Overholdelse af standarder og regler


ISO 27001-certificering hos Dropbox

ISO

ISO (International Organization for Standardization) har udformet en række globale standarder vedrørende informations- og samfundsmæssig sikkerhed for at hjælpe organisationer med at udvikle nyskabende produkter og tjenester. Hos Dropbox har vi fået ISO-certificeret vores datacentre, teknologi, systemer, programmer, medarbejdere og processer af en uafhængig part, nederlandske EY CertifyPoint, som har sin ISO-akkreditering fra Raad voor Accreditatie (det nederlandske akkrediteringsråd).

ISO 27001 (informationssikkerhed)

ISO 27001 anses for at være den bedste standard for administrationssystemer til informationssikkerhed (ISMS) i hele verden og anvender den bedste praksis, der er beskrevet i ISO 27002. Vi håndterer løbende og bredt vores fysiske, tekniske og juridiske kontrolforanstaltninger hos Dropbox for at gøre os fortjent til din tillid. Se ISO 27001-certifikatet til Dropbox Business, Enterprise og Education.

ISO 27017 (cloudbaseret sikkerhed)

ISO 27017 er en ny international standard for cloudbaseret sikkerhed, der indeholder retningslinjer for sikkerhedsforanstaltninger i forbindelse med levering og brug af cloudbaserede tjenester. I vores vejledning om fælles ansvar, Shared Responsibility Guide, beskrives alle de krav til sikkerhed, beskyttelse af personlige oplysninger og overholdelse af regler og bestemmelser, som Dropbox og Dropbox' kunder sammen kan opfylde. Se ISO 27017-certifikatet til Dropbox Business, Enterprise og Education.

ISO 27018 (beskyttelse af cloudbaserede personlige oplysninger og andre data)

ISO 27018 er en international standard for beskyttelse af data og personlige oplysninger. Standarden finder anvendelse for udbydere af cloudtjenester som Dropbox, der behandler personlige oplysninger på vegne af deres kunder, og udgør grundlaget for vores kunders almindelige krav eller spørgsmål i forbindelse med lovgivningsmæssige og kontraktmæssige forhold. Se ISO 27018-certifikatet til Dropbox Business, Enterprise og Education.

ISO 22301 (forretningskontinuitet)

ISO 22301 er en international standard for forretningskontinuitet, der vejleder organisationer om, hvordan de kan mindske sandsynligheden for forstyrrende hændelser og reagere på dem, hvis de opstår, ved at begrænse den potentielle skadevirkning. Administrationssystemet til forretningskontinuitet til Dropbox Business indgår i vores samlede risikostyringsstrategi for beskyttelse af personer og drift på kritiske tidspunkter. Se 22301-certifikatet til Dropbox Business, Enterprise og Education.


CSA Star-certificering hos Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA STAR (Security, Trust & Assurance Registry) er en gratis, offentligt tilgængelig registreringsdatabase, der tilbyder et program til sikring af sikkerheden i forbindelse med cloudbaserede tjenester, som hjælper brugerne med at vurdere sikkerheden hos de cloududbydere, de benytter eller overvejer at indgå en aftale med.

Dropbox Business, Enterprise og Education er blevet certificeret i henhold til CSA STAR Level 2 efter en vurdering af vores sikkerhedsforanstaltninger af den uafhængige tredjepart EY CertifyPoint på grundlag af kravene i ISO 27001 og CSA Cloud Controls Matrix (CCM) v.3.0.1, som er et sæt kriterier, der måler cloudbaserede tjenesters funktionsniveau. For Dropbox Business er selvvurderingen i henhold til CSA STAR Level 1 også gennemført. Den indebærer en krævende spørgeskemaundersøgelse baseret på CSA’s CAIQ (Consensus Assessments Initiative Questionnaire), som fungerer i forlængelse med CCM og giver svar på næsten 300 spørgsmål, som en cloudkunde eller cloudsikkerhedsrevisor kunne finde på at stille.


Dropbox' overholdelse af SOC

SOC

Rapporterne fra SOC (Service Organization Controls), der kaldes SOC 1, SOC 2 og SOC 3, er rammer, som er fastlagt af AICPA ( American Institute of Certified Public Accountants) og har til formål at rapportere om de interne kontrolforanstaltninger, der er implementeret i en organsation. Dropbox' drift, processer og teknologi er blevet certificeret af et uafhængigt revisionsfirma, Ernst & Young LLP.

SOC 3 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 3-sikkerhedsrapporten dækker de fem principper for tjenester, der er tillid til: sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). Dropbox-rapporten til generel brug er et ledelsesresumé af SOC 2-rapporten og omfatter den uafhængige tredjepartsrevisors udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift. Se SOC 3-undersøgelsen af Dropbox Business, Enterprise og Education.

