는 점은 확실합니다.

사용자가 Google 시스템에 입력한 데이터는 사용자의 것이며, 이는 항상 보장되어야 합니다. 이는 다음 세 가지 사항을 의미합니다.

1. 첫째, Google은 개인정보취급방침에 명시된 경우를 제외하고는 사용자의 데이터를 타인과 공유하지 않습니다.
2. 둘째, Google은 사용자가 요청하는 기간 동안만 사용자의 데이터를 보관합니다.
3. 마지막으로, 사용자는 Google Apps와 함께 외부 서비스를 사용하기로 결정하거나 Google 서비스를 더 이상 전혀 사용하지 않기로 선택하면 사용자의 데이터를 회수할 수 있습니다.

Google은 개인정보취급방침과 고객 계약을 엄격히 준수하여 사용자 계정의 데이터에 액세스합니다. 기술 지원을 제공할 목적으로 사용자 도메인의 관리자가 Google 기술 지원팀에게 특정 문제를 해결하기 위해 계정에 액세스하도록 허용할 수 있습니다.

도메인 이름의 소유자와 관리자만이 Google Apps 관리 계정을 만들 수 있습니다. 가입하는 즉시 Google Apps 관리자는 DNS 레코드를 변경함으로써 도메인 관리 권한을 확인하도록 요구받습니다. 이 확인 과정을 거치지 않으면 Google에서는 관리 계정을 열도록 허용하지 않습니다. 도메인 소유권이 확인되기 전까지는 도메인에 대한 Google 서비스도 적극적으로 관리할 수 없습니다.

관리자가 소유권을 확인한 후에는 관리자의 판단에 따라 해당 계정의 다른 사용자 이름에 관리 권한을 부여할 수 있습니다.

또한 도메인의 비관리자 사용자는 Google Apps 지원팀에 문의하여 관리 액세스를 요청할 수 있습니다. 요청자가 관리 권한이 있는지 확인하기 위해 일반적인 도메인 인증 과정이 수행됩니다.

마지막으로 사용자의 등록된 보조 이메일 주소에 액세스할 수 있는 개인은 누구든지 비밀번호를 재설정하고 기본 관리자 계정에 액세스할 수 있습니다.

도메인의 고객 계약에 따라 도메인의 Google Apps 관리자는 개인정보취급방침에 따라 모든 최종 사용자의 계정 및 연결 데이터에 액세스할 수 있습니다.

도메인 관리자는 도메인 내의 모든 사용자 이름과 비밀번호에 대한 소유권을 가집니다. 관리자는 고객 계약에 따라 최종 사용자의 계정에 액세스할 수 있습니다. Google은 관리자에게 그러한 작업에 대한 정책을 마련하여 최종 사용자에게 게시할 것을 요구합니다.

Google은 개인정보취급방침 및 고객 계약을 엄격하게 따르는 상황에서만 제3자와 정보를 공유할 수 있습니다. Google은 법률상 필요한 경우(Google 투명성 보고서 참조), 사용자 또는 시스템 관리자가 요구하는 경우, Google 시스템 보호를 위해 필요한 경우를 제외하고는, 이메일 또는 개인정보 같은 사용자의 개인 콘텐츠를 제3자와 공유하거나 제3자에게 제공하지 않습니다. 사용자가 문제 진단을 위해 Google 지원 담당자에게 자신의 이메일에 액세스하도록 요청한 경우, Google이 법적인 이유로 개인정보에 액세스해야 하는 경우, Google, 사용자 및 공공의 권리, 자산 또는 안전을 보호하기 위해 개인정보를 공개해야 한다고 판단되는 경우 등이 이에 해당합니다.

자세한 내용은 Google 개인정보취급방침의 '정보 공유' 섹션을 참조하세요.

Google Apps 제품의 일부 핵심 기능을 제공하기 위해 Google의 자동화된 시스템에서 일부 사용자 데이터를 검사하고 색인 생성합니다. 예를 들어 다음과 같습니다.

• 스팸 필터링 및 바이러스 감지를 위해 이메일을 검사합니다.
• Gmail 기능 중 하나인 자동분류함은 이메일 메시지를 검사하여 중요한 메일과 중요하지 않은 메일을 식별합니다.
• Google Apps(무료 버전)를 사용한다면 경우에 따라 내용상 적절한 광고를 표시하기 위해 이메일을 검사합니다. 광고가 사용 중지된 Google Apps for Education/Business 경우에는 광고와 관련된 검사 또는 처리가 없습니다.
• 사용자가 자신의 Google Apps 계정에서 개인적으로 정보를 검색할 수 있도록 이메일 메시지와 문서 같은 일부 사용자 데이터를 검사하고 색인을 생성합니다.

