표준 및 규정 준수


Dropbox의 ISO 27001 인증

ISO

국제 표준화 기구(ISO)는 정보 및 사회적 보안에 대한 일련의 세계 수준의 표준을 구축하여 조직에서 신뢰성과 혁신성을 갖춘 제품 및 서비스를 개발할 수 있도록 하고 있습니다. Dropbox는 당사의 데이터 센터, 기술, 시스템, 애플리케이션, 직원 및 프로세스에 대해 네덜란드 소재의 외부 감사 업체인 EY CertifyPoint로부터 인증을 받았습니다. 이 업체는 Raad voor Accreditatie(네덜란드 인증 기구)가 공인한 ISO 인증 기관입니다.

ISO 27001(정보 보안)

ISO 27001은 전 세계적으로 인정받은 최고의 정보 보안 관리 시스템(ISMS) 표준으로, 이 표준은 ISO 27002에 열거된 모범 사례를 적용합니다. Dropbox는 고객의 신뢰를 얻기 위해 당사의 물리적, 기술적, 법률적인 통제를 지속적이고 포괄적으로 관리하고 있습니다. Dropbox Business, Enterprise 및 Education에 대한 ISO 27001 인증을 확인하세요.

ISO 27017(클라우드 보안)

ISO 27017은 클라우드 서비스 프로비전 및 사용에 적용 가능한 보안 통제에 대한 가이드라인을 제공하는 클라우드 보안 부문의 신규 국제 표준입니다. Dropbox의 책임 공유 안내서에는 Dropbox와 Dropbox의 고객이 함께 해결할 수 있는 보안, 개인정보 보호 및 컴플라이언스 요건에 대해 모두 설명되어 있습니다.Dropbox Business, Enterprise 및 Education에 대한 ISO 27017 인증을 확인하세요.

ISO 27018(클라우드 개인정보 보호 및 데이터 보호)

ISO 27018은 개인정보 및 데이터 보호에 관해 새롭게 부상하는 국제 표준으로, 고객을 대신하여 개인 정보를 처리하는 Dropbox와 같은 클라우드 서비스 제공업체에 적용되고, 고객들이 일반적인 규제 및 계약상의 요건 또는 질문에 대한 답을 찾고 해결할 수 있는 기준을 제공합니다. Dropbox Business, Enterprise 및 Education에 대한 ISO 27018 인증을 확인하세요.

ISO 22301(비즈니스 연속성)

ISO 22301은 업무 중단 이벤트 발생 가능성을 줄이고, 이러한 이벤트 발생 시 피해의 잠재 위험성을 최소화하면서 적절하게 대응하는 방법과 관련하여 조직에 가이드라인을 제시하는 비즈니스 연속성 국제 표준입니다. Dropbox Business의 비즈니스 연속성 관리 시스템(BCMS)은 당사의 전반적인 위험 관리 전략의 일환으로 위기 발생 시 직원 및 비즈니스 활동을 보호합니다. Dropbox Business, Enterprise 및 Education에 대한 ISO 22301 인증을 확인하세요.


Dropbox의 CSA Star 인증

CSA STAR(Cloud Security Alliance: Security, Trust, and Assurance Registry)

CSA STAR(Security, Trust & Assurance Registry)는 클라우드 서비스를 위한 보안 보증 프로그램을 제공하는 등록부로 누구나 무료로 액세스할 수 있기 때문에 사용자가 현재 사용 중이거나 계약을 검토 중인 클라우드 서비스 제공업체의 보안 상태를 평가하는 데 도움이 됩니다.

Dropbox Business, Enterprise 및 Education은 CSA STAR 2단계 인증을 획득했습니다. 이 인증은 ISO27001 및 CSA CCM(Cloud Controls Matrix) v.3.0.1(클라우드 서비스 제공 능력을 측정하는 일련의 기준)의 요건을 기반으로 당사의 보안 통제를 외부 업체인 EY CertifyPoint가 독립적으로 평가하는 것입니다. 또한 Dropbox Business는 CSA STAR 1단계 자가진단을 완료했습니다. 1단계는 CSA의 CAIQ(Consensus Assessments Initiative Questionnaire)에 기반한 엄격한 설문조사로 이루어져 있고, CCM에 부합하며, 클라우드 고객 또는 클라우드 보안 감사 업체가 물어볼 만한 질문 약 300개에 대한 답변을 제공합니다.


Dropbox의 SOC 규정 준수

SOC

서비스 조직 감사(SOC) 보고서는 SOC 1, SOC 2, SOC 3으로 알려져 있으며, 조직에서 적용하는 내부 통제에 대한 보고를 위해 미국 공인회계사 협회(AICPA)에서 만든 프레임워크입니다. Dropbox는 당사의 운영, 프로세스 및 기술에 대해 외부 감사 업체인 Ernst & Young LLP로부터 인증을 받았습니다.

보안성, 기밀 유지, 무결성, 가용성 및 개인정보 보호에 관한 SOC 3

SOC 3 보증 보고서에는 보안, 기밀 유지, 무결성, 가용성 및 개인정보 보호에 관한 다섯 가지 신뢰 서비스 원칙(TSP 섹션 100)에 대한 내용이 수록되어 있습니다. 일반 사용자에게 공개되는 Dropbox 보고서에는 SOC 2 보고서의 주요 내용이 요약되어 있으며, Dropbox의 내부 통제 시스템이 적절하게 설계되었고 효율적으로 운영되는지에 관한 외부 감사 업체의 평가가 수록되어 있습니다. Dropbox Business, Enterprise 및 Education에 대한 SOC 3 검사를 확인하세요.

