정보 보안 표준을 준수하지 않는 것은 그 어떤 회사도 감수하고 싶지 않을 위험한 일입니다. Dropbox Sign은 규정 미준수가 미치는 심각한 영향을 잘 알고 있습니다. 그래서 발 빠르게 당사의 서비스가 사용자의 비즈니스에 적용되는 표준을 준수하도록 하는 프로세스를 구축했습니다.
Dropbox Sign 감사 결과와 평가 결과를 확인하고 싶다면 이메일(compliance-reports@dropbox.com)로 문의하시기 바랍니다. 당사의 정보 보안 백서에서도 자세한 정보를 살펴볼 수 있습니다.
Dropbox Sign은 다음과 같은 프레임워크와 표준, 규정을 준수합니다.
SOC 보고서
SOC(Service Organization Controls) 보고서는 미국 공인 회계사 협회(AICPA)가 조직 내 구현된 사내 제어 환경 평가를 위해 개발한 프레임워크입니다. Dropbox Sign은 독립적인 외부 기관인 Ernst & Young LLP의 감사를 통해 시스템, 애플리케이션, 직원, 프로세스를 검증했습니다.
보안, 가용성, 기밀성에 관한 SOC 3
SOC 3 보증 보고서는 보안, 가용성, 기밀성에 관한 신뢰 기준(TSP Section 100)을 다룹니다. Dropbox Sign 일반 사용 보고서는 SOC 2 보고서를 종합적으로 요약한 것으로, 실용적인 디자인과 제어 기능 운용에 관한 독립적인 외부 감사기관의 의견이 포함되어 있습니다. Dropbox Sign SOC 3 검증은 여기에서 확인할 수 있습니다.
보안, 가용성, 기밀성에 관한 SOC 2
SOC 2 보고서는 보안, 가용성, 기밀성에 관한 신뢰 서비스 기준을 다루며 고객에게 상세한 제어 기반 검증 결과를 제공합니다(TSP Section 100). SOC 2 보고서에는 Dropbox Sign이 사용자 자료를 보호하기 위해 실행 중인 프로세스와 100가지 이상의 제어 기능이 상세하게 설명되어 있고, 실용적인 디자인과 제어 기능 운용에 관한 독립적인 외부 감사기관의 의견에 더해 감사기관의 테스트 절차와 각 제어 기능에 대한 감사 결과도 포함되어 있습니다. SOC 2 검증 결과를 확인하고 싶다면 당사 영업팀에 요청하거나, compliance-reports@dropbox.com으로 이메일을 보내주시기 바랍니다.
ISO 27001(정보 보안 관리)
ISO 27001은 세계 최고의 정보 보안 관리 체계(ISMS)로 인정받는 국제 표준으로, ISO 27002에 설명된 보안 우수 사례를 활용합니다. 당사는 고객들의 기대와 신뢰에 부응하기 위해 Dropbox Sign의 물리적, 기술적, 법률적 제어 환경을 지속적이고 포괄적인 방식으로 관리·개선하고 있습니다. 당사의 감사기관 Schellman Compliance LLC는 ANSI-ASQ National Accreditation Board(ANAB)로부터 ISO 27001 인증을 받은 기관입니다.
Dropbox Sign, Dropbox Fax, Dropbox Forms의 ISO 27001 인증은 여기에서 확인할 수 있습니다.
ISO 27018(클라우드 개인정보 보호 및 데이터 보호)
ISO 27018은 Dropbox Sign처럼 고객을 대신해 개인정보를 처리하는 클라우드 서비스 공급업체에 적용되는 개인정보 보호 및 데이터 보호 부문 국제 표준입니다. 이 표준은 고객이 일반적인 규제상, 계약상 요구 사항과 문제에 대처할 수 있는 근거를 제시합니다. 당사의 ISO 27018 준수는 ISO 27001 인증의 일환으로 검증되었습니다.
Dropbox Sign, Dropbox Fax, Dropbox Forms의 ISO 27018 인증은 여기에서 확인할 수 있습니다.
HIPAA(Health Insurance Portability and Accountability Act of 1996)
Dropbox Sign은 HIPAA(Health Insurance Portability and Accountability Act)와 HITECH(Health Information Technology for Economic and Clinical Health Act) 규정 준수를 지원합니다.
