Cumplimiento de normas y regulaciones
Certificaciones ISO
La Organización Internacional de Estandarización (ISO) diseñó una serie de normas sociales y de seguridad de la información de primer nivel destinadas a ayudar a las organizaciones a desarrollar productos y servicios innovadores y fiables. Dropbox certificó sus centros de datos, sistemas, aplicaciones, recursos humanos y procesos mediante una serie de auditorías de CertifyPoint EY, una organización externa e independiente con sede en los Países Bajos.
ISO 27001 (Gestión de la seguridad de la información)
ISO 27001 es reconocida como la principal norma de sistemas de gestión de seguridad de la información (ISMS) en todo el mundo. La norma también incluye las prácticas recomendadas en seguridad que se detallan en ISO 27002. Para merecer tu confianza, gestionamos y mejoramos de forma continua y exhaustiva los controles físicos, técnicos y legales de Dropbox. Nuestro auditor, CertifyPoint EY, mantiene su acreditación ISO 27001 con Raad voor Accreditatie (Consejo de Acreditación Holandés). Consulta el certificado ISO 27001 de Dropbox Standard, Advanced, Enterprise y Education.
ISO 27017 (Seguridad en la nube)
ISO 27017 es una norma internacional sobre seguridad en la nube que ofrece pautas para los controles de seguridad aplicables a la prestación y el uso de servicios en la nube. Nuestra Guía de responsabilidad compartida explica varios requisitos de seguridad, privacidad y conformidad normativa que Dropbox y sus clientes pueden resolver en conjunto. Consulta el certificado ISO 27017 de Dropbox Standard, Advanced, Enterprise y Education.
ISO 27018 (Privacidad y protección de datos en la nube)
ISO 27018 es una norma internacional sobre protección de la privacidad y los datos que se aplica a los proveedores de servicios en la nube, como Dropbox, que procesan la información personal en representación de sus clientes y ofrecen un fundamento a partir del cual los clientes pueden abordar requisitos o dudas en relación con la normativa y los contratos. Consulta el certificado ISO 27018 de Dropbox Standard, Advanced, Enterprise y Education.
ISO 22301 (Gestión de la continuidad del negocio)
ISO 22301 es una norma internacional sobre continuidad del negocio que les ofrece a las organizaciones una forma de reducir el impacto de eventos perjudiciales y de responder a ellos de forma adecuada mediante la mitigación de los posibles daños. El sistema de gestión de la continuidad del negocio (BCMS) de Dropbox para empresas es parte de nuestra estrategia general de gestión de riesgos para proteger a las personas y las operaciones en momentos de crisis. Consulta el certificado ISO 22301 de Dropbox Standard, Advanced, Enterprise y Education.
ISO 27701 (Gestión de la información de privacidad)
ISO 27701 es una norma internacional para la gestión de la información sobre la privacidad. La norma proporciona un marco para mejorar y ampliar el sistema de administración de la seguridad de la información según la ISO 27001 por un sistema de administración de la información sobre la privacidad (PIMS). Dropbox ha recibido esta certificación como procesador de PII. Consulta el certificado ISO 27701 de Dropbox Standard, Advanced, Enterprise y Education.
Informes de SOC
Los informes de control de organización de servicio (SOC), denominados SOC 1, SOC 2 o SOC 3, son marcos de trabajo establecidos por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) para informar los controles internos implementados en una organización. Dropbox validó sus sistemas, aplicaciones, recursos humanos y procesos mediante una serie de auditorías por parte de una organización externa e independiente, Ernst & Young LLP.
SOC 3 para la seguridad, confidencialidad, integridad, disponibilidad y privacidad
El informe de control SOC 3 abarca los cinco principios de servicio de confianza de seguridad, disponibilidad, procesamiento, integridad del procesamiento, confidencialidad y privacidad(TSP sección 100). El informe de uso general de Dropbox es un resumen ejecutivo del informe SOC 2 e incluye la opinión del tercero auditor independiente acerca del diseño y del funcionamiento eficaces de nuestros controles. Consulta el análisis SOC 3 de Dropbox Standard, Advanced, Enterprise y Education .
SOC 2 para la seguridad, confidencialidad, integridad, disponibilidad y privacidad
El informe SOC 2 les ofrece a los clientes un nivel detallado de garantía basada en controles. Abarca los cinco principios de servicio de confianza de seguridad, disponibilidad, procesamiento, integridad del procesamiento, confidencialidad y privacidad (TSP sección 100). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox y de los más de 100 controles implementados para proteger tus archivos. Además de la opinión de nuestro tercero auditor independiente acerca del diseño y del funcionamiento eficaces de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. Nuestro informe SOC 2 (a menudo denominado informe SOC 2+) también incluye una prueba auditada de nuestros controles de las normas ISO antes mencionadas, lo que les brinda un nivel adicional de transparencia a nuestros clientes. El informe SOC 2 abarca Dropbox Standard, Advanced, Enterprise y Education. Puedes descargar el informe SOC 2 en el Centro de confianza de Dropbox.
