Conformidad con estándares y normativas

Certificaciones ISO

La Organización Internacional para la Normalización (ISO) ha desarrollado una serie de normas internacionales en materia de información y seguridad social para ayudar a las organizaciones a desarrollar productos y servicios fiables e innovadores. Dropbox ha obtenido la certificación de sus centros de datos, sistemas, aplicaciones, personas y procesos a través de una serie de auditorías realizadas por un auditor externo independiente, EY CertifyPoint, con sede en los Países Bajos.

ISO 27001 (Gestión de la seguridad de la información)

ISO 27001 está reconocida como la principal norma mundial de Sistemas de gestión de la seguridad de la información (ISMS). La norma también utiliza las prácticas en materia de seguridad detalladas en la ISO 27002. En Dropbox queremos ser dignos de tu confianza y, por eso, no cesamos de gestionar y mejorar nuestros controles físicos, técnicos y legales a todos los niveles. Nuestro auditor, EY CertifyPoint, conserva su acreditación ISO 27001 por parte de la Raad voor Accreditatie (Consejo de acreditación holandés). Consulta la certificación ISO 27001 de Dropbox Business y Dropbox Education.

ISO 27017 (Seguridad en la nube)

ISO 27017 es una norma internacional en materia de seguridad en la nube que ofrece directrices para controles de seguridad aplicables a la provisión y al uso de servicios en la nube. Nuestra Guía de responsabilidad compartida explica los requisitos de seguridad, privacidad y cumplimiento que Dropbox y sus clientes pueden resolver juntos. Consulta la certificación ISO 27017 de Dropbox Business y Dropbox Education.

ISO 27018 (Protección de datos y Privacidad en la nube)

ISO 27018 es una norma internacional relativa a la protección de datos y privacidad que deben cumplir los proveedores de servicios en la nube, como Dropbox, que procesan información personal en nombre de sus clientes. Esta norma ofrece un marco en el cual los clientes abordan sus requisitos comunes reglamentarios y contractuales o sus dudas. Consulta la certificación ISO 27018 de Dropbox Business y Dropbox Education.

ISO 22301 (Gestión de la continuidad de negocio)

ISO 22301 es una norma internacional de continuidad de negocio que ayuda a las organizaciones a reducir el impacto de episodios perjudiciales y a responder a ellos de manera adecuada si estos ocurrieran minimizando daños potenciales. El sistema de gestión de continuidad de negocio (BCMS) es parte de nuestra estrategia general de gestión de riesgos para proteger a usuarios y operaciones durante los tiempos de crisis. Consulta la certificación ISO 22301 de Dropbox Business y Dropbox Education.

ISO 27701 (Gestión de la privacidad de la información)

La ISO 27701 es una norma internacional para la gestión de la privacidad de la información. Esta norma proporciona un marco para mejorar y ampliar el sistema de gestión de la privacidad de la información en virtud de la norma ISO 27001 a un sistema de gestión de la privacidad (o PIMS, por sus siglas en inglés). Tanto Dropbox Business como Dropbox Education han recibido esta certificación como procesador PII. Consulta la certificación ISO 27701 de Dropbox Business y Dropbox Education.

 

Informes SOC 

Los Informes de Control de empresas de servicio (SOC), conocidos como SOC 1, SOC 2 y SOC 3, son marcos definidos por el American Institute of Certified Public Accountants (AICPA) para generar informes sobre los controles internos implementados en una organización. Dropbox ha validado sus sistemas, aplicaciones, personas y procesos a través de una serie de auditorías realizadas por un auditor externo independiente, Ernst & Young LLP.

SOC 3 para seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe de garantía SOC 3 incluye los cincos criterios de confianza en materia de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad (TSP sección 100). El informe de uso general de Dropbox es un resumen ejecutivo del informe SOC 2 e incluye la opinión del auditor independiente sobre el diseño eficaz y el funcionamiento de nuestros controles. Consulta el informe SOC 3 de Dropbox Business y Dropbox Education.

