Kepatuhan atas standar dan peraturan


Sertifikasi ISO 27001 di Dropbox

Sertifikasi ISO

Organisasi Internasional untuk Standardisasi (ISO) telah mengembangkan serangkaian standar kelas informasi dan keamanan masyarakat kelas dunia untuk membantu organisasi mengembangkan produk dan layanan yang andal dan inovatif. Dropbox telah mensertifikasi pusat data, sistem, aplikasi, orang, dan proses melalui serangkaian audit oleh pihak ketiga independen yaitu EY CertifyPoint yang berbasis di Belanda.

ISO 27001 (Manajemen Keamanan Informasi)

ISO 27001 diakui sebagai standar sistem manajemen keamanan informasi (ISMS) utama di seluruh dunia. Standar ini juga memanfaatkan praktik terbaik keamanan yang dirinci dalam ISO 27002. Untuk meraih kepercayaan Anda, kami terus menerus dan secara komprehensif mengelola dan meningkatkan kontrol fisik, teknis, dan legal di Dropbox. Auditor kami, EY CertifyPoint, memelihara akreditasi ISO 27001-nya dari Raad voor Accreditatie (Dewan Akreditasi Belanda). Lihat sertifikat ISO 27001 Dropbox Business dan Dropbox Education.

ISO 27017 (Keamanan Cloud)

ISO 27017 adalah standar internasional untuk keamanan cloud yang memberikan panduan kontrol keamanan yang berlaku untuk penyediaan dan penggunaan layanan cloud. Panduan Pertanggungjawaban Bersama kami menjelaskan beberapa keamanan, privasi, dan persyaratan kepatuhan yang dapat diatasi bersama oleh Dropbox dan pelanggannya. Lihat sertifikat ISO 27017 Dropbox Business dan Dropbox Education.

ISO 27018 (Privasi Cloud dan Perlindungan Data)

ISO 27018 adalah standar internasional untuk privasi dan perlindungan data yang berlaku untuk layanan cloud seperti Dropbox yang memproses informasi pribadi mewakili pelanggannya dan menyediakan dasar bagi pelanggan untuk dapat menjawab berbagai kewajiban dan pertanyaan terkait regulasi umum dan kontrak. Lihat sertifikat ISO 27018 Dropbox Business dan Dropbox Education.

ISO 22301 (Manajemen Kelangsungan Bisnis)

ISO 22301 adalah standar internasional untuk kesinambungan bisnis yang memberikan panduan pada organisasi terkait cara mengurangi dampak peristiwa-peristiwa yang mengganggu dan menanggapi peristiwa ini dengan tepat jika hal itu terjadi dengan meminimalkan potensi kerugian. Sistem manajemen berkesinambungan Dropbox Business (BCMS) adalah bagian dari strategi manajemen risiko total untuk melindungi orang-orang dan operasi selama masa krisis. Lihat sertifikat ISO 27301 Dropbox Business dan Dropbox Education.


Kepatuhan SOC di Dropbox

Laporan SOC

Laporan Kontrol Organisasi Layanan (SOC), yang dikenal dengan istilah SOC 1, SOC 2, atau SOC 3, adalah kerangka kerja yang didirikan oleh American Institute of Certified Public Accountants (AICPA) untuk pelaporan kontrol internal yang diimplementasikan di dalam organisasi. Dropbox telah memvalidasikan sistem, aplikasi, orang, dan proses melalui serangkaian audit oleh pihak ketiga independen, Ernst & Young LLP.

SOC 3 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi.

Laporan jaminan SOC 3 mencakup semua Prinsip Layanan Kepercayaan dari Keamanan, Kerahasiaan, Pemrosesan, Integritas, Ketersediaan, dan Privasi (Bagian 100 TCP). Laporan penggunaan umum ini merupakan ringkasan eksekutif dari laporan SOC 2 kami dan meliputi pendapat auditor independen pihak ketiga tentang desain efektif dan kelangsungan semua kontrol kami. Lihat ujian SOC 3 Dropbox Business dan Dropbox Education.

SOC 2 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi

Laporan SOC 2 memberikan pelanggan tingkat jaminan yang berbasis kontrol secara terperinci, yang mencakup semua Prinsip Layanan Kepercayaan dari Keamanan, Kerahasiaan, Integritas Pemrosesan, Ketersediaan, dan Privasi (Bagian 100 TCP). Laporan SOC 2 mencakup keterangan mendetail mengenai proses Dropbox dan lebih dari 100 kontrol yang kami miliki untuk melindungi file Anda. Selain pendapat auditor pihak ketiga independen mengenai desain yang efektif dan operasi kontrol kami, laporan ini berisi prosedur dan hasil tes auditor untuk masing-masing kontrol. Laporan SOC 2 kami (terkadang juga disebut sebagai laporan SOC 2+) juga menyertakan pemetaan teraudit atas kontrol kami terhadap standard ISO yang dicantumkan di atas, menyediakan transparansi tambahan kepada pelanggan kami. Ujian SOC 2 untuk Dropbox Business dan Dropbox Education tersedia jika diminta melalui tim penjualan atau tim manajemen akun.