SOC 1/SSAE 18/ISAE 3402 (anteriormente SSAE 16 o SAS 70)
El informe SOC 1 ofrece seguridad específica para los clientes que determinan que Dropbox es un elemento clave en el programa de sus controles internos de informes financieros (ICFR). Esta seguridad específica se usa principalmente para el cumplimiento con la Ley de Sarbanes-Oxley (SOX) por parte de nuestros clientes. La auditoría externa independiente se lleva a cabo de conformidad con la Declaración de Normas de Tareas de Atestación N.º 18 (SSAE 18) y la Norma Internacional de Compromisos de Certificación N.º 3402 (ISAE 3402). Estas normas reemplazaron a la Declaración de Normas para Tareas de Atestación N.° 16 (SSAE 16) y la Declaración de Normas de Auditoría N.º 70 (SAS 70), que ya no están vigentes. El reporte SOC 1 abarca Dropbox Standard, Advanced, Enterprise y Education. Puedes descargar el informe SOC 1 en el Centro de confianza de Dropbox.
Cloud Security Alliance: registro de seguridad, confianza, control y riesgo (CSA STAR)
El registro de seguridad, confianza, control y riesgo (STAR) de CSA es un registro gratuito y de acceso público que ofrece un programa de control de seguridad para los servicios en la nube, y que contribuye a que los usuarios evalúen la seguridad de los proveedores en la nube que usan actualmente o que consideran contratar.
Dropbox Standard, Advanced, Enterprise y Education recibieron el certificado de nivel 2 y la atestación de nivel 2 de CSA STAR. El nivel 2 de CSA STAR exige que un tercero independiente, como EY CertifyPoint (certificación) y Ernst & Young LLP (atestación), evalúe nuestros controles de seguridad en virtud de los requisitos de la norma ISO 27001, los principios de servicio de confianza de SOC 2 y la matriz de controles en la nube de CSA (CCM) v.3.0.1. Accede a nuestro certificado y atestación de nivel 2 de CSA STAR en el sitio web de CSA.
HIPAA/HITECH
Dropbox celebrará Acuerdos de sociedad comercial (BAA) con los clientes de Dropbox Standard, Advanced, Enterprise y Education que los requieran para cumplir con la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) y con la Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH). Consulta nuestra "Guía de introducción a la HIPAA" y este artículo del Centro de ayuda para obtener más información.
Dropbox pone a disposición un examen de SOC 2 que evalúa nuestros controles para las normas de seguridad, privacidad y notificación de infracciones de la HIPAA/HITECH, además de una descripción detallada de nuestras prácticas internas y recomendaciones para los clientes que procuran cumplir los requisitos de las normas de seguridad y privacidad en virtud de la HIPAA/HITECH con Dropbox Standard, Advanced, Enterprise y Education.
Los clientes interesados en solicitar estos documentos pueden acceder a ellos en el Centro de confianza de Dropbox. Si eres el actual administrador de un equipo de Dropbox, puedes firmar un BAA de forma electrónica en la página “Cuenta” en la Consola de administración.
Nota: La posibilidad de firmar un BAA electrónico a través de la Consola de administración está disponible solamente para los clientes de los Estados Unidos.
Informe de declaración de la R2 de la SP 800-171 del NIST
El Instituto Nacional de Normas y Tecnología (NIST) de EE. UU. promueve y mantiene normas y pautas para ayudar a proteger los sistemas de información. La revisión 2 (R2) de la publicación especial (SP) 800-171 del NIST proporciona pautas para proteger la información no confidencial controlada (CUI) en sistemas y organizaciones de información no federales. Cualquier entidad que procese o almacene CUI del gobierno de los Estados Unidos, como las instituciones de investigación y el sector de la educación, debe cumplir con la R2 de la SP 800-171 del NIST. Los sistemas, procesos y controles de CUI de Dropbox fueron validados por un auditor externo independiente, Ernst & Young LLP.
El informe NIST SP 800-171 R2 para Dropbox Standard, Advanced, Enterprise y Education está integrado en el informe SOC 2, que está disponible en el Centro de confianza de Dropbox.
* Dropbox Paper no está incluido en el alcance del informe de la R2 de la SP 800-171 del NIST.
Marco de protección de datos entre la UE y EE. UU., ampliación británica del Marco de protección de datos entre la UE y EE. UU. y Marco de protección de datos entre Suiza y EE. UU.
