표준과 규정 준수

ISO 인증

국제 표준화 기구(ISO)는 조직이 신뢰할 수 있고 혁신적인 제품과 서비스를 개발할 수 있도록 정보 보안과 사회 보안을 위한 세계적 수준의 표준을 개발했습니다. Dropbox는 네덜란드 소재의 독립적인 외부 감사기관 EY CertifyPoint의 감사를 거쳐 데이터 센터, 시스템, 애플리케이션, 인력, 프로세스를 인증받았습니다.

ISO 27001(정보 보안 관리)

ISO 27001은 세계 최고 수준의 정보 보호 관리 체계(ISMS)로 인정받는 국제 표준 인증으로, ISO 27002에 상세히 설명된 보안 우수 사례를 활용합니다. Dropbox는 고객의 기대와 신뢰에 부응하기 위해 Dropbox의 물리적, 기술적, 법적 제어를 지속적이고 포괄적으로 관리·개선하고 있습니다. Dropbox의 감사기관 EY CertifyPoint는 Raad voor Accreditatie(네덜란드 인증 위원회)로부터 ISO 27001 인증 수행 자격을 부여받았습니다. Dropbox Business와 Dropbox Education의 ISO 27001 인증을 확인하세요.

ISO 27017(클라우드 보안)

ISO 27017은 클라우드 서비스의 프로비전과 사용에 적용되는 보안 제어 관련 지침을 제공하는 클라우드 보안 부문 국제 표준 인증입니다. Dropbox의 공동 책임 안내서에는 Dropbox와 고객이 함께 노력해야 할 보안, 개인정보 보호, 규정 준수 요건이 다양하게 설명되어 있습니다. Dropbox Business와 Dropbox Education의 ISO 27017 인증을 확인하세요.

ISO 27018(클라우드 개인정보 보호 및 데이터 보호)

ISO 27018은 Dropbox처럼 고객을 대신해 개인정보를 처리하는 클라우드 서비스 공급업체에 적용되는 개인정보 보호 및 데이터 보호 부문 국제 표준 인증입니다. 이 인증은 규제와 계약에 관한 요건 및 질의에 대처할 수 있는 근거를 제시합니다. Dropbox Business와 Dropbox Education의 ISO 27018 인증을 확인하세요.

ISO 22301(비즈니스 연속성 관리)

ISO 22301은 잠재적인 위험을 최소화하여 운영이 중단되었을 때 비즈니스가 받을 영향을 감소하고, 운영 중단 시 조직이 이에 적절하게 대처하는 방법을 안내하는 업무 연속성 부문 국제 표준 인증입니다. Dropbox는 위기 상황 속에서 기업의 운영과 직원들을 보호하기 위한 통합 위기관리 전략의 일부로 업무 연속성 관리 체계(BCMS)를 확립하고 있습니다. Dropbox Business와 Dropbox Education의 ISO 22301 인증을 확인하세요.

ISO 27701(개인정보 보호 관리)

ISO 27701은 개인정보 보호 관리에 관한 국제 표준입니다. 이 표준은 ISO 27001에 규정된 정보 보안 관리 체계를 개인정보 보호 관리 체계(PIMS)로 향상하고 확장하는 프레임워크입니다. Dropbox Business와 Dropbox Education은 이 인증을 통해 개인 식별 정보(PII) 처리자의 자격을 획득했습니다. Dropbox Business와 Dropbox Education의 ISO 27701 인증을 확인하세요.

 

SOC 보고서 

흔히 SOC 1, SOC 2, SOC 3으로 불리는 SOC(Service Organization Controls) 보고서는 미국 공인 회계사 협회(AICPA)가 조직의 내부 제어 환경을 평가하기 위해 개발한 프레임워크입니다. Dropbox는 독립적인 외부 감사기관 Ernst & Young LLP의 감사를 거쳐 시스템, 애플리케이션, 인력, 프로세스를 인증받았습니다.

보안, 기밀성, 무결성, 가용성, 개인정보 보호를 평가하는 SOC 3

SOC 3 검증 보고서는 보안, 가용성, 절차상 무결성, 기밀성, 개인정보 보호로 구성된 5대 신뢰 서비스 기준을 모두 다룹니다(TSP 섹션 100). Dropbox 일반 사용 보고서는 SOC 2 보고서를 종합적으로 요약한 것으로, 여기에는 디자인의 실용성과 제어 환경 운영에 관한 독립 외부 감사기관의 의견이 포함되어 있습니다. Dropbox Business와 Dropbox Education의 SOC 3 검증을 확인하세요.

