Overholdelse af standarder og regler

ISO-certificeringer

ISO (International Organization for Standardization) har udformet en række globale standarder vedrørende informations- og samfundsmæssig sikkerhed for at hjælpe organisationer med at udvikle nyskabende produkter og tjenester. Dropbox har fået certificeret sine datacentre, systemer, programmer, medarbejdere og processer gennem en række auditeringer foretaget af en uafhængig part, nederlandske EY CertifyPoint.

ISO 27001 (styring af informationssikkerhed)

ISO 27001 anses for at være den bedste standard for styringssystemer til informationssikkerhed (ISMS) i hele verden. Standarderne implementerer desuden den bedste praksis for sikkerhed, der er beskrevet i ISO 27002. Hos Dropbox håndterer og forbedrer vi løbende og bredt vores fysiske, tekniske og juridiske kontrolforanstaltninger for at gøre os fortjent til din tillid. Vores auditør, EY CertifyPoint, har opnået sin ISO 27001-akkreditering hos Raad voor Accreditatie (det nederlandske akkrediteringsråd). Se ISO 27001-certifikatet til Dropbox Business og Dropbox Education.

ISO 27017 (cloudbaseret sikkerhed)

ISO 27017 er en international standard for cloudsikkerhed, der indeholder retningslinjer for sikkerhedsforanstaltninger i forbindelse med levering og brug af cloudtjenester. I vores vejledning om fælles ansvar, Shared Responsibility Guide, beskrives nogle af de krav til sikkerhed, beskyttelse af personlige oplysninger og overholdelse af regler og bestemmelser, som Dropbox og Dropbox' kunder sammen kan opfylde. Se ISO 27017-certifikatet til Dropbox Business og Dropbox Education.

ISO 27018 (beskyttelse af cloudbaserede personlige oplysninger og andre data)

ISO 27018 er en international standard for beskyttelse af data og personlige oplysninger. Standarden finder anvendelse for udbydere af cloudtjenester som Dropbox, der behandler personlige oplysninger på vegne af deres kunder, og udgør grundlaget for vores kunders almindelige krav og spørgsmål i forbindelse med lovgivningsmæssige og kontraktmæssige forhold. Se ISO 27018-certifikatet til Dropbox Business og Dropbox Education.

ISO 22301 (styring af forretningens videreførelse)

ISO 22301 er en international standard for forretningens videreførelse, der vejleder organisationer om, hvordan de kan mindske virkningen af forstyrrende hændelser og reagere på dem, hvis de opstår, ved at begrænse den potentielle skadevirkning. Administrationssystemet til forretningens videreførsel til Dropbox Business (BCMS) indgår i vores samlede risikostyringsstrategi for beskyttelse af personer og drift på kritiske tidspunkter. Se ISO 22301-certifikatet til Dropbox Business og Dropbox Education.

ISO 27701 (styring af informationssikkerhed)

ISO 27701 er en international standard for (styring af informationssikkerhed. Standarden giver en ramme til forbedring og udvidelse af systemet til styring af informationssikkerhed under ISO 27001 til et system til styring af personoplysninger (PIMS). Dropbox Business og Dropbox Education har modtaget denne certificering som PII-processor. Se ISO 27701-certifikatet for Dropbox Business og Dropbox Education.

 

SOC-rapporter 

SOC-rapporterne (Service Organization Controls), der kaldes SOC 1, SOC 2 og SOC 3, er rammer, som er fastlagt af AICPA (American Institute of Certified Public Accountants) og har til formål at rapportere om de interne kontrolforanstaltninger, der er implementeret i en organisation. Dropbox har valideret sine systemer, programmer, medarbejdere og processer gennem en række auditeringer, foretaget af en uafhængig tredjepart, Ernst & Young LLP.

SOC 3 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 3-sikkerhedsrapporten dækker alle fem kriterier for troværdige tjenester: Sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). Dropbox-rapporten til generel brug er et ledelsesresumé af SOC 2-rapporten og omfatter den uafhængige tredjepartsrevisors udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift. Se SOC 3-undersøgelsen til Dropbox Business og Dropbox Education.

SOC 2 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 2-rapporten giver kunder et detaljeret niveau af sikkerhed baseret på kontrolforanstaltninger, der dækker alle fem kriterier for troværdige tjenester: Sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). SOC 2-rapporten indeholder en detaljeret beskrivelse af Dropbox' processer og de mere end 100 kontrolforanstaltninger, der er indført for at beskytte dine ting. Ud over vores uafhængige tredjepartsauditørs udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift indeholder rapporten auditørens testprocedurer og resultater for samtlige kontrolforanstaltninger. Vores SOC 2-rapport (undertiden benævnt som SOC 2+-rapport) indeholder også en auditeret kortlægning af vores kontrolforanstaltninger for ovennævnte ISO-standarder, så vores kunder oplever yderligere gennemsigtighed. SOC 2-undersøgelsen til Dropbox Business og Dropbox Education fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

SOC 1/SSAE 18/ISAE 3402 (tidligere SSAE 16 eller SAS 70)