이 규정은 의료 산업에서 기술의 확산을 장려하는 동시에 건강 정보의 보안을 유지하고 개인정보를 보호하는 환경을 구축하는 것을 목표로 합니다. HIPAA/HITECH는 종합병원, 개인병원, 치과 등의 조직과 개인 건강 정보(PHI)를 다루는 사람들에게 적용될 수 있으며 이러한 비즈니스와 협력하고 이들을 대신해 PHI에 접근하는 회사에도 적용될 수 있습니다.
Dropbox Sign은 HIPAA 보안 규정, HITECH 위반 알림 요구 사항과 관련된 보고서를 제공합니다. 이 보고서를 확인하고 싶은 고객은 Dropbox 영업팀에 이메일(ompliance-reports@dropbox.com)로 연락해 요청할 수 있습니다.
2000년 미국 전자서명법 ESIGN
미국 전자서명법 ESIGN(Electronic Signature in Global and National Commerce Act)은 거래에 관한 전자 기록과 서명의 유효성에 관한 일반적인 규칙을 제공하는 연방 법입니다. 미국 전자서명법 ESIGN에서 눈에 띄는 점은 서명 의도 입증, 특정 소비자 공개, 기록 보존을 요구한다는 것입니다.
1999년 미국 전자거래법 UETA
1999년 미국 통일법 위원회(ULC)에서 통과된 전자거래법은 전자 서명에 종이에 펜으로 자필 서명한 것과 동일한 법적 효력을 부여하여 전자 통신 거래의 사용을 허용합니다. UETA는 뉴욕을 제외한 모든 주에서 채택되었습니다.
유럽연합-미국 데이터 프라이버시 프레임워크, 유럽연합-미국 데이터 프라이버시 프레임워크 영국 확장판, 스위스-미국 데이터 프라이버시 프레임워크
Dropbox Sign은 유럽연합, 유럽경제지역, 스위스에서 미국으로 전송되는 개인정보의 수집과 사용, 보존과 관련해 미국 상무부가 규정한 유럽연합-미국 데이터 프라이버시 프레임워크, 유럽연합-미국 데이터 프라이버시 프레임워크 영국 확장판, 스위스-미국 데이터 프라이버시 프레임워크를 준수합니다.
데이터 프라이버시 프레임워크에 관한 자세한 정보는 여기에서 확인할 수 있습니다.
eIDAS와 Dropbox Sign
Dropbox Sign은 eIDAS를 준수하는 전자 서명 솔루션으로, 유럽연합 회원국의 서명인과 온라인으로 문서에 서명하는 기업이라면 안심하고 사용할 수 있습니다.
eIDAS 규정(910/2014)은 유럽연합(EU)에서 온라인 서비스에 안전하게 액세스하고 전자 거래를 실행하기 위해 시민, 비즈니스, 공공 정부가 전자 식별 수단과 신뢰 서비스를 사용하도록 허용하는 규정입니다. 이 규정은 유럽연합 내 전자 서명 사용에 관한 유럽연합 지침 Electronic Signatures Directive 1999/93/EC를 대체하며 2016년 7월 1일부터 시행되고 있습니다.
eIDAS 규정은 유럽연합의 전자 서명에 대한 법적 프레임워크를 제시합니다. 이 규정은 사람, 기업(특히 중소기업), 공공 기관이 유럽연합 회원국에서 안전하게 서비스에 액세스해 온라인으로 거래를 실행하는 것에 관한 법적 토대를 제공합니다. 이 규정에는 간이 전자 서명(SES), 고급 전자 서명(AES), 적격 전자 서명(QES)이라는 세 가지 전자 서명 유형의 정의가 명시되어 있습니다. Dropbox Sign은 SES와 QES 전자 서명을 지원합니다.
간이 전자 서명
간이 전자 서명(SES)은 '전자 형식의 다른 데이터에 첨부되거나 논리적으로 연결되고 서명인이 서명하는 데 사용하는 전자 형식의 데이터'로 정의됩니다. 이에 따라 비밀번호, PIN 코드, 스캔한 서명 등의 다양한 전자 도구가 SES로 간주될 수 있습니다.
고급 전자 서명
고급 전자 서명(AES)은 다음과 같이 정의됩니다.
- 서명인과 고유하게 연결되어 있고 서명인을 식별할 수 있어야 합니다.
