The standards and regulations that Dropbox Business and Education comply with

ISO

CSA STAR

SOC

FERPA 및 COPPA

영국 Digital Marketplace G-Cloud

HIPAA/HITECH

PCI DSS

유럽 연합과 미국 간 개인정보 보호 쉴드(Privacy Shield) 및 스위스와 미국 간 개인정보 보호 쉴드(Privacy Shield)

유럽 연합 일반 데이터 보호 규정

국제 표준화 기구(ISO)는 정보 및 사회적 보안에 대한 일련의 세계 수준의 표준을 구축하여 조직에서 신뢰할 수 있고 혁신적인 제품 및 서비스를 개발할 수 있도록 하고 있습니다. Dropbox는 네덜란드에 소재한 독립 기관인 EY CertifyPoint가 수행하는 일련의 감사를 통해 데이터 센터, 시스템, 애플리케이션, 사람, 프로세스를 인증받았습니다.

  • 참고: Dropbox Paper는 ISO 인증 범위에 포함되지 않습니다.

ISO 27001(정보 보안 관리)

ISO 27001은 전 세계적으로 인정받은 최고의 정보 보안 관리 시스템(ISMS) 표준입니다. 이 표준은 또한 ISO 27002에 자세하게 소개된 보안 우수 사례를 활용하고 있습니다. Dropbox는 고객의 신뢰에 부합하기 위해 당사의 물리적, 기술적, 법률적인 통제를 지속적이고 포괄적으로 관리 및 개선하고 있습니다. Dropbox를 감사하는 EY CertifyPoint는 Raad voor Accreditatie(네덜란드 인증 기구)가 공인한 ISO 27001 인증 기관입니다.

Dropbox Business 및 Education에 대한 ISO 27001 인증서 보기

ISO 27017(클라우드 보안)

ISO 27017은 클라우드 서비스 프로비전 및 사용에 적용 가능한 보안 통제에 대한 가이드라인을 제공하는 클라우드 보안 관련 신규 국제 표준입니다. Dropbox의 책임 공유 안내서에는 Dropbox와 Dropbox의 고객이 함께 해결할 수 있는 보안, 개인정보 보호 및 규정 준수 요건 여러 개가 설명되어 있습니다.

Dropbox Business 및 Education에 대한 ISO 27017 인증서 보기

ISO 27018(클라우드 개인정보 보호 및 데이터 보호)

ISO 27018은 개인정보 및 데이터 보호에 관해 새롭게 부상하는 국제 표준으로, 고객을 대신하여 개인 정보를 처리하는 Dropbox와 같은 클라우드 서비스 제공업체에 적용되고, 고객들이 일반적인 규제 및 계약상의 요건 또는 질문에 대한 답을 찾고 해결할 수 있는 기준을 제공합니다.

Dropbox Business 및 Education에 대한 ISO 27018 인증서 보기

ISO 22301(비즈니스 연속성 관리)

ISO 22301은 업무 중단 이벤트 발생 가능성을 줄이고, 이러한 이벤트 발생 시 피해의 영향을 최소화하면서 적절하게 대응하는 방법과 관련하여 조직에 가이드라인을 제시하는 비즈니스 연속성 국제 표준입니다. Dropbox의 비즈니스 연속성 관리 시스템(BCMS)은 당사의 전반적인 위험 관리 전략의 일환으로 위기 발생 시 직원 및 비즈니스 활동을 보호합니다.

Dropbox Business 및 Education에 대한 ISO 22301 인증서 보기

클라우드 보안 연합의 보안, 신뢰 및 보증 등록(CSA STAR)

CSA STAR는 클라우드 서비스를 위한 보안 보증 프로그램을 제공하는 등록으로 누구나 무료로 액세스할 수 있기 때문에 사용자가 현재 사용 중이거나 계약을 검토 중인 클라우드 서비스 제공업체의 보안을 평가하는 데 도움이 됩니다.

Dropbox Business 및 Education은 CSA STAR 2단계 인증을 획득했습니다. 이 인증은 ISO27001 및 CSA CCM(Cloud Controls Matrix) v.3.0.1(클라우드 서비스 제공 능력을 측정하는 일련의 기준)의 요건을 기반으로 당사의 보안 통제를 외부 업체인 EY CertifyPoint가 독립적으로 평가하는 것입니다. 또한 Dropbox Business는 CSA STAR 1단계 자가진단을 완료했습니다. 1단계는 CSA의 CAIQ(Consensus Assessments Initiative Questionnaire)에 기반한 엄격한 설문조사로 이루어져 있으며, CCM에 부합하고, 클라우드 고객이나 클라우드 보안 감사 업체가 묻고 싶은 질문 약 300개에 대한 답변을 제공합니다.