SOC 2 para seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe SOC 2 ofrece a los clientes un nivel detallado de garantía basada en controles, que incluye los cincos criterios de servicios de confianza en materia de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad (TSP sección 100). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox y los más de 100 controles establecidos para proteger tus datos. Además de la opinión de nuestro auditor independiente sobre el diseño eficaz y el funcionamiento de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. Nuestro informe SOC 2 (al que a veces nos referimos como informe SOC 2+) también incluye una asignación auditada de nuestros controles a las normas ISO mencionadas previamente, proporcionando transparencia adicional a nuestros clientes. La auditoría SOC 2 para Dropbox Business y Dropbox Education está disponible previa petición a través del equipo de ventas o del equipo de asistencia (para los que ya son clientes de Dropbox Business).

SOC 1 / SSAE 18 / ISAE 3402 (antes SSAE 16 o SAS 70)

El informe SOC 1 proporciona garantías específicas a los clientes que determinan que Dropbox Business o Dropbox Education sean elementos clave de sus controles internos sobre el programa de información financiera (ICFR). Estas garantías específicas se usan esencialmente para el cumplimiento de la ley Sarbanes-Oxley (SOX) por parte de nuestros clientes. La auditoría independiente se lleva a cabo de acuerdo con las normas Standards for Attestation Engagements No. 18 (SSAE 18) e International Standard on Assurance Engagements No. 3402 (ISAE 3402). Estas normas sustituyen a la norma anterior Statement on Standards for Attestation Engagement No. 16 (SSAE 16) y Statement on Auditing Standards No. 70 (SAS 70). La auditoría SOC 1 para Dropbox Business y Dropbox Education está disponible previa petición a través del equipo de ventas o del equipo de asistencia (para los que ya son clientes de Dropbox Business).

 

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR)

El Registro de seguridad, confianza y riesgo (STAR) de la CSA es un registro gratuito de acceso público que ofrece un programa de garantía de seguridad para servicios en la nube, lo que ayuda a los usuarios a evaluar la seguridad de los proveedores de servicios en la nube que utilizan actualmente o que se están planteando contratar.

Tanto Dropbox Business como Dropbox Education han recibido la Certificación CSA STAR Nivel 2 y la Evaluación a Nivel 2. CSA STAR Nivel 2 requiere una evaluación independiente de terceros de nuestros controles de seguridad por EY CertifyPoint (para la Certificación) y Ernst & Young LLP (para la Atestación), basada en los requisitos de ISO 27001, SOC 2 Trust Service Criteria y CSA Cloud Controls Matrix (CCM) v.3.0.1. Consulta nuestra certificación y atestación CSA STAR Nivel 2 en el sitio web de CSA.

 

HIPAA/HITECH

Dropbox firmará acuerdos de asociación comercial con aquellos clientes de Dropbox Business y Dropbox Education que los requieran a fin de cumplir con la HIPAA (Ley de portabilidad y responsabilidad de seguros médicos) y la HITECH (Ley de tecnología de la información de salud para la salud económica y clínica). Consulta nuestra guía “Introducción a la HIPAA” y este artículo del Centro de ayuda para obtener más información.

Dropbox ofrece un informe de garantía de terceros que evalúa nuestros controles en cuanto a las normas de seguridad, privacidad y notificación de infracciones de la HIPAA/HITECH, además de un esquema de nuestras prácticas internas y recomendaciones para los clientes que desean ajustarse a los requisitos de la norma de seguridad y privacidad de la HIPAA/HITECH con Dropbox Business y Dropbox Education.

Los clientes interesados en solicitar estos documentos pueden ponerse en contacto con el equipo de ventas. Si eres administrador de un equipo de Dropbox Business o Dropbox Education, puedes firmar un acuerdo de asociación comercial de manera electrónica en la página Cuenta de la Consola de administración.

