디지털 운영 회복력 법(DORA)

F5와 해당 서비스는 개인 정보 보호를 최우선으로 하며, 가장 높은 수준의 데이터 개인정보 보호 표준을 유지합니다.  F5에서 수집한 개인 데이터를 보호하기 위한 기술적, 조직적 통제 조치는 특정 서비스 계약(예: 최종 사용자 서비스 계약에 따라 제공되는 서비스에 적용되는 서비스별 약관 )과 F5의 SOC2 유형 II 보고서에 나열되어 있습니다. F5 글로벌 지원은 ISO 27001 인증을 받았으며 F5 분산 클라우드 서비스는 ISO 27017 및 ISO 27018 확장을 통해 ISO 27001 인증을 받았습니다. F5는 F5 분산 클라우드 서비스를 위한 레벨 1 서비스 공급자로서 PCI-DSS 규정을 준수합니다. 특정 F5 서비스 및 F5 하드웨어에는 추가적인 보안 인증이 적용됩니다. https://www.f5.com/company/policies/privacy-notice 에서 데이터 보안 관행에 대한 자세한 정보를 확인하세요.

주요 사업장이 유럽, 중동 또는 아프리카(총칭하여 EMEA)에 있는 고객은 F5 Networks, Ltd.와의 계약을 통해 서비스를 받습니다. 영국에 본사를 두고 영국 법률에 따라 설립된 F5 Networks는 F5의 EMEA 운영의 중심지입니다. EU와 스위스 당국은 영국 법률이 개인 데이터 보호를 제공하고 GDPR 제5장 및 동등한 스위스 법률의 요구 사항을 완전히 충족한다는 것을 인정했습니다. 

아시아 태평양(APAC) 지역에 본사를 둔 고객은 싱가포르에 있는 F5 Networks Singapore Pte Ltd.와 계약을 맺습니다. 다른 모든 고객(북미에 본사를 둔 고객 포함)은 미국에 있는 F5, Inc.와 계약을 맺습니다. 모든 F5 서비스에 대해 서비스별 약관 에 의해 보완된 데이터 보호 추가 조항(DPA) 에는 표준 계약 조항과 F5에 대한 모든 법적 적용 가능한 전송에 적용되는 규정이 포함되어 있습니다. 이 표준 계약 조항에는 영국 정부가 발행한 영국 내 데이터 전송에 관한 국제 데이터 전송 부록과 스위스 연방 데이터 보호 및 정보 위원이 발행한 스위스 내 데이터 전송에 관한 추가 언어가 함께 제공됩니다. 관련 서비스에 대해 F5는 또한 EU-US 인증을 유지하고 있습니다. 데이터 개인 정보 보호 프레임워크, EU-US에 대한 영국 확장 데이터 개인정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.

예. F5는 관련 서비스에 대해 EU-U.S. 인증을 유지 관리합니다. 데이터 개인 정보 보호 프레임워크, EU-U.S. 협정의 영국 확장 버전 데이터 개인 정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.

아니요. 슈렘스 II 판결의 초점이었던 이 두 가지 미국 법률 조항은 F5에 영향을 미치지 않습니다. 어떤 경우든 Schrems II 판결에 따른 미국 법률의 개선으로 인해 유럽 위원회는 유럽 의회 및 이사회 규정(EU) 2016/679에 따라 2023년 7월 10일 시행 결정에서 EU-US 협정에 따른 개인 데이터 보호의 적정 수준에 대해 결정했습니다. 데이터 개인정보 보호 프레임워크 이전에 해당 조항에 대해 제기되었던 우려는 해결되었습니다. 유럽 데이터 보호 위원회(EDPB)는 유럽 위원회의 결정을 분석하고( 2023년 7월 10일 적정성 결정 채택 후 GDPR에 따라 미국으로 전송되는 데이터에 대한 정보 참고 자료에서) "미국 정부가 국가 안보 분야에서 도입한 모든 보호 조치(구제 메커니즘 포함)는 사용된 전송 도구에 관계없이 미국으로 전송되는 모든 데이터에 적용됩니다"(즉, 데이터가 데이터 개인 정보 보호 프레임워크, 표준 계약 조항 또는 다른 전송 도구를 통해 미국으로 전송되는지 여부에 관계없이).