Dropbox의 CSA STAR 1단계 자가진단 및 2단계 인증은 CSA 웹사이트에서 확인하세요.

  • 참고: Dropbox Paper는 CSA STAR 등록 명단 범위에 포함되지 않습니다.

SOC 보고서

SOC(Service Organization Controls) 보고서는 SOC 1, SOC 2, SOC 3으로 알려져 있으며, 조직에서 적용하는 내부 통제에 대한 보고를 위해 미국 공인회계사 협회(AICPA)에서 만든 프레임워크입니다. Dropbox는 당사의 운영, 프로세스 및 기술에 대해 외부 감사 업체인 Ernst & Young LLP로부터 인증을 받았습니다.

  • 참고: Dropbox Paper는 SOC 보고서 범위에 포함되지 않습니다.

보안, 기밀 유지, 무결성, 가용성 및 개인정보 보호에 관한 SOC 3

SOC 3 보증 보고서에는 보안, 기밀 유지, 무결성, 가용성 및 개인정보 보호에 관한 다섯 가지 신뢰 서비스 원칙(TSP 섹션 100)에 대한 내용이 모두 수록되어 있습니다. 일반 사용자에게 공개되는 Dropbox 보고서에는 Dropbox SOC 2 보고서의 주요 내용이 요약되어 있으며, Dropbox의 내부 통제 시스템이 적절하게 설계되었고 효율적으로 운영되는지에 관한 외부 감사 업체의 평가가 포함되어 있습니다.

Dropbox Business 및 Education에 대한 SOC 3 검사 보기

보안, 기밀 유지, 무결성, 가용성 및 개인정보 보호에 관한 SOC 2

SOC 2 보고서는 고객에게 통제 기반의 보증에 대한 세부 단계를 제공하고, 보안, 기밀 유지, 처리 무결성, 가용성 및 개인정보 보호에 관한 다섯 가지 신뢰 서비스 원칙에 대한 내용이 모두 수록되어 있습니다. SOC 2 보고서에는 Dropbox의 프로세스 및 사용자 데이터 보호를 위해 마련된 100여 개의 내부 통제 방법이 설명되어 있습니다. 또한, Dropbox의 내부 통제 시스템이 적절하게 설계되었고 효율적으로 운영되는지에 관한 외부 감사 업체의 평가 및 감사 평가 방법과 결과가 수록되어 있습니다. Dropbox Business 및 Education에 대한 SOC 2 검사에 대해 고객 요청이 있는 경우 Dropbox 영업팀 또는 고객 관리팀에서 제공해 드립니다.

SOC 1/SSAE 16/ISAE 3402(구 SAS 70)

SOC 1 보고서는 Dropbox Business 또는 Education이 ICFR(내부회계 관리제도)의 핵심 요소임을 밝히는 특별 보증을 고객들에게 제공합니다. 이러한 특별 보증은 고객의 SOX(Sarbanes-Oxley) 준수를 위해 주로 사용됩니다. 외부 감사는 SSAE 16(Statement on Standards for Attestation Engagements No. 16) 및 ISAE 3402(International Standard on Assurance Engagements No. 3402)에 따라 수행됩니다. 이 표준은 SAS 70(Statement on Auditing Standards No. 70)을 대체합니다. Dropbox Business 및 Education에 대한 SOC 1 검사에 대해 고객 요청이 있는 경우 Dropbox 영업팀 또는 고객 관리팀에서 제공해 드립니다.

학생 및 아동(FERPA 및 COPPA)

Dropbox Business 및 Education은 FERPA(미국 가정 교육 권리 및 사생활 보호법)에서 요구하는 서비스 제공업체의 의무에 따라 서비스를 제공하고 있습니다. 또한 Dropbox Business 또는 Education은 COPPA(온라인 아동 사생활 보호법)에 부합하므로 만 13세 미만의 학생을 교육하는 기관에서 사용할 수 있습니다. 단, 서비스 이용과 관련하여 해당 기관에 부모의 동의를 요구하는 특정 계약 조항에 동의해야 합니다.

영국 Digital Marketplace G-Cloud

Dropbox Business는 정부용 클라우드 서비스 제공을 위해 영국의 디지털 마켓플레이스에 등록되었습니다.

영국 Digital Marketplace 웹사이트에 등록된 Dropbox를 확인하세요.

  • 참고: Dropbox Paper는 UK Digital Marketplace G-Cloud 명단 범위에 포함되지 않습니다.