즉, Google은 사용자에게 직접적으로 유용한 기능을 제공하고 Google 시스템의 안전과 보안을 유지하기 위해서만 Google Apps에 있는 사용자 콘텐츠를 검색하거나 색인을 생성합니다. 내 사용자가 정보를 공개적으로 게시할 경우를 제외하면 Google Apps 데이터는 일반 google.com 색인의 일부가 아닙니다.

Google의 검사 및 색인 생성 절차는 완전히 자동화되어 있으며 사람이 전혀 개입하지 않습니다. 전체 내용을 보려면 자세한 개인정보취급방침, 개인정보 보호원칙 및 Google Apps 서비스 약관(Google Apps, Google Apps for Business, Google Apps for Education)을 참조하세요.

Google은 관리자가 조직의 데이터를 제어할 수 있어야 한다고 믿습니다. Google은 오류나 시스템 장애에 대비하여 데이터를 복구하고 계정을 복원할 수 있도록 사용자의 콘텐츠에 대한 여러 백업 사본을 유지합니다. 관리자가 메시지 및 콘텐츠의 삭제를 요청할 경우 Google은 상업적으로 합당한 시간 내에 Google 시스템에서 삭제된 정보가 완전히 사라지도록 합당한 노력을 기울일 것입니다. 자세히 알아보기

사용자 데이터에 대한 정부의 요청 관련 정보는 Google 투명성 보고서를 참조하세요.

Google은 제3자의 신고를 받거나 Google 시스템에서 Google 서버의 콘텐츠를 감지하여 악성 코드, 포르노, 아동 포르노, 저작권 및 상표 등록 콘텐츠 등을 삭제합니다.

콘텐츠가 게시 중단되는 경우 Google에서 기본 계정 관리자에게 연락합니다.

Google은 통지, 선택, 신속한 전달, 보안, 데이터 무결성, 액세스 및 시행에 관한 미국 세이프 하버(Safe Harbor) 개인정보 보호원칙을 준수하며 미 상무부 세이프 하버(Safe Harbor) 프로그램에 등록되어 있습니다.

일반적으로 Google Apps를 사용하는 것이 조직이 따라야 하는 모든 규정에 적합한지 여부는 조직에서 판단해야 합니다.

자세한 내용은 다음 개인정보 보호센터를 참조하세요. http://www.google.com/privacy.html

Google Apps에 대해 독립적인 제3자 감사 기관으로부터 적정 SSAE 16 및 ISAE 3402 유형 II 인증서를 발급받았습니다. Google은 Google Apps 관리자께 여러분의 데이터가 SSAE 16 및 ISAE 3402 감사 업계 표준에 따라 안전하게 보호된다는 사실을 알려드리게 되어 자랑스럽게 생각합니다.

독립적인 제3자 감사 기관에서 Google Apps가 다음 제어 및 프로토콜을 적절하게 실행하고 있음을 확인했습니다.

• 논리적 보안: 제어를 통해 Google Apps 생산 시스템 및 데이터에 대한 논리적인 액세스를 승인된 개인에게만 허용하고 있습니다.
• 개인정보 보호: 제어를 통해 Google Apps와 관련된 고객 데이터의 개인정보 보호를 다루는 정책 및 절차를 구현했습니다.
• 데이터 센터의 물리적 보안: 제어를 통해 Google Apps 데이터를 보관하는 데이터 센터와 사무실이 안전하게 보호되고 있습니다.
• 사고 관리 및 사용 가능 여부: 제어를 통해 Google Apps 시스템의 중복성을 보증하며 사고가 올바르게 보고되고, 대응되며, 기록됩니다.
• 변경 관리: 제어를 통해 제품으로 출시되기 전에 Google Apps의 개발과 변경사항을 테스트하고 독립된 코드 심사를 수행합니다.
• 조직 및 관리: 제어를 통해 경영진은 Google Apps에 영향을 주는 아이디어를 추적하고 전달할 수 있는 인프라와 메커니즘을 제공하고 있습니다.

Google Appp는 감사인으로부터 적정 SAS70 유형 II 인증서를 발급받았습니다. 즉, Google Apps의 데이터는 SAS70 감사 업계 표준에 따라 안전하게 보호된다는 의미입니다.

독립적인 제3자 감사 기관에서 Google Apps가 다음 제어 및 프로토콜을 적절하게 실행하고 있음을 확인했습니다.