보안, 기밀성, 무결성, 가용성, 개인정보 보호를 평가하는 SOC 2

SOC 2 보고서는 보안, 가용성, 절차상 무결성, 기밀성, 개인정보 보호로 구성된 5대 신뢰 서비스 기준을 모두 포괄하며 제어에 관한 상세한 검증 결과를 제공합니다(TSP 섹션 100). SOC 2 보고서에는 Dropbox가 고객의 자료를 보호하기 위해 실행 중인 프로세스와 100가지 이상의 제어 기능이 상세하게 설명되어 있습니다. 또한, 디자인의 실용성과 제어 환경 운영에 관한 독립 외부 감사기관의 의견에 더불어 감사기관의 테스트 절차와 각 제어 기능에 대한 감사 결과가 포함되어 있습니다. SOC 2 보고서(또는 SOC 2+ 보고서)에는 위에 언급된 ISO 국제 표준에 관한 Dropbox의 제어 환경을 감사한 결과가 포함되어 있어, Dropbox의 고객은 이를 통해 한층 강화된 투명성을 확보할 수 있습니다. Dropbox Business와 Dropbox Education의 SOC 2 검증 보고서는 Dropbox 영업팀 또는 (Dropbox Business 기존 고객의 경우) 지원팀에 요청 시 확인할 수 있습니다.

SOC 1/SSAE 18/ISAE 3402(구 SSAE 16 또는 SAS 70)

SOC 1 보고서는 Dropbox Business나 Dropbox Education이 내부 재무 보고 관리(ICFR) 프로그램의 핵심 요소인 고객에게 상세한 검증 결과를 제공합니다. 이 검증은 주로 사베인스-옥슬리법(SOX) 규정 준수에 사용됩니다. 독립적인 외부 기관의 감사는 SSAE 18(Statement on Standards for Attestation Engagements No. 18)과 ISAE 3402(International Standard on Assurance Engagements No. 3402 )에 따라 시행되며, 이러한 규정은 이제는 사용이 중단된 SSAE 16(Statement on Standards for Attestation Engagement No.16)과 SAS 70(Statement on Auditing Standards No. 70)을 대체합니다. Dropbox Business와 Dropbox Education의 SOC 1 검증 보고서는 Dropbox 영업팀 또는 (Dropbox Business 기존 고객의 경우) 지원팀에 요청 시 확인할 수 있습니다.

 

CSA STAR(클라우드 시큐리티 얼라이언스: 보안, 신뢰, 보증, 위험성) 등록

CSA STAR(보안, 신뢰, 보증, 위험성)는 클라우드 서비스 보안 보증 프로그램을 제공하는 무료 등록부로, 사용자는 이를 참조해 현재 사용 중이거나 계약을 검토 중인 클라우드 서비스 제공업체의 보안 환경을 평가할 수 있습니다.

Dropbox Business와 Dropbox Education은 CSA START 레벨 2 인증과 레벨 2 증명을 획득했습니다. CSA STAR 레벨 2를 획득하려면 ISO 27001, SOC 2 신뢰 서비스 기준, CSA CCM(Cloud Controls Matrix) v3.0.1 요건을 토대로 독립적인 외부 감사기관의 보안 제어 환경 평가를 거쳐야 합니다(인증의 경우 EY CertifyPoint, 증명의 경우 Ernst & Young LLP). Dropbox의 CSA STAR 레벨 2 인증과 증명은 CSA 웹사이트에서 확인할 수 있습니다.

 

HIPAA/HITECH

Dropbox는 HIPAA(Health Insurance Portability and Accountability Act)와 HITECH(Health Information Technology for Economic and Clinical Health Act) 규정을 준수해야 하는 Dropbox Business/Dropbox Education 고객과 BAA(Business Associate Agreement)를 BBA를 작성합니다. 자세한 내용은 'HIPAA 시작하기' 안내서도움말 센터 글을 참조하세요.