Nota: la posibilidad de firmar un Acuerdo de asociación comercial electrónico a través de la Consola de administración solo se ofrece a los clientes ubicados en los Estados Unidos.

 

Informe de certificación C5 del BSI alemán

El Cloud Computing Compliance Controls Catalog (C5) es un marco establecido por la Oficina Federal Alemana para la Seguridad en la Tecnología de la Información (Bundesamt fur Sicherheit in der Informationstechnik - BSI) para la elaboración de informes sobre los controles de seguridad aplicables a la provisión de servicios en la nube. La certificación C5 ayuda a las organizaciones a mostrar que sus prácticas de seguridad de la información cumplen las “Recomendaciones de seguridad para proveedores en la nube” de la BSI. C5 se basa en normas de seguridad internacionales existentes como ISO 27001 y CSA STAR. Para elaborar el informe de certificación C5, los sistemas, procesos y controles de Dropbox fueron validados por una auditor alemán externo e independiente, Ernst & Young GmbH La auditoría independiente se lleva a cabo de acuerdo con la Norma Internacional para Trabajos de Verificación No. 3000 (ISAE 3000 y IDW PS 860).

El informe incluye una descripción detallada del sistema, las aplicaciones, los procesos y los controles de Dropbox, así como los procedimientos y resultados de la prueba de nuestro auditor independiente para cada control. El informe C5 para Dropbox Business y Dropbox Education está disponible previa petición a través del equipo de ventas  o del equipo de asistencia (para los que ya son clientes de Dropbox Business).

*Dropbox Paper no se incluye en el marco del informe C5.

 

Informe de certificación NIST SP 800-171 R2

El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (en inglés "National Institute of Standards and Technology" o "NIST") promueve y mantiene normas y directrices para ayudar a proteger los sistemas de información. La publicación especial del NIST (SP) 800-171 Revisión 2 (R2) proporciona directrices sobre la protección de la información no clasificada controlada (o CUI, por sus siglas en inglés) en los sistemas y organizaciones de información no federales. Cualquier entidad que procese o almacene información no clasificada controlada del gobierno de los Estados Unidos, como las instituciones de investigación y el sector de la educación, debe cumplir con el informe NIST SP 800-171 R2. Los sistemas, procesos y controles de información no clasificada controlada de Dropbox pasan por la validación de un auditor externo independiente, Ernst & Young LLP. 

El informe NIST SP 800-171 R2 para Dropbox Business y Dropbox Education está disponible previa petición a través del equipo de ventas  o del equipo de asistencia (para los que ya son clientes de Dropbox Business).


* Dropbox Paper no se incluye en el marco del informe NIST SP 800-171 R2.

 

Escudo de la privacidad entre la UE/EE. UU. y Escudo de la privacidad entre EE. UU./Suiza

Dropbox cumple con el marco Escudo de la privacidad entre EU-EE. UU. y Suiza-EE. UU. como establece el Departamento de Comercio de Estados Unidos respecto a la recopilación, el uso y la conservación de datos personales que se transfieran desde la Unión Europea, la Comunidad Económica Europea, el Reino Unido y Suiza a Estados Unidos. El cumplimiento de los principios del Escudo de la privacidad garantiza que una organización pueda proporcionar una protección adecuada de la privacidad en virtud de la directiva RGPD.

Consulta la certificación del Escudo de la privacidad de Dropbox y obtén más información en el sitio web del Escudo de la privacidad.

 

Reglamento general de protección de datos de la UE (GDPR)

El Reglamento general de protección de datos 2016/679, o GDPR, es un reglamento de la Unión Europea que supone un cambio significativo respecto al marco actual para el tratamiento de datos personales de las personas físicas en la UE. El RGPD ha introducido una serie de requisitos nuevos o mejorados que se aplican a empresas como Dropbox, que gestiona datos personales. El RGPD entró en vigor el 25 de mayo de 2018 y ha reemplazado a la actual Directiva 95/46 CE, conocida como la Directiva sobre protección de datos. Dropbox cumple con los requisitos del RGPD para que los clientes puedan usar Dropbox de conformidad con el RGPD. Para obtener más información, consulta este artículo del Centro de ayuda.