Dropbox cumple el Marco de privacidad de datos UE-EE. UU., la Extensión del Reino Unido al Marco de privacidad de datos UE-EE. UU. y el Marco de privacidad de datos Suiza-EE. UU. establecidos por el Departamento de Comercio de EE. UU. en relación con la recopilación, el uso y la conservación de datos personales transferidos desde la Unión Europea, el Reino Unido y Suiza a Estados Unidos.La adhesión a los Principios del Marco de Privacidad de Datos garantiza que una organización proporcione una protección adecuada de la privacidad en virtud del GDPR.
Consulta la certificación del Marco de privacidad de datos de Dropbox y obtén más información en el sitio web del Marco de privacidad de datos.
Reglamento General de Protección de Datos (RGPD) de la UE
El Reglamento General de Protección de Datos 2016/679 o RGPD es un reglamento de la Unión Europea que define un cambio importante en el marco de trabajo existente sobre procesamiento de datos personales en la UE. El RGPD incorporó una serie de requisitos nuevos o mejorados que se aplican a empresas que procesan datos personales, como Dropbox. Entró en vigor el 25 de mayo de 2018 y reemplazó la Directiva de la UE 95/46 CE, conocida como Directiva de Protección de Datos. Dropbox cumple con el RGPD para que sus clientes puedan usar Dropbox conforme al RGPD. Para obtener más información, consulta este artículo del Centro de ayuda.
Código de Conducta en la Nube de la UE
El Código de Conducta en la Nube de la UE es un instrumento voluntario que permite a un proveedor de servicios en la nube, como Dropbox, demostrar nuestro compromiso con el cumplimiento del RGPD. Tras la opinión positiva emitida por la Junta Europea de Protección de Datos (EDPB), la Autoridad de Protección de Datos de Bélgica aprobó oficialmente el Código de Conducta en la Nube de la UE en mayo de 2021 (Id. de verificación: 2022LVL02SCOPE3114). Los planes Standard, Advanced, Enterprise y Education de Dropbox para equipos han sido declarados adherentes al Código de Conducta en la Nube de la UE y recibieron una Marca de Cumplimiento de "Nivel 2", lo que significa que estos servicios han implementado medidas técnicas, organizativas y contractuales en línea con los requisitos del Código. Para obtener más información sobre el Código de Conducta en la Nube de la UE y el cumplimiento de Dropbox con dicho código, visita el sitio web oficial del Código.
Estudiantes y niños (FERPA y COPPA)
Dropbox permite a los clientes del equipo utilizar los servicios de conformidad con las obligaciones del proveedor impuestas por la Ley de Derechos y Privacidad de la Familia de los Estados Unidos (FERPA). Las instituciones educativas solo pueden utilizar Dropbox Standard, Advanced, Enterprise y Education de acuerdo con la Ley de Protección de la Privacidad de Menores online (COPPA).
FDA 21 CFR parte 11
Título 21 del Código de Reglamentos Federales (CFR) rige los alimentos y medicamentos dentro de los Estados Unidos para la Administración de Alimentos y Medicamentos (FDA), la Administración de Control de Drogas y la Oficina de Política Nacional de Control de Drogas. La Parte 11 del Título 21 establece los criterios que la FDA utiliza para considerar que las firmas y registros electrónicos son confiables, fidedignos y, en general, equivalentes a los registros en papel y a las firmas escritas a mano en papel.
Consulta la Documentación de seguridad de Dropbox y la FDA 21 CFR Parte 11,, además del artículo del Centro de ayuda, para obtener más información sobre cómo Dropbox puede ayudarte en sus esfuerzos para cumplir con la FDA 21 CFR Parte 11.
PCI DSS
Dropbox es un comerciante que cumple con la Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). La certificación de cumplimiento de PCI (AoC) para nuestro estado de comerciante está disponible en el Centro de confianza de Dropbox.
Nuestros proveedores de subservicios
Nuestros proveedores de servicios administrados y de ubicación compartida de centros de datos también se someten a auditorías regulares de SOC 1, SOC 2 o ISO 27001 a fin de verificar sus prácticas de seguridad. Dropbox analiza los resultados de estas auditorías o lleva a cabo análisis de seguridad de proveedores al menos una vez por año como parte de nuestro programa de administración de seguridad de la información. En el caso de que estas auditorías o estos análisis detecten resultados importantes que, según nuestro criterio, pudieran imponer riesgos para Dropbox o para nuestros clientes, trabajaremos con el proveedor de servicios a fin de comprender cualquier posible impacto sobre los datos del cliente y haremos un seguimiento de las tareas de corrección hasta que el problema se resuelva.
Más información acerca del cumplimiento de Dropbox
Se puede acceder a los documentos de cumplimiento y certificación en el Centro de confianza de Dropbox.