Einhaltung von Normen und Vorschriften


ISO 27001-Zertifizierung bei Dropbox

ISO

Die Internationale Organisation für Normung (ISO) hat eine Reihe von Weltklassestandards für die Sicherheit von Informationen und Gesellschaft ausgearbeitet, die Organisationen dabei helfen sollen, zuverlässige und innovative Produkte und Dienstleistungen zu entwickeln. Die Rechenzentren, Technologie, Systeme, Anwendungen, Mitarbeiterstrukturen und Prozesse von Dropbox wurden von einem unabhängigen Drittunternehmen auf ISO-Konformität überprüft. EY Certify Point in den Niederlanden ist durch den Raad voor Accreditatie (niederländischen Akkreditierungsrat) für die ISO-Prüfung zugelassen.

ISO 27001 (Informationssicherheit)

ISO 27001 ist als weltweit wichtigste Norm für Informationssicherheits-Managementsysteme (ISMS) anerkannt, die die in ISO 27002 erläuterten optimalen Vorgehensweisen festschreibt. Wir schätzen das uns entgegengebrachte Vertrauen und halten unsere umfassenden physischen, technischen und rechtlichen Bestimmungen bei Dropbox daher immer auf dem neuesten Stand. ISO 27001-Zertifikat für Dropbox Business, Enterprise und Education

ISO 27017 (Cloud-Sicherheit)

ISO 27017 ist ein neuer internationaler Standard für Cloud-Sicherheit, der einen Leitfaden für Sicherheitsaspekte bietet, die bei der Bereitstellung und Nutzung von Cloud-Diensten zu berücksichtigen sind. Im Leitfaden Gemeinsame Verantwortung erklären wir alle Einzelheiten der Sicherheits-, Datenschutz- und Compliance-Aspekte, die Dropbox gemeinsam mit seinen Kunden lösen kann. ISO 27017-Zertifikat für Dropbox Business, Enterprise und Education

ISO 27018 (Datenschutz und Datensicherheit in der Cloud)

ISO 27018 ist ein aufkommender internationaler Standard für Datenschutz und Datensicherheit, der sich speziell an Serviceanbieter wie Dropbox richtet, die in der Cloud arbeiten und im Auftrag ihrer Kunden vertrauliche Daten verarbeiten. Diese Zertifizierung dient als Grundlage bei der Beantwortung grundsätzlicher Richtlinien- und Vertragsanforderungen oder Fragen unserer Kunden zu diesem Thema. ISO 27018-Zertifikat für Dropbox Business, Enterprise und Education

ISO 22301 (Betriebliche Kontinuität)

ISO 22301 ist ein internationaler Standard für betriebliche Kontinuität. Er dient als Leitfaden und zeigt Unternehmen, wie sie die Wahrscheinlichkeit von Störfällen verringern und deren Auswirkungen minimieren können. Das Dropbox Business Continuity Management System (BCMS) ist Teil unserer allgemeinen Risikomanagementstrategie zum Schutz von Personen und Betriebsabläufen in Krisenfällen. ISO 22301-Zertifikat für Dropbox Business, Enterprise und Education


CSA-STAR-Zertifizierung bei Dropbox

Cloud Security Alliance: Security, Trust and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) ist ein kostenfreies und öffentlich zugängliches Verzeichnis, das ein Sicherheitsnachweis-Programm für Cloud-Dienste anbietet. Dies soll Nutzern dabei helfen, die Sicherheitsstandards der Anbieter besser einzuschätzen, die sie aktuell verwenden oder deren Dienste sie in Betracht ziehen.