 

Cloud Security Alliance: Código de conducta para el cumplimiento del RGPD

El Código de conducta para el cumplimiento del RGPD de la CSA es una herramienta de responsabilidad voluntaria y un ejercicio integral de transparencia diseñado para habilitar a proveedores de servicios en la nube, como Dropbox, para demostrar a sus clientes cómo cumple con los elementos principales del Reglamento General de Protección de Datos (RGPD). Dropbox Business ha completado la autoevaluación del Código de conducta de la CSA para el cumplimiento del RGPD, en el que se incluye una rigurosa auditoría que realiza un asesor de terceros. Como resultado, hemos recibido una marca de cumplimiento "declarado". Para obtener más información sobre el Código de conducta de la CSA para el cumplimiento con el RGPD y el papel de Dropbox, ve a la página de la CSA.

 

Estudiantes y niños (FERPA y COPPA)

Dropbox Business y Dropbox Education permiten a los clientes utilizar los servicios de acuerdo con las obligaciones de proveedores impuestas por la FERPA (Ley de derechos de la familia sobre la educación y privacidad de EE. UU.). Los centros educativos solo podrán usar Dropbox Business o Dropbox Education de acuerdo con la COPPA (Ley para la protección de la privacidad online de menores de EE. UU.). 

 

FDA 21 CFR Parte 11

El Título 21 del Code of Federal Regulations (CFR, por sus siglas en inglés) regula la alimentación y los fármacos dentro del territorio de los Estados unidos para la Food and Drug Administration (FDA), la Drug Enforcement Administration y la Office of National Drug Control Policy. La Parte 11 del Título 21 expone los criterios bajo los cuales la FDA considera que los registros y firmas electrónicas son fiables, de confianza y generalmente equivalentes a los registros de papel y firmas escritas a mano también en papel. 

Consulta nuestro Libro técnico de Dropbox y la FDA 21 CFR Parte 11 y este artículo del centro de ayuda para obtener información sobre cómo podemos ayudarte a cumplir con la 21 CFR Parte 11.

 

PCI DSS

Dropbox cumple con la norma de seguridad de datos para la industria de tarjetas de pago (PCI DSS, Payment Card Industry Data Security Standard). Sin embargo, Dropbox Business, Dropbox Education y Dropbox Paper no tienen como fin procesar o almacenar transacciones mediante tarjeta de crédito. El documento que atestigua el cumplimiento del estándar PCI (AoC) relativo a nuestro estado de comerciante está disponible previa petición a través del equipo de ventas o del equipo de asistencia (para los que ya son clientes de Dropbox Business).

 

Nuestros proveedores de subservicios

Nuestros proveedores de servicios gestionados y ubicados en el centro de datos también se someten a auditorías periódicas de SOC 1, SOC 2 y/o ISO 27001 para verificar sus prácticas de seguridad. Una vez al año como mínimo, Dropbox analiza los resultados de las auditorías o ejecuta análisis de seguridad de proveedores si no hay disponible un informe de auditoría como parte de nuestro programa de gestión de seguridad de la información. Dado el caso de que estas auditorías o estos análisis detecten riesgos para Dropbox o nuestros clientes, colaboraremos con el proveedor de los servicios para averiguar el impacto potencial en los datos del cliente y realizar un seguimiento de las medidas puestas en marcha para solucionar el problema.

 

Más información sobre la conformidad de Dropbox Business y Dropbox Education

Los documentos de certificación y conformidad pueden solicitarse al representante de Dropbox o al equipo de gestión de cuentas de Dropbox Business (para los que ya son clientes de Dropbox Business).