NAVER Cloud 프라이버시 센터

ISO/IEC27001

국제표준화 기구(ISO) 및 국제 전기기술위원회(IEC)에서 제정한 정보보호 관리체계 국제규격 인증으로, 네이버클라우드의 전반적인 보안 수준에 대해 국제 표준 기준으로 인정 받았음을 의미합니다.

ISO/IEC27701

개인식별정보(PII) 보호, 개인정보관리체계 수립, 구현, 유지 관리 및 지속 개선을 위한 요구사항 및 지침입니다.

ISO/IEC27017

2015년 제정한 클라우드 서비스 제공자(Cloud Service Provider)의 클라우드 보안에 필요한 보안통제와 구현지침 입니다. 정보보호 정책, 정보보호 조직, 인적보안, 자산관리, 접근통제, 암호화, 운영, 보안, 통신보안, 시스템 개발 보안, 공급망 관리, 정보보호 사고 관리, 준거성의 통제 항목에 추가로 클라우드 서비스 제공자가 갖추어야 할 추가보안통제 등이 주요 내용입니다.

ISO/IEC27018

2014년 제정된 공용(public) 클라우드 환경에서 개인식별정보(PII, Personally Identifiable Information) 보호를 위한 실행 지침 입니다.

ISO/IEC27799

의료 서비스 또는 의료 정보 처리 조직이 의료정보 보호 경영시스템을 구축, 운영하기 위한 정보보호 관리체계 국제 표준 인증으로, 네이버 클라우드 플랫폼 서비스를 이용하는 의료분야 고객의 개인의료정보보 호에 기여할 수 있습니다.

ISO/IEC22301

비즈니스 연속성 경영(BCM, Business Continuity Management)를 위한 국제 표준으로 네이버 클라우드 플랫폼 서비스의 연속성 있는 서비스 제공 역량에 대해 국제 표준 기준으로 검증 받았습니다.

인증관리 현황

네이버클라우드㈜는 2010년 IT플랫폼 서비스에 대한 ISO/IEC 27001 인증을 취득한 후, 매년 엄격한 심사체계를 통해 인증을 갱신하여 지속적으로 정보보호 관리체계를 유지하고 있습니다. 또한, ISO/IEC 22301, 27017, 27018, 27701, 27799의 추가 획득을 통해 클라우드 서비스에 대해서도 특화된 정보 보호 활동을 수행하고 있음을 증명하였고, 이용자들이 개인정보에 대해 보다 안심하고 클라우드 서비스를 이용할 수 있도록 공신력 있는 기관에서 검증 받았습니다.

SOC(Service Organization Control)란, 서비스 및 서비스 조직에 대한 신뢰도를 높이기 위한 감사활동으로 국제적으로도 매우 엄격하고 공신력 있는 것으로 평가되고 있습니다. 미국공인회계사협회(AICPA-The American Institute of Certified Public Accountants)가 제정한 SSAE 18 인증 기준에 따라 SOC 2, 3 보고서는 보안성, 가용성, 처리 무결성, 기밀성 및 개인정보보호 관련하여 서비스를 제공하는 기업의 조직 및 서비스 관련 업무절차들이 얼마나 잘 관리되고 신뢰할 수 있는지를 확인한 결과를 담고 있습니다. 조직이 안전한 서비스 제공 및 운영을 위한 적절한 내부 통제절차를 가지고 있어야 함은 물론이고 실제로 이것들이 업무에 반영되었는지 혹은 위반사항이 없었는지 등까지 검증되어야만 발급을 받을 수 있어서, SOC 인증을 받았다는 것은 글로벌 수준의 내부통제가 구현 운영되고 있다는 것을 의미하며 그 결과는 상세한 내용을 담아 감사 보고서 형태로 발급이 됩니다.

SOC(Service Organization Control) 1 인증이란?

SOC 1 보고서는 재무보고 통제의 적절성을 확인한 결과를 담고 있습니다. 이용자 조직의 재무보고 내부통제와 관련 있는 통제목적에 부합하도록 적절히 설계되고 효과적으로 운영되고 있는지를 확인한 결과를 담고 있습니다.

SOC(Service Organization Control) 2 인증이란?

SOC 2 보고서는 서비스의 보안통제 적절성을 확인한 결과를 담고 있습니다. 서비스 조직의 경영진과 이용자 기업 등은 본 보고서를 통해 회사 서비스 운영에 대한 보안 내부통제 적정성을 검토 할 수 있습니다.

SOC(Service Organization Control) 3 인증이란?

