Overholdelse af standarder og regler


ISO 27001-certificering hos Dropbox

ISO-certificeringer

ISO (International Organization for Standardization) har udformet en række globale standarder vedrørende informations- og samfundsmæssig sikkerhed for at hjælpe organisationer med at udvikle nyskabende produkter og tjenester. Dropbox har fået certificeret sine datacentre, systemer, programmer, medarbejdere og processer gennem en række auditeringer foretaget af en uafhængig part, nederlandske EY CertifyPoint.

ISO 27001 (styring af informationssikkerhed)

ISO 27001 anses for at være den bedste standard for styringssystemer til informationssikkerhed (ISMS, information security management system) i hele verden. Standarderne implementerer desuden den bedste praksis for sikkerhed, der er beskrevet i ISO 27002. Hos Dropbox håndterer og forbedrer vi løbende og bredt vores fysiske, tekniske og juridiske kontrolforanstaltninger for at gøre os fortjent til din tillid. Vores auditor, EY CertifyPoint, har fået sin ISO-akkreditering af Raad voor Accreditatie (akkrediteringsrådet i Holland). Se ISO 27001-certifikatet for Dropbox Business og Dropbox Education.

ISO 27017 (cloudbaseret sikkerhed)

ISO 27017 er en international standard for cloudsikkerhed, der indeholder retningslinjer for sikkerhedsforanstaltninger i forbindelse med levering og brug af cloudtjenester. I vores vejledning om fælles ansvar, Shared Responsibility Guide, beskrives en række af de krav til sikkerhed, beskyttelse af personlige oplysninger og overholdelse af regler og bestemmelser, som Dropbox og Dropbox' kunder kan leve op til i fællesskab. Se ISO 27017-certifikatet for Dropbox Business og Dropbox Education.

ISO 27018 (beskyttelse af cloudbaserede personlige oplysninger og andre data)

ISO 27018 er en international standard for beskyttelse af data og personlige oplysninger. Standarden finder anvendelse for udbydere af cloudtjenester som Dropbox, der behandler personlige oplysninger på vegne af deres kunder, og udgør grundlaget for vores kunders almindelige krav og spørgsmål i forbindelse med lovgivningsmæssige og kontraktmæssige forhold. Se ISO 27018-certifikatet for Dropbox Business og Dropbox Education.

ISO 22301 (styring af forretningens videreførelse)

ISO 22301 er en international standard for forretningens videreførelse, der vejleder organisationer om, hvordan de kan mindske virkningen af forstyrrende hændelser og reagere på dem, hvis de opstår, ved at begrænse den potentielle skadevirkning. Styringssystemet for forretningens videreførelse (BCMS, Dropbox Business continuity management system) indgår i vores samlede risikostyringsstrategi for beskyttelse af personer og drift på kritiske tidspunkter. Se ISO 22301-certifikatet for Dropbox Business og Dropbox Education.


Dropbox' overholdelse af SOC

SOC-rapporter

SOC-rapporterne (Service Organization Controls), der kaldes SOC 1, SOC 2 og SOC 3, er rammer, som er fastlagt af AICPA (American Institute of Certified Public Accountants) og har til formål at rapportere om de interne kontrolforanstaltninger, der er implementeret i en organisation. Dropbox har valideret sine systemer, programmer, medarbejdere og processer gennem en række auditeringer, foretaget af en uafhængig tredjepart, Ernst & Young LLP.

SOC 3 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 3-sikkerhedsrapporten dækker alle fem principper for troværdige tjenester: sikkerhed, fortrolighed, behandlingsintegritet, tilgængelighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). Dropbox-rapporten til generel brug er et ledelsesresumé af SOC 2-rapporten og omfatter den uafhængige tredjepartsauditors udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift. Se SOC 3-undersøgelsen af Dropbox Business og Dropbox Education.

SOC 2 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 2-rapporten giver kunder et detaljeret niveau af sikkerhed baseret på kontrolforanstaltninger, der dækker alle fem principper for troværdige tjenester: Sikkerhed, fortrolighed, behandlingsintegritet, tilgængelighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). SOC 2-rapporten indeholder en detaljeret beskrivelse af Dropbox' processer og de mere end 100 kontrolforanstaltninger, der er indført for at beskytte dine ting. Ud over vores uafhængige tredjepartsauditors udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift indeholder rapporten auditorens testprocedurer og resultater for samtlige kontrolforanstaltninger. Vores SOC 2-rapport (undertiden benævnt som SOC 2+-rapport) indeholder også en auditeret kortlægning af vores kontrolforanstaltninger for ovennævnte ISO-standarder, så vores kunder oplever yderligere gennemsigtighed. SOC 2-undersøgelsen for Dropbox Business og Dropbox Education kan erhverves ved henvendelse til salgsteamet eller kontoadministrationsteamet.

