Dropbox Business und Dropbox Education erfüllen die folgenden Normen und Vorschriften:

ISO

CSA STAR

SOC

FERPA und COPPA

Großbritannien: Digital Marketplace G-Cloud

HIPAA/HITECH

PCI DSS

EU-US Privacy Shield und Swiss-US Privacy Shield

EU-Datenschutz-Grundverordnung

Die Internationale Organisation für Normung (ISO) hat eine Reihe von Weltklassestandards für die Sicherheit von Informationen und Gesellschaft ausgearbeitet, die Unternehmen dabei helfen sollen, zuverlässige und innovative Produkte und Dienstleistungen zu entwickeln. Dropbox hat seine Rechenzentren, Systeme, Anwendungen, Mitarbeiter und Prozesse im Rahmen einer Reihe von Audits durch eine unabhängige Drittpartei, das in den Niederlanden ansässige Unternehmen EY CertifyPoint, zertifizieren lassen.

Hinweis: Dropbox Paper ist nicht Teil der ISO-Zertifizierungen.

ISO 27001 (Informationssicherheitsmanagement)

ISO 27001 ist weltweit als wichtigste Norm für Informationssicherheitsmanagement (ISMS) anerkannt. Darüber hinaus umfasst diese Norm die Best Practices für Sicherheit, die bereits in der Norm ISO 27002 ausgeführt sind. Wir halten unsere umfassenden physischen, technischen und rechtlichen Bestimmungen und Maßnahmen bei Dropbox immer auf dem neuesten Stand und verbessern sie immer weiter, damit wir uns des von Ihnen entgegengebrachten Vertrauens auch wirklich würdig erweisen. EY CertifyPoint, unser Auditor, ist durch den Raad voor Accreditatie (den niederländischen Zertifizierungsrat) nach ISO 27001 zertifiziert.

ISO 27001-Zertifikat für Dropbox Business und Education

ISO 27017 (Cloudsicherheit)

ISO 27017 ist ein neuer internationaler Standard für Cloudsicherheit, der einen Leitfaden für die Sicherheitsaspekte bietet, die bei der Bereitstellung und Nutzung von Clouddiensten zu berücksichtigen sind. In unserem Leitfaden zur gemeinsamen Verantwortung (Shared Responsibility Guide) erklären wir verschiedene Einzelheiten der Sicherheits-, Datenschutz- und Compliance-Anforderungen, denen Dropbox gemeinsam mit seinen Kunden Folge leisten kann.

ISO 27017-Zertifikat für Dropbox Business und Education

ISO 27018 (Datenschutz und Datensicherheit in der Cloud)

ISO 27018 ist ein neuer internationaler Standard für Datenschutz und Datensicherheit, der sich speziell an Serviceanbieter wie Dropbox richtet, die in der Cloud arbeiten und im Auftrag ihrer Kunden vertrauliche Daten verarbeiten. Dieser Standard bietet Kunden eine Grundlage hinsichtlich grundsätzlicher Richtlinien- und Vertragsanforderungen oder Fragen zu diesem Thema.

ISO 27018-Zertifikat für Dropbox Business und Education

ISO 22301 (Betriebliche Kontinuität)

ISO 22301 ist ein internationaler Standard für betriebliche Kontinuität. Er dient Unternehmen als Leitfaden zur Frage, wie sie die Auswirkungen von Störfällen verringern und angemessen darauf reagieren können, um den potenziellen Schaden auf ein Minimum zu begrenzen. Das Business Continuity Management System (BCMS) von Dropbox ist Teil unserer allgemeinen Risikomanagementstrategie zum Schutz von Personen und Betriebsabläufen in Krisenfällen.

ISO 22301-Zertifikat für Dropbox Business und Education

Cloud Security Alliance: Security, Trust & Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) ist ein kostenfreies und öffentlich zugängliches Verzeichnis, das ein Sicherheitsnachweis-Programm für Clouddienste anbietet. Dies soll Nutzern dabei helfen, die Sicherheitsstandards der Anbieter besser einzuschätzen, die sie aktuell verwenden oder deren Dienste sie in Betracht ziehen.

Dropbox Business und Education wurden nach CSA STAR Level 2 zertifiziert. Die Zertifizierung erfolgte nach einer unabhängigen Prüfung unserer Sicherheitsmechanismen durch EY CertifyPoint und nach den Vorgaben von ISO 27001 und der CSA Cloud Controls Matrix (CCM) Version 3.0.1, die Kriterien für die Messung der Kapazitätsniveaus unserer Clouddienste vorgibt. Dropbox Business hat außerdem die Selbsteinschätzung nach CSA STAR Level 1 durchgeführt. Dabei handelt es sich um einen umfassenden Fragenkatalog auf Basis des Consensus Assessments Initiative Questionnaire (CAIQ) und in Übereinstimmung mit der Cloud Controls Matrix (CCM) von CSA. Darin haben wir knapp 300 Fragen beantwortet, die ein Kunde oder Auditor einem Cloudanbieter stellen könnte.

