Overholdelse af standarder og regler

ISO-certificeringer

ISO (International Organization for Standardization) har udformet en række globale standarder vedrørende informations- og samfundsmæssig sikkerhed for at hjælpe organisationer med at udvikle nyskabende produkter og tjenester. Dropbox har fået certificeret sine datacentre, systemer, programmer, medarbejdere og processer gennem en række auditeringer foretaget af en uafhængig part, nederlandske EY CertifyPoint.

ISO 27001 (styring af informationssikkerhed)

ISO 27001 anses for at være den bedste standard for styringssystemer til informationssikkerhed (ISMS) i hele verden. Standarderne implementerer desuden den bedste praksis for sikkerhed, der er beskrevet i ISO 27002. Hos Dropbox håndterer og forbedrer vi løbende og bredt vores fysiske, tekniske og juridiske kontrolforanstaltninger for at gøre os fortjent til din tillid. Vores auditør, EY CertifyPoint, har opnået sin ISO 27001-akkreditering hos Raad voor Accreditatie (det nederlandske akkrediteringsråd). Se ISO 27001-certifikatet til Dropbox Business og Dropbox Education.

ISO 27017 (cloudbaseret sikkerhed)

ISO 27017 er en international standard for cloudsikkerhed, der indeholder retningslinjer for sikkerhedsforanstaltninger i forbindelse med levering og brug af cloudtjenester. I vores vejledning om fælles ansvar, Shared Responsibility Guide, beskrives nogle af de krav til sikkerhed, beskyttelse af personlige oplysninger og overholdelse af regler og bestemmelser, som Dropbox og Dropbox' kunder sammen kan opfylde. Se ISO 27017-certifikatet til Dropbox Business og Dropbox Education.

ISO 27018 (beskyttelse af cloudbaserede personlige oplysninger og andre data)

ISO 27018 er en international standard for beskyttelse af data og personlige oplysninger. Standarden finder anvendelse for udbydere af cloudtjenester som Dropbox, der behandler personlige oplysninger på vegne af deres kunder, og udgør grundlaget for vores kunders almindelige krav og spørgsmål i forbindelse med lovgivningsmæssige og kontraktmæssige forhold. Se ISO 27018-certifikatet til Dropbox Business og Dropbox Education.

ISO 22301 (styring af forretningens videreførelse)

ISO 22301 er en international standard for forretningens videreførelse, der vejleder organisationer om, hvordan de kan mindske virkningen af forstyrrende hændelser og reagere på dem, hvis de opstår, ved at begrænse den potentielle skadevirkning. Administrationssystemet til forretningens videreførsel til Dropbox Business (BCMS) indgår i vores samlede risikostyringsstrategi for beskyttelse af personer og drift på kritiske tidspunkter. Se ISO 22301-certifikatet til Dropbox Business og Dropbox Education.

 

SOC-rapporter

SOC-rapporterne (Service Organization Controls), der kaldes SOC 1, SOC 2 og SOC 3, er rammer, som er fastlagt af AICPA (American Institute of Certified Public Accountants) og har til formål at rapportere om de interne kontrolforanstaltninger, der er implementeret i en organisation. Dropbox har valideret sine systemer, programmer, medarbejdere og processer gennem en række auditeringer, foretaget af en uafhængig tredjepart, Ernst & Young LLP.

SOC 3 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 3-sikkerhedsrapporten dækker alle fem principper for troværdige tjenester: Sikkerhed, fortrolighed, behandlingsintegritet, tilgængelighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). Dropbox-rapporten til generel brug er et ledelsesresumé af SOC 2-rapporten og omfatter den uafhængige tredjepartsrevisors udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift. Se SOC 3-undersøgelsen til Dropbox Business og Dropbox Education.

SOC 2 for sikkerhed, fortrolighed, integritet, tilgængelighed og beskyttelse af personlige oplysninger

SOC 2-rapporten giver kunder et detaljeret niveau af sikkerhed baseret på kontrolforanstaltninger, der dækker alle fem principper for troværdige tjenester: Sikkerhed, fortrolighed, behandlingsintegritet, tilgængelighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). SOC 2-rapporten indeholder en detaljeret beskrivelse af Dropbox' processer og de mere end 100 kontrolforanstaltninger, der er indført for at beskytte dine ting. Ud over vores uafhængige tredjepartsauditørs udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift indeholder rapporten auditørens testprocedurer og resultater for samtlige kontrolforanstaltninger. Vores SOC 2-rapport (undertiden benævnt som SOC 2+-rapport) indeholder også en auditeret kortlægning af vores kontrolforanstaltninger for ovennævnte ISO-standarder, så vores kunder oplever yderligere gennemsigtighed. SOC 2-undersøgelsen til Dropbox Business og Dropbox Education fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

