Automation Anywhere 설명서 읽기 및 검토

Automation Anywhere

콘텐츠 닫기

콘텐츠

콘텐츠 열기

개인정보보호 규정(GDPR) 가이드라인

  • 업데이트: 5/10/2019
    • 11.3.x
    • 탐색
    • Enterprise

개인정보보호 규정(GDPR) 가이드라인

개인정보보호 규정(GDPR, General Data Protection Regulation)은 개인정보보호 유지와 관련하여 가장 엄격한 준수 프레임워크 중 하나입니다. GDPR은 개인 데이터를 자연인을 식별하는 데 사용할 수 있는 모든 데이터로 정의합니다.

이 자연인은 데이터 주체로 정의됩니다. 개인 데이터(비즈니스 프로세스) 처리의 목적과 수단을 정의하고 결정하는 비즈니스 엔터티는 데이터 컨트롤러로 정의됩니다. 개인 데이터 처리를 실행하는 비즈니스 엔터티는 데이터 프로세서로 정의됩니다. 데이터 컨트롤러 및 프로세서는 처리하는 개인 데이터가 유럽 연합(EU) 회원 국가 또는 지역의 시민인 데이터 주체를 가리키는 경우, 데이터 처리 활동 및 보안 프로세스가 GDPR을 준수한다는 것을 입증할 준비가 되어 있어야 합니다(해당 처리가 EU 외부에서 실행되는 경우도 포함). GDPR의 목적은 개인 정보와 관련하여 데이터 주체의 권리가 유지되도록 하는 것입니다. 이러한 권리는 개인정보보호, 합법적인 비즈니스 목록만을 위한 처리, 데이터 프로세서 시스템에서 개인 정보를 제어, 액세스 및 제거할 수 있는 권리와 관련됩니다.

Automation Anywhere Enterprise(AAE)를 사용하는 Automation Anywhere 고객은 GDPR의 맥락에서 보면 일반적으로 데이터 컨트롤러 및/또는 데이터 프로세서입니다. 고객이 구매, 배포 및 관리하는 소프트웨어로서 GDPR 준수는 배포하는 고객 엔터티의 정책 및 절차에 따라 달라집니다. GDPR은 배포하는 엔터티가 적절한 기술과 조직적 조치를 구현하여 데이터를 명시된 목적에 맞게 처리하고, 데이터를 기본적으로 설계대로 보호하도록 강제합니다. 아래에서 설명하는 가이드라인에 맞게 GDPR을 준수하여 Automation Anywhere를 사용해야 합니다.

데이터 보호

Automation Anywhere는 데이터 보호를 위해 자동으로 제공되거나 설계에 따라 구성할 수 있는 완전한 보안 기능 세트입니다. 모든 엔터프라이즈 애플리케이션과 마찬가지로 보안 제어의 일관되고 적절한 사용은 조직에 따라 다릅니다. 고객 환경에서 보안에 대한 여러 측면은 Automation Anywhere 범위의 밖에 있습니다. Automation Anywhere가 배치되는 운영 체제의 보안 상태 또는 환경의 네트워크 보안 등을 예로 들 수 있습니다.

Automation Anywhere는 정지되어 있는 데이터, 이동 중인 데이터 및 메모리 데이터를 위한 암호화 기술을 사용합니다. 암호화 기술에 대한 설명은 Automation Anywhere 보안 아키텍처 가이드(버전 10 및 11)에 나와 있습니다.

Automation Anywhere에 액세스하는 모든 사용자는 액티브 디렉터리와 같은 표준 중앙 인증 방법을 사용하여 인증할 수 있습니다. 또한 Automation Anywhere에 의한 자격증명 액세스는 기본 제공 은행수준 보안 자격증명 보관 또는 CyberArk와 같은 외부 자격증명 스토리지 시스템을 사용하여 할 수 있습니다.

Automation Anywhere 사용자의 권한 부여는 Automation Anywhere 소프트웨어 범위 밖에 있으며, 배포 엔터티는 업무상 필요한 권한을 가진 사람만이 AAE에 액세스할 수 있게 해야 합니다. Automation Anywhere에 대한 액세스 권한이 있는 기업 사용자는 역할 기반 액세스 제어(RBAC)를 지원하는 제품 내에서 역할을 통해 세밀한 권한을 부여받을 수 있습니다. 권한 및 역할은 Automation Anywhere 작업 내에서 이중 제어 및 직무 분리를 보장하는 정교한 RBAC 모델을 지원합니다. 권한은 다음과 같은 Automation Anywhere 작업의 모든 측면에서 구현될 수 있습니다. 자격증명, 봇, 봇 러너, 봇 크리에이터, 봇 일정, 감사 로그 액세스, 워크로드 관리 대기열 및 풀. Automation Anywhere는 모든 유형의 비즈니스 프로세스 자동화를 허용하기 때문에 모든 자동화와 관련된 애플리케이션에 액세스하도록 허용된 직원만 권한을 부여받게 하는 것이 배포 엔터티의 책임입니다. 이 가이드 라인 내에서 Automation Anywhere는 비즈니스 또는 처리 과정에서 서로 다른 봇, 봇 러너 및 운영 직원을 구분하는 데 필요한 모든 권한을 부여하여 제품 내의 별도 처리 도메인을 보장합니다.

모든 사용자 작업은 Automation Anywhere 내부에서 감사되어 운영 담당자가 한 모든 액세스와 조치에 기록을 제공합니다. Automation Anywhere 감사 로깅은 모든 주요 준수 프레임워크를 지원합니다.

