Einhaltung von Normen und Vorschriften

ISO-Zertifizierungen

Die Internationale Organisation für Normung (ISO) hat eine Reihe von weltweit anerkannten Standards für die Sicherheit von Informationen und Gesellschaft ausgearbeitet. Diese sollen Unternehmen dabei helfen, zuverlässige und innovative Produkte und Dienstleistungen zu entwickeln. Dropbox hat seine Rechenzentren, Systeme, Anwendungen, Mitarbeiter und Prozesse im Rahmen einer Reihe von Audits durch eine unabhängige Drittpartei, das in den Niederlanden ansässige Unternehmen EY CertifyPoint, zertifizieren lassen.

ISO 27001 (Informationssicherheitsmanagement)

ISO 27001 ist weltweit als wichtigste Norm für Informationssicherheitsmanagement (ISMS) anerkannt. Darüber hinaus umfasst diese Norm die Best Practices für Sicherheit, die schon in der Norm ISO 27002 aufgeführt sind. Wir halten unsere umfassenden physischen, technischen und rechtlichen Bestimmungen und Maßnahmen bei Dropbox immer auf dem neuesten Stand und verbessern sie immer weiter, damit wir uns Ihres Vertrauens würdig erweisen können. EY CertifyPoint, unser Auditor, ist durch den Raad voor Accreditatie (den niederländischen Zertifizierungsrat) nach ISO 27001 zertifiziert. Hier finden Sie das ISO 27001-Zertifikat für Dropbox Business und Dropbox Education.

ISO 27017 (Cloud-Sicherheit)

ISO 27017 ist ein internationaler Standard für Cloud-Sicherheit, der einen Leitfaden für die Sicherheitsaspekte bietet, die bei der Bereitstellung und Nutzung von Cloud-Diensten berücksichtigt werden müssen. In unserem Leitfaden zur gemeinsamen Verantwortung (Shared Responsibility Guide) erklären wir verschiedene Einzelheiten der Sicherheits-, Datenschutz- und Compliance-Anforderungen, denen Dropbox gemeinsam mit seinen Kunden Folge leisten kann. Hier finden Sie das ISO 27017-Zertifikat für Dropbox Business und Dropbox Education.

ISO 27018 (Datenschutz und Datensicherheit in der Cloud)

ISO 27018 ist ein internationaler Standard für Datenschutz und Datensicherheit, der sich speziell an Serviceanbieter wie Dropbox richtet, die in der Cloud arbeiten und im Auftrag ihrer Kunden vertrauliche Daten verarbeiten. Dieser Standard bietet Kunden eine Grundlage hinsichtlich grundsätzlicher Richtlinien- und Vertragsanforderungen oder Fragen zu diesem Thema. Hier finden Sie das ISO 27018-Zertifikat für Dropbox Business und Dropbox Education.

ISO 22301 (Betriebliche Kontinuität)

ISO 22301 ist ein internationaler Standard für betriebliche Kontinuität. Er dient Unternehmen als Leitfaden zur Frage, wie sie die Auswirkungen von Störfällen verringern und angemessen darauf reagieren können, um den potenziellen Schaden auf ein Minimum zu begrenzen. Das Dropbox Business Continuity Management System (BCMS) ist Teil unserer allgemeinen Risikomanagementstrategie zum Schutz von Personen und Betriebsabläufen in Krisenfällen. Hier finden Sie das ISO 22301-Zertifikat für Dropbox Business und Dropbox Education.

ISO 27701 (Datenschutz-Informationsmanagement)

Die ISO 27701 ist eine internationale Norm für das Datenschutz-Informations­management. Die Norm bietet einen Rahmen zur Verbesserung und Erweiterung des Informationssicherheits-Managementsystems nach ISO 27001 zu einem Datenschutz-Informationsmanagementsystem (PIMS). Dropbox Business und Dropbox Education haben diese Zertifizierung als PII-Datenverarbeiter erhalten. Hier finden Sie das ISO 27701-Zertifikat für Dropbox Business und Dropbox Education.

 

SOC-Berichte 

Die vom amerikanischen Wirtschaftsprüferverband AICPA (American Institute of Certified Public Accountants) entwickelten Service Organization Controls (SOC)-Berichte, bekannt als SOC 1, SOC 2 und SOC 3, liefern Vorgaben für die Dokumentation von internen Kontrollmechanismen eines Unternehmens. Dropbox hat seine Systeme, Anwendungen, Mitarbeiter und Prozesse im Rahmen einer Reihe von Audits durch eine unabhängige Drittpartei, Ernst & Young LLP, prüfen lassen.