SOC 1-rapporten giver specifikke forsikringer til kunder, der anser Dropbox Business eller Dropbox Education for at være et hovedelement i deres interne kontrol over økonomisk rapportering (ICFR – Internal Controls over Financial Reporting). Disse specifikke forsikringers primære formål er at sørge for, at vores kunder overholder Sarbanes-Oxley Act (SOX). Den uafhængige tredjepartsaudit udføres i overensstemmelse med Statement on Standards for Attestation Engagements No. 18 (SSAE 18) og International Standard on Assurance Engagements No. 3402 (ISAE 3402). Disse standarder har erstattet de forældede Statement on Standards for Attestation Engagement No.16 (SSAE 16) og Statement on Auditing Standards No. 70 (SAS 70). SOC 1-undersøgelsen til Dropbox Business og Dropbox Education fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

 

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR-registeret)

CSA STAR-registeret (Security, Trust, Assurance, and Risk) er en gratis, offentligt tilgængelig registreringsdatabase, der tilbyder et program til sikring af sikkerheden i forbindelse med cloudtjenester, som hjælper brugerne med at vurdere sikkerheden hos de cloududbydere, de benytter eller overvejer at indgå en aftale med.

Dropbox Business og Dropbox Education har modtaget både CSA STAR Level 2-certificering og Level 2-godkendelse. CSA STAR Level 2 kræver en uafhængig tredjepartsvurdering af vores sikkerhedsforanstaltninger, udført af EY CertifyPoint (certificering) og Ernst & Young LLP (attestering), ud fra kravene i ISO 27001, SOC 2 Trust Service Criteria og CSA Cloud Controls Matrix (CCM) v3.0.1. Se vores CSA STAR Level 2-certificering og -attestering på CSA's website.

 

HIPAA/HITECH

Dropbox vil underskrive en forretningspartneraftale med de Dropbox Business- eller Education-kunder, som skal bruge en aftale for at overholde HIPAA-loven (Health Insurance Portability and Accountability Act) og HITECH-loven (Health Information Technology for Economic and Clinical Health Act). Du finder yderligere oplysninger i vores vejledning "Getting started with HIPAA" og i vores hjælpecenterartikel.

Dropbox stiller en uafhængig rapport om overholdelse til rådighed, som vurderer vores kontrolforanstaltninger i forhold til HIPAA/HITECH-reglerne vedrørende sikkerhed, persondata og meddelelse om krænkelser. Rapporten beskriver desuden vores interne fremgangsmåder og giver anbefalinger til de kunder, som vil overholde kravene i forhold til HIPAA/HITECH-reglerne vedrørende sikkerhed og persondata, når de bruger Dropbox Business eller Education.

De kunder, der er interesseret i de pågældende dokumenter, kan kontakte vores salgsteam. Hvis du er administrator for et Dropbox Business- eller Dropbox Education-team, kan du underskrive en forretningspartneraftale elektronisk på siden Konto i  administratorpanelet.

Bemærk! Muligheden for at signere en elektronisk BAA fra Administratorkonsollen kun er tilgængelige for kunder i USA.

 

Tysk BSI C5-attesteringsrapport

Cloud Computing Compliance Controls Catalog (C5) er en ramme, der er etableret for det tyske føderale kontor for sikkerhed i informationsteknologi (Bundesamt für Sicherheit in der Informationstechnik – BSI) mhp. rapportering af tilgængelige sikkerhedsforanstaltninger i forbindelse med levering af cloudtjenester. C5-attestering hjælper organisationer med at vise, at deres informationssikkerhedspraksis overholder BSI's "Security Recommendations for Cloud Providers". C5 bygger på eksisterende internationale sikkerhedsstandarder som ISO 27001 og CSA STAR. For at kunne modtage C5-attesteringsrapporten er Dropbox' systemer, processer og kontrolforanstaltninger blevet valideret af en uafhængig tyskbaseret tredjepartsauditør, Ernst & Young GmbH. Den uafhængige tredjepartsaudit udføres i overensstemmelse med International Standard on Assurance Engagements No. 3000 (ISAE 3000 og IDW PS 860).

Rapporten indeholder en detaljeret beskrivelse af Dropbox' system, applikationer, processer og kontrolforanstaltninger, samt vores uafhængige auditørs testprocedurer og -resultater for samtlige kontrolforanstaltninger. C5-rapporten til Dropbox Business og Dropbox Education fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

*Dropbox Paper er ikke omfattet af C5-rapporten.

 

NIST SP 800-171 R2-Attestationsrapport

Det amerikanske National Institute of Standards and Technology (NIST) fremmer og vedligeholder standarder og retningslinjer for at beskytte informationssystemer. NIST Special Publication (SP) 800-171 Revision 2 (R2) indeholder retningslinjer for beskyttelse af kontrolleret uklassificeret information (CUI) i ikke-føderale informationssystemer og organisationer. Enhver enhed, der behandler eller opbevarer amerikansk stats CUI, såsom forskningsinstitutioner og uddannelsessektoren, skal overholde NIST SP 800-171 R2.Dropbox's CUI-systemer, processer og kontroller blev valideret af en uafhængig tredjepartsrevisor, Ernst & Young LLP. 