Automation Anywhere는 처리 중인 리소스의 가용성을 보장하는 비즈니스 요구에 맞게 확장되는 중복 및 로드 밸런싱된 아키텍처를 지원합니다. Automation Anywhere는 처리에 대한 재해 복구 및 복원력을 지원하여 지리적으로 떨어져 있는 다른 배포 간에 상태 동기화를 지원합니다.

봇은 고객 비즈니스 전문가가 개발한 소프트웨어 프로그램이며, 모든 엔터프라이즈 애플리케이션 개발과 마찬가지로 최신 SSDLC(Secure Software Development Life Cycle)를 구현해야 합니다. Automation Anywhere는 위에서 설명한 대로 개별 배포와 RBAC를 결합하여 배포, 테스팅 및 생산 환경을 분리할 수 있습니다. 자세한 내용은 보안 아키텍처 문서에서 참고하시기 바랍니다(버전 10 및 11).

가명화

GDPR은 특히 데이터 보호에 적절한 기술 수단으로 가명화(pseudonymization)를 사용합니다. 가명화와 관련된 자세한 논의는 AAE의 범위 밖입니다. 가명화는 데이터를 인공 식별자로 변환합니다. 이로써 컨트롤러와 프로세서는 더 이상 자연인을 식별하기 위해 데이터를 사용할 수 없도록 데이터를 처리할 수 있습니다. 토큰화는 데이터를 나중에 변환할 수 있도록 변환하지만, 토큰화된 데이터 측면에서 보면 자연인을 식별하는 데 사용할 수 없게 하는 또 다른 방법입니다. Automation Anywhere는 봇에서 개인 정보를 처리하는 모든 경우에 GDPR 제25조를 준수하도록 권장합니다. 개인 데이터에 가명화를 사용하면 Automation Anywhere 플랫폼에서 데이터 유실과 관련된 모든 위험이 제거됩니다.

Enterprise 제어실의 데이터 잔류

Automation Anywhere Enterprise 제어실를 지원하는 데이터베이스 내에서 데이터가 유지되는 경우가 있습니다. 특히 워크로드 관리, Bot Insight 및 IQ Bot을 사용하는 경우입니다. Enterprise 제어실의 데이터 잔류와 관련된 모든 경우에서 가명화와 토큰화는 GDPR을 준수하기 위한 컨트롤러 및 프로세서 엔터티의 노력을 아낍니다. 또한 사용자 이름(플랫폼 사용자)과 같은 정보를 디버깅할 수 있도록 로그를 활성화하면 로그에 유지됩니다.

워크로드 관리 및 대기열

워크로드 관리를 사용하여 여러 봇을 동일한 자동화에 배포할 때 대기열에 배치된 작업 항목은 데이터베이스에 저장됩니다. Enterprise 제어실 UI를 통해 작업 항목을 조회, 검토 및 삭제할 수 있습니다. 작업 항목에서 개인 데이터를 처리할 때 대기열을 주기적으로 삭제해야 합니다.

봇 인사이트

봇 인사이트를 사용하면 AAE 개발자 도구에 내장된 자동화 작업 내에서 분석을 위해 태그 지정된 모든 필드가 기록되어 분석 데이터베이스에 저장됩니다. 버전 11의 봇 인사이트에서 모든 변수는 데이터 캡처를 위해 자동으로 태그 지정되어 데이터베이스에 저장됩니다. 버전 11의 Bot Insight에서 모든 데이터 변수를 태그 지정하는 이 기본 동작을 개인 데이터가 포함된 필드에 대해서는 선택하지 않아야 합니다.

IQ Bot

IQ Bot은 사용자 또는 RPA 태스크가 업로드한 이미지를 저장하고 해당 이미지에서 구조화된 데이터를 추출합니다. 이러한 이미지와 추출된 데이터는 IQ Bot이 실행 중일 때 또는 예외로 인해 중지된 경우 데이터베이스에 임시로 저장됩니다. IQ Bot 실행의 모든 예외가 확인되거나 무효화되면 데이터가 데이터베이스에서 제거됩니다. IQ Bot의 교육 이미지는 데이터베이스에 저장되며, 자연인을 식별할 수 있는 개인 데이터는 포함하지 않아야 합니다. IQ Bot 버전 5.2.1 이전 버전에서는 시스템이 자동으로 생산 이미지를 교육 환경으로 이동합니다. 교육 환경을 주기적으로 검토하여 생산 이미지를 식별하고 제거해야 합니다. 2018년 6월 출시 예정인 5.3 버전에서는 생산 이미지를 교육 환경으로 자동 이동하지 않게 설정하는 기능을 사용할 수 있습니다.

사용자 자격증명

Automation Anywhere 버전 10 및 11에서 사용자 자격증명은 적절한 권한을 가지고 역할로 설정된 관리자가 추가하고 삭제할 수 있습니다. Enterprise 제어실은 언제든지 자격증명의 조회, 검토 및 삭제를 지원합니다.

Automation Anywhere 데이터베이스 및 데이터 제거

처리가 완료되고 가명화가 적용되지 않은 경우 Automation Anywhere 데이터베이스에서 데이터를 제거해야 할 수 있습니다. Automation AnywhereEnterprise 제어실을 설치하고 구성하는 동안 식별된 Enterprise 제어실 서버, 기업 데이터베이스 서버 또는 클러스터에 공동 상주하는 표준 SQL 데이터베이스를 사용합니다. Automation Anywhere 데이터베이스에서 데이터를 찾고, 보고하고, 추출하려면 데이터베이스 관리자에게 문의하십시오. 이 목적을 위해 사용 및 적용할 수 있는 Automation Anywhere 봇 스토어에서 찾을 수 있습니다.

피드백을 보내주십시오