SOC 1/SSAE 18/ISAE 3402 (tidligere SSAE 16 eller SAS 70)

Vores SOC 1-rapport giver specifikke forsikringer de til kunder, der anvender Dropbox Business eller Dropbox Education som nøgleelement i deres interne kontrolprogram for økonomisk rapportering (ICFR, internal controls over financial reporting). Disse specifikke forsikringers primære formål er at sørge for, at vores kunder overholder Sarbanes-Oxley Act (SOX). Den uafhængige tredjepartsaudit udføres i overensstemmelse med Statement on Standards for Attestation Engagements No. 18 (SSAE 18) og International Standard on Assurance Engagements No. 3402 (ISAE 3402). Disse standarder har erstattet de forældede Statement on Standards for Attestation Engagement No.16 (SSAE 16) og Statement on Auditing Standards No. 70 (SAS 70). SOC 1-undersøgelsen for Dropbox Business og Dropbox Education kan erhverves ved henvendelse til salgsteamet eller kontoadministrationsteamet.


CSA Star-certificering hos Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA STAR (Security, Trust & Assurance Registry) er en gratis, offentligt tilgængelig registreringsdatabase, der tilbyder et program til sikring af sikkerheden i forbindelse med cloudbaserede tjenester, som hjælper brugerne med at vurdere sikkerheden hos de cloududbydere, de benytter eller overvejer at indgå en aftale med.

Dropbox Business og Dropbox Education har modtaget både CSA STAR Level 2-certificering og Level 2-attestering. CSA STAR Level 2 kræver en uafhængig tredjepartsvurdering af vores sikkerhedsforanstaltninger, udført af EY CertifyPoint (certificering) og Ernst & Young LLP (attestering), ud fra kravene i ISO 27001, SOC 2 Trust Service Principles og CSA Cloud Controls Matrix (CCM) v.3.0.1. Dropbox har også gennemført CSA STAR Level 1-selvevalueringen for Dropbox Business og Dropbox Education. Selvevalueringen er en krævende spørgeskemaundersøgelse baseret på CSA's CAIQ (Consensus Assessments Initiative Questionnaire), som fungerer i forlængelse af CCM og giver svar på næsten 300 spørgsmål, som en cloudkunde eller cloudsikkerhedsauditor kunne finde på at stille. Se vores CSA STAR Level 1- og Level 2-certificering og -attestering på CSA's website.


Dropbox HIPAA-certificering

HIPAA/HITECH

Dropbox underskriver gerne en forretningspartneraftale med de Dropbox Business- eller Dropbox Education-kunder, som skal bruge en sådan for at overholde HIPAA-loven (Health Insurance Portability and Accountability Act) og HITECH-loven (Health Information Technology for Economic and Clinical Health Act). Du finder yderligere oplysninger i vores vejledning "Getting started with HIPAA" og i vores hjælpecenterartikel.

Dropbox har fået udarbejdet en uafhængig forsikringsrapport, der evaluerer vores kontrolfunktioner i forhold til HIPAA/HITECH-reglerne vedrørende sikkerhed, persondata og meddelelse om krænkelser. Rapporten beskriver desuden vores interne fremgangsmåder og anbefalinger til de kunder, som vil overholde HIPAA/HITECH-kravene til sikkerhed og persondata med Dropbox Business eller Dropbox Education.

De kunder, der er interesseret i de pågældende dokumenter, kan kontakte kontoadministrationsteamet eller salgsteamet. Hvis du er administrator for et Dropbox Business- eller Dropbox Education-team, kan du underskrive en forretningspartneraftale elektronisk på siden Konto i administratorpanelet.

Bemærk! Kun de kunder i USA, der ikke bruger Dropbox Paper, kan underskrive en elektronisk BAA via administratorpanelet. Dropbox tilbyder ikke HIPAA/HITECH-understøttelse af Dropbox Paper.


Dropbox Germany BSI C5-rapport

Germany BSI C5-attesteringsrapport

Cloud Computing Compliance Controls Catalog (C5) er en ramme, der er etableret af Bundesamt fur Sicherheit in der Informationstechnik – BSI) mhp. rapportering af sikkerhedsforanstaltninger i forbindelse med levering og brug af cloudtjenester. C5-attestering hjælper organisationer med at vise, at deres informationssikkerhedspraksis overholder BSI's "Security Recommendations for Cloud Providers". C5 bygger på eksisterende internationale sikkerhedsstandarder som ISO 27001 og CSA STAR. For at kunne modtage C5-attesteringsrapporten er Dropbox' systemer, processer og kontrolforanstaltninger blevet valideret af en uafhængig tyskbaseret tredjepartsauditor, Ernst & Young GmbH. Den uafhængige tredjepartsaudit udføres i overensstemmelse med International Standard on Assurance Engagements No. 3000 (ISAE 3000).

