표준 및 규정 준수

커다란 체크 마크가 표시된 컴퓨터 스크린이 있는 책상에서 무언가를 입력하는 사람

ISO 인증

국제 표준화 기구(ISO)는 조직이 신뢰할 수 있고 혁신적인 제품과 서비스를 개발할 수 있도록 정보 보안과 사회 보안을 위한 세계적 수준의 표준을 개발했습니다. Dropbox는 네덜란드 소재의 독립적인 외부 감사기관 EY CertifyPoint의 감사를 거쳐 데이터 센터, 시스템, 애플리케이션, 인력, 프로세스를 인증받았습니다.

ISO 27001(정보 보안 관리)

ISO 27001은 세계 최고의 정보 보안 관리 체계(ISMS)로 인정받는 국제 표준으로, ISO 27002에 설명된 보안 우수 사례를 포괄합니다. Dropbox는 고객들의 기대와 신뢰에 부합하기 위해 Dropbox의 물리적, 기술적, 법률적 제어 환경을 지속적이고 포괄적인 방식으로 관리·개선하고 있습니다. Dropbox를 감사하는 EY CertifyPoint는 Raad voor Accreditatie(네덜란드 인증 기구)가 공인한 ISO 27001 인증 기관입니다. 비즈니스용 Dropbox와 Dropbox Education의 ISO 27001 인증은 여기에서 확인할 수 있습니다.

ISO 27017(클라우드 보안)

ISO 27017은 클라우드 서비스의 프로비전과 사용에 관한 보안 통제 지침을 제공하는 클라우드 보안 부문 국제 표준 인증입니다. Dropbox의 공동 책임 안내서에는 Dropbox와 고객이 함께 노력해야 할 보안, 개인정보 보호, 컴플라이언스 요건이 다양하게 설명되어 있습니다. 비즈니스용 Dropbox와 Dropbox Education의 ISO 27017 인증은 여기에서 확인할 수 있습니다.

ISO 27018(클라우드 개인정보 보호 및 데이터 보호)

ISO 27018은 개인정보 및 데이터 보호에 관한 국제 표준으로, 고객을 대신하여 개인 정보를 처리하는 Dropbox와 같은 클라우드 서비스 제공업체에 적용되고, 고객들이 일반적인 규제 및 계약상의 요건 또는 질문에 대한 답을 찾고 해결할 수 있는 기준을 제공합니다. 비즈니스용 Dropbox와 Dropbox Education의 ISO 27018 인증은 여기에서 확인할 수 있습니다.

ISO 22301(업무 연속성 관리)

ISO 22301은 잠재적인 위험을 최소화함으로써 운영이 중단됐을 때 비즈니스에 끼치는 영향을 줄이고, 운영 중단 시 이에 적절하게 대응하는 방법을 안내하는 업무 연속성 부문 국제 표준 인증입니다. Dropbox는 위기 상황에서 인력과 비즈니스 운영을 보호하는 통합 위기관리 전략의 일환으로 업무 연속성 관리 체계(BCMS)를 구축했습니다. 비즈니스용 Dropbox와 Dropbox Education의 ISO 22301 인증은 여기에서 확인할 수 있습니다.

ISO 27701(개인정보 보호 관리)

ISO 27701은 개인정보 보호 관리에 관한 국제 표준입니다. 이 표준은 ISO 27001에 규정된 정보보호관리체계(ISMS)를 보완해 개인정보보호관리체계(PIMS)로 확장한 것으로, 개인정보 보호에 관한 통합적인 프레임워크를 제공합니다. Dropbox Business와 Dropbox Education은 개인 식별 정보(PII) 처리업체의 자격으로 이 인증을 획득했습니다. Dropbox Business와 Dropbox Education의 ISO 27701 인증을 확인하세요.

SOC 보고서

흔히 SOC 1, SOC 2, SOC 3으로 불리는 SOC(Service Organization Controls) 보고서는 미국 공인 회계사 협회(AICPA)가 조직의 내부 제어 환경을 평가하기 위해 개발한 프레임워크입니다. Dropbox는 독립적인 외부 감사기관 Ernst & Young LLP의 감사를 거쳐 시스템, 애플리케이션, 인력, 프로세스를 인증받았습니다.