• 논리적 보안: 제어를 통해 Google Apps 생산 시스템 및 데이터에 대한 논리적인 액세스를 승인된 개인에게만 허용하고 있습니다.
• 개인정보 보호: 제어를 통해 Google Apps와 관련된 고객 데이터의 개인정보 보호를 다루는 정책 및 절차를 구현했습니다.
• 데이터 센터의 물리적 보안: 제어를 통해 Google Apps 데이터를 보관하는 데이터 센터와 사무실이 안전하게 보호되고 있습니다.
• 사고 관리 및 사용 가능 여부: 제어를 통해 Google Apps 시스템의 중복성을 보증하며 사고가 올바르게 보고되고, 대응되며, 기록됩니다.
• 변경 관리: 제어를 통해 제품으로 출시되기 전에 Google Apps의 개발과 변경사항을 테스트하고 독립된 코드 심사를 수행합니다.
• 조직 및 관리: 제어를 통해 경영진은 Google Apps에 영향을 주는 아이디어를 추적하고 전달할 수 있는 인프라와 메커니즘을 제공하고 있습니다.

사용자의 데이터는 전 세계에 있는 Google의 데이터 센터 네트워크에 저장됩니다. Google은 많은 데이터 센터를 여러 곳에 분산하여 유지관리하고 있습니다(위치 정보 참조). Google의 컴퓨팅 클러스터는 복원성과 이중화를 염두에 두고 설계되었으므로, 모든 실패 지점이 제거되며 일반적인 장비 오류와 환경 위험으로 인한 영향을 최소화합니다.

데이터 센터는 승인된 소수의 Google 직원만 액세스할 수 있도록 엄격히 제한하고 있습니다.

예. 데이터는 자신만의 서버에 보관되어 있는 것처럼 가상으로 보호됩니다. 승인되지 않은 당사자는 사용자 데이터에 액세스할 수 없습니다. 사용자의 경쟁자는 사용자의 데이터에 액세스할 수 없으며 사용자가 경쟁사의 데이터에 액세스할 수도 없습니다. 사실 모든 사용자 계정은 한 사용자가 다른 사용자의 데이터를 볼 수 없도록 하는 가상 잠금 및 키 기능을 통해 보호됩니다. 이는 온라인 뱅킹 애플리케이션과 같이 다른 인프라에서 고객 데이터를 세그먼트화하는 것과 유사합니다.

Google Apps는 SSAE 16 및 ISAE 3402 유형 II 감사에서 만족스럽다는 평가를 받았습니다. 이는 독립적인 감사 기관에서 Google Apps의 데이터를 보호하는 제어(논리적인 보안, 개인정보 보호, 데이터 센터 보호 등)를 조사하였고 이러한 제어가 적합하게 효율적으로 작동하고 있음을 보장한다는 것을 의미합니다.

관리자/최종 사용자가 Google Apps에서 데이터를 삭제하면 Google은 고객 계약과 개인정보취급방침에 따라 해당 데이터를 삭제합니다.

관리자가 사용자의 계정을 삭제하면 데이터를 복구할 수 없습니다. 사용자 삭제에 대한 모범 사례를 보려면 도움말 센터를 참조하세요.

이메일 메시지를 복구하려는 경우 Google은 Google Apps for Business/Government/Education 버전을 보완하는 추가 보관처리 제품을 제공합니다. 이메일을 제외한 데이터 복구 솔루션에 대한 내용은 Google Apps Marketplace를 방문하여 사용자의 요구사항에 맞는 솔루션을 제공하는 Google 파트너 업체가 있는지 확인하시기 바랍니다.

Google은 확립된 웹 기반 서비스 제공업체 중 하나로서 보안 위협으로부터 애플리케이션을 보호하기 위해 최대의 노력을 기울이고 있습니다. Google은 맞춤 OS 및 파일 시스템을 실행하는 맞춤 하드웨어를 제공하여 데이터 센터를 운영하고 있습니다. 이러한 각 시스템은 보안과 성능에 맞춰 최적화되어 있습니다. Google 보안 팀은 외부 업체와 협력하여 지속적으로 보안 인프라를 테스트하고 향상시켜 외부 공격으로부터 안전한 인프라를 만들기 위해 최선을 다하고 있습니다. 또한 Google은 시스템을 실행하는 전체 스택을 제어하고 있기 때문에 위협이나 취약점이 발견될 경우 신속하게 대응할 수 있습니다.