Rapporten indeholder en detaljeret beskrivelse af Dropbox' system, applikationer, processer og kontrolforanstaltninger, samt vores uafhængige auditors testprocedurer og -resultater for samtlige kontrolforanstaltninger. C5-rapporten for Dropbox Business og Dropbox Education kan erhverves ved henvendelse til salgsteamet eller kontoadministrationsteamet.

*Dropbox Paper er ikke omfattet af C5-rapporten.


EU's og USA's værn om privatlivets fred og Schweiz' og USA's værn om privatlivets fred ("Privacy Shield")

Dropbox overholder programmerne til værn om privatlivets fred ("Privacy Shield") mellem EU og USA og mellem Schweiz og USA som fastsat af det amerikanske handelsministerium vedrørende indsamling, brug og opbevaring af personoplysninger, der overføres fra EU, det Europæiske Økonomiske Samarbejdsområde og Schweiz til USA. Når en organisation overholder Privacy Shield-principperne, sikres det, at organisationen giver tilstrækkelig beskyttelse af personlige oplysninger i henhold til EU's direktiv for databeskyttelse.

Du kan se Dropbox’ Privacy Shield-certificering og få mere at vide på Privacy Shield-websitet.


EU's generelle forordning om databeskyttelse (GDPR)

Den generelle forordning om databeskyttelse (GDPR) 2016/679, eller GDPR, er en forordning i EU, der indebærer en betydelig ændring af de nuværende regler for behandling af personoplysninger vedrørende fysiske personer i EU. Med GDPR indføres en række nye eller udvidede krav, der gælder for virksomheder som Dropbox, der behandler personoplysninger. Den træder i kraft den 25. maj 2018 og erstatter det nuværende EU-direktiv 95/46/EF, der er kendt som direktivet om databeskyttelse. Som andre ansvarlige virksomheder er Dropbox i gang med at udvikle og sætte vores detaljerede planer for overholdelse af GDPR i værk, og vi forventer at opnå fuld overholdelse før den 25. maj 2018. Du finder flere oplysninger i denne artikel i vores Hjælpecenter.


Studerende og børn (FERPA og COPPA)

Dropbox Business og Dropbox Education tillader kunder at benytte tjenesterne i overensstemmelse med de udbyderforpligtelser, der er pålagt af US Family Education Rights and Privacy Act (FERPA). Ligeledes har uddannelsesinstitutioner med elever under 13 år mulighed for at benytteDropbox Business og Dropbox Education i overensstemmelse med Children's Online Privacy Protection Act (COPPA), hvis de accepterer specifikke kontraktlige krav om, at institutionen skal indhente forældreaccept vedrørende brugen af vores tjenester.


UK Digital Marketplace G-Cloud

Dropbox Business er nu registreret på Storbritanniens digitale markedsplads for cloudtjenester til offentlige institutioner. Se vores fortegnelse på webstedet UK Digital Marketplace for Dropbox Business Standard-planen, Dropbox Business Advanced-planen og Dropbox Enterprise-planen.

*Dropbox Paper er ikke omfattet af fortegnelsen i G-Cloud under den britiske Digital Marketplace.


PCI DSS

Dropbox overholder Payment Card Industry Data Security Standard (PCI DSS). Dropbox Business, Dropbox Education og Dropbox Paper er dog ikke beregnet til at behandle eller opbevare kreditkorttransaktioner. Attesteringen for vores overholdelse (AoC, Attestation of Compliance) af PCI som forhandler kan erhverves ved henvendelse til salgsteamet eller kontoadministrationsteamet.


Vores underleverandører

Vores leverandører af datacenter og administreret service undergår også regelmæssige SOC 1-, SOC 2- og/eller ISO 27001-audits for at verificere deres sikkerhedspraksis. Dropbox gennemgår resultaterne af disse audits mindst én gang årligt som en del af vores program for informationssikkerhedsstyring. Hvis der ikke foreligger en auditrapport for en specifik leverandør, evaluerer Dropbox leverandørens sikkerhed. Hvis de aktuelle audits og evalueringer afslører væsentlige problemer, som vi vurderer udgør en risiko for Dropbox eller vores kunder, fastslår vi den potentielle betydning for kundedata i fællesskab med underleverandøren og følger bestræbelserne på at finde en løsning, indtil problemet er løst.


Få flere oplysninger om overholdelse for Dropbox Business og Dropbox Education

Dokumenter om overholdelse og certificering kan fås ved henvendelse til en Dropbox-sælger eller det kundeansvarlige team.