보안성, 기밀성, 무결성, 가용성, 개인정보 보호에 관한 SOC 3

SOC 3 검증 보고서는 보안, 가용성, 절차상 무결성, 기밀성, 개인정보 보호로 구성된 5대 신뢰 서비스 기준을 모두 다룹니다(TSP 섹션 100). 일반 사용자에게 공개되는 Dropbox 보고서에는 SOC 2 보고서의 주요 내용이 요약되어 있으며, Dropbox의 내부 통제 시스템이 적절하게 설계되었고 효율적으로 운영되고 있는지에 관한 외부 감사 업체의 평가가 수록되어 있습니다. 비즈니스용 Dropbox와 Dropbox Education의 SOC3 보고서는 여기에서 확인할 수 있습니다.

보안성, 기밀성, 무결성, 가용성, 개인정보 보호에 관한 SOC 2

SOC 2 보고서는 보안, 가용성, 절차상 무결성, 기밀성, 개인정보 보호로 구성된 5대 신뢰 서비스 기준을 모두 다루며 제어 환경에 관한 상세한 검증 결과를 제공합니다(TSP 섹션 100). SOC 2 보고서에는 Dropbox가 고객의 데이터를 보호하기 위해 실행 중인 프로세스와 100가지 이상의 제어 기능이 상세하게 설명되어 있고, 실용적인 디자인과 제어 기능 운용에 관한 독립적인 외부 감사기관의 의견에 더불어 감사기관의 테스트 절차와 각 제어 기능에 대한 감사 결과도 포함되어 있습니다. SOC 2 보고서(또는 SOC 2+ 보고서)에는 위에 언급된 ISO 국제 표준에 따라 Dropbox의 제어 환경을 감사한 결과가 포함되어 있어 고객들에게 한층 강화된 투명성을 제공합니다. 비즈니스용 Dropbox와 Dropbox Education에 관한 SOC 2 보고서는 Dropbox 영업팀 또는 (비즈니스용 Dropbox 기존 고객의 경우) 지원팀에 요청해 확인할 수 있습니다.

SOC 1/SSAE 18/ISAE 3402(구 SSAE 16 또는 SAS 70)

SOC 1 보고서는 비즈니스용 Dropbox 또는 Dropbox Education을 기업 내부재무보고관리(ICFR) 프로그램의 핵심 요소로 여기는 고객에게 상세한 검증 결과를 제공합니다. 이 검증 결과는 특히 사베인스-옥슬리법(SOX)을 준수해야 하는 Dropbox 고객에게 유용합니다. 독립적인 외부 감사기관의 감사는 SSAE 18(The Statement on Standards for Attestation Engagements No.18)과 ISAE 3402(International Standard on Assurance Engagements No. 3402)에 따라 시행되며, 이러한 표준은 지금은 더 이상 사용되지 않는 SSAE 16(The Statement on Standards for Attestation Engagement No.16)과 SAS 70(The Statement on Auditing Standards No.70)을 대체합니다. 비즈니스용 Dropbox와 Dropbox Education의 SOC 1 검증 보고서는 Dropbox 영업팀 또는 (비즈니스용 Dropbox 기존 고객의 경우) 지원팀에 요청해 확인할 수 있습니다.

CSA STAR(클라우드 시큐리티 얼라이언스: 보안, 신뢰, 보증, 위험성) 등록

CSA STAR(보안, 신뢰, 보증, 위험성)는 클라우드 서비스 보안 보증 프로그램을 제공하는 무료 등록부로, 사용자는 이를 참조해 현재 사용 중이거나 계약을 검토 중인 클라우드 서비스 제공업체의 보안 환경을 평가할 수 있습니다.

Dropbox Business와 Dropbox Education은 CSA START 레벨 2 인증과 레벨 2 증명을 획득했습니다. CSA STAR 레벨 2를 획득하려면 ISO 27001, SOC 2 신뢰 서비스 기준, CSA CCM(Cloud Controls Matrix) v3.0.1 요건을 토대로 독립적인 외부 감사기관의 보안 제어 환경 평가를 거쳐야 합니다(인증의 경우 EY CertifyPoint, 증명의 경우 Ernst & Young LLP). Dropbox의 CSA STAR 레벨 2 인증과 증명은 CSA 웹사이트에서 확인할 수 있습니다.