Unsere Selbsteinschätzung nach CSA STAR Level 1 und unsere Zertifizierung nach Level 2 finden Sie auf der CSA-Website.

Hinweis: Dropbox Paper ist nicht Teil der CSA-STAR-Registrierung.

SOC-Berichte

Die vom amerikanischen Wirtschaftsprüferverband AICPA (American Institute of Certified Public Accountants) entwickelten Service Organization Controls (SOC)-Berichte, bekannt als SOC 1, SOC 2 und SOC 3, liefern Vorgaben für die Dokumentation von internen Kontrollmechanismen eines Unternehmens. Dropbox hat seine Betriebsabläufe, Prozesse und Technologien durch eine unabhängige Prüfstelle, Ernst & Young LLP, zertifizieren lassen.

Hinweis: Dropbox Paper ist nicht Teil der SOC-Berichte.

SOC 3 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 3-Prüfbericht umfasst die fünf Servicegrundsätze (Trust Service Principles, TSP) Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz (TSP Abschnitt 100). Der Dropbox-Bericht zur allgemeinen Verwendung ist eine Kurzfassung unseres SOC 2-Berichts und enthält eine Bewertung durch unseren externen Auditor hinsichtlich der effektiven Struktur und Umsetzung unserer Kontrollmechanismen.

SOC 3-Prüfung für Dropbox Business und Education

SOC 2 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 2-Bericht bietet unseren Kunden einen detaillierten Sicherheitsnachweis unserer Kontrollmechanismen und umfasst die fünf Servicegrundsätze (Trust Service Principles, TSP) Sicherheit, Vertraulichkeit, Prozessintegrität, Verfügbarkeit und Datenschutz (TSP Abschnitt 100). Der SOC 2-Bericht enthält eine detaillierte Beschreibung der Prozesse von Dropbox und der mehr als 100 Kontrollmechanismen, die wir zum Schutz Ihrer Daten einsetzen. Neben der allgemeinen Einschätzung der effektiven Gestaltung und Ausführung unserer Kontrollmechanismen durch unsere unabhängige Prüfstelle befasst sich dieser Bericht auch mit den Prüfvorgängen und Ergebnissen der Prüfstelle hinsichtlich der einzelnen Kontrollmechanismen. Den SOC 2-Bericht für Dropbox Business und Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder dem Account-Management-Team.

SOC 1/SSAE 16/ISAE 3402 (ehemals SAS 70)

Der SOC 1-Bericht ist besonders für Kunden von Bedeutung, bei denen Dropbox Business oder Education einen wesentlichen Bestandteil der internen Kontrollmechanismen im Rahmen der Finanzberichterstattung (ICFR) darstellt. Diese spezifischen Sicherheitsnachweise dienen vornehmlich der Konformität unserer Kunden mit dem US-amerikanischen Sarbanes-Oxley Act (SOX). Die Prüfung erfolgt durch eine unabhängige Organisation und in Übereinstimmung mit den Prüfungsgrundlagen der Normen SSAE 16 (Statement on Standards for Attestation Engagements No. 16) und ISAE 3402 (International Standard on Assurance Engagements No. 3402). Diese Normen ersetzen die veraltete Norm SAS 70 (Statement on Auditing Standards No. 70). Den SOC 1-Bericht für Dropbox Business und Education erhalten Sie auf Anfrage von unserem Vertriebsteam oder dem Account-Management-Team.

Schüler und Kinder (FERPA und COPPA)

Dropbox Business und Education stellen ihre Dienste in Übereinstimmung mit den im US-amerikanischen Family Education Rights and Privacy Act (FERPA) vorgegebenen Pflichten für Anbieter bereit. Bildungseinrichtungen mit Schülern im Altern von unter 13 Jahren können gemäß dem US-amerikanischen Children's Online Privacy Protection Act (COPPA) Dropbox Business oder Education ebenfalls verwenden. Einzige Voraussetzung dafür ist, dass sie sich mit bestimmten Vertragsbedingungen einverstanden erklären, die die Einrichtung dazu verpflichten, für die Verwendung unserer Dienste die Zustimmung der Eltern einzuholen.

Großbritannien: Digitaler Marktplatz G-Cloud

Dropbox Business und Dropbox Enterpris sind jetzt im Digital Marketplace der Regierung Großbritanniens aufgeführt. Die Initiative soll es Behörden in Großbritannien und Nordirland erleichtern, Cloud-Dienstleistungen verschiedener Anbieter in Anspruch zu nehmen.

Unsere Einträge für Dropbox Business Standard, Dropbox Business Advanced und Dropbox Enterprise finden Sie auf der Website des UK Digital Marketplace.

Hinweis: Dropbox Paper ist nicht Teil des Eintrags im britischen digitalen Marktplatz G-Cloud.

