111
2
장
마이크로서비스 모델링 방법
2.6.22.6.2
데이터 데이터
보유하고 관리할 데이터의 특징에 따라 다양한 형태의 분해가 발생할 수 있다. 예를 들어 개인
식별 정보
personally
Identifiable
Information
(
PII
)를 처리하는 서비스를 제한해 데이터 침해 위험을 줄이
고
GDPR
과 같은 규제에 대한 감독 및 구현을 단순화할 수 있다.
필자의 최근 고객인 페이먼트코
PaymentCo
라는 결제 전문 기업의 경우 특정한 종류의 데이터를 사
용하므로 시스템을 분해하는 결정에 직접적인 영향을 받았다. 페이먼트코는 신용카드 데이터
를 처리하는데, 해당 시스템은 이 데이터를 관리해야 하는 방법에 대해
PCI
Payment
Card
Industry
표
준에서 설정한 다양한 요구 사항을 준수해야 한다. 이러한 규정의 일환으로 기업의 시스템과
프로세스는 감사를 받아야 한다. 페이먼트코는 전체 신용카드 데이터를 처리해야 했고 시스템
은
PCI
레벨
1
을 준수해야 했다. 이 레벨은 가장 엄격한 수준이며 데이터 관리 방식과 관련된
시스템 및 관행에 대한 분기별 외부 평가가 필요하다.
많은
PCI
요구 사항은 상식적이지만, 전체 시스템이 요구 사항을 준수하도록 하는 것, 특히 외
부 당사자가 시스템을 감사할 필요가 있는지 확인하는 일은 상당히 번거로웠다. 결과적으로 회
사는 신용카드 데이터 전체를 처리하는 시스템 부분을 분리하길 원했다. 즉, 전체 시스템의 일
부만 이와 같은 추가 수준의 감독이 필요했다. [그림
2
-
17
]은 우리가 ...