SOC 2 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 2-rapporten giver kunder sikkerhed baseret på kontrolforanstaltninger på et detaljeret niveau og dækker de fem principper for tjenester, der er tillid til: sikkerhed, fortrolighed, behandlingsintegritet, tilgængelighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). SOC 2-rapporten indeholder en detaljeret beskrivelse af Dropbox' processer og de mere end 100 kontrolforanstaltninger, som vi har indført for at beskytte dine ting. Ud over vores uafhængige tredjepartsrevisors udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift indeholder rapporten revisorens testprocedurer og resultater for hver kontrolforanstaltning. SOC 2-undersøgelsen for Dropbox Business, Enterprise og Education kan fås ved henvendelse til salgsteamet eller det kundeansvarlige team.

SOC 1/SSAE 16/ISAE 3402 (tidligere SAS 70)

SOC 1-rapporten giver specifikke forsikringer til kunder, der anser Dropbox Business, Enterprise eller Education for at være et hovedelement i deres interne kontrol over økonomisk rapportering (ICFR, Internal Control over Financial Reporting). Disse specifikke forsikringers primære formål er at sørge for, at vores kunder overholder Sarbanes-Oxley Act (SOX). Den uafhængige tredjepartsrevision udføres i overensstemmelse med Statement on Standards for Attestation Engagements No. 16 (SSAE 16) og International Standard on Assurance Engagements No. 3402 (ISAE 3402). Disse standarder erstatter den udfasede Statement on Auditing Standards No. 70 (SAS 70). SOC 1-undersøgelsen for Dropbox Business, Enterprise og Education kan fås ved henvendelse til salgsteamet eller det kundeansvarlige team.


Studerende og børn (FERPA og COPPA)

Kunder kan benytte tjenesterne i Dropbox Business, Enterprise og Education i overensstemmelse med de udbyderforpligtelser, der er pålagt af US Family Education Rights and Privacy Act (FERPA). Ligeledes har uddannelsesinstitutioner med elever under 13 år mulighed for at benytte Dropbox Business, Enterprise eller Education i overensstemmelse med Children's Online Privacy Protection Act (COPPA), hvis de accepterer specifikke kontraktlige krav om, at institutionen skal indhente forældreaccept vedrørende brugen af vores tjenester.

UK Digital Marketplace G-Cloud

Dropbox Business er nu registreret på Storbritanniens digitale markedsplads for cloudtjenester til offentlige institutioner. Du kan se vores registrering her.


Dropbox HIPAA-certificering

HIPAA/HITECH

Dropbox vil underskrive en forretningspartneraftale med de Dropbox Business-, Enterprise- eller Education-kunder, som skal bruge en aftale for at overholde HIPAA-loven (Health Insurance Portability and Accountability Act) og HITECH-loven (Health Information Technology for Economic and Clinical Health Act). Du kan få detaljerede oplysninger i vores vejledning "Getting started with HIPAA" og i vores hjælpecenterartikel.

Dropbox stiller en uafhængig rapport om overholdelse til rådighed, som vurderer vores kontrolforanstaltninger i forhold til HIPAA/HITECH-reglerne vedrørende sikkerhed, persondata og meddelelse om krænkelser. Rapporten beskriver desuden vores interne fremgangsmåder og giver anbefalinger til de kunder, som vil overholde kravene i forhold til HIPAA/HITECH-reglerne vedrørende sikkerhed og persondata, når de bruger Dropbox Business, Enterprise og Education.

De kunder, som vil anmode om disse dokumenter, kan kontakte deres kundeansvarlige team eller vores salgsteam. Hvis du er administrator for et Dropbox Business-, Enterprise- eller Education-team, kan du underskrive en forretningspartneraftale (BAA) elektronisk på siden Konto i administratorpanelet.

Bemærk! Kun de kunder i USA, der ikke deltager i Dropbox Paper beta, kan underskrive en elektronisk BAA via administratorpanelet.


PCI DSS

Dropbox overholder Payment Card Industry Data Security Standard (PCI DSS). Dropbox Business, Enterprise og Education er dog ikke beregnet til at behandle eller opbevare kreditkorttransaktioner. Beviset for vores overholdelse af PCI som forhandler kan fås ved henvendelse til salgsteamet eller det kundeansvarlige team.

Vores underleverandører

Vores levarandører af datacenter og administreret service undergår også regelmæssige SOC 1-, SOC 2- og/eller ISO 27001-revisioner for at bekræfte deres sikkerhedspraksis. Dropbox gennemgår resultaterne af disse revisioner mindst en gang årligt som en del af vores program for informationssikkerhedsstyring. Hvis disse revisioner afslører væsentlige problemer, som vi vurderer udgør en risiko for Dropbox eller vores kunder, vil vi sammen med underleverandøren søge at fastslå en mulig betydning for kundedata og følge bestræbelserne på at finde en løsning, indtil problemet er løst.

Flere oplysninger om overholdelse for Dropbox Business, Enterprise og Education

Dokumenter om overholdelse og certificering kan fås ved henvendelse til en Dropbox-sælger eller det kundeansvarlige team.