네이버 ( 주 ) Service Organization Controls 3 Report 네이버의메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스에대한 보안성, 가용성, 처리무결성, 기밀성, 개인정보보호관련 시스템기술서및독립된감사인의보고서 2016 년 1 월 1 일부터 2016 년 12 월 31 일까지
네이버주식회사귀중 독립된감사인의보고서 딜로이트안진회계법인 서울시영등포구국제금융로 10 서울국제금융센터 One IFC 빌딩 9 층 대한민국, ( 우 ) 07326 전화번호 : 02 6676 1000 팩스번호 : 02 6674 2114 딜로이트안진회계법인 ( 이하 우리 ) 은네이버주식회사 ( 네이버 또는 회사 ) 가 2016 년 1 월 1 일부터 2016 년 12 월 31 일까지기간동안아래서비스에대하여 TSP Section 100 트러스트서비스원칙 (AICPA, Technical Practice Aids) 에서제시한보안성, 가용성, 처리무결성, 기밀성, 개인정보보호준거기준에근거하여효과적인통제를유지하였다는회사경영진의주장을평가하는업무를수행하였습니다. 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템은허가되지않은접근, 사용, 수정으로부터보호되었음 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템은이용자와합의된이용약관에따라운영되었음 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템은완전하고, 유효하고, 정확하고, 시의적절하게승인을받아처리되었음 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템의기밀정보는이용자와합의된바에따라보호되었음 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템에서수집된개인정보는개인정보처리방침에따라수집, 사용, 보관, 제공, 위탁및파기되었음 (www.naver.com) 위항목에대한주장및책임은회사경영진에게있으며, 우리의책임은우리가수행한업무에근거하여의견을표명하는것입니다. 우리의업무는미국공인회계사회의인증기준에따라수행되었으며, (1) 네이버서비스의보안성, 가용성, 처리무결성, 기밀성, 개인정보보호통제에대한이해, (2) 통제의운영효과성에대한테스트및평가, (3) 그리고우리가업무수행에필요하다고판단된기타절차들을포함합니다. 우리가수행한상기업무의결과는우리의의견에대한합리적인근거를제공한다고믿습니다. 통제의특성및고유한계로인하여오류나부정이발견되지않을수있습니다. 또한시스템혹은통제절차가변경되거나, 필요한변경이이루어지지않을수있으며, 통제수준이변경될수있기때문에, 본보고서일현재의결론에근거하여미래에대한예측을하는것은위험을수반합니다. 우리의의견 - 위에언급된회사경영진의주장은트러스트서비스원칙의보안성, 가용성, 처리무결성, 기밀성, 개인정보보호기준에근거하여중요성의관점에서공정하게표시되어있습니다. 2017 년 1 월 26 일
네이버의메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스에대한 보안성, 가용성, 처리무결성, 기밀성, 개인정보보호관련네이버경영진의주장 네이버는 2016 년 1 월 1 일부터 2016 년 12 월 31 일까지의기간동안미국공인회계사회에서제시한보안성, 가용성, 처리무결성, 기밀성, 개인정보보호와관련된서비스조직의통제기준에따라메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템에대한보안성, 가용성, 처리무결성, 기밀성, 개인정보보호통제를효과적으로운영하였습니다. 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템은허가되지않은접근, 사용, 수정으로부터보호되었음 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템은이용자와합의된이용약관에따라운영되었음 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템은완전하고, 유효하고, 정확하고, 시의적절하게승인을받아처리되었음 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템의기밀정보는이용자와합의된바에따라보호되었음 ; 메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스시스템에서수집된개인정보는개인정보처리방침에따라수집, 사용, 보관, 제공, 위탁및파기되었음 (www.naver.com) 첨부된메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스에대한시스템기술서는위주장에서언급한시스템에대한내용을기술하고있습니다. 네이버주식회사 2017 년 1 월 26 일
네이버의메일, 캘린더, 주소록, 네이버클라우드, 지식 in, 가계부, 메모, 톡톡서비스에대한 보안성, 가용성, 처리무결성, 기밀성, 개인정보보호관련시스템기술서 조직개관네이버 ( 주 )( 이하 당사 ) 는인터넷포털서비스 ' 네이버 ' 와글로벌메신저 'LINE( 라인 )', 소셜네트워크서비스인 'BAND( 밴드 )', 통합결제서비스인 NAVER Pay( 네이버페이 ) 등을주요서비스로하고있는인터넷서비스전문기업입니다. 네이버의서비스당사의서비스는고객의편리한서비스이용을위해 PC 웹, 모바일웹및모바일앱을통하여제공됩니다. 이러한서비스를제공하기위하여다양한 IT 시스템과보안장비, 그리고자체적으로개발한서비스관리시스템들을사용하고있습니다. 본시스템기술서에서포함하는서비스는다음과같습니다. 메일 네이버회원에게무료로제공되는이메일서비스로서이용자의편의를위하여대용량파일첨부가가능하며, 네이버클라우드에저장되어있는파일을전송할수있는기능을제공하고있습니다. 캘린더 개인및단체의일정을기록하고관리할수있도록다양한기능을제공하는서비스입니다. 또한, 할일 기능을통해균형있는일정관리를할수있도록화면구성과기능을포함하고있습니다. 주소록 연락처를기록관리할수있는서비스로서이용자가개인의주소, 전화번호, 이메일등의연락처를저장하고필요에따라사용할수있는서비스입니다. 또한, 이용자의모바일에서네이버주소록에백업하거나동기화한연락처를접근하고관리할수있는기능을제공하고있습니다. 네이버클라우드 네이버클라우드는이용자의파일을저장하고활용할수있는인터넷저장공간을제공하는서비스입니다. 네이버클라우드에저장된문서, 사진등각종파일을네이버에로그인이가능한대부분의환경에서사용할수있습니다. 또한, 웹브라우저를통하여네이버클라우드에있는문서파일을별도의설치프로그램없이바로볼수있고, 사진파일도포토뷰어로편리하게감상할수있으며, 저장된파일을다른네이버클라우드사용자와공유할수있는서비스입니다. 지식 in 이용자들이궁금한내용을공개적으로물어보고이에대하여일반이용자나관련전문가들이답변을제공하는서비스입니다. 이러한질문내용들이쌓여온라인상의커다란지식저장창고역할을하고있으며, 의사나변호사와같은전문가들에게도무료로궁금한내용을묻고답변을받을수있는서비스입니다. 가계부 이용자의수입 / 지출내역을기록하고입력된내용을기반으로사용내역의분석을지원하는서비스입니다. 이용자는서비스를통하여수입 / 지출내역을관리하고, 입력된데이터를기반으로지출내역을분류별로분석하고그래프로도볼수있도록하는서비스입니다. 메모 이용자가간단한메모를작성하고이를저장 검색 확인할수있는기능을제공하는서비스입니다. 메모서비스는이용자가지정한분류별로메모를구분하여관리할수있으며, 텍스트메모뿐만아니라사진을첨부할수있는서비스입니다. 톡톡 이용자가스토어팜, 스토어팜전문관, 쇼핑검색, 블로그, 예약, 모두, 부동산등다양한네이버서비스에서친구추가없이바로사업주와대화가가능하도록하는서비스입니다.