HIPAA/HITECH

Dropbox는 비즈니스용 Dropbox 또는 Dropbox Education 고객이 Health Insurance Portability and Accountability Act(HIPAA)와 Health Information Technology for Economic and Clinical Health Act(HITECH) 규정 준수의 일환으로 Business Associate Agreement(BAA)를 필요로 할 경우 BBA를 작성하고 있습니다. 보다 자세한 정보는 Dropbox의 HIPAA 시작하기 안내서도움말 센터 글에서 확인할 수 있습니다.

Dropbox는 비즈니스용 Dropbox 또는 Dropbox Education을 사용해 HIPAA/HITECH 보안 및 개인정보 보호 규정 요건을 준수하고자 하는 고객들에게 Dropbox의 HIPAA/HITECH 보안, 개인정보 보호, 개인정보 유출 통보 규정에 관한 Dropbox의 제어 환경을 평가한 SOC 2 보고서와 다양한 내부 사례, 권장 사항을 제공하고 있습니다.

이러한 문서는 Dropbox 영업팀에 연락해 요청할 수 있습니다. 현재 비즈니스용 Dropbox 또는 Dropbox Education의 팀 관리자인 경우, 관리 콘솔 내 계정 페이지에서 전자 BAA를 작성할 수 있습니다.

참고: 관리 콘솔에서 전자 BAA를 작성하는 기능은 미국에 거주하는 고객들에게만 제공됩니다.

NIST SP 800-171 R2 증명 보고서

미국 국립표준기술원(NIST)은 정보 체계 보호에 관한 표준과 지침을 규정하고 관리하는 기관입니다. NIST SP 800-171 2차 개정판(R2)은 연방 기관에 속하지 않는 정보 체계와 조직의 미분류 제어 정보(CUI) 보호에 관한 가이드라인을 제공합니다. 이에 따라 연구기관과 교육기관처럼 미국 정부의 CUI를 처리하거나 저장하는 모든 기관은 NIST SP 800-171 R2를 준수해야 합니다. Dropbox의 CUI 시스템, 프로세스, 제어 환경은 독립 외부 감사기관 Ernst & Young LLP를 통해 NIST SP 800-171 R2를 준수함을 입증받았습니다.

비즈니스용 Dropbox와 Dropbox Education에 관한 NIST SP 800-171 R2 보고서는 SOC 2 보고서에 통합되어 있으며, 이 보고서는 Dropbox 영업팀 또는 (비즈니스용 Dropbox 기존 고객의 경우) 지원팀에 요청해 확인할 수 있습니다.

*Dropbox Paper는 NIST SP 800-171 R2 보고서 평가 범위에 포함되지 않습니다.

유럽연합-미국 프라이버시 실드와 스위스-미국 프라이버시 실드

Dropbox는 유럽연합, 유럽경제지역, 영국, 스위스에서 미국으로 전송된 개인정보의 수집과 사용, 보관과 관련해 미국 상무부가 제정한 유럽연합-미국 프라이버시 실드와 스위스-미국 프라이버시 실드 규정을 준수합니다. 프라이버시 실드 규정 준수는 조직이 GDPR에 부합하는 충분한 개인정보 보호 조치를 시행하고 있다는 것을 의미합니다.

Dropbox의 프라이버시 실드 인증에 대한 보다 자세한 내용은 프라이버시 실드 웹사이트에서 확인할 수 있습니다.

유럽연합 개인정보보호법(GDPR)

개인정보보호법 2016/679(GDPR)는 유럽연합에 거주하는 데이터 주체의 개인정보 처리에 관한 기존의 프레임워크를 대폭 수정한 유럽연합의 새로운 개인정보 보호 규정입니다. GDPR은 Dropbox처럼 개인정보를 처리하는 기업에 적용되는 요건을 새롭게 도입하고 기존의 규정을 강화했습니다. GDPR은 기존의 유럽연합 개인정보보호지침(EU Directive 95/46 EC)을 대체하며, 지난 2018년 5월 25일부터 시행되고 있습니다. Dropbox는 GDPR을 준수하며, 고객은 Dropbox를 통해 조직의 GDPR 준수 기준을 충족할 수 있습니다. 보다 자세한 정보는 이 도움말 센터 글에서 확인할 수 있습니다.