- 서명인이 단독으로 사용한다고 확신할 수 있는 전자 서명 생성 데이터를 사용해 만들어야 합니다.
- 데이터의 후속 변경을 감지할 수 있는 방식으로 문서에 연결되어 있어야 합니다.
QES(Qualified Electronic Signature)
적격 전자 서명(QES)은 AES보다 엄격한 형식의 서명이며 자필 서명과 법적으로 동등한 효력을 발휘하는 유일한 전자 서명 유형입니다. QES에는 적격한 서명 생성 장치(QSCD)로 만든 적격 디지털 인증이 첨부되어야 하고, QSCD는 EUTL(European Union Trust List)에 등재된 적격한 유럽연합 TSP(Trust Service Provider)가 인증한 것이어야 합니다.
면책 사항: 이 정보는 일반적인 정보 제공을 목적으로 하며 전자 서명 적법성의 바탕이 되는 법적 토대에 대한 이해를 돕기 위해 작성되었습니다. 이 정보는 법률 자문을 제공하기 위한 것이 아니며, 전문적인 법률 자문을 대체할 수 없습니다. 법률 자문과 변호가 필요한 경우 자격증을 소지한 변호사에게 문의하시기 바랍니다.
유럽연합 개인정보보호법(GDPR)과 Dropbox Sign
개인정보보호법 2016/679(GDPR)는 유럽연합에 거주하는 데이터 주체의 개인정보 처리에 관한 기존의 프레임워크를 대폭 수정한 유럽연합의 새로운 개인정보 보호 규정입니다. GDPR은 Dropbox Sign처럼 개인정보를 처리하는 기업에 적용되는 요건을 새롭게 도입하고 기존의 규정을 강화했습니다. Dropbox Sign은 GDPR을 준수하기 때문에 고객은 Dropbox Sign을 사용해 GDPR 컴플라이언스를 간편하게 확보할 수 있습니다. 더 자세한 내용은 GDPR와 Dropbox Sign 규정 준수에 관한 도움말에서 확인할 수 있습니다.
사용자와 데이터 보호에 대한 Dropbox의 헌신
당사는 개인 데이터 보호에 최선을 다합니다. 사용자는 Dropbox Sign 고객으로서 사용자가 속한 조직이 Dropbox Sign 서비스를 사용할 때 Dropbox Sign에 제공되는 모든 개인정보의 데이터 통제자 역할을 합니다. Dropbox는 사용자가 Dropbox Sign 서비스를 사용할 때 조직을 대신해 데이터를 처리하는 데이터 처리자의 역할을 합니다. Dropbox의 개인정보처리방침에는 사용자에게 개인정보 보호와 관련된 헌신과 사용자가 Dropbox의 서비스를 사용할 때 개인정보의 수집, 사용, 처리 방법이 설명되어 있고, 서비스 약관에는 데이터 처리, 국제 데이터 전송과 관련된 헌신이 설명되어 있습니다.
교육 및 개인정보 보호 인식
모든 Dropbox 직원은 입사 후 매년 보안 교육과 개인정보 보호 교육을 이수해야 합니다. 또한, 직원들에게는 이메일, 강연, 프레젠테이션, 인트라넷 자료를 통해 보안과 개인정보 보호에 관한 인식 정보가 제공됩니다.
데이터 매핑 및 개인정보 영향 평가
Dropbox는 당사의 개인정보 보호 관행이 적절한지 확인하기 위해 Dropbox Sign 서비스 처리 활동 기록을 보관합니다. 또한, 당사는 개인정보의 수집, 처리, 저장 방법을 평가하고 잠재적으로 개인정보에 끼칠 영향을 파악하기 위해 데이터 보호 영향 평가(DPIA)를 완료했습니다.
정보 보안 정책
Dropbox는 직원과 계약업체가 사용자의 데이터에 액세스할 때 적용되는 방식과 시기를 규정하는 정보 보안 정책과 데이터 보호 정책을 수립해 놓았습니다. 이러한 정책은 국제 표준과 우수 사례를 바탕으로 하며, 매년 검토를 거쳐 현재의 비즈니스 관행에 맞게 정책을 업데이트하고 변경된 법률/규정을 적용합니다. 또한, 필요에 따라 정책을 임시로 변경하기도 합니다. 이러한 정책은 신규 직원들에게 제공되며, 변경 사항은 회사 인트라넷을 통해 직원들에게 전달됩니다.
