Cumplimiento de normas y regulaciones


Certificación ISO 27001 en Dropbox

ISO

La Organización Internacional de Estandarización (ISO) diseñó una serie de normas sociales y de seguridad de la información de primer nivel destinadas a ayudar a las organizaciones a desarrollar productos y servicios innovadores y fiables. En Dropbox, nuestros centros de datos, tecnología, sistemas, aplicaciones, recursos humanos y procesos obtuvieron la acreditación ISO a través del instituto CertifyPoint EY independiente de los Países Bajos, con acreditación ISO del Raad voor Accreditatie (Consejo de Acreditaciones de Holanda).

ISO 27001 (Seguridad de la información)

ISO 27001 es reconocida como la principal norma de sistemas de gestión de seguridad de la información (ISMS) en el mundo. Incluye las prácticas recomendadas que se detallan en la norma ISO 27002. Para merecer tu confianza, administramos de forma continua y exhaustiva los controles físicos, técnicos y legales de Dropbox. Accede al certificado ISO 27001 de Dropbox Business, Dropbox Enterprise y Dropbox Education.

ISO 27017 (Seguridad en la nube)

ISO 27017 es una nueva norma internacional sobre seguridad en la nube que ofrece pautas para los controles de seguridad aplicables a la prestación y al uso de servicios en la nube. Nuestra Guía de responsabilidad compartida explica todos los requisitos de seguridad, privacidad y conformidad normativa que Dropbox y sus clientes pueden resolver en conjunto. Accede al certificado ISO 27017 de Dropbox Business, Dropbox Enterprise y Dropbox Education.

ISO 27018 (Privacidad y protección de datos en la nube)

ISO 27018 es una norma internacional emergente sobre protección de la privacidad y de los datos que se aplica a los proveedores de servicios en la nube, como Dropbox, que procesan la información personal en representación de sus clientes y ofrecen un fundamento a partir del cual los clientes pueden abordar requisitos o dudas en relación con la normativa y los contratos. Accede al certificado ISO 27018 de Dropbox Business, Dropbox Enterprise y Dropbox Education.

ISO 22301 (Continuidad del negocio)

ISO 22301 es una norma internacional sobre continuidad del negocio que ofrece a las organizaciones una forma de reducir la probabilidad de eventos perjudiciales y responder a ellos de forma adecuada mediante la minimización de los posibles daños. El sistema de gestión de la continuidad del negocio (BCMS) de Dropbox Business es parte de nuestra estrategia general de gestión de riesgos para proteger a las personas y las operaciones en momentos de crisis. Accede al certificado ISO 22301 de Dropbox Business, Dropbox Enterprise y Dropbox Education.


Certificación CSA STAR en Dropbox

Cloud Security Alliance: seguridad, confianza y registro de cumplimiento (CSA STAR)

El registro de seguridad, confianza y cumplimiento (STAR) de CSA es un registro gratuito y de acceso público que ofrece un programa de control de seguridad para los servicios en la nube, y que contribuye a que los usuarios evalúen la seguridad de los proveedores en la nube que usan actualmente o que consideran contratar.

Dropbox Business, Dropbox Enterprise y Dropbox Education obtuvieron la acreditación de nivel 2 de CSA STAR, una evaluación independiente externa de nuestros controles de seguridad mediante CertifyPoint EY en función de los requisitos de la norma ISO 27001 y de la matriz de controles en la nube (CCM) de CSA v.3.0.1, un conjunto de criterios que cuantifican los niveles de capacidad de los servicios en la nube. Dropbox Business también completó la autoevaluación de nivel 1 de CSA STAR, una encuesta rigurosa basada en el cuestionario de iniciativa para evaluaciones de consenso (CAIQ) de CSA, que se alinea con la CCM y ofrece respuesta a casi 300 preguntas que un auditor de seguridad en la nube o que un cliente de servicios en la nube podrían formular.


Cumplimiento de Dropbox con SOC

SOC

Los informes de controles de organización de servicio (SOC), llamados SOC 1, SOC 2 o SOC 3, son marcos de trabajo establecidos por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) para informar los controles internos implementados en una organización. Las operaciones, los procesos y la tecnología de Dropbox obtuvieron acreditación de un tercero auditor independiente, Ernst & Young LLP.

SOC 3 para la seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe de control SOC 3 abarca los cinco principios de servicio de confianza de seguridad, confidencialidad, integridad, disponibilidad y privacidad (TSP sección 100). El informe de uso general de Dropbox es un resumen ejecutivo del informe SOC 2 e incluye la opinión del tercero auditor independiente acerca del diseño y del funcionamiento eficaces de nuestros controles. Accede al análisis SOC 3 de Dropbox Business, Dropbox Enterprise y Dropbox Education.