Dropbox는 Dropbox Business나 Dropbox Education을 사용해 HIPAA/HITECH 보안 및 개인정보 보호 규정 요건을 준수하고자 하는 고객에게 Dropbox의 HIPAA/HITECH 보안, 개인정보 보호, 개인정보 침해 통보 규정을 평가한 외부 기관의 검증 보고서와 다양한 내부 사례, 권장 사항을 제공합니다.

위의 문서를 요청하려면 Dropbox 영업팀에 문의해주세요. 현재 Dropbox Business나 Dropbox Education의 팀 관리자인 경우, 관리 콘솔 내 계정 페이지에서 전자 BAA를 작성할 수 있습니다.

참고: 관리 콘솔에서 전자 BAA를 작성하는 기능은 미국에 거주하는 고객에게만 제공됩니다.

 

독일 BSI C5 증명 보고서

C5(Cloud Computing Compliance Controls Catalog)는 독일 연방정보기술보안청(BSI)이 클라우드 서비스 프로비전에 적용되는 보안 제어 환경을 평가하기 위해 개발한 프레임워크입니다. C5 증명은 조직이 BSI의 '클라우드 공급업체를 위한 보안 권장 사항'을 준수하는 정보 보안 환경을 구축하고 있다는 것을 의미합니다. C5는 ISO 27001, CSA STAR 등 현존하는 국제 보안 표준을 토대로 개발되었습니다. Dropbox는 독일에 위치한 독립적인 외부 감사기관 Ernst & Young GmbH로부터 시스템과 프로세스, 제어 환경을 검증받아 C5 증명 보고서를 취득했습니다. 외부 기관의 감사는 ISAE 3000(International Standard on Assurance Engagements No. 3000)과 IDW PS 860을 기준으로 시행됩니다.

이 보고서에는 Dropbox의 시스템, 애플리케이션, 프로세스, 제어 환경에 더불어 외부 감사기관의 테스트 절차와 각 제어 기능에 대한 감사 결과가 상세하게 설명되어 있습니다. Dropbox Business와 Dropbox Education의 C5 보고서는 Dropbox 영업팀 또는 (Dropbox Business 기존 고객의 경우) 지원팀에 요청 시 확인할 수 있습니다.

*Dropbox Paper는 C5 보고서 범위에 포함되지 않습니다.

 

NIST SP 800-171 R2 증명 보고서

미국 국립표준기술원(NIST)은 정보 체계 보호에 관한 표준과 지침을 규정하고 관리하는 기관입니다. NIST SP 800-171 2차 개정판(R2)은 연방 기관에 속하지 않는 정보 체계와 조직의 미분류 제어 정보(CUI) 보호에 관한 지침을 제공합니다. 이에 따라 연구기관과 교육기관처럼 미국 정부의 CUI를 처리하거나 저장하는 모든 기관은 NIST SP 800-171 R2를 준수해야 합니다. Dropbox의 CUI 시스템, 프로세스, 제어 환경은 독립적인 외부 감사기관 Ernst & Young LLP를 통해 그 유효성을 입증받았습니다. 

Dropbox Business와 Dropbox Education에 관한 NIST SP 800-171 R2 보고서는 Dropbox 영업팀 또는 (기존 Dropbox Business 고객의 경우) 지원팀에 요청 시 확인할 수 있습니다.

*Dropbox Paper는 NIST SP 800-171 R2 보고서 평가 범위에 포함되지 않습니다.

 

유럽연합-미국 프라이버시 실드(EU-US Privacy Shield)와 스위스-미국 프라이버시 실드(Swiss-US Privacy Shield)

Dropbox는 유럽연합, 유럽경제지역, 영국, 스위스에서 미국으로 전송된 개인정보의 수집과 사용, 보관과 관련해 미국 상무부가 제정한 유럽연합-미국 프라이버시 실드와 스위스-미국 프라이버시 실드 규정을 준수합니다. 프라이버시 실드 규정 준수는 조직이 GDPR에 부합하는 충분한 개인정보 보호 조치를 시행하고 있다는 것을 의미합니다.

프라이버시 실드 웹사이트에서 Dropbox의 프라이버시 실드 인증을 확인하고 더 자세한 내용을 알아보세요.