SOC 3 보고서는 SOC 2 기반의 보고서를 공개 가능한 버전으로 구성한 것입니다. SOC 인증은 서비스 및 서비스 조직에 대한 신뢰도를 높이기 위해 고안된 감사의 일종으로 국제적으로도 매우 엄격하고 공신력 있는 것으로 평가되고 있습니다.

인증관리 현황

네이버클라우드㈜는 이용자 조직의 재무보고 내부통제와 관련된 서비스의 내부통제 적정성 관련해서 SOC 1 인증을, 서비스에 대한 안전성과 서비스 조직의 신뢰성을 검증받기 위해 SOC 2, 3 인증을 받았습니다. 이용자 프라이버시 보호에 초점을 맞추어 개인정보 보호에 특화된 엄격한 감사(audit)을 받았으며, 서비스 제공 및 운영 전반에 걸쳐 네이버클라우드㈜의 개인정보보호 관리체계 및 내부통제 수준이 글로벌 수준을 상회한다는 결과를 확인 받았습니다. 네이버클라우드㈜의 SOC 3 보고서는 보안 및 개인정보보호에 대한 내부 시스템 수준을 확인할 수 있는 정보를 담고 있습니다.
※ SOC 1, 2 인증 보고서는 그 목적상 제한된 대상에게만 공개하도록 규정되어 있어 일반에 공개되지 않습니다.

미국 CSA(Cloud Security Alliance)는 클라우드 보안 관련 통제를 보다 구체화한 클라우드 통제 매트릭스(Cloud Control Matrix)를 통해 STAR(Security, Trust & Assurance Registry)라고 하는 인증을 부여하고 있습니다. 클라우드 통제 매트릭스(CCM v4) 17개의 도메인과 197개 통제항목으로 구성된 프레임워크로 단순히 통제항목에 대한 이행여부만을 확인하는 것이 아니라 성숙도를 평가하고 점수를 부여하고 있습니다. 따라서 이러한 평가를 거쳐 최종적으로 인증서가 발행되기에 클라우드 서비스 보안관리 활동이 효과적으로 수행되고 있음이 제3자에 의해 객관적으로 검증되었다는 것을 의미합니다.

인증관리 현황

국내 클라우드 서비스 제공사로는 처음으로 네이버클라우드㈜의 네이버 클라우드 플랫폼 및 네이버 클라우드 플랫폼[공공기관용] 서비스가 CSA STAR Certification 인증 요구사항에 대한 검증을 마쳤으며, 국제 표준제정기구인 BSI(British Standards Institution)로부터 표준 요구사항을 만족한다는 것을 확인받았습니다.

Payment Card Industry Data Security Standard 인증은 신용카드 회원 데이터 보안을 강화 및 촉진하고, 전 세계적으로 일관된 데이터 보안평가에 대한 광범위한 채택을 촉진하기 위해 개발된 국제 데이터 보안 표준입니다. 주요 카드사(VISA, MasterCard, Amex, JCB, Diners Club)들이 인증 관리 및 인증심사를 위해 설립한 PCISSC(PCI Security Standard Council)를 통해 인증이 이루어지고 있습니다.

인증관리 현황

네이버클라우드㈜는 2016년 Application & Software, Hardware, Infrastructure & Network 등 11가지 영역에 대한 엄격한 감사를 통해 PCIDSS 인증을 취득하였습니다.

ISMS-P 인증은 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도로서, 기업이 전사 정보보호를 위해 지속적 보호활동을 수행하고 있는지, 해당 보호활동을 통해 적절한 정보보호 수준을 유지하고 있는지, 기업이 운영하는 정보보호 관리체계가 법적 기준을 충족하는지 판단하는 기준이 됩니다.

인증관리 현황

네이버클라우드㈜는 2010년 (구)ISMS인증, 2013년 (구)PIMS 인증을 받은 후, 지속적으로 우수한 수준의 정보보호 관리체계와 서비스의 개인정보 보호 관리체계 유지하고 인증을 지속적으로 갱신하여 왔으며, 2019년에 개정된 (신)ISMS-P 인증을 취득하였습니다.

CSAP(클라우드 서비스 보안인증) IaaS 이란?

클라우드컴퓨팅서비스 보안인증은 과학기술정보통신부에서 발표한 '클라우드컴퓨팅서비스 정보보호에 관한 기준 고시' 요건 충족 여부를 평가하는 인증입니다. 공공기관에게 안정성 및 신뢰성이 검증된 클라우드 서비스 공급할 수 있는지 판단할 수 있는 기준이 됩니다.