SOC 1/SSAE 18/ISAE 3402 (tidligere SSAE 16 eller SAS 70)

SOC 1-rapporten giver specifikke forsikringer til kunder, der anser Dropbox Business eller Dropbox Education for at være et hovedelement i deres interne kontrol over økonomisk rapportering (ICFR – Internal Controls over Financial Reporting). Disse specifikke forsikringers primære formål er at sørge for, at vores kunder overholder Sarbanes-Oxley Act (SOX). Den uafhængige tredjepartsaudit udføres i overensstemmelse med Statement on Standards for Attestation Engagements No. 18 (SSAE 18) og International Standard on Assurance Engagements No. 3402 (ISAE 3402). Disse standarder har erstattet de forældede Statement on Standards for Attestation Engagement No.16 (SSAE 16) og Statement on Auditing Standards No. 70 (SAS 70). SOC 1-undersøgelsen til Dropbox Business og Dropbox Education fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

 

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA STAR (Security, Trust & Assurance Registry) er en gratis, offentligt tilgængelig registreringsdatabase, der tilbyder et program til sikring af sikkerheden i forbindelse med cloudbaserede tjenester, som hjælper brugerne med at vurdere sikkerheden hos de cloududbydere, de benytter eller overvejer at indgå en aftale med.

Dropbox Business og Dropbox Education har modtaget både CSA STAR Level 2-certificering og Level 2-godkendelse. CSA STAR Level 2 kræver en uafhængig tredjepartsvurdering af vores sikkerhedsforanstaltninger, udført af EY CertifyPoint (certificering) og Ernst & Young LLP (attestering), ud fra kravene i ISO 27001, SOC 2 Trust Service Principles og CSA Cloud Controls Matrix (CCM) v.3.0.1. Dropbox har også gennemført CSA STAR Level 1-selvevalueringen for Dropbox Business og Dropbox Education. Selvevalueringen er en krævende spørgeskemaundersøgelse baseret på CSA's CAIQ (Consensus Assessments Initiative Questionnaire), som fungerer i forlængelse af CCM og giver svar på næsten 300 spørgsmål, som en cloudkunde eller cloudsikkerhedsauditør kunne finde på at stille. Se vores CSA STAR Level 1- og Level 2-certificering og -attestering på CSA's website.

 

HIPAA/HITECH

Dropbox vil underskrive en forretningspartneraftale med de Dropbox Business- eller Education-kunder, som skal bruge en aftale for at overholde HIPAA-loven (Health Insurance Portability and Accountability Act) og HITECH-loven (Health Information Technology for Economic and Clinical Health Act). Du finder yderligere oplysninger i vores vejledning “Getting started with HIPAA” og i vores hjælpecenterartikel.

Dropbox stiller en uafhængig rapport om overholdelse til rådighed, som vurderer vores kontrolforanstaltninger i forhold til HIPAA/HITECH-reglerne vedrørende sikkerhed, persondata og meddelelse om krænkelser. Rapporten beskriver desuden vores interne fremgangsmåder og giver anbefalinger til de kunder, som vil overholde kravene i forhold til HIPAA/HITECH-reglerne vedrørende sikkerhed og persondata, når de bruger Dropbox Business eller Education.

De kunder, der er interesseret i de pågældende dokumenter, kan kontakte vores salgsteam. Hvis du er administrator for et Dropbox Business- eller Dropbox Education-team, kan du underskrive en forretningspartneraftale elektronisk på siden Konto i  administratorpanelet.

Bemærk! Kun de kunder i USA, der ikke bruger Dropbox Paper, kan underskrive en elektronisk forretningspartneraftale via administratorpanelet. Dropbox tilbyder ikke HIPAA/HITECH-understøttelse af Dropbox Paper.

 
Germany BSI C5-attesteringsrapport

Cloud Computing Compliance Controls Catalog (C5) er en ramme, der er etableret for det tyske føderale kontor for sikkerhed i informationsteknologi (Bundesamt für Sicherheit in der Informationstechnik - BSI) mhp. rapportering af tilgængelige sikkerhedsforanstaltninger i forbindelse med levering af cloudtjenester. C5-attestering hjælper organisationer med at vise, at deres informationssikkerhedspraksis overholder BSI's "Security Recommendations for Cloud Providers". C5 bygger på eksisterende internationale sikkerhedsstandarder som ISO 27001 og CSA STAR. For at kunne modtage C5-attesteringsrapporten er Dropbox' systemer, processer og kontrolforanstaltninger blevet valideret af en uafhængig tyskbaseret tredjepartsauditør, Ernst & Young GmbH. Den uafhængige tredjepartsaudit udføres i overensstemmelse med International Standard on Assurance Engagements No. 3000 (ISAE 3000).

