SOC 보고서란? 이 보고서가 중요한 이유는?
흔히 SOC 1, SOC 2, SOC 3으로 불리는 SOC(Service Organization Controls) 보고서는 미국 공인 회계사 협회(AICPA)가 조직의 사내 제어 환경을 평가하기 위해 개발한 체계입니다.
이 보고서는 데이터 제어 기반 장치에 탑재된 보호 기능을 제어 및 모니터링해 이러한 보호 기능이 제대로 실행되도록 하는데 필수입니다.
보안 우수 사례를 보장하는 SOC 보고서
서비스 공급업체와 고객 간에 유지되어야 하는 신뢰와 클라우드 컴퓨팅의 보편화로 인해 SOC 보고서의 중요성이 그 어느 때보다도 부각되고 있습니다.
Dropbox는 지속적인 커뮤니케이션을 통해 고객들에게 Dropbox는 보안 우수 사례에 따라 운영되며, 독립적인 외부 감사기관을 통해 정기적으로 이러한 사례를 엄격하게 점검받는다는 사실을 알리고 있습니다.
Dropbox의 보안 사례 살펴보기
SOC 1, SOC 2, SOC 3 보고서 인증 과정
독립 감사기관의 평가
Dropbox는 필수적인 보안, 개인정보 보호, 컴플라이언스 요건을 충족하기 위해 독립적인 외부 감사기관의 인증을 거칩니다. Dropbox는 독립 감사기관 Ernst & Young LLP가 시행한 일련의 감사를 통해 시스템, 애플리케이션, 인력, 절차를 인증받았습니다.
우수 사례와 객관적인 표준 준수
이 인증 절차는 Dropbox가 우수 사례에 따라 운영되며, 재무 보고, 보안, 개인정보 보호, 기밀성, 가용성, 절차상 무결성에 대한 객관적인 기준을 충족한다는 것을 확인해줍니다.
SOC 1~2 보고서는 Dropbox Standard, Advanced, Enterprise 및 Education 기존 고객의 요청 시 제공되며, 관심 있는 사람이라면 누구나 SOC 3 검사를 확인할 수 있습니다.
보안, 기밀성, 무결성, 가용성, 개인정보 보호를 다루는 SOC 3
보안, 기밀성, 무결성, 가용성, 개인정보 보호를 다루는 SOC 3
SOC 3 검증 보고서는 보안, 가용성, 절차상 무결성, 기밀성, 개인정보 보호로 구성된 5대 신뢰 서비스 기준을 다룹니다(TSP 섹션 100). Dropbox 일반 사용 보고서는 SOC 2 보고서를 종합적으로 요약한 것으로, 실용적인 디자인과 제어 기능 운용에 관한 독립적인 외부 감사기관의 의견이 포함되어 있습니다.
Dropbox Standard, Advanced, Enterprise 및 Education SOC 3 검사는 여기에서 확인할 수 있습니다.
보안, 기밀성, 무결성, 가용성, 개인정보 보호를 평가하는 SOC 2 컴플라이언스 보고서
SOC 2 보고서는 보안, 가용성, 절차상 무결성, 기밀성, 개인정보 보호로 구성된 5대 신뢰 서비스 기준을 모두 다루며 제어 환경에 관한 상세한 검증 결과를 제공합니다(TSP 섹션 100).
또한, 여기에는 Dropbox가 고객의 데이터를 보호하기 위해 실행 중인 프로세스와 100가지 이상의 제어 기능이 상세하게 설명되어 있고, 실용적인 디자인과 제어 기능 운용에 관한 독립적인 외부 감사기관의 의견과 더불어 감사기관의 테스트 절차와 각 제어 기능에 대한 감사 결과도 포함되어 있습니다.
ISO 표준에 따라 제어 기능을 감사한 결과가 포함되어 있는 Dropbox SOC 2 보고서는 고객들에게 한층 강화된 투명성을 제공합니다.
SOC 1 보고서/SSAE 18/ISAE 3402(구 SSAE 16 또는 SAS 70)
SOC 1 보고서는 Dropbox Standard, Advanced, Enterprise 및 Education을 조직의 ICFR(내부회계 관리제도) 프로그램의 핵심 요소라고 판단하는 고객에게 상세한 검증 결과를 제공합니다. 이 검증 결과는 특히 사베인스-옥슬리 법(SOX)을 준수해야 하는 Dropbox 고객에게 유용합니다.
독립적인 외부 감사기관의 감사는 SSAE 18(The Statement on Standards for Attestation Engagements No. 18)과 ISAE 3402(International Standard on Assurance Engagements No. 3402)에 따라 시행되며, 이러한 표준은 지금은 더 이상 사용되지 않는 SSAE 16(The Statement on Standards for Attestation Engagement No. 16)과 SAS 70(The Statement on Auditing Standards No. 70)을 대체합니다.
Dropbox Standard, Advanced, Enterprise 및 Education용 SOC 1 검사는 Dropbox 영업팀 또는 (Dropbox팀 기존 고객의 경우) 지원팀에 요청해 확인할 수 있습니다.