데이터 전송
Dropbox는 유럽연합, 유럽경제지역, 영국, 스위스로부터 데이터를 전송할 때 고객 및 그 계열사와의 계약, 표준 계약 조항, 그리고 필요에 따라 유럽연합 집행위원회의 국가별 적합성 결정 등 다양한 법적 체계를 근거로 사용합니다.
Dropbox Sign은 유럽연합, 유럽경제지역, 스위스에서 미국으로 전송되는 개인정보의 수집과 사용, 보존과 관련해 미국 상무부가 수립한 유럽연합-미국 데이터 프라이버시 프레임워크, 유럽연합-미국 데이터 프라이버시 프레임워크 영국 확장판, 스위스-미국 데이터 프라이버시 프레임워크를 준수합니다.
사고 대응
당사의 사고 대응 절차는 잠재적 보안 사고를 식별하고, 이를 지정된 담당자에게 보고해 문제를 해결하고, 보안 사고를 해결할 때 모든 직원이 규정된 프로토콜을 따르며, 해결 과정을 기록으로 남겨 보안팀이 정기적으로 검토할 수 있도록 설계되었습니다. 또한, 당사의 정책과 절차에는 개인정보의 손실, 무단 사용과 관련된 보안 사고가 발생할 경우를 대비한 위반 통지 규정이 포함되어 있습니다.
제품 검토
당사의 소프트웨어 개발 수명 주기('SDLC')는 당사 시스템 변경 작업이 GDPR 요구 사항에 따라 실행되도록 보장합니다. Dropbox는 다음과 같은 단계에서 개인정보 보호를 고려합니다.
- 계획
- 변경 문서화
- 테스트 계획 수립
- 변경 테스트 및 결과의 문서화
- 품질 보증('QA') 점검과 승인
- 제삼자 점검과 증명
- 정기 점검과 업데이트
거래처 점검
개인 데이터를 처리하거나 저장하는 거래처는 Dropbox의 제삼자 위험 평가 절차의 일환으로 점검을 거쳐 데이터 보호를 위한 적절한 보안 및 개인정보 보호 관리 기능을 갖추고 있는지 확인을 받습니다. Dropbox는 모든 개인정보처리 수탁업체가 보안 요건과 개인정보 보호 요건을 충족할 수 있도록 매년 수탁업체에 대한 점검을 시행하고 있습니다.
계약상의 보호
Dropbox는 당사 고객들의 개인정보를 미국으로 전송하는 것을 처리하기 위해 Dropbox International Unlimited Company와 Dropbox, Inc. 간에 프로세서 투 프로세서 SCC를 도입했습니다. 그리고 이 변경 사항을 반영하기 위해 데이터 처리 계약(https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf)을 업데이트했습니다.
데이터 처리 계약은 이미 Dropbox Sign 서비스 약관의 일부로 포함되어 있습니다.
인증
Dropbox Sign은 컴플라이언스가 미치는 영향을 잘 알고 있습니다. 그래서 Dropbox Sign 서비스가 여러분의 비즈니스에 적용되는 표준을 준수하도록 하는 프로세스를 발 빠르게 구축했습니다.
Dropbox Sign이 준수하고 따르는 표준과 인증에 관한 자세한 정보는 규정 준수 페이지에서 확인할 수 있습니다.
제품 보안
암호화
기본적으로 Dropbox 서비스와의 통신에는 전송 계층 보안(TLS)이 사용되며, 이 보안은 새로운 암호와 TLS 설정으로 정기적으로 업데이트됩니다. 모든 고객 데이터는 저장된 상태에서 AES 256-T를 통해 암호화됩니다.
데이터 삭제 및 액세스
데이터 액세스 또는 개인정보 삭제 요청은 privacy@dropbox.com으로 제출할 수 있습니다. 보다 자세한 내용은 Dropbox Sign 개인정보처리방침에서 확인할 수 있습니다.
쿠키 규정 준수
Dropbox Sign 서비스를 사용할 때 이 페이지 바닥글의 지원 밑에서 쿠키 및 CCPA 환경설정을 클릭해 Dropbox가 어떤 쿠키를 사용하도록 허용할지 선택할 수 있습니다.