Rapporten indeholder en detaljeret beskrivelse af Dropbox' system, applikationer, processer og kontrolforanstaltninger, samt vores uafhængige auditørs testprocedurer og -resultater for samtlige kontrolforanstaltninger. C5-rapporten til Dropbox Business og Dropbox Education fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

*Dropbox Paper er ikke omfattet af C5-rapporten.

 

EU's og USA's værn om privatlivets fred og Schweiz' og USA's værn om privatlivets fred ("Privacy Shield")

Dropbox overholder programmerne til værn om privatlivets fred ("Privacy Shield") mellem EU og USA og mellem Schweiz og USA som fastsat af det amerikanske handelsministerium vedrørende indsamling, brug og opbevaring af personoplysninger, der overføres fra EU, det Europæiske Økonomiske Samarbejdsområde og Schweiz til USA. Når en organisation overholder Privacy Shield-principperne, sikres det, at organisationen giver tilstrækkelig beskyttelse af personlige oplysninger i henhold til EU's direktiv for databeskyttelse.

Du kan se Dropbox’ Privacy Shield-certificering og få mere at vide på Privacy Shield-webstedet.

EU's generelle forordning om databeskyttelse (GDPR)

EU's generelle forordning om databeskyttelse 2016/679 (GDPR, General Data Protection Regulation) ændrede de tidligere regler for behandling af personoplysninger om fysiske personer i EU markant. GDPR introducerede en række nye og udvidede krav, der gælder for virksomheder som Dropbox, der behandler personoplysninger. Forordningen trådte i kraft den 25. maj 2018 som erstatning for EU-direktiv 95/46/EF, bedre kendt som databeskyttelsesdirektivet. Dropbox har implementeret GDPR, så kunder kan benytte Dropbox til at facilitere deres egen efterlevelse af GDPR. Du finder flere oplysninger i denne artikel i vores Hjælpecenter.

 

Studerende og børn (FERPA og COPPA)

Dropbox Business og Dropbox Education tillader kunder at benytte sine tjenester i overensstemmelse med de udbyderforpligtelser, der er pålagt af US Family Education Rights and Privacy Act (FERPA). Ligeledes har uddannelsesinstitutioner med elever under 13 år mulighed for at benytte Dropbox Business i overensstemmelse med Children's Online Privacy Protection Act (COPPA), hvis de accepterer specifikke kontraktlige krav om, at institutionen skal indhente forældreaccept vedrørende brugen af vores tjenester.

 

UK Digital Marketplace G-Cloud

Dropbox Business er nu registreret på Storbritanniens digitale markedsplads for tilvejebringelse af cloudtjenester til offentlige institutioner. Se vores fortegnelse på Storbritanniens digitale markedsplads for Dropbox Business Standard-planenDropbox Business Advanced-planen og Dropbox Enterprise-planen.

*Dropbox Paper er ikke omfattet af fortegnelsen i G-Cloud under den britiske Digital Marketplace.

 

PCI DSS

Dropbox overholder Payment Card Industry Data Security Standard (PCI DSS). Dropbox Business, Dropbox Education og Dropbox Paper er dog ikke beregnet til at behandle eller opbevare kreditkorttransaktioner. Beviset for vores overholdelse af PCI som forhandler kan fås ved henvendelse til vores salgsteam eller (for eksisterende Dropbox Business-kunder) support.

 

Vores underleverandører

Vores leverandører af datacenter og administreret service undergår også regelmæssige SOC 1-, SOC 2- og/eller ISO 27001-audits for at verificere deres sikkerhedspraksis. Dropbox gennemgår resultaterne af disse audits mindst én gang årligt som en del af vores program for informationssikkerhedsstyring. Hvis der ikke foreligger en auditrapport for en specifik leverandør, evaluerer Dropbox leverandørens sikkerhed. Hvis de aktuelle audits og evalueringer afslører væsentlige problemer, som vi vurderer udgør en risiko for Dropbox eller vores kunder, fastslår vi den potentielle betydning for kundedata i fællesskab med underleverandøren og følger bestræbelserne på at finde en løsning, indtil problemet er løst.

 

Flere oplysninger om compliance for Dropbox Business eller Dropbox Education

Dokumenter om compliance og certificering kan fås ved henvendelse til en Dropbox salgsrepræsentant eller (for eksisterende Dropbox Business-kunder) support.