보안성, 기밀 유지, 무결성, 가용성 및 개인정보 보호에 관한 SOC 2

SOC 2 보고서는 보안성, 기밀 유지, 처리 무결성, 가용성 및 개인정보 보호에 관한 다섯 가지 신뢰 서비스 원칙(TSP 섹션 100)을 다루어 고객에게 통제 기반의 보증에 대한 세부 단계를 제공합니다. SOC 2 보고서에는 Dropbox의 프로세스 및 사용자 데이터 보호를 위해 마련된 100여 개의 내부 통제 방법이 설명되어 있습니다. 또한 Dropbox의 내부 통제 시스템이 적절하게 설계되었고 효율적으로 운영되는지에 관한 외부 감사 업체의 평가 및 감사 평가 방법과 결과가 수록되어 있습니다. Dropbox Business, Enterprise 및 Education에 대한 SOC 2 검사에 대해 고객 요청이 있는 경우 Dropbox 영업팀 또는 고객 관리팀에서 제공해 드립니다.

SOC 1/SSAE 16/ISAE 3402(구 SAS 70)

SOC 1 보고서는 Dropbox Business, Enterprise 또는 Education이 ICFR(내부회계 관리제도)의 핵심 요소임을 밝히는 특별 보증을 고객들에게 제공합니다. 이러한 특별 보증은 고객의 SOX(사베인-옥슬리 법) 준수를 위해 주로 사용됩니다. 외부 감사는 SSAE 16(Statement on Standards for Attestation Engagements No. 16) 및 ISAE 3402(International Standard on Assurance Engagements No. 3402)에 따라 수행됩니다. 상기 표준은 SAS 70(Statement on Auditing Standards No. 70)을 대체합니다. Dropbox Business, Enterprise 및 Education에 대한 SOC 1 검사에 대해 고객 요청이 있는 경우 Dropbox 영업팀 또는 고객 관리팀에서 제공해 드립니다.


학생 및 아동(FERPA 및 COPPA)

Dropbox Business, Enterprise 및 Education은 FERPA(미국 가정 교육 권리 및 사생활 보호법)에서 요구하는 서비스 제공업체의 의무에 따라 서비스를 제공하고 있습니다. 또한 Dropbox Business, Enterprise 및 Education은 COPPA(온라인 아동 사생활 보호법)에 부합하므로 만 13세 미만의 학생을 교육하는 기관에서 사용할 수 있습니다. 단 서비스 이용과 관련하여 해당 기관에 부모의 동의를 요구하는 특정 계약 조항에 동의해야 합니다.

영국 Digital Marketplace G-Cloud

Dropbox Business는 현재 정부용 클라우드 서비스 조달에 관한 영국의 공공 조달 사이트인 디지털 마켓플레이스에 등록되어 있습니다. 여기에서 확인하세요.


Dropbox HIPAA 인증

HIPAA/HITECH

Dropbox는 HIPAA(Health Insurance Portability and Accountability Act) 및 HITECH(Health Information Technology for Economic and Clinical Health Act) 준수를 위해 BAA(사업 협력 계약)를 요구하는 Dropbox Business, Enterprise 또는 Education 고객과 BAA 계약을 맺습니다. 자세한 내용은 'HIPAA 시작하기' 안내서도움말 센터 글을 참조하세요.

Dropbox는 HIPAA/HITECH 보안, 개인정보 보호, 침해 통지 규칙에 따른 Dropbox의 통제 시스템 및 HIPAA/HITECH 보안 및 개인정보 보호 규칙 요구 사항을 충족해야 하는 Dropbox Business, Enterprise 및 Education 고객을 위해 마련된 Dropbox 내부 방침 및 권장 사항을 평가한 외부 업체의 보증 보고서를 제공합니다.

상기 문서를 요청하려는 고객은 Dropbox 고객 관리팀 또는 영업팀에 문의하세요. Dropbox Business, Enterprise 및 Education 계정의 팀 관리자는 관리 콘솔계정 페이지에서 BAA에 전자 서명을 할 수 있습니다.

참고: 관리 콘솔을 통해 BAA에 전자 서명할 수 있는 기능은 미국에 거주하며 Dropbox Paper 베타에 참여하지 않은 고객만 이용할 수 있습니다.


PCI DSS

Dropbox는 PCI DSS(지불 카드 데이터 보안 표준)를 준수합니다. Dropbox Business, Enterprise 및 Education에서는 고객의 신용카드 거래 내역을 처리하거나 저장하지 않습니다. Dropbox의 PCI 규정 준수 상태에 관한 AoC(규정 준수 인증서)를 고객이 요청할 경우, Dropbox 영업팀 또는 고객 관리팀에서 제공해 드립니다.

Dropbox가 위탁한 서비스 업체

또한 Dropbox 데이터 센터가 상주해 있는 여러 관리 서비스 공급업체도 SOC 1, SOC 2 및/또는 ISO 27001 정기 감사를 통해 해당 보안 환경을 검사받습니다. Dropbox는 정보 보안 관리 프로그램의 일환으로 감사 결과를 최소 1년에 한 번씩 검토합니다. 감사에서 Dropbox 또는 Dropbox 고객에게 위험을 초래할 수 있는 중대한 문제가 발견될 경우, Dropbox는 위탁 서비스 업체와 협력하여 고객 데이터에 어떤 문제를 일으킬 수 있는지 파악하고 해당 업체가 이 문제를 해결할 때까지 관리합니다.

Dropbox Business, Enterprise 또는 Education의 규정 준수에 대한 자세한 정보

규정 준수 및 인증 관련 문서는 Dropbox 담당자 또는 고객 관리팀에 요청할 수 있습니다.