CSAP(클라우드 서비스 보안인증) SaaS 이란?

CSAP IaaS의 범위를 SaaS로 확대 적용하는 2018년 신규 인증제도로서, 네이버 클라우드 플랫폼의 SaaS도 공공기관에 공급할 수 있는 높은 안정성과 신뢰성을 검증 받았습니다.
[국내 1호 인증]CSAP(클라우드 서비스 보안인증)

DaaS 이란?

클라우드 서비스에서 제공하는 서비스형 데스크톱에 대한 인증으로, 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성되어 있습니다.

인증관리 현황

네이버 클라우드 플랫폼 IaaS는 총 14개 분야, 117개 통제항목, 217개 세부 점검항목에 대하여 관리적·물리적·기술적 보호조치 이행점검을 실시하여, 인증기관인 KISA로부터 217개 전체 항목의 준수를 확인 받았습니다. 네이버클라우드 SaaS인 System Security Checker와 Web Security Checker, Security Monitoring 역시 동일하게 인증을 취득하였으며 다른 SaaS 상품도 지속적으로 인증을 취득할 예정입니다. 네이버 클라우드 플랫폼 Cloud Desktop은 KISA로부터 110개 통제 항목을 준수함을 확인 받아 DaaS의 자원관리 효율성과 보안성을 모두 검증 받았습니다.

MTCS (Multi-Tier Cloud Security)는 여러 계층의 클라우드 보안을 포괄하는 클라우드 보안 표준으로 싱가포르 IDA(정보통신개발국), ITSC(정보 기술 표준 위원회)에서 개발한 인증제도 입니다.MTCS 싱가포르 표준은(SS 584:2015) 여러 계층의 클라우드 보안을 다루는 세계 최초의 클라우드 보안 표준으로, ISO/IEC 27001 같은 국제 표준에 기초하며, 다음과 같은 통제 사항이 엄격히 준수되고 있음을 보증합니다.

MTCS에는 3단계의 보안 레벨이 있으며, 기본 보안을 제공하는 Level 1 부터, 기밀 비즈니스 데이터, 재무 기록, 의료 기록 등 특정 요구사항이 있는 규제 대상 조직에서 사용하는 영향력이 큰 정보 시스템의 보안 위험 및 위협을 보완하거나 해결할 수 있는 역량과 성숙도를 보유하고 있음을 의미하는 Level 3 단계로 구성되어 있습니다.

인증관리 현황

네이버클라우드(주)는 2021년 7월 한국 기업중에서 최초로 가장 엄격한 보안 단계인 레벨 3 인증을 취득하였습니다. 네이버 클라우드 플랫폼에서 제공하는 IaaS(서비스형 인프라), PaaS(서비스형 플랫폼) 및 SaaS(서비스형 소프트웨어) 세 가지 서비스 범주에 대해 Level 3 인증을 취득하였습니다.

APEC CBPR 인증은 회원국 간 자유롭고 안전한 개인정보 이전과 전자상거래의 활성화 등을 지원하기 위해 개발된 글로벌 개인정보보호 인증입니다. 인증에는 한국·미국·일본·싱가포르 등 9개국이 인증에 참여하며 개인정보의 해외 이전 및 처리 역량을 검증합니다.

인증관리 현황

네이버클라우드㈜는 국내 CSP 기업 중에서 최초로 CBPR 인증을 취득하였습니다. APEC 프라이버시 9원칙을 기반으로 네이버 클라우드 플랫폼 및 마이박스 유료 서비스에 대하여 개인정보 관리체계의 안전성과 신뢰성을 검증 받았습니다.

전자금융감독규정은 클라우드컴퓨팅법에서 정한 클라우드서비스 제공자를 평가대상으로 규정하고 있습니다. 금융 회사는 클라우드서비스 제공자가 준수해야 할 일반적 보안 기준인 ‘기본 보호조치’ 와 금융분야 특화 기준인 ‘금융부문 추가 보호조치’ 로 구분하여 평가합니다. 네이버클라우드㈜는 안전한 클라우드 서비스 환경을 CSAP 인증을 통해 검증받은 바 있으며, CSAP 인증을 취득·유지하고 있어 ‘기본 보호조치’ 평가 시 도움을 드리도록 노력하고 있습니다. 또한 금융 고객의 법규 준수를 위해 필요한 사항들을 파악하며 ‘금융부문 추가 보호조치’ 평가를 적극적으로 지원 및 협조하고 있습니다.