SOC 3 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 3-Prüfbericht umfasst die fünf Trust Service Criteria: Sicherheit, Vertraulichkeit, Prozessintegrität, Verfügbarkeit und Datenschutz (TSP Abschnitt 100). Der Dropbox-Bericht zur allgemeinen Verwendung ist eine Kurzfassung unseres SOC 2-Berichts und enthält eine Bewertung durch unseren externen Auditor hinsichtlich der effektiven Entwicklung und Umsetzung unserer Kontrollmechanismen. Hier finden Sie den ISOC 3-Bericht für Dropbox Business und Dropbox Education.

SOC 2 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 2-Bericht bietet unseren Kunden einen detaillierten Sicherheitsnachweis unserer Kontrollmechanismen und umfasst die fünf Trust Service Criteria: Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz (TSP Abschnitt 100). Der SOC 2-Bericht enthält eine detaillierte Beschreibung der entsprechenden Dropbox-Prozesse und der mehr als 100 Kontrollmechanismen, die wir zum Schutz Ihrer Daten einsetzen. Neben der Bewertung durch unseren externen Auditor hinsichtlich der effektiven Entwicklung und Umsetzung unserer Kontrollmechanismen befasst sich dieser Bericht auch mit den Prüfvorgängen und Ergebnissen des Auditors hinsichtlich der einzelnen Kontrollmechanismen. Zusätzliche Transparenz bietet der SOC 2-Bericht (manchmal auch SOC 2+ genannt) außerdem durch eine Audit-geprüfte Gegenüberstellung unserer Kontrollmechanismen mit den jeweiligen ISO-Normen. Den SOC 2-Bericht für Dropbox Business und Dropbox Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder (für Dropbox Business-Kunden) von unserem Support.

SOC 1/SSAE 18/ISAE 3402 (ehemals SSAE 16 bzw. SAS 70)

Der SOC 1-Bericht ist besonders für Kunden von Bedeutung, bei denen Dropbox Business oder Dropbox Education einen wesentlichen Bestandteil der internen Kontrollmechanismen im Rahmen der Finanzberichterstattung (ICFR) darstellt. Diese spezifischen Sicherheitsnachweise dienen vornehmlich der Konformität unserer Kunden mit dem US-amerikanischen Sarbanes-Oxley Act (SOX). Die Prüfung erfolgt durch eine unabhängige Organisation und in Übereinstimmung mit den Prüfungsgrundlagen der Normen SSAE 18 (Statement on Standards for Attestation Engagements No. 18) und ISAE 3402 (International Standard on Assurance Engagements No. 3402). Diese Normen ersetzen die veralteten „Statement on Standards for Attestation Engagement No. 16“ (SSAE 16) und „Statement on Auditing Standards No. 70“ (SAS 70). Den SOC 1-Bericht für Dropbox Business und Dropbox Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder (für Dropbox Business-Kunden) von unserem Support.

 

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

CSA Security, Trust, Assurance und Risk (STAR) Registry ist ein kostenloses und öffentlich zugängliches Verzeichnis, das ein Sicherheitsnachweis-Programm für Cloud-Dienste anbietet. Dies soll Nutzern dabei helfen, die Sicherheitsstandards der Anbieter besser einzuschätzen, die sie aktuell verwenden oder deren Dienste sie in Zukunft eventuell nutzen möchten.

Dropbox Business und Dropbox Education wurden nach CSA STAR Level 2 bzw. STAR Attestation Level 2 geprüft und zertifiziert. CSA STAR Level 2 umfasst eine Überprüfung unserer Sicherheitsmechanismen von EY CertifyPoint (zur Zertifizierung) und Ernst & Young LLP (als Nachweis) auf die Einhaltung der ISO 27001-Standards, der SOC 2 Trust Service Criteria und der CSA Cloud Controls Matrix (CCM) Version 3.0.1. Unsere Zertifizierung und STAR Attestation nach CSA STAR Level 2 finden Sie auf der CSA-Website.

 

HIPAA/HITECH

Dropbox schließt auf Wunsch mit Dropbox Business- oder Dropbox Education-Kunden Geschäftspartnerverträge (Business Associate Agreements, BAA) ab, die den Gesundheitsverordnungen HIPAA (Health Insurance Portability and Accountability Act) und HITECH (Health Information Technology for Economic and Clinical Health Act) entsprechen müssen. Lesen Sie hierzu unseren Leitfaden „Erste Schritte mit HIPAA“ und unseren Hilfeartikel.