NIST SP 800-171 R2-rapporten for Dropbox Business og Dropbox Educationkan fås ved anmodning via vores salgsteam eller (for eksisterende Dropbox Business-kunder)  support .

* Dropbox Paper er ikke inkluderet i NIST SP 800-171 R2-rapporten.

 

EU's og USA's værn om privatlivets fred og Schweiz' og USA's værn om privatlivets fred ("Privacy Shield")

Dropbox overholder programmerne til værn om privatlivets fred ("Privacy Shield") mellem EU og USA og mellem Schweiz og USA som fastsat af det amerikanske handelsministerium vedrørende indsamling, brug og opbevaring af personlige data, der overføres fra EU, det Europæiske Økonomiske Samarbejdsområde, Storbritannien og Schweiz til USA. Når en organisation overholder Privacy Shield-principperne, sikres det, at organisationen giver tilstrækkelig beskyttelse af personlige oplysninger i henhold til GDPR.

Du kan se Dropbox’ Privacy Shield-certificering og få mere at vide på Privacy Shield-webstedet.

 

EU's generelle forordning om databeskyttelse (GDPR)

EU's generelle forordning om databeskyttelse 2016/679 (GDPR, General Data Protection Regulation) ændrede de tidligere regler for behandling af personligoplysninger om fysiske personer i EU markant. GDPR introducerede en række nye og udvidede krav, der gælder for virksomheder som Dropbox, der behandler personoplysninger. GDPR trådte i kraft den 25. maj 2018 som erstatning for EU-direktiv 95/46/EF, bedre kendt som databeskyttelsesdirektivet. Dropbox har implementeret GDPR, så kunder kan benytte Dropbox til at facilitere deres egen efterlevelse af GDPR. Du finder flere oplysninger i denne artikel i vores Hjælpecenter.

 

Cloud Security Alliance: Adfærdskodeks for overholdelse af GDPR

CSA's adfærdskodeks for overholdelse af GDPR er et frivilligt pålidelighedsværktøj og en omfattende gennemsigtighedsøvelse, der er designet til at gøre udbydere af cloudtjenester, som f.eks. Dropbox, i stand til at vise kunderne, hvordan de overholder vigtige områder af EU's persondataforordning (GDPR). Dropbox Business har gennemført egenvurderingen i CSA's adfærdskodeks for overholdelse af GDPR, hvilket indebærer en grundig evaluering foretaget af en tredjepartskontrollør, og har modtaget overholdelsesvurderingen "Declared". Du kan få mere at vice om CSA's adfærdskodeks for overholdels af GDPR og Dropbox' overholdelse af det på CSA's website.

 

Studerende og børn (FERPA og COPPA)

Dropbox Business og Dropbox Education tillader kunder at benytte sine tjenester i overensstemmelse med de udbyderforpligtelser, der er pålagt af US Family Education Rights and Privacy Act (FERPA). Uddannelsesinstitutioner må kun bruge Dropbox Business eller Dropbox Education i overensstemmelse med Children's Online Privacy Protection Act (COPPA). 

 

FDA 21 CFR del 11

Sektion 21 i Code of Federal Regulations (CFR) regulerer fødevarer og stoffer i De Forenede Stater for Food and Drug Administration (FDA), Drug Enforcement Administration og Office of National Drug Control Policy. Del 11 i sektion 21 angiver kriterierne, hvormed FDA anser elektroniske poster og underskrifter for at være troværdige, pålidelige og svarende til papirposter og håndskrevne underskrifter på papir.  

Se vores hvidbog Dropbox og FDA 21 CFR del 11 samt vores artikel i hjælpecenteret, som indeholder flere oplysninger om, hvordan Dropbox kan hjælpe med at overholde standarderne i 21 CFR del 11.

 

PCI DSS

Dropbox overholder Payment Card Industry Data Security Standard (PCI DSS). Dropbox Business, Dropbox Education og Dropbox Paper er dog ikke beregnet til at behandle eller opbevare kreditkorttransaktioner. Beviset for vores overholdelse af PCI som forhandler kan fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

 

Vores underleverandører

Vores leverandører af datacenter og administreret service undergår også regelmæssige SOC 1-, SOC 2- og/eller ISO 27001-audits for at verificere deres sikkerhedspraksis. Dropbox gennemgår resultaterne af disse audits mindst én gang årligt som en del af vores program for informationssikkerhedsstyring. Hvis der ikke foreligger en auditrapport for en specifik leverandør, evaluerer Dropbox leverandørens sikkerhed. Hvis de aktuelle audits og evalueringer afslører væsentlige problemer, som vi vurderer udgør en risiko for Dropbox eller vores kunder, fastslår vi den potentielle betydning for kundedata i fællesskab med underleverandøren og følger bestræbelserne på at finde en løsning, indtil problemet er løst.

 

Flere oplysninger om compliance for Dropbox Business eller Dropbox Education

Dokumenter om compliance og certificering kan fås ved henvendelse til en Dropbox salgsrepræsentant eller (for eksisterende Dropbox Business-kunder) support.