Dropbox Business, Enterprise und Education wurden nach CSA STAR Level 2 zertifiziert. Die Zertifizierung erfolgte nach einer unabhängigen Prüfung unserer Sicherheitsmechanismen durch EY CertifyPoint und nach den Vorgaben von ISO 27001 und der CSA Cloud Controls Matrix (CCM) Version 3.0.1, die Kriterien für die Messung der Kapazitätsniveaus unserer Cloud-Dienste vorgibt. Dropbox Business hat außerdem die Selbsteinschätzung nach CSA STAR Level 1 durchgeführt. Dabei handelt es sich um einen umfassenden Fragenkatalog auf Basis des Consensus Assessments Initiative Questionnaire (CAIQ) und in Übereinstimmung mit der Cloud Controls Matrix (CCM) von CSA. Darin haben wir knapp 300 Fragen beantwortet, die ein Kunde oder Auditor einem Cloud-Anbieter stellen könnte.


SOC-Compliance bei Dropbox

SOC

Die vom amerikanischen Wirtschaftsprüferverband AICPA (American Institute of Certified Public Accountants) entwickelten Service Organization Controls (SOC)-Berichte, bekannt als SOC 1, SOC 2 und SOC 3, liefern Vorgaben für die Dokumentation von internen Kontrollmechanismen eines Unternehmens. Dropbox hat seine Betriebsabläufe, Prozesse und Technologien durch eine unabhängige Prüfstelle, Ernst & Young LLP, zertifizieren lassen.

SOC 3 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 3-Prüfbericht umfasst die fünf Servicegrundsätze (Trust Service Principles, TSP) Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz (TSP Abschnitt 100). Der Dropbox-Bericht zur allgemeinen Verwendung ist eine Kurzfassung unseres SOC 2-Berichts und enthält eine Bewertung durch unseren externen Auditor hinsichtlich der effektiven Entwicklung und Umsetzung unserer Kontrollmechanismen. SOC 3-Bericht für Dropbox Business, Enterprise und Education

SOC 2 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 2-Bericht bietet unseren Kunden einen detaillierten Sicherheitsnachweis unserer Kontrollmechanismen und umfasst die fünf Servicegrundsätze (Trust Service Principles, TSP) Sicherheit, Vertraulichkeit, Prozessintegrität, Verfügbarkeit und Datenschutz (TSP Abschnitt 100). Der SOC 2-Bericht enthält eine detaillierte Beschreibung der Prozesse bei Dropbox und der mehr als 100 Kontrollmechanismen, die wir zum Schutz Ihrer Daten einsetzen. Neben der Bewertung durch unseren externen Auditor hinsichtlich der effektiven Entwicklung und Umsetzung unserer Kontrollmechanismen befasst sich dieser Bericht auch mit den Prüfvorgängen und Ergebnissen des Auditors hinsichtlich der einzelnen Kontrollmechanismen. Den SOC 2-Bericht für Dropbox Business, Enterprise und Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder dem Account-Management-Team.

SOC 1/SSAE 16/ISAE 3402 (ehemals SAS 70)

Der SOC 1-Bericht ist besonders für Kunden von Bedeutung, bei denen Dropbox Business, Enterprise oder Education einen wesentlichen Bestandteil der internen Kontrollmechanismen im Rahmen der Finanzberichterstattung (ICFR) darstellt. Diese spezifischen Sicherheitsnachweise dienen vornehmlich der Konformität unserer Kunden mit dem US-amerikanischen Sarbanes-Oxley Act (SOX). Die Prüfung erfolgt durch eine unabhängige Organisation und in Übereinstimmung mit den Prüfungsgrundlagen der Normen SSAE 16 (Statement on Standards for Attestation Engagements No. 16) und ISAE 3402 (International Standard on Assurance Engagements No. 3402). Diese Normen ersetzen das veraltete „Statement on Audition Standards No. 70“ (SAS 70). Den SOC 1-Bericht für Dropbox Business, Enterprise und Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder dem Account-Management-Team.


Schüler und Kinder (FERPA und COPPA)

Dropbox Business, Enterprise und Education stellen ihre Dienstleistungen in Übereinstimmung mit den im US-amerikanischen Family Education Rights and Privacy Act (FERPA) vorgegebenen Pflichten für Anbieter bereit. Bildungseinrichtungen mit Schülern im Altern von unter 13 Jahren können gemäß dem US-amerikanischen Children's Online Privacy Protection Act (COPPA) Dropbox Business, Enterprise oder Education ebenfalls verwenden. Einzige Voraussetzung dafür ist, dass sie sich mit bestimmten Vertragsbedingungen einverstanden erklären, die die Einrichtung dazu verpflichten, für die Verwendung unserer Dienstleistungen die Zustimmung der Eltern einzuholen.

