Respect des normes et des réglementations


Certification ISO 27001 de Dropbox

Certifications ISO

Pour aider les entreprises à concevoir des produits et services innovants et fiables, l'Organisation internationale de normalisation (ISO) a établi une série de normes exigeantes dans le domaine de la sécurité sociétale et de l'information. Les datacenters, les systèmes, les applications, les employés et les processus de Dropbox sont certifiés par une série d'audits réalisés par EY CertifyPoint (un cabinet d'audit tiers indépendant basé aux Pays-Bas).

ISO 27001 (Management de la sécurité de l'information)

ISO 27001 est l'une des normes relatives aux systèmes de management de la sécurité de l'information (SMSI) les plus reconnues sur le plan international. Elle reprend également les bonnes pratiques de sécurité détaillées dans la norme ISO 27002. Pour mériter votre confiance, nous assurons chez Dropbox une gestion et une amélioration continues et globales de nos mesures de contrôle physiques, techniques et juridiques. Notre cabinet d'audit, EY CertifyPoint, est accrédité ISO 27001 par le Raad voor Accreditatie (Conseil d'accréditation néerlandais). Consultez le certificat ISO 27001 de nos solutions Dropbox Business et Dropbox Education.

ISO 27017 (Sécurité du cloud)

ISO 27017 est une norme internationale relative à la sécurité du cloud. Elle contient des lignes directrices sur les dispositifs de contrôle de sécurité applicables à l'offre et à l'utilisation de services cloud. Notre guide consacré à la responsabilité partagée expose un certain nombre d'exigences en matière de conformité, de confidentialité et de sécurité que Dropbox et ses clients peuvent respecter ensemble. Consultez le certificat ISO 27017 de nos solutions Dropbox Business et Dropbox Education.

ISO 27018 (Protection des données personnelles dans le cloud)

ISO 27018 est une norme internationale relative à la protection et à la confidentialité des données. Elle s'applique aux fournisseurs de services cloud comme Dropbox qui gèrent des informations personnelles pour le compte de leurs clients. Elle sert de référence à nos clients pour comprendre les exigences contractuelles et réglementaires générales, et poser des questions. Consultez le certificat ISO 27018 de nos solutions Dropbox Business et Dropbox Education.

ISO 22301 (Management de la continuité d'activité)

ISO 22301 est une norme internationale relative à la continuité de l'activité. Elle aide les entreprises à diminuer l'impact d'incidents perturbateurs et, dans l'éventualité où ils se produisent, à les gérer correctement pour minimiser les dommages éventuels. Le système de gestion de la continuité Dropbox Business fait partie de la stratégie globale de gestion des risques que nous avons élaborée pour protéger les personnes et les activités en période de crise. Consultez le certificat ISO 22301 de nos solutions Dropbox Business et Dropbox Education.


La conformité SOC chez Dropbox

Rapports SOC

Les rapports SOC (Service Organization Controls), déclinés en SOC 1, SOC 2 et SOC 3, sont des cadres de référence établis par l'American Institute of Certified Public Accountants (AICPA) pour rendre compte des dispositifs de contrôle internes mis en place dans une entreprise. Les systèmes, les applications, les employés et les processus de Dropbox sont certifiés par une série d'audits réalisés par Ernst & Young LLP (un cabinet d'audit tiers indépendant).

SOC 3 pour la sécurité, la confidentialité, l'intégrité et la disponibilité

Le rapport d'attestation SOC 3 couvre les grands principes de fiabilité d'un département informatique, à savoir la sécurité, la confidentialité, l'intégrité des traitements et la disponibilité (TSP, section 100). Le rapport Dropbox à usage général est un résumé analytique de notre rapport SOC 2. Il inclut l'avis de l'auditeur tiers indépendant concernant l'efficacité de nos dispositifs de contrôle, tant en termes de conception que de fonctionnement. Consultez l'audit SOC 3 de nos solutions Dropbox Business et Dropbox Education.

SOC 2 pour la sécurité, la confidentialité, l'intégrité et la disponibilité

Le rapport SOC 2 atteste de l'efficacité de nos dispositifs de contrôle et couvre les grands principes de fiabilité d'un département informatique, à savoir la sécurité, la confidentialité, l'intégrité et la disponibilité (TSP, section 100). Il offre une description détaillée des processus de Dropbox ainsi que de la centaine de dispositifs de contrôle que nous avons mis en place pour protéger vos fichiers. Outre l'avis de notre auditeur tiers indépendant sur l'efficacité de nos dispositifs de contrôle, tant du point de vue de la conception que du fonctionnement, ce rapport intègre également les procédures de test de cet auditeur et les résultats pour chaque contrôle. Le rapport SOC 2 (parfois appelé rapport SOC 2+) comprend également une évaluation de nos dispositifs de contrôle par rapport aux normes ISO mentionnées ci-dessus, afin de renforcer la transparence à l'égard de nos clients. L'audit SOC 2 des solutions Dropbox Business, et Dropbox Education est disponible sur demande auprès du service commercial ou de l'équipe de gestion de votre compte.