Unsere Kontrollen zur Einhaltung der Vorschriften der HIPAA/HITECH-Sicherheit, des Datenschutzes und der Meldepflichten werden von einem unabhängigen Unternehmen geprüft. Dieser Bericht und eine Übersicht zu unseren internen Verfahrensweisen und Empfehlungen für Kunden, die bei der Verwendung von Dropbox Business oder Dropbox Education den HIPAA/HITECH-Vorschriften zu Informationssicherheit und Datenschutz entsprechen müssen, können bei Dropbox angefordert werden.

Bei Interesse an diesen Dokumenten wenden Sie sich bitte an unser Vertriebsteam. Wenn Sie aktuell ein Dropbox Business- oder Dropbox Education-Team-Admin sind, können Sie auf der Kontoseite in der Verwaltungskonsole einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.

Hinweis: Nur Kunden mit Wohnsitz in den USA können über die Verwaltungskonsole einen elektronischen Geschäftspartnervertrag (BAA) unterzeichnen.

 

BSI-Anforderungskatalog (C5)

Der Anforderungskatalog „Cloud Computing Compliance Controls Catalogue“ (kurz „C5“) ist ein Regelwerk des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), das festlegt, welche Anforderungen Cloud-Anbieter konkret erfüllen müssen. Anhand der C5-Testate können Unternehmen nachweisen, dass ihre Sicherheitsmechanismen mit den Sicherheitsempfehlungen für Cloud-Anbieter des BSI übereinstimmen. Der Anforderungskatalog (C5) basiert auf internationalen Sicherheitsnormen wie ISO 27001 und CSA STAR. Für den C5-Anforderungskatalog wurden die Systeme, Prozesse und Sicherheitsmechanismen von Dropbox von der unabhängigen, in Deutschland ansässigen Wirtschaftsprüfungsgesellschaft Ernst & Young GmbH auditiert. Die unabhängige Prüfung wird in Übereinstimmung mit dem international anerkannten Testierungsregime der ISAE 3000 und IDW PS 860 durchgeführt.

Der Bericht enthält eine detaillierte Beschreibung der Systeme, Anwendungen, Prozesse und Sicherheitsmechanismen von Dropbox sowie der Prüfungsverfahren unseres unabhängigen Prüfers und der Ergebnisse für die einzelnen Mechanismen. Den C5-Bericht für Dropbox Business und Dropbox Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder (für Dropbox Business-Kunden) von unserem Support.

* Dropbox Paper ist nicht Teil des C5-Berichts.

 

NIST SP 800-171 R2-Anforderungskatalog

Das U.S. National Institute of Standards and Technology (NIST) fördert und pflegt Standards und Richtlinien zum Schutz von Informationssystemen. Die NIST Special Publication (SP) 800-171 Revision 2 (R2), enthält Richtlinien zum Schutz von Controlled Unclassified Information (eingeschränkt zugängliche Informationen, CUI) in nicht behördlichen Informationssystemen und Unternehmen. Jede Einrichtung, die CUI der U.S.-Regierung verarbeitet oder speichert, wie Forschungseinrichtungen und der Bildungssektor, müssen die NIST SP 800-171 R2 einhalten. Die CUI-Systeme, -Prozesse und -Kontrollmechanismen von Dropbox wurden von der unabhängigen Wirtschaftsprüfungsgesellschaft Ernst & Young LLP auditiert. 

Den NIST SP 800-171 R2-Bericht für Dropbox Business und Dropbox Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder (für Dropbox Business-Kunden) Support.

* Dropbox Paper ist nicht Teil des NIST SP 800-171 R2-Berichts.

 

EU-US Privacy Shield und Swiss-US Privacy Shield

In Bezug auf die Erfassung, Verwendung und Speicherung personenbezogener Daten, die aus der Europäischen Union, dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz in die USA übertragen werden, folgt Dropbox den Bestimmungen der Privacy Shield-Abkommen zwischen der EU bzw. der Schweiz und den USA. Durch die Einhaltung der Privacy Shield-Grundsätze kann ein Unternehmen einen angemessenen Schutz der Privatsphäre gemäß DSGVO gewährleisten.

Die Privacy Shield-Zertifizierung von Dropbox finden Sie hier. Mehr Informationen erhalten Sie auf der Privacy Shield-Website.

