Cumplimiento de normas y regulaciones


Certificación ISO 27001 en Dropbox

Certificaciones ISO

La Organización Internacional de Estandarización (ISO) diseñó una serie de normas sociales y de seguridad de la información de primer nivel destinadas a ayudar a las organizaciones a desarrollar productos y servicios innovadores y fiables. Dropbox certificó sus centros de datos, sistemas, aplicaciones, recursos humanos y procesos mediante una serie de auditorías de CertifyPoint EY, una organización externa e independiente con sede en los Países Bajos.

ISO 27001 (Gestión de la seguridad de la información)

ISO 27001 es reconocida como la principal norma de sistemas de gestión de seguridad de la información (ISMS) en todo el mundo. La norma también incluye las prácticas recomendadas en seguridad que se detallan en ISO 27002. Para merecer tu confianza, gestionamos y mejoramos de forma continua y exhaustiva los controles físicos, técnicos y legales de Dropbox. Nuestro auditor, CertifyPoint EY, mantiene su acreditación ISO 27001 con Raad voor Accreditatie (Consejo de Acreditación Holandés). Consulta el certificado ISO 27001 de Dropbox Business y de Dropbox Education.

ISO 27017 (Seguridad en la nube)

ISO 27017 es una nueva norma internacional sobre seguridad en la nube que ofrece pautas para los controles de seguridad aplicables a la prestación y al uso de servicios en la nube. Nuestra Guía de responsabilidad compartida explica varios requisitos de seguridad, privacidad y conformidad normativa que Dropbox y sus clientes pueden resolver en conjunto. Consulta el certificado ISO 27017 de Dropbox Business y de Dropbox Education.

ISO 27018 (Privacidad y protección de datos en la nube)

ISO 27018 es una norma internacional sobre protección de la privacidad y de los datos que se aplica a los proveedores de servicios en la nube, como Dropbox, que procesan la información personal en representación de sus clientes y ofrecen un fundamento a partir del cual los clientes pueden abordar requisitos o dudas en relación con la normativa y los contratos. Consulta el certificado ISO 27018 de Dropbox Business y de Dropbox Education.

ISO 22301 (Gestión de la continuidad del negocio)

ISO 22301 es una norma internacional sobre continuidad del negocio que les ofrece a las organizaciones una forma de reducir el impacto de eventos perjudiciales y de responder a ellos de forma adecuada mediante la mitigación de los posibles daños. El sistema de gestión de la continuidad del negocio (BCMS) de Dropbox Business es parte de nuestra estrategia general de gestión de riesgos para proteger a las personas y las operaciones en momentos de crisis. Consulta el certificado ISO 22301 de Dropbox Business y de Dropbox Education.


Cumplimiento de Dropbox con SOC

Informes de SOC

Los informes de control de organización de servicio (SOC), denominados SOC 1, SOC 2 o SOC 3, son marcos de trabajo establecidos por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) para informar los controles internos implementados en una organización. Dropbox validó sus sistemas, aplicaciones, recursos humanos y procesos mediante una serie de auditorías por parte de una organización externa e independiente, Ernst & Young LLP.

SOC 3 para la seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe de control SOC 3 abarca los cinco principios de servicio de confianza de seguridad, confidencialidad, procesamiento, integridad, disponibilidad y privacidad (TSP sección 100). El informe de uso general de Dropbox es un resumen ejecutivo del informe SOC 2 e incluye la opinión del tercero auditor independiente acerca del diseño y del funcionamiento eficaces de nuestros controles. Consulta el análisis de SOC 3 de Dropbox Business y de Dropbox Education.

SOC 2 para la seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe SOC 2 les ofrece a los clientes un nivel detallado de garantía basada en controles. Abarca los cinco principios de servicio de confianza: seguridad, confidencialidad, integridad de procesamiento, disponibilidad y privacidad (TSP sección 100). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox y de los más de 100 controles implementados para proteger tus archivos. Además de la opinión de nuestro tercero auditor independiente acerca del diseño y del funcionamiento eficaces de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. Nuestro informe de SOC 2 (a menudo denominado informe de SOC 2+) también incluye una prueba auditada de nuestros controles de las normas ISO antes mencionadas, lo que les brinda un nivel adicional de transparencia a nuestros clientes. El análisis SOC 2 de Dropbox Business y Dropbox Education está disponible a pedido a través del equipo de ventas o del equipo de administración de cuentas.