Google은 많은 데이터 센터를 여러 곳에 분산하여 유지관리하고 있습니다. Google의 컴퓨팅 클러스터는 복원성과 이중화를 염두에 두고 설계되었으므로, 단일 실패 지점이 제거되며 일반적인 장비 오류와 환경 위험으로 인한 영향을 최소화합니다. 데이터 센터는 승인된 직원만 액세스할 수 있도록 제한합니다.

Google 제품 및 서비스는 일련의 보안 검토를 거쳐야 합니다. 애플리케이션 또는 인프라 구성요소에서 보안상의 허점이 발견되면 Google에서는 위험성을 평가하고 그에 따라 대처합니다. Google은 자체 데이터 센터에 애플리케이션을 호스팅하고 있기 때문에 Google 시스템에 수정안을 신속하게 배포할 수 있으며 사용자쪽에서는 아무런 조치를 취할 필요가 없습니다.

Google 보안을 개선하기 위해 이미 여러 연구원이 참여하고 있습니다. Google은 또한 사용자의 보안을 강화하는 데 도움을 주는 새로운 연구와 보고를 촉진하기 위해 Google 취약성 발견 보상 프로그램을 운영하고 있습니다.

Google에서 실행하는 애플리케이션 및 네트워크 아키텍처는 최대한의 안정성과 가동 시간을 보장하도록 설계됩니다. Google의 컴퓨팅 플랫폼은 지속적인 하드웨어 오류 발생 상황에 대비하여 강력한 소프트웨어 장애복구 기능을 사용하고 있으므로 오류로 인한 혼란을 방지할 수 있습니다. 모든 Google 시스템은 처음부터 중복 설계되며 각 하위 시스템은 지속적인 작동을 위해 특정한 물리적 또는 논리적 서버에 의존하지 않습니다. Google의 클러스터 활성 서버에서 데이터를 여러 번 복사하므로 시스템 오류 발생 시에도 다른 시스템을 통해 여전히 데이터에 액세스할 수 있습니다. 또한 데이터 센터에 장애가 발생할 경우에 대비하여 데이터를 보조 데이터 센터에 복제합니다.

Google Apps 서비스는 HTTPS 암호화된 터널을 이용하여 모든 데이터에 액세스하는 기능을 제공합니다. 고객은 사용자가 암호를 이용하여 액세스하도록 선택할 수 있으며, 이렇게 하면 사용자 본인 외에는 아무도 데이터에 액세스할 수 없습니다. Gmail, 캘린더 그리고 Google 웹 애플리케이션을 통한 채팅, 드라이브 및 사이트 도구에 액세스할 때 해당됩니다. 모바일 이메일 클라이언트도 암호화 액세스를 사용하여 통신에 대한 개인정보 보호를 보장할 수 있습니다. 현재 시작 페이지 또는 Google 동영상 서비스에서는 암호화 서비스를 제공하지 않습니다. 또한 타사 이메일 클라이언트가 사용자의 메일 데이터에 액세스할 때도 암호화를 요구합니다.

신원 도용을 방지하기 위해 Google은 Google 이외의 승인되지 않은 웹페이지가 사용자의 Google 사용자 이름 및 비밀번호를 수집하는 것을 허용하지 않습니다. 그렇지 않으면 사용자의 비밀번호를 도용하려는 악의적인 웹사이트가 우호적인 사이트로 가장하기 더 쉬워집니다. 이러한 부정 행위를 피싱(Phishing)이라고 합니다.

조금이라도 의심스러운 경우에는 브라우저의 주소 표시줄에 표시되는 인터넷 주소를 살펴보세요. 주소가 Google 웹사이트가 아닌 경우 Google 사용자 이름과 비밀번호를 입력하지 마세요.

이 정책에 대한 한 가지 예외는 Google Apps for Business에서 제공하는 싱글 사인온(SSO) 기능입니다. 관리자는 Google 서비스를 기존 웹페이지와 통합하여 원활한 사용자 환경을 제공할 수 있습니다. 자세히 알아보기

Google은 업계 최고의 스팸 차단기를 보유하고 있으며 이를 Google Apps에도 통합했습니다. 스팸은 30일마다 삭제됩니다. Google은 바이러스 검사 기능을 기본으로 제공하여 사용자가 메시지를 다운로드하기 전에 바이러스 검사를 수행합니다. 대부분의 컴퓨터 바이러스는 실행 파일에 들어 있으므로 일반 바이러스 검색 프로그램에서는 메시지에 바이러스처럼 보이는 실행 파일이 첨부되지 않았는지 검사합니다. Google에서는 가장 직접적인 방법으로 바이러스를 차단합니다. 즉, .exe로 끝나는 파일과 같이 유해한 실행 코드가 포함되었을 가능성이 있는 실행 파일을 사용자가 처음부터 받지 못하도록 합니다. 이는 해당 파일이 압축된 형식(.zip, .tar, .tgz, .taz, .z, .gz)으로 전송된 경우에도 마찬가지입니다.