서비스이용자는당사의서비스를안전하고올바르게이용하기위하여, 이용약관의 고객의의무 를지켜야할의무가 있습니다. 또한, 스스로의데이터를보호하기위하여패스워드를주기적으로변경하며, 타인에게공개하지않는등 일반적으로서비스이용자본인이개인정보보호를위해수행해야하는활동을인식하고이행해야합니다. 인프라스트럭처당사는고객에게서비스를제공하기위하여필요에따라다양한종류의 IT 장비들을운영하고있으며, 이를관리하기위한여러종류의관리시스템을운영하고있습니다. 서비스를제공하기위한인프라장비는각데이터센터의물리적으로구분되는독립적인구역에위치하여, 별도의물리적접근통제를적용하고있습니다. 또한당사는서비스의보안성, 가용성, 처리무결성, 기밀성, 개인정보보호를위하여시스템구성요소들의성능을모니터링하기위한여러가지자동화된시스템을활용하고있습니다. 데이터당사는서비스이용자가당사에서제공하는서비스를이용하기위해입력하는데이터와서비스제공을위해처리되는모든정보를중요한정보로서취급하고있으며, 개인정보보호의경우관련법령에따라정의하고식별하고있습니다. 이렇게수집및처리되고있는개인정보와이를처리하는시스템들을관리하기위한내부절차가마련되어있으며, 식별된정보의중요도별로보다강화된정보보호통제를적용하고있습니다. 또한, 회원탈퇴시이용자의개인정보는이용자가동의하고법에서허용하는기간내에삭제되고있습니다. 인력시스템을개발하고관리하는 IT 시스템관련업무는서비스제공을위한주요업무입니다. 안정적인서비스를제공하기위하여서비스와관련된프로그램을개발하는업무와관련시스템을운영하는업무를분리하고있습니다. 서비스를지원, 유지보수, 모니터링, 감독하는핵심직무는다음과같습니다. 서비스기획 당사에서제공하는다양한서비스의기획, 설계및운영을담당합니다. 서비스기획 / 운영부서들은진행되고있는서비스의변경및신규서비스의개발을위하여프로그램개발부서, 테스트부서, 정보보호부서와긴밀하게협조하여보다편리하고안전한서비스를제공하고자노력하고있습니다. 개발 서비스에필요한시스템을개발하고, 지속적인서비스개선및공급을위하여관련프로그램을유지보수하며, 관련사항을기록 관리합니다. 프로그램의개발및변경은운영환경과분리된개발 / 테스트환경에서이루어지며, 개발담당부서는개발및변경과관련된진행이나진행중발생하는이슈들에대하여그룹웨어를통하여지속적인커뮤니케이션을하고있습니다. 테스트 개발된서비스에대한품질을확인하고, 개선을요구하는업무를담당합니다. 개발이완료된프로그램및시스템을고객서비스에최종적으로적용하기전에모든기획및개발이적절하게이루어졌음을확인합니다. 또한, 개발된프로그램및시스템에대한테스트결과를검토하여, 데이터가이상없이처리되고있음을확인합니다. 인프라운영 서비스에필요한데이터센터인프라구축및네트워크, 서버, DB 운영을담당하며, 원활한서비스제공을위하여각분야의전문가가인프라의설계 구축 운영에참여하고있습니다. 정보보호 당사는고객의개인정보보호및서비스의안정성을위하여정보보호조직을운영하고있습니다. 정보보호담당부서는전사차원의정보보호규정및정책을관리하고있으며이에대한준수여부를주기적으로
점검하는업무를수행하고있습니다. 또한, 각부서에서업무상필요한권한을검토하고주기적으로점검하여필요하지않은권한에대한삭제를수행하고있습니다. IT 보안 서비스제공을위해필요한서버시스템과하드웨어의운영안정성및지속성의보장을위한다양한활동을담당하고있습니다. 또한, 보안전문가들이 24 시간, 365 일고객의서비스보호를위한보안관제및점검을수행하고있습니다. 이를위해서비스를위협하는각종이벤트에대해모니터링하고, 모니터링결과를기반으로침해사고분석, 대응및예방등을수행하고있습니다.