SOC 1/SSAE 18/ISAE 3402 (anteriormente SSAE 16 o SAS 70)

El informe SOC 1 ofrece seguridad específica para los clientes que determinan que Dropbox Business o Dropbox Education es un elemento clave en el programa de sus controles internos de informes financieros (ICFR). Esta seguridad específica se usa principalmente para el cumplimiento con la Ley de Sarbanes-Oxley (SOX) por parte de nuestros clientes. La auditoría externa independiente se lleva a cabo de conformidad con la Declaración de Normas de Tareas de Atestación N.º 16 (SSAE 16) y la Norma Internacional de Compromisos de Certificación N.º 3402 (ISAE 3402). Estas normas reemplazaron a la Declaración de Normas para Tareas de Atestación N.° 16 (SSAE 16) y la Declaración de Normas de Auditoría N.º 70 (SAS 70), que ya no están vigentes. El análisis SOC 1 de Dropbox Business y Dropbox Education está disponible a pedido a través del equipo de ventas o del equipo de administración de cuentas.


Certificación CSA STAR en Dropbox

Cloud Security Alliance: seguridad, confianza y registro de cumplimiento (CSA STAR)

El registro de seguridad, confianza y cumplimiento (STAR) de CSA es un registro gratuito y de acceso público que ofrece un programa de control de seguridad para los servicios en la nube, y que contribuye a que los usuarios evalúen la seguridad de los proveedores en la nube que usan actualmente o que consideran contratar.

Dropbox Business y Dropbox Education recibieron el certificado de nivel 2 y la atestación de nivel 2 de CSA STAR. El nivel 2 de CSA STAR exige que un tercero independiente, como EY CertifyPoint (certificación) y Ernst & Young LLP (atestación), evalúe nuestros controles de seguridad en virtud de los requisitos de la norma ISO 27001, los principios de servicio de confianza de SOC 2 y la matriz de controles en la nube de CSA (CCM) v.3.0.1. Dropbox también completó la autoevaluación de nivel 1 de CSA STAR para Dropbox Business y Dropbox Education. Se trata de una exigente encuesta basada en el cuestionario de iniciativa para evaluaciones de consenso (CAIQ) de CSA, que se alinea con la CCM y ofrece respuesta a casi 300 preguntas que un auditor de seguridad en la nube o que un cliente de servicios en la nube podrían formular. Accede a nuestro certificado de nivel 1 y nivel 2 de CSA STAR en el sitio web de CSA.


Certificación de HIPAA de Dropbox

HIPAA/HITECH

Dropbox celebrará acuerdos de socio comercial (BAA) con los clientes de Dropbox Business o Dropbox Education que los exijan para cumplir con la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) y con la Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica (HITECH). Consulta nuestra “Guía de introducción a la HIPAA” y este artículo de nuestro Centro de ayuda para obtener más información.

Dropbox pone a disposición de los interesados un informe de seguridad de terceros que evalúa nuestros controles para las normas de seguridad, privacidad y notificación de incumplimiento con la HIPAA/HITECH, además de una descripción detallada de nuestras prácticas internas y recomendaciones para los clientes que procuran cumplir los requisitos de las normas de seguridad y privacidad en virtud de la HIPAA/HITECH con Dropbox Business o Dropbox Education.

Los clientes interesados en solicitar estos documentos pueden comunicarse con el equipo de administración de cuentas o con el equipo de ventas. Si eres el administrador de un equipo de Dropbox Business o Dropbox Education, puedes firmar un BAA de forma electrónica en la página “Cuenta” en la Consola de administración.

Nota: La posibilidad de firmar un BAA electrónico a través de la Consola de administración está disponible solamente para los clientes de los Estados Unidos que no estén usando Dropbox Paper. Dropbox Paper no es compatible con HIPAA/HITECH.


Informe de BSI C5 de Dropbox Alemania

Informe de declaración de BSI C5 de Alemania

El Catálogo de Controles de Cumplimiento de Informática en la Nube (C5) es un marco de trabajo establecido por el Organismo Federal de Seguridad de Tecnología de la Información de Alemania (Bundesamt fur Sicherheit in der Informationstechnik, BSI) para informar sobre los controles de seguridad aplicables a la prestación de servicios en la nube. La declaración C5 ayuda a las organizaciones a demostrar que sus prácticas de seguridad de la información cumplen con las Recomendaciones de Seguridad de Proveedores de Servicios en la Nube de BSI. C5 se basa en normas de seguridad internacionales existentes, como ISO 27001 y CSA STAR. Para recibir el informe de declaración C5, los sistemas, procesos y controles de Dropbox fueron validados por un auditor externo e independiente con sede en Alemania, Ernst & Young GmbH. La auditoría independiente se lleva a cabo de conformidad con la Norma Internacional de Tareas de Declaración N.º 3000 (ISAE 3000).