HIPAA/HITECH

Dropbox는 HIPAA(Health Insurance Portability and Accountability Act) 및 HITECH(Health Information Technology for Economic and Clinical Health Act) 준수를 위해 BAA(사업 협력 계약)를 요구하는 Dropbox Business, Enterprise 및 Education 고객과 BAA 계약을 맺습니다.

Dropbox의 HIPAA 시작하기 안내서 및 Dropbox 도움말 센터 글에서 자세히 알아보세요.

Dropbox는 HIPAA/HITECH 보안, 개인정보 보호, 침해 통지 규칙에 따른 Dropbox의 통제 시스템 및 HIPAA/HITECH 보안 및 개인정보 보호 규칙 요구 사항을 충족해야 하는 Dropbox Business, Enterprise 및 Education 고객을 위해 마련된 Dropbox 내부 방침 및 권장 사항을 평가한 외부 업체의 보증 보고서를 제공합니다.

상기 문서를 요청하려는 고객은 영업팀 또는 고객 관리팀에 문의하세요. Dropbox Business, Enterprise 또는 Education 계정의 팀 관리자는 관리 콘솔계정 페이지에서 BAA에 전자 서명을 할 수 있습니다.

HIPAA/HITECH 적용 대상 고객인 경우, PHI를 Dropbox 계정에 전송하려면 먼저 BAA를 체결해야 합니다. Dropbox Business 구매 방법에 대한 자세한 내용은 Dropbox 영업팀에 문의하세요. Dropbox Business, Enterprise 또는 Education 계정의 팀 관리자는 관리 콘솔계정 페이지에서 BAA에 전자 서명을 할 수 있습니다.

참고: 관리 콘솔을 통해 BAA에 전자 서명할 수 있는 기능은 미국에 거주하며 Dropbox Paper를 사용하지 않는 고객만 이용할 수 있습니다. Dropbox Paper에서는 HIPAA/HITECH가 지원되지 않습니다.

PCI DSS

Dropbox는 PCI DSS(지불 카드 데이터 보안 표준)를 준수합니다. 하지만 Dropbox Business, Education, Dropbox Paper에서는 고객의 신용카드 거래 내역을 처리하거나 저장하지 않습니다. Dropbox의 PCI 규정 준수 상태에 관한 AoC(규정 준수 인증서) 요청이 있는 경우 영업팀 또는 고객 관리팀을 통해 제공합니다.

유럽 연합과 미국 간, 그리고 스위스와 미국 간 개인정보 보호 쉴드(Privacy Shield)

Dropbox는 유럽 연합, 유럽 경제 지역 및 스위스에서 미국으로 전송되는 개인 정보의 수집, 이용 및 보관에 관해 미국 상무부가 규정한 유럽 연합과 미국 간 세이프 하버 프레임워크(Safe Harbor Framework) 및 스위스와 미국 간 세이프 하버 프레임워크(Safe Harbor framework)를 준수합니다. 조직에서 개인정보 보호 쉴드(Privacy Shield) 원칙을 준수하면 유럽 연합 데이터 보호 지침에 따라 개인정보를 충분히 보호할 수 있습니다.

Dropbox의 개인정보 보호 쉴드 인증서를 확인하거나, 개인정보 보호 쉴드 웹사이트에서 자세히 알아보세요.

유럽 연합 일반 데이터 보호 규정(GDPR)

일반 데이터 보호 규정 2016/679 즉, GDPR은 유럽 연합에 거주하는 개인들의 개인 데이터를 처리하는 기존 프레임워크를 크게 변화시키는 유럽 연합 규정입니다. GDPR은 Dropbox와 같이 개인 데이터를 처리하는 업체에 적용될 일련의 신규 또는 개선 요건을 제시합니다. 2018년 5월 25일부터 적용되는 이 규정은 데이터 보호 지침으로 더 잘 알려져 있는 현재의 EU 지침 95/46 EC를 대체하게 됩니다. 이 규정이 적용되는 모든 업체와 마찬가지로, Dropbox는 앞으로도 세부적인 GDPR 준수 계획을 세워 이행할 것이며 2018년 5월 25일 전에 완벽한 규정 준수를 하기 위해 노력하고 있습니다. Dropbox와 유럽 연합 일반 데이터 보호 규정에 대해 자세히 알아보기

이 도움말이 유용했나요?

그러셨군요. Dropbox에서 개선할 수 있도록 알려주세요.

의견을 보내 주셔서 감사합니다!

커뮤니티 답변
    커뮤니티 답변

      도움을 받을 수 있는 기타 방법

      커뮤니티

      Twitter 지원

      안내서