Großbritannien: Digital Marketplace G-Cloud

Dropbox Business ist jetzt im Digital Marketplace der Regierung Großbritanniens aufgeführt. Die Initiative soll Behörden im Vereinigten Königreich ermöglichen, Cloud-Dienstleistungen verschiedener Anbieter leichter in Anspruch zu nehmen. Hier finden Sie unseren Eintrag.


Dropbox HIPAA-Zertifizierung

HIPAA/HITECH

Dropbox schließt auf Wunsch mit Dropbox Business-, Enterprise- oder Education-Kunden Geschäftspartnerverträge (Business Associate Agreements, BAA) ab, die den Gesundheitsverordnungen HIPAA (Health Insurance Portability and Accountability Act) und HITECH (Health Information Technology for Economic and Clinical Health Act) entsprechen müssen. Lesen Sie hierzu unseren Leitfaden „Erste Schritte mit HIPAA“ und unseren Hilfeartikel.

Unsere Kontrollen zur Einhaltung der Vorschriften der HIPAA/HITECH-Sicherheit, des Datenschutzes und der Meldepflichten werden von einem unabhängigen Unternehmen geprüft. Dieser Bericht und eine Übersicht zu unseren internen Verfahrensweisen und Empfehlungen für Kunden, die bei der Verwendung von Dropbox Business, Enterprise oder Education den HIPAA/HITECH-Vorschriften zu Informationssicherheit und Datenschutz entsprechen müssen, können bei Dropbox angefordert werden.

Bei Interesse an diesen Dokumenten wenden Sie sich an Ihr Account Management-Team oder an unser Vertriebsteam. Wenn Sie Team-Administrator eines Dropbox Business-, Enterprise- oder Education-Kontos sind, können Sie in der Verwaltungskonsole auf der Seite Konto einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.

Hinweis: Nur Kunden mit Geschäftssitz in den USA, die nicht für die Betaversion von Dropbox Paper angemeldet sind, können einen elektronischen Geschäftspartnervertrag (BAA) über die Verwaltungskonsole unterzeichnen.


PCI DSS

Dropbox hält als Händler den Payment Card Industry Data Security Standard (PCI DSS) ein. Jedoch sind Dropbox Business, Enterprise und Education nicht dazu bestimmt, Transaktionen mit Kreditkarten zu verarbeiten oder zu speichern. Die PCI Attestation of Compliance (AoC) als Nachweis unseres Händlerstatus erhalten Sie auf Anfrage von unserem Vertriebsteam oder dem Account Management-Team.

Unsere Subservice-Partner

Die Anbieter unserer Rechenzentrenstandorte und unsere Managed Service Provider (MSP) lassen ebenfalls regelmäßige SOC 1-, SOC 2- und/oder ISO 27001-Prüfungen durchführen, um die Effizienz ihrer Sicherheitsmaßnahmen nachzuweisen. Die Ergebnisse dieser Audits prüfen wir im Rahmen unserer Strategie für Informationssicherheitsmanagement mindestens einmal jährlich. Wenn wir dabei feststellen, dass bestimmte Auditergebnisse auf vorhandene Risiken für Dropbox oder unsere Kunden hindeuten, finden wir zunächst in Zusammenarbeit mit dem Subservice-Anbieter heraus, welche möglichen Auswirkungen dies auf die Kundendaten haben kann, und verfolgen anschließend die Lösungsmaßnahmen des Anbieters, bis das Problem behoben ist.

Weitere Informationen zur Compliance mit Dropbox Business, Enterprise und Education

Unsere Compliance- und Zertifizierungsdokumente erhalten Sie auf Anfrage von Ihrem Dropbox-Kundenberater oder vom Account Management-Team.