El informe incluye una descripción detallada del sistema, las aplicaciones, los procesos y los controles de Dropbox, además de los procedimientos de prueba del auditor y los resultados de cada prueba. El informe C5 de Dropbox Business y Dropbox Education está disponible a pedido a través del equipo de ventas o del equipo de administración de cuentas.

* Dropbox Paper no está incluido en el alcance del informe C5.


Privacy Shield entre la UE y los EE. UU., y entre los EE. UU. y Suiza

Dropbox cumple con el marco Privacy Shield entre la UE y los EE. UU., y entre los EE. UU. y Suiza, según las estipulaciones del Departamento de Comercio de los EE. UU. acerca de la recopilación, el uso y la retención de información personal transferida desde la Unión Europea, el Área Económica Europea y Suiza a los Estados Unidos. Al atenernos a los principios de Privacy Shield, nos aseguramos de que la organización brinde una protección adecuada de la privacidad en virtud de la Directiva de Protección de Datos de la UE.


Reglamento General de Protección de Datos (RGPD) de la UE

El Reglamento General de Protección de Datos 2016/679 o RGPD es un reglamento de la Unión Europea que define un cambio importante en el marco existente sobre procesamiento de datos personales de personas en la UE. El RGPD incorpora una serie de requisitos nuevos o mejorados que se aplicarán a empresas, como Dropbox, que procesan datos personales. Entrará en vigencia el 25 de mayo de 2018 y reemplazará la actual Directiva de la UE 95/46 CE, conocida como Directiva de Protección de Datos. Como todas las empresas responsables, Dropbox sigue creando y ejecutando los planes detallados de conformidad con el RGPD. Estamos en proceso de lograr un cumplimiento pleno antes del 25 de mayo de 2018. Para obtener más información, consulta este artículo del Centro de ayuda.


Estudiantes y niños (FERPA y COPPA)

Dropbox Business y Dropbox Education permiten que los clientes usen los servicios de conformidad con las obligaciones del proveedor estipuladas por la Ley de Derechos Educativos y de Confidencialidad de la Familia de los EE. UU. (FERPA). Las instituciones educativas con alumnos menores de trece años también pueden usar Dropbox Business o Dropbox Education de conformidad con el marco de la Ley de Protección de la Privacidad Infantil en Internet (COPPA), siempre y cuando acepten las disposiciones contractuales específicas que exigen a la institución obtener el consentimiento de los padres para usar nuestros servicios.


Mercado digital G-Cloud del Reino Unido

Dropbox Business está incluido en el mercado digital del Reino Unido para la adquisición de servicios en la nube por parte del gobierno. Consulta el sitio web del Digital Marketplace del Reino Unido para ver nuestro Plan Dropbox Business Standard, nuestro Plan Dropbox Business Advanced y nuestro Plan Dropbox Enterprise.

* Dropbox Paper no está incluido en las fichas del Mercado digital G-Cloud del Reino Unido.


PCI DSS

Dropbox es un comerciante que cumple con la Norma de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS). Sin embargo, Dropbox Business, Dropbox Education y Dropbox Paper no se diseñaron para procesar ni almacenar transacciones con tarjetas de crédito. El informe de cumplimiento PCI respecto de nuestro estado de comerciante está disponible a pedido a través del equipo de ventas o del equipo de administración de cuentas.


Nuestros proveedores de subservicios

Nuestros proveedores de servicios administrados y de ubicación compartida de centros de datos también se someten a auditorías regulares de SOC 1, SOC 2 o ISO 27001 a fin de verificar sus prácticas de seguridad. Dropbox analiza los resultados de estas auditorías o lleva a cabo análisis de seguridad de proveedores al menos una vez por año como parte de nuestro programa de administración de seguridad de la información. En el caso de que estas auditorías o estos análisis detecten resultados importantes que, según nuestro criterio, pudieran imponer riesgos para Dropbox o para nuestros clientes, trabajaremos con el proveedor de servicios a fin de comprender cualquier posible impacto sobre los datos del cliente y haremos un seguimiento de las tareas de corrección hasta que el problema se resuelva.


Más información acerca del cumplimiento de Dropbox Business o Dropbox Education

Para solicitar los documentos de cumplimiento y certificación, comunícate con un representante de Dropbox o con el equipo de administración de cuentas.