F5는 FISA 702에 따라 데이터 접근 요청이나 다른 종류의 지침을 받은 적이 없습니다. 많은 F5 서비스는 FISA 702 지침의 대상이 될 수 없는 서비스 유형입니다. 또한 F5 서비스의 거의 모든 고객의 경우 F5는 타겟팅이 가능한 유형의 데이터를 처리하지 않습니다. FISA 702 지침에 따라 대량 살상 무기 확산, 미국에 대한 외국의 공격 계획, 외국 스파이의 비밀 활동에 대한 정보 또는 FISA 의미 내의 기타 "외국 정보"에 대한 데이터에 적용됩니다.

F5는 EO 12333에 따라 고객 데이터를 제출하라는 명령을 받을 수 없습니다. EO 12333 명령이라는 것이 존재하지 않기 때문입니다. 행정명령 12333은 미국 정보 커뮤니티 내에 특정한 책임을 할당하지만, 민간 부문에는 어떠한 의무도 부과하지 않습니다. F5는 전송 중인 데이터를 암호화하고, 2023년 유럽 위원회 적정성 결정 이전에 슈렘스 II 법원이 우려했던 이론적인 가로채기 활동으로부터 보호하기 위해 추가적인 보안 조치를 사용합니다.

CLOUD법은 미국 정부에 미국에서 사업을 하는 기업에 데이터를 요구할 수 있는 새로운 권한을 부여하지 않았습니다. 미국 정부는 "CLOUD Act 명령"을 내리지 않으며 F5는 한 번도 명령을 받은 적이 없습니다. CLOUD법은 미국 정부가 적절한 기존 법적 절차(예: 연방 지방 법원 판사의 명령을 받아)에 따라 회사에 해당 회사가 소유, 보관 또는 관리하는 특정 데이터를 제공하도록 지시하는 경우, 해당 데이터의 위치가 회사가 명령에 이의를 제기하는 근거가 될 수 없다는 점을 명확히 했습니다(단, 해당 위치에서 시행 중인 법률과 충돌하는 경우는 여전히 근거가 될 수 있음). CLOUD법은 2020년 슈렘스 2세 판결 이전부터 시행되어 왔습니다. 슈렘스 2세 판결 이후 미국은 정부의 데이터 접근과 관련된 규칙과 관행을 다양하게 개선했습니다. 그런 다음 유럽 위원회는 이러한 개선 사항을 평가하고 미국 정부의 데이터 요구에 적용되는 미국법이 이제 GDPR의 의미 내에서 적절한 수준의 보호를 제공한다고 결정했습니다. 보다 유럽 의회 및 이사회 규정(EU) 2016/679에 따른 2023년 7월 10일 시행 결정 EU-US 개인 정보 보호의 적정 수준에 대해 데이터 개인 정보 보호 프레임워크 . 유럽 데이터 보호 위원회(EDPB)는 이 결정을 분석하고( 2023년 7월 10일 적정성 결정 채택 후 GDPR에 따라 미국으로 전송되는 데이터에 대한 정보 참고 자료에서) "미국 정부가 국가 안보 분야에서 시행한 모든 보호 조치(구제 메커니즘 포함)는 사용된 전송 도구에 관계없이 미국으로 전송되는 모든 데이터에 적용됩니다"(즉, 데이터가 데이터 개인 정보 보호 프레임워크, 표준 계약 조항 또는 다른 전송 도구를 통해 미국으로 전송되는지 여부에 관계없이).

F5 서비스에 대한 모든 고객 계약( 최종 사용자 서비스 계약(EUSA) )에는 F5의 데이터 보호 추가 조항(DPA) 을 통합 및 보완하는 서비스별 약관이 포함되어 있습니다. DPA에는 영국 또는 스위스 법에 따른 전송에 대한 관련 추가 언어와 함께 표준 계약 조항이 포함됩니다. 어떤 경우에는 고객과 F5가 동일한 보호 조치를 통합한 별도의 계약을 맺게 됩니다. 여기에는 특정 F5 지원 서비스 계약이 포함됩니다. 고객은 F5가 EU-US 인증을 받았음을 보여주는 https://www.dataprivacyframework.gov/list 도 참조할 수 있습니다. 데이터 개인 정보 보호 프레임워크, EU-US에 대한 영국 확장 데이터 개인정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.

영국을 포함한 "제3국"에 있는 F5 기관으로의 전송의 경우, F5와 그 고객은 영국 정보 위원회 웹사이트에서 확인할 수 있고 영국 법률에 따라 관리되는 관련 전송에 대한 F5 DPA 에 참조로 포함된 EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 추가 조항을 따릅니다. 또한, 특정 서비스의 경우 F5는 EU-US에 대한 영국 확장에 따라 인증을 받았습니다. 데이터 개인정보 보호 프레임워크.