SOC 1 / SSAE 18 / ISAE 3402 (anciennement SSAE 16 ou SAS 70)

Le rapport SOC 1 offre des garanties spécifiques aux clients qui considèrent les produits Dropbox Business ou Dropbox Education comme un élément indispensable de leurs contrôles internes sur leur programme de reporting financier (ICFR). Ces garanties sont principalement utilisées par nos clients pour se mettre en conformité avec la loi Sarbanes-Oxley (SOX). L'audit réalisé par l'organisme tiers indépendant est mené en accord avec les normes SSAE 18 (Statement on Standards for Attestation Engagements n° 18) et ISAE 3402 (International Standard on Assurance Engagements n° 3402). Ces normes ont remplacé les normes SAS 70 (Statement on Auditing Standards n° 70) et SSAE 16 (Standards for Attestation Engagement N° 16) devenues obsolètes. L'audit SOC 1 des solutions Dropbox Business et Dropbox Education est disponible sur demande auprès duservice commercial ou de l'équipe de gestion de votre compte.


Certification CSA STAR de Dropbox

Cloud Security Alliance : Security, Trust, and Assurance Registry (CSA STAR)

Le STAR (Security, Trust & Assurance Registry) de CSA est un registre gratuit et disponible en libre accès qui propose un programme de contrôle de la sécurité pour les services dans le cloud, dans le but d'aider les utilisateurs à évaluer la sécurité des fournisseurs de cloud qu'ils utilisent ou qu'ils envisagent d'utiliser.

Dropbox Business et Dropbox Education ont reçu à la fois la certification CSA STAR de niveau 2 et l'attestation CSA STAR de niveau 2. Il s'agit d'une évaluation de nos dispositifs de contrôle de sécurité réalisée par un organisme tiers indépendant, à savoir EY CertifyPoint (pour la certification) et Ernst & Young LLP (pour l'attestation), et établie à partir des exigences de la norme ISO 27001, des grands principes de fiabilité d'un département informatique SOC 2 et de la matrice CCM (Cloud Controls Matrix) v3.0.1 de CSA. Dropbox a également renseigné une auto-évaluation CSA STAR de niveau 1 pour Dropbox Business et Dropbox Education. Cette enquête rigoureuse, qui repose sur le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) de CSA et concorde avec la matrice CCM, répond à près de 300 questions qu'un utilisateur de cloud ou un cabinet d'audit chargé d'évaluer la sécurité d'un cloud sont susceptibles de poser. Consultez nos certifications et attestations CSA STAR de niveau 1 et de niveau 2 sur le site Web de CSA.


Certification HIPAA Dropbox

HIPAA / HITECH

Dropbox conclura un accord de partenariat (BAA, ou Business Associate Agreement) avec les clients Dropbox Business ou Dropbox Education soumis aux dispositions des loi américaines HIPAA (Health Insurance Portability and Accountability Act) et HITECH (Health Information Technology for Economic and Clinical Health Act). Pour obtenir des informations détaillées, veuillez vous reporter à notre guide "Bien comprendre la loi HIPAA" et à cet article de notre centre d'assistance.

Dropbox met à disposition un rapport d'attestation établi par un tiers et évaluant nos contrôles qui garantissent le respect des règles HIPAA/HITECH relatives à la sécurité, à la confidentialité et à la notification en cas de violation. Nous proposons également un plan de nos pratiques internes et des recommandations à l'attention des clients désireux d'assurer leur conformité aux règles HIPAA/HITECH relatives à la sécurité et à la confidentialité avec Dropbox Business ou Dropbox Education.

Les clients qui souhaitent consulter ces documents sont invités à contacter l'équipe de gestion de leur compte ou notre service commercial. Si vous êtes administrateur d'une équipe Dropbox Business ou Dropbox Education, vous pouvez signer un accord de partenariat électroniquement à partir de la page "Compte" de l'interface d'administration.

Remarque : seuls les clients installés aux États-Unis peuvent signer un accord de partenariat électronique via l'interface d'administration, à condition qu'ils n'utilisent pas Dropbox Paper. Dropbox ne propose pas de prise en charge de la conformité HIPAA/HITECH pour Dropbox Paper.


Rapport C5 du BSI allemand

Attestation C5 du BSI allemand

Le catalogue C5 (Cloud Computing Compliance Controls Catalog) est un programme établi par l'Office fédéral allemand pour la sécurité des technologies de l'information (Bundesamt fur Sicherheit in der Informationstechnik - BSI) pour rendre compte des dispositifs de contrôle de sécurité applicables à la fourniture de services cloud. Il permet aux organisations de démontrer que leurs pratiques en matière de sécurité informatique sont conformes aux recommandations de sécurité pour les prestataires de service cloud du BSI. Le catalogue C5 repose sur des normes de sécurité internationales existantes, telles que ISO 27001 et CSA STAR. Pour recevoir le rapport C5, les systèmes, les processus et les contrôles de Dropbox ont été certifiés par Ernst & Young GmbH (un cabinet d'audit tiers indépendant basé en Allemagne). L'audit réalisé par l'organisme indépendant est mené en accord avec la norme ISAE 3000 (International Standard on Assurance Engagements n° 3000).