SOC 1 / SSAE 18 / ISAE 3402 (sebelumnya SSAE 16 atau SAS 70)

Laporan SOC 1 menyediakan jaminan spesifik kepada pelanggan yang menetapkan bahwa Dropbox Business atau Dropbox Education merupakan elemen kunci bagi kontrol internal mereka atas program laporan keuangan (ICFR). Jaminan spesifik ini utamanya digunakan untuk kepatuhan Sarbanes-Oxley (SOX) pelanggan kami. Auditor pihak ketiga independen dilakukan sesuai dengan Pernyataan tentang Standar Pelibatan Pengesahan (Statement on Standards for Attestation Engagements No. 18 (SSAE 18)) dan Standar Internasional tentang Pelibatan Jaminan (International Standard on Assurance Engagements No. 3402 (ISAE 3402)). Standar-standar ini telah menggantikan Statement on Standards for Attestation Engagement No.16 (SSAE 16) dan Statement on Auditing Standards No. 70 (SAS 70) yang telah usang. Ujian SOC 1 untuk Dropbox Business dan Dropbox Education tersedia jika diminta melalui tim penjualan atau tim manajemen akun.


Sertifikasi CSA Star di Dropbox

Cloud Security Alliance - Daftar Keamanan, Kepercayaan, dan Jaminan (CSA STAR- Security, Trust, and Assurance Registry)

CSA Security, Trust & Assurance Registry (STAR) merupakan daftar yang bisa diakses gratis oleh publik yang menawarkan program jaminan keamanan untuk layanan cloud, dengan demikian membantu pengguna menilai pendirian keamanan dari penyedia awan yang saat ini mereka gunakan atau rencanakan untuk mengikat kontrak.

Dropbox Business dan Dropbox Education telan menerima kedua CSA STAR Level 2 Certification dan Level 2 Attestation. CSA STAR Level 2 membutuhkan penilaian independen pihak ketiga atas kontrol keamanan kami oleh EY CertifyPoint (untuk Sertifikasi) dan Ernst & Young LLP (untuk Attestation), berdasarkan persyaratan ISO 27001, SOC 2 Trust Service Principles, dan CSA Cloud Controls Matrix (CCM) v.3.0.1. Dropbox juga telah menyelesaikan CSA STAR Level 1 Self-Assessment untuk Dropbox Business dan Dropbox Education. Self-Assessment merupakan survei yang sangat akurat berdasarkan CSA’s Consensus Assessments Initiative Questionnaire (CAIQ), yang sejalan dengan CCM, dan memberikan jawaban atas hampir 300 pertanyaan yang berniat diajukan oleh pelanggan awan atau auditor keamanan awan. Lihat sertifikasi CSA STAR Level 1 dan Level 2 serta Attestation di situs web CSA.


Sertifikasi HIPAA Dropbox

HIPAA/HITECH

Dropbox akan menandatangani perjanjian rekan bisnis (Business Associate Agreements - BAA) dengan pelanggan Dropbox Business atau Dropbox Education yang membutuhkannya untuk mematuhi Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Technology for Economic and Clinical Health Act (HITECH). Lihat panduan “Getting Started with HIPAA" (dalam Bahasa Inggris)” dan artikel Pusat Bantuan untuk mendapatkan informasi lebih mendetail.

Dropbox menyediakan laporan jaminan pihak ketiga yang mengevaluasi kontrol kami atas Keamanan HIPAA/HITECH, Privasim dan aturan Pemberitahuan Pelanggaran, serta pemetaan antara praktik internal kami dan saran untuk pelanggan yang ingin memenuhi persyaratan aturan HIPAA/HITECH Security and Privacy Rule bersama Dropbox Business atau Dropbox Education.

Pelanggan yang tertarik untuk meminta dokumen ini dapat menghubungi tim manajemen akun mereka atau menghubungi tim penjualan kami. Jika Anda saat ini admin tim Dropbox Business atau Dropbox Education, Anda dapat menandatangani BAA secara elektronik dari halaman Akun di Konsol Admin.

Perhatikan: Kemampuan untuk menandatangani BAA elektronik melalui Konsol Admin hanya tersedia bagi pelanggan yang berada di AS dan tidak menggunakan Dropbox Paper. Dropbox tidak menawarkan dukungan HIPAA/HITECH untuk Dropbox Paper.


Laporan C5 BSI Jerman Dropbox

Laporan Attestation C5 BSI Jerman

Cloud Computing Compliance Controls Catalog (C5) merupakan kerangka kerja yang didirikan oleh Kantor Federal Jerman untuk Keamanan Teknologi Informasi (Bundesamt fur Sicherheit in der Informationstechnik - BSI) untuk pelaporan atas kontrol keamanan yang berlaku untuk penyediaan layanan cloud. Atestasi C5 membantu organisasi dengan mendemonstrasikan praktik keamanan informasi sesuai dengan “Rekomendasi Keamanan untuk Penyedia Layanan Awan“ dari BSI. C5 dibangun di atas standar keamanan internasional yang ada seperti ISO 27001 dan CSA STAR. Untuk menerima laporan atestasi C5, sistem, proses, dan kontrol Dropbox divalidasi oleh auditor pihak ketiga independen yang berbasis di Jerman, yaitu Ernst & Young GmbH. Audit independen dilakukan sesuai dengan International Standard on Assurance Engagements No. 3000 (ISAE 3000).