 

유럽연합 개인정보보호법(GDPR)

개인정보보호법 2016/679(GDPR)는 유럽연합 내 데이터 주체의 개인정보 처리에 관한 기존의 프레임워크를 대폭 수정한 유럽연합의 새로운 개인정보 보호 규정입니다. GDPR은 Dropbox처럼 개인정보를 처리하는 기업에 적용되는 요건을 새롭게 도입하고 기존의 규정을 강화했습니다. GDPR은 기존의 EU 개인정보보호지침(EU Directive 95/46 EC)을 대체하며, 지난 2018년 5월 25일부터 시행되고 있습니다. Dropbox는 GDPR를 준수합니다. 이에 따라 Dropbox를 이용하는 고객도 Dropbox를 통해 GDPR 준수 기준을 충족할 수 있습니다. 더 자세한 내용은 도움말 센터 글을 참조하세요.

 

CSA(클라우드 시큐리티 얼라이언스): Code of Conduct for GDPR Compliance

CSA Code of Conduct for GDPR Compliance는 Dropbox와 같은 클라우드 서비스 공급업체가 자발적인 책임 이행과 전반적인 투명성 제고를 통해 클라우드 서비스를 사용하는 고객들에게 자사가 유럽연합 개인정보보호법(GDPR)의 핵심 규정을 어떻게 준수하고 있는지 입증할 수 있는 도구입니다. Dropbox Business는 외부 감사기관의 엄격한 감사가 수반되는 CSA Code of Conduct for GDPR Compliance 자체 평가를 거쳐 규정 준수 마크 'Declared'를 획득했습니다. CSA Code of Conduct for GDPR Compliance와 이에 관한 Dropbox의 컴플라이언스 현황에 대한 자세한 정보는 CSA 웹사이트에서 확인할 수 있습니다.

 

학생과 아동(FERPA, COPPA)

Dropbox Business와 Dropbox Education 고객은 미국 FERPA(Family Education Rights and Privacy Act)에 규정된 공급업체의 의무를 준수하며 서비스를 이용할 수 있습니다. 교육기관의 경우, Dropbox Business와 Dropbox Education을 COPPA(Children’s Online Privacy Protection Act) 규정에 맞게 이용해야 합니다. 

 

미국식품의약국(FDA) 21 CFR Part 11

미국연방규정집(CFR) Title 21은 미국식품의약국(FDA)과 마약단속국(DEA), 마약통제정책국(ONDCP)의 미국 내 식품 및 의약품 관련 규정을 다룹니다. Title 21의 Part 11에는 FDA가 종이에 수기로 서명한 종이 문서와 동일한 효력을 가지며 신뢰할 수 있는 것으로 간주하는 전자 문서와 서명의 기준이 규정되어 있습니다.  

Dropbox가 21 CFR Part 11 규정 준수에 어떤 도움이 되는지 자세히 알아보시려면 Dropbox와 FDA 21 CFR Part 11 백서도움말 센터 게시글에서 확인할 수 있습니다.

 

PCI DSS

Dropbox는 지불 카드 보안 표준(PCI DSS)을 준수하는 전자상거래 업체이지만, Dropbox Business와 Dropbox Education, Dropbox Paper는 신용카드 거래를 처리하거나 저장하지 않습니다. Dropbox의 업체 상태에 관한 PCI 규정 준수 증명(AoC)은 Dropbox의 영업팀 또는 (Dropbox Business 기존 고객의 경우) 지원팀에 요청하여 확인할 수 있습니다.

 

Dropbox의 위탁 서비스 공급업체

Dropbox 데이터 센터가 위치해 있는 관리 서비스 공급업체들도 정기적으로 SOC 1, SOC 2, ISO 27001 감사를 거쳐 보안 환경을 검증받습니다. Dropbox는 정보 보안 관리 프로그램의 일환으로 최소 1년에 1번씩 감사 결과를 검토하며, 감사 보고서가 없는 경우에는 공급업체 보안 심사를 수행합니다. 감사나 심사에서 Dropbox와 Dropbox 고객에게 위험을 초래할 수 있는 중대한 문제가 발견될 경우, Dropbox는 서비스 공급업체와 협력해 이 문제가 고객 데이터에 미칠 잠재적 영향을 파악하고, 문제가 해결될 때까지 업체의 개선 활동을 추적 관찰합니다.

 

Dropbox Business와 Dropbox Education의 규정 준수에 관한 자세한 정보

규정 준수와 인증에 관한 문서는 Dropbox 영업팀 또는 (Dropbox Business 기존 고객의 경우) 지원팀에 요청할 수 있습니다.