Respect des normes et des réglementations


Certification ISO 27001 de Dropbox

ISO

Pour aider les entreprises à concevoir des produits et des services innovants et fiables, l'Organisation internationale de normalisation (ISO) a établi une série de normes exigeantes dans le domaine de la sécurité sociétale et de l'information. Chez Dropbox, les data centers, les technologies, les systèmes, les applications, les employés et les processus sont certifiés ISO par un organisme tiers indépendant basé aux Pays-Bas, EY CertifyPoint, accrédité par le Raad voor Accreditatie (Conseil d'accréditation néerlandais).

ISO 27001 (Sécurité de l'information)

ISO 27001 est la principale norme qui encadre les systèmes de gestion de la sécurité de l'information (SMSI) dans le monde ; elle s'appuie sur les bonnes pratiques précisées dans la norme ISO 27002. Pour mériter votre confiance, nous assurons chez Dropbox une gestion continue et globale de nos mesures de contrôle physiques, techniques et juridiques. Consultez le certificat ISO 27001 de nos solutions Dropbox Business, Enterprise et Education.

ISO 27017 (Sécurité du cloud)

ISO 27017 est une nouvelle norme internationale relative à la sécurité du cloud. Elle contient des lignes directrices sur les mesures de contrôle de la sécurité applicables à l'offre et à l'utilisation de services dans le cloud. Notre Guide des responsabilités partagées expose toutes les exigences en matière de conformité, de confidentialité et de sécurité que Dropbox et ses clients peuvent respecter ensemble. Consultez le certificat ISO 27017 de nos solutions Dropbox Business, Enterprise et Education.

ISO 27018 (Protection des données personnelles dans le cloud)

ISO 27018 est une nouvelle norme internationale relative à la protection et à la confidentialité des données. Elle s'applique aux fournisseurs de services cloud comme Dropbox qui gèrent des informations personnelles pour le compte de leurs clients. Elle sert de référence à nos clients pour comprendre les exigences contractuelles et réglementaires générales, et poser des questions. Consultez le certificat ISO 27018 de nos solutions Dropbox Business, Enterprise et Education.

ISO 22301 (Continuité de l'activité)

ISO 22301 est une norme internationale pour la continuité de l'activité. Elle aide les entreprises à diminuer le risque d'incidents perturbateurs et, dans l'éventualité où ils se produisent, à les gérer correctement pour minimiser les dommages éventuels. Le système de gestion de la continuité Dropbox Business fait partie de la stratégie globale de gestion des risques que nous avons élaborée pour protéger les personnes et les activités en période de crise. Consultez le certificat ISO 22301 de nos solutions Dropbox Business, Enterprise et Education.


Certification CSA STAR de Dropbox

Cloud Security Alliance : Security, Trust, and Assurance Registry (CSA STAR)

Le STAR (Security, Trust & Assurance Registry) de CSA est un registre gratuit et disponible en libre accès qui propose un programme de contrôle de la sécurité pour les services dans le cloud, dans le but d'aider les utilisateurs à évaluer la sécurité des fournisseurs de cloud qu'ils utilisent ou qu'ils envisagent d'utiliser.

Les solutions Dropbox Business, Enterprise et Education ont reçu la certification CSA STAR de niveau 2. Il s'agit d'une évaluation de nos dispositifs de contrôle de sécurité réalisée par un organisme tiers indépendant, EY CertifyPoint, et établie à partir des exigences de la norme ISO 27001 et de la matrice CCM (Cloud Controls Matrix) v3.0.1 de CSA (ensemble de critères servant à mesurer les capacités de services cloud). Dropbox Business a également renseigné une auto-évaluation CSA STAR de niveau 1. Cette enquête rigoureuse, qui repose sur le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) de CSA et concorde avec la matrice CCM, répond à près de 300 questions qu'un utilisateur de cloud ou un cabinet d'audit chargé d'évaluer la sécurité d'un cloud est susceptible de poser.


La conformité SOC chez Dropbox

SOC

Les rapports SOC (Service Organization Controls), déclinés en SOC 1, SOC 2 et SOC 3, sont des cadres de référence établis par l'American Institute of Certified Public Accountants (AICPA) pour rendre compte des dispositifs de contrôle internes mis en place dans une entreprise. Les activités, les processus et les technologies de Dropbox sont certifiés par un cabinet d'audit tiers indépendant, Ernst & Young LLP.

SOC 3 pour la sécurité, la confidentialité, l'intégrité et la disponibilité

Le rapport d'attestation SOC 3 couvre les grands principes de fiabilité d'un service informatique, à savoir la sécurité, la confidentialité, l'intégrité et la disponibilité (TSP, section 100). Le rapport Dropbox à usage général est un résumé analytique de notre rapport SOC 2. Il inclut l'opinion de l'auditeur tiers indépendant concernant l'efficacité de nos dispositifs de contrôle, tant en termes de conception que de fonctionnement. Consultez l'audit SOC 3 de nos solutions Dropbox Business, Enterprise et Education.

