EU 외 정부 기관의 데이터 액세스 또는 EU 내 데이터 전송을 방지하기 위해 Dropbox가 취한 관련 관할권 및 조치
미국, 캐나다 및 멕시코(이하 ‘북미’) 외의 지역에 거주하는 경우, 서비스는 아일랜드의 관할권에 속하는 Dropbox International Unlimited Company에서 제공합니다. 북미 지역에 거주하는 경우, 서비스는 미국의 관할권에 속하는 Dropbox, Inc.에서 제공합니다.
Dropbox는 유럽연합, 유럽경제지역, 영국, 스위스에서 다른 지역으로 데이터를 전송할 때, 유럽연합 법 또는 해당 회원국의 국내 법과 충돌을 일으킬 수 있는 국제 정부 기관의 Dropbox 사용자 데이터 접근을 방지하기 위해 기술적, 조직적 및 계약적 조치를 다수 마련해 두고 있습니다.
기술적 조치
Dropbox는 백엔드 네트워크의 보안을 철저히 유지합니다. Dropbox의 네트워크 보안 및 모니터링 기술은 Dropbox 사용 환경을 더욱 강력하게 보호 및 방어할 수 있도록 설계되었습니다. Dropbox는 방화벽, 네트워크 취약점 스캔, 네트워크 보안 모니터링, 침입 탐지 시스템 등 업계 표준 보호 기술을 사용하여 적격하고 악의적이지 않은 트래픽만 Dropbox 인프라에 도달할 수 있도록 합니다.
당사의 내부 사설 네트워크는 사용 및 위험 수준에 따라 세분화됩니다. 주요 네트워크는 다음과 같습니다.
- 인터넷 연결 DMZ
- 우선순위 인프라 DMZ
- 생산 네트워크
- 기업 네트워크
- Dropbox 서비스 및 애플리케이션은 가능한 경우 컨테이너를 통해 격리됩니다.
프로덕션 환경에 대한 액세스는 승인된 IP 주소로 제한되며 모든 엔드포인트에서 다단계 인증이 필요합니다. 액세스 권한이 있는 IP 주소는 회사 네트워크 또는 승인된 Dropbox 직원과 연결됩니다. 승인된 IP 주소는 안전한 프로덕션 환경을 보장하기 위해 분기별로 검토됩니다. IP 주소 목록을 수정할 수 있는 액세스 권한은 승인된 개인으로 제한됩니다.
인터넷에서 프로덕션 네트워크로 전송되는 트래픽은 다중 계층의 방화벽과 프록시를 사용하여 보호됩니다.
내부 Dropbox 네트워크와 공용 인터넷 사이에는 엄격한 제한이 유지됩니다. 프로덕션 네트워크로 들어오고 나가는 인터넷 바운드 트래픽은 전용 프록시 서비스를 통해 신중하게 제어되며, 이는 제한적인 방화벽 규칙에 의해 보호됩니다.
조직 및 계약적 조치
Dropbox는 유럽연합, 유럽경제지역, 영국, 스위스에서 미국으로 전송된 개인정보의 처리와 관련해 미국 상무부가 규정한 대로 유럽연합-미국 데이터 개인정보 보호 체계, 유럽연합-미국 데이터 개인정보 보호 체계 영국 확장판, 스위스-미국 데이터 개인정보 보호 체계를 준수합니다. Dropbox는 이러한 데이터의 처리와 관련해 해당 데이터 개인정보 보호 프레임워크를 준수한다는 것을 미국 상무부로부터 인증받았지만, 여기에는 서비스 중 FormSwift 부분은 포함되지 않습니다. Dropbox의 개인정보처리방침과 데이터 개인정보 보호 체계 원칙에서 상충되는 부분이 있을 경우에는 개인정보 보호 체계 원칙이 우선합니다. 이 원칙에 따라, 처리자가 개인 데이터를 원칙에 부합하지 않는 방식으로 처리할 경우 이후의 전송에 관한 책임은 여전히 Dropbox에 있습니다.
데이터 개인정보 보호 체계에 관한 자세한 내용과 Dropbox의 인증은 https://www.dataprivacyframework.gov/ 사이트에서 확인할 수 있습니다.