 

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung 2016/679 oder EU-DSGVO ist eine Verordnung der Europäischen Union, mit der wichtige Änderungen an der bislang geltenden EU-Richtlinie für die Verarbeitung personenbezogener Daten von EU-Bürgern umgesetzt wurden. Die EU-DSGVO hat eine Reihe neuer oder nachgebesserter Bestimmungen für Unternehmen eingeführt, die wie Dropbox personenbezogene Daten ihrer Kunden handhaben. Die EU-DSGVO ist am 25. Mai 2018 in Kraft getreten und ersetzt die aktuelle EU-Datenschutzrichtlinie 95/46/EG. Dropbox ist DSGVO-konform und erleichtert seinen Kunden somit die Einhaltung der DSGVO. Weitere Informationen dazu finden Sie in diesem Artikel in der Dropbox-Hilfe.

 

Cloud Security Alliance: Verhaltensregeln für die Einhaltung der DSGVO

Die CSA-Verhaltensregeln für die Einhaltung der DSGVO sind ein freiwilliges Instrument der Rechenschaftspflicht und bieten umfassende Transparenz, mit denen ein Anbieter von Cloud-Diensten wie Dropbox Cloud-Kunden zeigen kann, wie er die Schlüsselelemente der EU-Datenschutz-Grundverordnung einhält. Für Dropbox Business wurde die Selbstüberprüfung zu den CSA-Verhaltensregeln für die Einhaltung der DSGVO durchgeführt. Diese beinhaltet ein umfassendes Audit durch einen unabhängigen Prüfer. Dort hat es das Konformitätszeichen „Deklariert“ erhalten. Mehr über die CSA-Verhaltensregeln für die Einhaltung der DSGVO und wie Dropbox diese einhält erfahren Sie auf der CSA-Webseite.

 

Studierende und Kinder (FERPA und COPPA)

Dropbox Business und Dropbox Education stellen ihre Dienstleistungen in Übereinstimmung mit den im US-amerikanischen Family Education Rights and Privacy Act (FERPA) vorgegebenen Pflichten für Anbieter bereit. Bildungseinrichtungen können Dropbox Business oder Dropbox Education nur gemäß des US-amerikanischen Children's Online Privacy Protection Act (COPPA) nutzen. 

 

FDA 21 CFR Teil 11

Titel 21 des Code of Federal Regulations (CFR) regelt Lebensmittel und Arzneimittel in den USA für die Food and Drug Administration (FDA), die Drug Enforcement Administration und das Office of National Drug Control Policy. Teil 11 von Titel 21 legt die Kriterien fest, nach denen die FDA elektronische Dokumente und Signaturen als vertrauenswürdig, zuverlässig und im Allgemeinen gleichwertig zu Papierdokumenten und handschriftlichen Unterschriften auf Papier betrachtet.

In unserem Whitepaper Dropbox und FDA 21 CFR Teil 11 und dem Hilfecenter-Artikel erfahren Sie mehr darüber, wie Dropbox Sie bei der Einhaltung der Vorgaben aus 21 CFR Teil 11 unterstützt.

 

PCI DSS

Dropbox hält als Händler den Payment Card Industry Data Security Standard (PCI DSS) ein. Dropbox Business, Dropbox Education und Dropbox Paper sind aber nicht dazu bestimmt, Transaktionen mit Kreditkarten zu verarbeiten oder zu speichern. Die PCI Attestation of Compliance (AoC) als Nachweis unseres Händlerstatus erhalten Sie auf Anfrage von unserem Vertriebsteam oder (für Dropbox Business-Kunden) von unserem Support.

 

Unsere Subservice-Partner

Die Anbieter unserer Rechenzentrenstandorte und unsere Managed Service Provider (MSP) lassen ebenfalls regelmäßige SOC 1-, SOC 2- und/oder ISO 27001-Prüfungen durchführen, um die Effizienz ihrer Sicherheitsmaßnahmen nachzuweisen. Im Rahmen unserer Strategie für Informationssicherheitsmanagement prüfen wir mindestens einmal jährlich die Ergebnisse dieser Audits, oder – falls ein Auditbericht nicht verfügbar ist – führen wir selbst Sicherheitsprüfungen unserer Anbieter durch. Wenn wir dabei feststellen, dass bestimmte Auditergebnisse oder Sicherheitsprüfungen auf vorhandene Risiken für Dropbox oder unsere Kunden hindeuten, finden wir zunächst in Zusammenarbeit mit dem Serviceanbieter heraus, welche möglichen Auswirkungen dies auf die Kundendaten haben kann, und verfolgen anschließend die Lösungsmaßnahmen des Anbieters nach, bis das Problem behoben ist.

 

Weitere Informationen zur Compliance bei Dropbox Business oder Dropbox Education

Compliance- und Zertifizierungsdokumente können durch einen Vertriebsmitarbeiter von Dropbox oder (für Dropbox Business-Kunden) durch unseren Support angefordert werden.