HIPAA/HITECH

Dropbox schließt auf Wunsch Geschäftspartnerverträge (Business Associate Agreements, BAA) mit Dropbox Business-, Enterprise- und Education-Kunden ab, die die Anforderungen der Gesundheitsverordnungen HIPAA (Health Insurance Portability and Accountability Act) und HITECH (Health Information Technology for Economic and Clinical Health Act) erfüllen müssen.

Weitere Informationen erhalten Sie in unserem Leitfaden zu HIPAA (Getting Started with HIPAA) und in unserem Hilfeartikel zum Thema.

Unsere Kontrollen zur Einhaltung der HIPAA/HITECH-Vorschriften zu Informationssicherheit, Datenschutz und Meldepflichten werden von einem unabhängigen Unternehmen geprüft. Dieser Bericht und eine Übersicht unserer internen Verfahrensweisen und Empfehlungen für Kunden, die bei der Verwendung von Dropbox Business, Enterprise oder Education die HIPAA/HITECH-Vorschriften zu Informationssicherheit und Datenschutz erfüllen müssen, können bei Dropbox angefordert werden.

Kunden können sich bei Interesse an diesen Dokumenten an das Vertriebsteam oder an das Account Management-Team wenden. Wenn Sie Team-Administrator eines Dropbox Business-, Enterprise- oder Education-Kontos sind, können Sie in der Verwaltungskonsole auf der Seite Konto einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.

Wenn Sie den HIPAA/HITECH-Vorschriften unterliegen, bedenken Sie bitte, dass ein BAA geschlossen werden muss, bevor Sie PHI in Ihr Dropbox-Konto übertragen. Bei Fragen zum Kauf von Dropbox Business lassen Sie sich von unserem Vertriebsteam beraten. Falls Sie derzeit Team-Administrator eines Dropbox Business-, Enterprise- oder Education-Kontos sind, können Sie in der Verwaltungskonsole auf der Seite Konto einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.

Hinweis: Nur Kunden mit Wohnsitz in den USA, die nicht Dropbox Paper verwenden, können über die Verwaltungskonsole einen elektronischen Geschäftspartnervertrag (BAA) unterzeichnen. Dropbox Paper ist nicht HIPAA/HITECH-konform.

PCI DSS

Dropbox hält als Handelsunternehmen den Payment Card Industry Data Security Standard (PCI DSS) ein. Dropbox Business, Education und Dropbox Paper sind aber nicht dazu bestimmt, Transaktionen mit Kreditkarten zu verarbeiten oder zu speichern. Die PCI Attestation of Compliance (AoC) als Nachweis unseres Händlerstatus erhalten Sie auf Anfrage von unserem Vertriebsteam oder dem Account Management-Team.

EU-US Privacy Shield und Swiss-US Privacy Shield

In Bezug auf die Erfassung, Verwendung und Speicherung personenbezogener Daten, die aus der Europäischen Union, dem Europäischen Wirtschaftsraum und der Schweiz in die USA übertragen werden, folgt Dropbox den Bestimmungen der Privacy Shield-Abkommen zwischen der EU bzw. der Schweiz und den USA. Durch das Einhalten der Privacy Shield-Bestimmungen ist dafür gesorgt, dass eine Organisation angemessenen Datenschutz gemäß der EU-Datenschutzrichtlinie bietet.

Lesen Sie die Privacy Shield-Zertifizierung von Dropbox. Weitere Informationen erhalten Sie auf der Privacy Shield-Website.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung 2016/679 oder EU-DSGVO ist eine Verordnung der Europäischen Union, mit der wichtige Änderungen an der bislang geltenden EU-Richtlinie für den Verbraucherdatenschutz umgesetzt werden. Die EU-DSGVO führt eine Reihe neuer oder nachgebesserter Bestimmungen für Unternehmen ein, die wie Dropbox personenbezogene Daten ihrer Kunden handhaben. Die Verordnung tritt am 25. Mai 2018 in Kraft und ersetzt die aktuelle EU-Datenschutzrichtlinie 95/46/EG. Dropbox nimmt als verantwortungsvolles Unternehmen den Datenschutz sehr ernst und wir arbeiten bereits umfassend am Ausbau und der Implementierung unserer Compliance-Maßnahmen für die EU-DSGVO, um noch vor deren Inkrafttreten am 25. Mai 2018 uneingeschränkte Compliance zu erreichen. Hier erfahren Sie mehr dazu, wie Dropbox mit der EU-Datenschutz-Grundverordnung umgeht.

Hat Ihnen dieser Artikel weitergeholfen?

Das tut uns leid. Lassen Sie uns wissen, was wir besser machen können:

Vielen Dank für Ihr Feedback!

Antworten der Community
    Antworten der Community

      Andere Möglichkeiten, Hilfe zu erhalten

      Community

      Twitter-Support

      Moderierte Hilfe