Le rapport comprend une description détaillée du système, des applications, des processus et des contrôles de Dropbox, ainsi que les procédures de test de notre auditeur tiers indépendant et les résultats pour chaque contrôle. Le rapport C5 relatif à Dropbox Business et Dropbox Education est disponible sur demande auprès du service commercial ou de l'équipe de gestion de votre compte.

* Dropbox Paper n'entre pas dans le cadre du rapport C5.


Cadres Privacy Shield UE-États-Unis et Suisse-États-Unis

Dropbox respecte les cadres Privacy Shield établis entre les États-Unis et l'Union européenne et entre les États-Unis et la Suisse. Ces cadres ont été élaborés par le ministère du Commerce des États-Unis quant à la collecte, l'utilisation et la conservation des données personnelles transférées aux États-Unis à partir de l’Union européenne, de l'espace économique européen et de la Suisse. En respectant les principes du Privacy Shield, les entreprises garantissent une protection satisfaisante des données conformément à la directive de l'UE sur la protection des données.

Consultez la certification Privacy Shield de Dropbox ainsi que le site Web du Privacy Shield pour plus d'informations.


Règlement général sur la protection des données (RGPD) de l'UE

Le Règlement général sur la protection des données 2016/679 (ou RGPD) est un règlement de l'Union européenne qui marque un changement significatif par rapport au cadre existant relatif au traitement des données personnelles des individus au sein de l'UE. Le RGPD contient une série d'exigences (nouvelles ou améliorées) qui s'appliqueront aux entreprises exploitant des données à caractère personnel (telles que Dropbox). Il entrera en vigueur le 25 mai 2018 et remplacera l'actuelle Directive 95/46/CE de l'UE sur la protection des données personnelles. Comme toutes les entreprises responsables, nous continuons de concevoir et de mettre en œuvre des plans détaillés afin de veiller au respect des dispositions du RGPD et nous sommes en bonne voie pour être en conformité totale avant le 25 mai 2018. Pour en savoir plus, consultez cet article du centre d'assistance.


Étudiants et enfants (FERPA et COPRA)

Dropbox Business et Dropbox Education permettent aux clients d'utiliser les services en respectant les obligations de fournisseur imposées par la loi américaine FERPA (Family Education Rights and Privacy Act) relative à l'éducation et à la confidentialité. Les établissements d'enseignement dont les élèves ont moins de 13 ans peuvent également utiliser Dropbox Business ou Dropbox Education en respectant la loi américaine COPPA (Children's Online Privacy Protection Act) relative à la protection des enfants sur Internet, à condition d'accepter certaines dispositions contractuelles l'obligeant à obtenir l'accord des parents concernant l'utilisation de nos services.


Digital Marketplace G-Cloud au Royaume-Uni

Dropbox Business figure sur le Digital Marketplace du gouvernement britannique, permettant aux administrations du pays de souscrire des services cloud. Consultez nos annonces sur le site Web du Digital Marketplace du gouvernement britannique pour le forfait Dropbox Business Standard, le forfait Dropbox Business Advanced et le forfait Dropbox Enterprise.

* Dropbox Paper n'est pas répertorié sur le Digital Marketplace G-Cloud du Royaume-Uni.


PCI DSS

En tant que prestataire, Dropbox respecte la norme PCI DSS (Payment Card Industry Data Security Standard). Toutefois, Dropbox Business, Dropbox Education et Dropbox Paper ne sont pas prévus pour traiter ni stocker les transactions par carte bancaire. L'attestation de conformité (AoC) de Dropbox, en tant que prestataire de services, à la norme PCI est disponible sur demande auprès du service commercial ou de l'équipe de gestion de votre compte.


Nos fournisseurs de sous-services

Nos fournisseurs de services de colocalisation de datacenters et nos prestataires de services gérés font également l'objet d'audits réguliers SOC 1, SOC 2 et/ou ISO 27001, qui permettent de vérifier leurs pratiques en matière de sécurité. Dans le cadre de notre programme de gestion de la sécurité des données, nous examinons au moins une fois par an les résultats de ces audits (ou les dispositifs de sécurité des fournisseurs si un rapport d'audit n'est pas disponible). Ces examens nous permettent, en cas de risque détecté pour Dropbox et ses clients, de travailler en collaboration avec le fournisseur de services afin d'analyser l'impact potentiel sur les données des clients, et d'assurer le suivi des solutions mises en œuvre jusqu'à ce que le problème soit résolu.


En savoir plus sur la conformité de Dropbox Business ou Dropbox Education

Pour obtenir des documents sur la conformité et les certifications, nous vous invitons à contacter un représentant de Dropbox ou de l'équipe de gestion de votre compte.