Laporan mencakup deskripsi detail sistem, aplikasi, proses, kontrol Dropbox, termasuk prosedur pengujian auditor independen kami, serta hasil untuk masing-masing kontrol. Laporan C5 untuk Dropbox Business dan Dropbox Education tersedia jika diminta lewat tim penjualan atau tim manajemen akun.

*Dropbox Paper tidak disertakan dalam cakupan laporan C5.


EU-U.S. Privacy Shield dan Swiss-U.S. Privacy Shield

Dropbox mematuhi kerangka EU-U.S. dan Swiss-U.S. Privacy Shield sebagaimana yang ditetapkan oleh Departemen Perdagangan AS perihal pengumpulan, penggunaan, dan penyimpanan informasi pribadi dari negara-negara anggota Uni Eropa, Wilayah Ekonomi Eropa, dan Swiss ke Amerika Serikat. Mematuhi Privacy Shield Principles memastikan organisasi menyediakan perlindungan privasi yang cukup di bawah direktif UE tentang perlindungan data.

Lihat sertifikasi Privacy Shield Dropbox dan ketahui lebih lanjut di situs web Privacy Shield.


Peraturan Perlindungan Data Umum Uni Eropa (EU General Data Protection Regulation - GDPR)

General Data Protection Regulation 2016/679, atau GDPR, adalah peraturan Uni Eropa yang menandai perubahan yang berarti atas kerangka kerja yang ada untuk pemrosesan data pribadi dari individu di UE. GDPR memperkenalkan serangkaian persyaratan baru atau lebih tinggi yang akan diterapkan pada perusahaan seperti Dropbox yang menangani data pribadi. Peraturan ini akan berlaku mulai 25 Mei 2018 dan menggantikan EU Directive 95/46 EC yang ada saat ini, atau yang lebih dikenal sebagai Data Protection Directive. Seperti halnya semua perusahaan yang bertanggung jawab, Dropbox terus membangun dan melaksanakan rencana terperinci kepatuhan GDPRdan menuju kepatuhan penuh sebelum 25 Mei 2018. Untuk informasi lebih lanjut, lihat artikel pusat bantuan ini.


Siswa dan Anak-anak (FERPA dan COPPA)

Dropbox Business dan Dropbox Education memungkinkan konsumen menggunakan layanan yang mematuhi kewajiban vendor yang diwajibkan oleh Undang-Undang Hak-Hak dan Privasi Edukasi Keularga AS ( US Family Education Rights and Privacy Act (FERPA)). Institusi pendidikan dengan siswa berusia kurang dari 13 juga bisa menggunakan Dropbox Business atau Dropbox Educationsesuai dengan Undang-Undang Perlindungan Privasi Online Anak atau Children's Online Privacy Protection Act (COPPA), dengan syarat mereka setuju dengan ketentuan kontrak khusus yang mewajibkan institusi untuk mendapatkan izin orang tua terkait dengan penggunaan layanan kami.


UK Digital Marketplace G-Cloud

Dropbox Business terdaftar di United Kingdom (UK) Digital Marketplace untuk pengadaan layanan cloud pemerintah. Lihat daftar kami di situs web UK Digital Marketplace untuk Paket Dropbox Business Standard, Paket Dropbox Business Advanced, dan Paket Dropbox Enterprise.

*Dropbox Paper tidak disertakan dalam daftar UK Digital Marketplace G-Cloud.


PCI DSS

Dropbox adalah usaha yang tunduk pada Standar Keamanan Data Industri Kartu Pembayaran atau Payment Card Industry Data Security Standard (PCI DSS). Namun demikian, Dropbox Business, Dropbox Education, dan Dropbox Paper tidak dimaksudkan sebagai pihak yang memproses atau menyimpan transaksi kartu kredit. PCI Attestation of Compliance (AoC) sebagai status pedagang kami tersedia apabila diminta melalui tim penjualan atau tim manajemen akun.


Penyedia sub-layanan kami

Lokasi bersama pusat data dan penyedia layanan terkelola kami juga menjalani audit SOC 1, SOC 2, dan/atau ISO 27001 reguler untuk memverifikasi praktik keamanannya Dropbox, paling tidak setahun sekali, meninjau hasil audit tersebut atau melakukan peninjauan keamanan vendor, jika laporan audit tidak tersedia sebagai bagian dari program manajemen keamanan informasi kami. Apabila audit atau tinjauan ini menemukan adanya material yang kami tetapkan sebagai risiko saat ini bagi Dropbox atau pelanggan kami, kami akan bekerja sama dengan penyedia layanan untuk memahami semua potensi dampak terhadap data pelanggan dan melacak semua upaya perbaikan sampai masalahnya selesai.


Informasi lebih lanjut tentang kepatuhan Dropbox Business atau Dropbox Education

Dokumen kepatuhan dan sertifikasi dapat diminta melalui perwakilan Dropbox atau tim manajemen akun.