EU 클라우드 행동 강령

유럽연합 클라우드 행동 강령은 Dropbox와 같은 클라우드 서비스 공급업체가 GDPR 컴플라이언스를 입증하기 위해 사용하는 자율적 도구입니다. 2021년 5월, 벨기에 데이터 보호 당국은 유럽 데이터보호위원회(EDPB)의 긍정적인 의견에 따라 유럽연합 클라우드 행동 강령을 공식적으로 승인했습니다. Standard, Advanced, Enterprise, Education 요금제로 구성된 비즈니스용 Dropbox는 유럽연합 클라우드 행동 강령을 준수하는 것을 입증받았고, 행동 강령 요건에 따라 기술적, 조직적, 계약상의 조치를 취했음을 의미하는 '레벨 2' 컴플라이언스 마크를 획득했습니다. 유럽연합 클라우드 행동 강령과 Dropbox의 행동 강령 준수에 관한 자세한 내용은 유럽연합 클라우드 행동 강령 공식 웹사이트에서 확인할 수 있습니다.

클라우드 데이터 보호 행동 강령 레벨 2 로고

학생과 아동(FERPA/COPPA)

Dropbox Business와 Dropbox Education 고객은 미국 FERPA(Family Education Rights and Privacy Act)에 규정된 공급업체의 의무를 준수하며 서비스를 이용할 수 있습니다. 교육기관의 경우, Dropbox Business와 Dropbox Education을 COPPA(Children’s Online Privacy Protection Act) 규정에 맞게 이용해야 합니다.

FDA 21 CFR Part 11

미국 연방규정집(CFR) Title 21에는 미국 식품의약청(FDA), 마약단속국(DEA), 마약통제정책국(ONDCP)에 적용되는 미국 내 식품 및 의약품에 관한 규정이 명시되어 있습니다. Title 21의 Part 11에는 FDA가 종이에 수기로 서명한 종이 문서와 동일한 효력을 가지며 신뢰할 수 있는 것으로 간주하는 전자 문서와 서명의 기준이 규정되어 있습니다.

Dropbox가 21 CFR Part 11 규정 준수에 어떤 도움이 되는지 자세히 알아보시려면 Dropbox와 FDA 21 CFR Part 11 백서도움말 센터 게시글에서 확인할 수 있습니다.

PCI DSS

Dropbox는 PCI DSS(결제 카드 산업 데이터 보안 표준)를 준수하는 업체입니다. Dropbox의 업체 상태에 대한 PCI 컴플라이언스 증명(AoC)은 Dropbox의 영업팀 또는 (비즈니스용 Dropbox 기존 고객의 경우) 지원팀에 요청해 확인할 수 있습니다.

Dropbox의 위탁 서비스 공급업체

Dropbox 데이터 센터가 위치해 있는 관리 서비스 공급업체들도 정기적으로 SOC 1, SOC 2, ISO 27001 감사를 거쳐 보안 환경을 검증받습니다. Dropbox는 정보 보안 관리 프로그램의 일환으로 최소 1년에 1번씩 감사 결과를 검토하며, 감사 보고서가 없는 경우에는 공급업체 보안 심사를 수행합니다. 감사나 심사에서 Dropbox와 Dropbox 고객에게 위험을 초래할 수 있는 중대한 문제가 발견될 경우, Dropbox는 서비스 공급업체와 협력해 이 문제가 고객 데이터에 미칠 잠재적 영향을 파악하고, 문제가 해결될 때까지 업체의 개선 활동을 추적 관찰합니다.

비즈니스용 Dropbox와 Dropbox Education의 컴플라이언스에 관한 자세한 정보

컴플라이언스와 인증 관련 문서는 Dropbox 영업팀 또는 (비즈니스용 Dropbox 기존 고객의 경우) 지원팀에 요청해 확인할 수 있습니다.