SOC 2 pour la sécurité, la confidentialité, l'intégrité et la disponibilité

Le rapport SOC 2 atteste de l'efficacité de nos contrôles et couvre les grands principes de fiabilité d'un service informatique, à savoir la sécurité, la confidentialité, l'intégrité et la disponibilité (TSP, section 100). Il offre une description détaillée des processus de Dropbox ainsi que de la centaine de contrôles que nous avons mis en place pour protéger vos fichiers. Outre l'avis de notre auditeur tiers indépendant sur l'efficacité de nos contrôles, tant du point de vue de la conception que du fonctionnement, ce rapport intègre également les procédures de test de cet auditeur et les résultats pour chaque contrôle. L'audit SOC 2 des solutions Dropbox Business, Enterprise et Education est disponible sur demande auprès duservice commercial ou de l'équipe de gestion de votre compte.

SOC 1 / SSAE 16 / ISAE 3402 (anciennement SAS 70)

Le rapport SOC 1 offre des garanties spécifiques aux clients qui considèrent les produits Dropbox Business, Enterprise ou Education comme un élément indispensable de leurs contrôles internes sur leur programme de reporting financier (ICFR). Ces garanties sont principalement utilisées par nos clients pour se mettre en conformité avec la loi Sarbanes-Oxley (SOX). L'audit réalisé par l'organisme tiers indépendant est mené en accord avec les normes SSAE 16 (Statement on Standards for Attestation Engagements n° 16) et ISAE 3402 (International Standard on Assurance Engagements n° 3402). Ces normes ont remplacé la norme SAS 70 (Statement on Auditing Standards n° 70) devenue obsolète. L'audits SOC 1 des solutions Dropbox Business, Enterprise et Education est disponible sur demande auprès du service commercial ou de l'équipe de gestion de votre compte.


Étudiants et enfants (FERPA et COPRA)

Dropbox Business, Enterprise et Education permettent à leurs clients d'utiliser leurs services en respectant les obligations de fournisseur imposées par la loi américaine FERPA (Family Education Rights and Privacy Act) relative à l'éducation et à la confidentialité. Les établissements d'enseignement dont les élèves ont moins de 13 ans peuvent également utiliser Dropbox Business, Enterprise ou Education en respectant la loi américaine COPPA (Children's Online Privacy Protection Act) relative à la protection des enfants sur Internet, à condition d'accepter certaines dispositions contractuelles l'obligeant à obtenir l'accord des parents concernant l'utilisation de nos services.

Digital Marketplace G-Cloud au Royaume-Uni

Dropbox Business figure désormais sur le Digital Marketplace du gouvernement britannique, permettant aux administrations du pays de souscrire des services cloud. Notre fiche est disponible ici.


Certification HIPAA Dropbox

HIPAA / HITECH

Dropbox conclura un accord de partenariat (BAA, ou Business Associate Agreement) avec les clients Dropbox Business, Enterprise ou Education soumis aux dispositions des lois américaines HIPAA (Health Insurance Portability and Accountability Act) et HITECH (Health Information Technology for Economic and Clinical Health Act). Pour obtenir des informations détaillées, veuillez vous reporter à notre guide "Getting started with HIPAA" et à l'article de notre centre d'assistance.

Dropbox met à disposition un rapport d'attestation établi par un tiers et évaluant nos contrôles qui garantit le respect des règles HIPAA/HITECH relatives à la sécurité, à la confidentialité et à la notification en cas de violation. Nous proposons également un plan de nos pratiques internes et des recommandations à l'attention des clients désireux d'assurer leur conformité à la règle HIPAA/HITECH relative à la sécurité et à la confidentialité avec Dropbox Business, Enterprise et Education.

Les clients qui souhaitent consulter ces documents sont invités à contacter leur équipe de gestion de compte ou notre service commercial. Si vous êtes actuellement administrateur d'une équipe Dropbox Business, Enterprise ou Education, vous pouvez signer un accord de partenariat électroniquement à partir de la page Compte de l'interface d'administration.

Remarque : seuls les clients installés aux États-Unis peuvent signer un accord de partenariat électronique via l'interface d'administration, à condition qu'ils n'utilisent pas la version bêta de Dropbox Paper.


PCI DSS

En tant que prestataire, Dropbox respecte la norme PCI DSS (Payment Card Industry Data Security Standard). Toutefois, Dropbox Business, Enterprise et Education ne sont pas tenus de traiter ni de stocker les transactions par carte bancaire. L'attestation de conformité (AoC) de Dropbox, en tant que prestataire de services, à la norme PCI est disponible sur demande auprès du service commercial ou de l'équipe de gestion de votre compte.

Nos fournisseurs de sous-services

Nos fournisseurs de services de colocalisation de datacenters et nos prestataires de services gérés font également l'objet d'audits réguliers SOC 1, SOC 2 et/ou ISO 27001, qui permettent de vérifier leurs pratiques de sécurité. Nous examinons les résultats de ces audits au moins une fois par an dans le cadre de notre programme de gestion de la sécurité des données. Ces examens nous permettent, en cas de risque détecté pour Dropbox et ses clients, de travailler en collaboration avec le fournisseur de sous-service pour comprendre l'impact potentiel sur les données des clients, et d'assurer le suivi des solutions mises en œuvre jusqu'à ce que le problème soit résolu.

En savoir plus sur la conformité des solutions Dropbox Business, Enterprise ou Education

Pour obtenir des documents sur la conformité et les certifications, nous vous invitons à contacter un représentant de Dropbox ou l'équipe de gestion de votre compte.