SOC 2 para la seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe SOC 2 ofrece a los clientes un nivel detallado de garantía basada en controles. Abarca los cinco principios de servicio de confianza: seguridad, confidencialidad, integridad de procesamiento, disponibilidad y privacidad (TSP sección 100). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox y de los más de 100 controles implementados para proteger tus archivos. Además de la opinión de nuestro tercero auditor independiente acerca del diseño y del funcionamiento eficaces de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. El examen SOC 2 de Dropbox Business, Dropbox Enterprise y Dropbox Education está disponible a pedido a través del equipo de ventas o del equipo de administración de cuentas.

SOC 1/SSAE 16/ISAE 3402 (antes denominado SAS 70)

El informe SOC 1 ofrece seguridad específica a los clientes que determinan que Dropbox Business, Dropbox Enterprise o Dropbox Education conforman un elemento clave en sus programas de controles internos de los informes financieros (ICFR). Esta seguridad específica se usa principalmente para el cumplimiento con la Ley de Sarbanes-Oxley (SOX) por parte de nuestros clientes. La auditoría independiente externa se lleva a cabo de conformidad con la Declaración de Normas de Compromisos de Certificación N.º 16 (SSAE 16) y la Norma Internacional de Compromisos de Certificación N.º 3402 (ISAE 3402). Estas normas reemplazaron la Declaración de Normas de Auditoría N.º 70 (SAS 70) obsoleta. El análisis SOC 1 de Dropbox Business, Dropbox Enterprise y Dropbox Education está disponible a pedido a través del equipo de ventas o del equipo de administración de cuentas.


Estudiantes y niños (FERPA y COPPA)

Dropbox Business, Dropbox Enterprise y Dropbox Education permiten a los clientes usar los servicios de conformidad con las obligaciones del proveedor impuestas por la Ley de Derechos Educativos y de Confidencialidad de la Familia de los EE. UU. (FERPA). Las instituciones educativas con estudiantes menores de 13 años también pueden usar Dropbox Business, Dropbox Enterprise o Dropbox Education en el marco de la Ley de Protección de la Privacidad Infantil en Internet (COPPA), siempre y cuando acepten las disposiciones contractuales específicas que exigen que la institución obtenga el consentimiento de los padres para el uso de nuestros servicios.

Mercado digital G-Cloud del Reino Unido

Ahora, Dropbox Business forma parte del mercado digital del Reino Unido para la adquisición de servicios en la nube por parte del gobierno. Consulta nuestra ficha aquí.


Certificación de HIPAA de Dropbox

HIPAA/HITECH

Dropbox celebrará acuerdos de socios comerciales (BAA) con los clientes de Dropbox Business, Dropbox Enterprise o Dropbox Education que los requieran para cumplir con la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) y la Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH). Consulta nuestra "Guía de introducción a la HIPAA" y este artículo del Centro de ayuda para obtener más información.

Dropbox pone a disposición de los interesados un informe de seguridad de terceros que evalúa nuestros controles de las normas de seguridad, privacidad y notificación de incumplimiento de la HIPAA/HITECH, además de una descripción detallada de nuestras prácticas internas y recomendaciones para los clientes que procuran cumplir los requisitos de las normas de seguridad y privacidad de la HIPAA/HITECH con Dropbox Business, Dropbox Enterprise y Dropbox Education.

Los clientes interesados en solicitar estos documentos pueden comunicarse con el equipo de administración de cuentas o con el equipo de ventas. Si actualmente eres el administrador de un equipo de Dropbox Business, Dropbox Enterprise y Dropbox Education, puedes firmar un BAA de forma electrónica en la página Cuenta en la Consola de administración.

Nota: La posibilidad de firmar un BAA electrónico mediante la Consola de administración está disponible solamente para los clientes de los Estados Unidos que no estén probando la versión Beta de Dropbox Paper.


PCI DSS

Dropbox es un comerciante que cumple con la Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Sin embargo, Dropbox Business, Dropbox Enterprise y Dropbox Education no están diseñados para procesar ni almacenar transacciones con tarjetas de crédito. El informe de cumplimiento PCI respecto de nuestro estado de comerciante está disponible a pedido a través del equipo de ventas o del equipo de administración de cuentas.

Nuestros proveedores de subservicios

Nuestros proveedores de servicios administrados y de ubicación compartida de centros de datos también se someten a auditorías regulares de SOC 1, SOC 2 o ISO 27001 a fin de verificar sus prácticas de seguridad. Dropbox analiza los resultados de estas auditorías al menos una vez por año, como parte de nuestro programa de administración de seguridad de la información. En el caso de que estas auditorías detecten resultados importantes que, según nuestro criterio, pudieran imponer riesgos para Dropbox o para nuestros clientes, trabajaremos con el proveedor de subservicios a fin de comprender cualquier posible impacto sobre los datos del cliente y haremos un seguimiento de las tareas de corrección hasta que el problema se resuelva.

Más información acerca del cumplimiento de Dropbox Business, Dropbox Enterprise o Dropbox Education

Para solicitar los documentos de cumplimiento y certificación, comunícate con un representante de Dropbox o con el equipo de administración de cuentas.