Google은 피싱(phishing) 및 악성 코드를 방지하기 위해 Chrome™ 및 Firefox® 사용자에게 지속적으로 업데이트된 필터를 제공합니다.

Google은 여러 출처로부터 확보한 명의 도용 페이지에 대한 신고와 고급 알고리즘을 결합하여 피싱(phishing)에 관여하거나 악성 소프트웨어를 포함하는 사이트의 정보 목록을 사용자의 브라우저에 다운로드합니다. 세이프 브라우징 기능은 개인 정보를 공개하도록 유도하는 페이지를 열 때 사용자에게 자동으로 경고해 줍니다.

보안문자란 시도 응답 인증이라고 불리는 보안 조치의 한 가지 유형입니다. 사람만이 완성할 수 있는 로그인 확인 테스트로서, 사용자의 계정을 스팸, 비밀번호 해독 및 기타 형태의 디지털 계정 무단 액세스로부터 보호합니다. Google은 보안문자를 사용하여 가장 민감한 액세스 지점 주변의 보안을 강화합니다. 자세한 내용은 보안문자 정보를 확인하세요.

SPF 레코드를 게시하면 내 도메인을 스푸핑하려는 개인이나 조직으로부터 도메인 이름을 안전하게 지킬 수 있습니다.

SPF를 사용하면 도메인 소유자는 특수한 형식의 DNS TXT 레코드를 사용하여 도메인에 대한 이메일을 전송할 권한이 있는 컴퓨터/호스트를 지정할 수 있으므로 '보낸사람:' 주소를 쉽게 위조할 수 없습니다.

귀하의 도메인에 대해 SPF 레코드를 게시하는 것이 좋습니다.

스팸을 발송하는 Google Apps 이메일 사용자가 확인된 경우, Google은 사용자에 대한 서비스를 즉시 일시 중지할 권리를 가집니다. 도메인 차원의 스팸인 경우 Google은 계정 전체를 일시 중지하고 모든 Google Apps 서비스에 대한 관리자 액세스를 거부할 권리를 가집니다. 이러한 조치는 Google Apps 이용목적 제한 정책에 따른 것입니다.

Google은 등록된 보조 이메일 주소로 스팸 위반 사실에 대해 알려드립니다.

Google Apps는 SAML 2.0 표준을 사용하여 표준 웹 싱글 사인온(SSO) 시스템과 통합됩니다. 조직은 통합 작업을 자체적으로 수행하거나 Google 파트너와 협력하여 수행할 수 있습니다.

예. 모든 Google Apps 고객은 SSL(Secure Sockets Layer)/TLS(Transport Layer Security) 연결을 사용할 수 있으며 신규 고객에게는 기본적으로 사용하도록 설정됩니다.

SSL은 인터넷에서 웹 탐색, 이메일, 인스턴트 메시징, 기타 데이터 전송 등의 활동에 보안 통신을 제공하는 프로토콜입니다. HTTPS(Hypertext Transfer Protocol Secure) 연결을 사용하도록 설정하면 사용자가 Google Apps에 있는 대부분의 서비스에 액세스할 때 Google에서는 HTTPS를 설정합니다. HTTPS는 서비스에 따라 다양하며 Gmail, Google 캘린더, Google 드라이브, Google 사이트 도구 및 채팅에서 사용할 수 있습니다. SSL을 사용하도록 설정하는 데 대한 자세한 내용은 도움말 센터를 참조하세요.

2002 연방 정보 보안 관리법(FISMA)은 연방 정부 기관 내 정보 시스템의 정보 보안에 관한 미국 연방법입니다. FISMA는 미국 연방 정부 기관이나 정부를 대신하는 계약자 또는 다른 조직에서 사용하거나 운영하는 모든 정보 시스템에 적용됩니다. Google Apps는 미국 연방 정부로부터 연방 이메일 시스템의 표준 수준인 FISMA 적정 수준에서 작동할 수 있는 권한을 받았습니다.

FISMA에 대한 자세한 내용은 Wikipedia 항목(영문)를 참조하세요.