Kepatuhan atas standar dan peraturan


Sertifikasi ISO 27001 di Dropbox

ISO

Organisasi Internasional untuk Standardisasi (ISO) telah mengembangkan serangkaian standar kelas dunia untuk informasi dan keamanan masyarakat untuk membantu organisasi mengembangkan produk dan layanan yang andal dan inovatif. Di Dropbox, kami telah mensertifikasi ISO pusat data, teknologi, sistem, aplikasi, orang, dan proses kami oleh pihak ketiga independen yang berbasis di Belanda EY CertifyPoint yang memelihara akreditasi ISO-nya dari Raad voor Accreditatie (Dewan Akreditasi Belanda)

ISO 27001 (Keamanan Informasi)

ISO 27001 diakui sebagai standar sistem pengelolaan keamanan informasi utama (ISMS) di seluruh dunia yang memanfaatkan praktik terbaik yang dirinci di ISO 27002. Untuk meraih kepercayaan Anda, kami terus menerus dan secara komprehensif mengelola kontrol fisil, teknis, dan legal di Dropbox. Lihat sertifikat Dropbox Business, Enterprise, dan Education ISO 27001 certificate.

ISO 27017 (Keamanan Cloud)

ISO 27017 adalah standar internasional baru untuk keamanan cloud yang memberikan panduan kontrol keamanan yang berlaku untuk penyediaan dan penggunaan layanan cloud. Panduan Pertanggungjawaban Bersama kami menjelaskan semua keamanan, privasi, dan persyaratan kepatuhan yang dapat diatasi bersama oleh Dropbox dan pelanggannya. Lihat sertifikat ISO 27017 Dropbox Business, Enterprise, dan Education.

ISO 27018 (Privasi Cloud dan Perlindungan Data)

ISO 27018 adalah standar internasional yang baru muncul untuk privasi dan perlindungan data yang berlaku untuk layanan cloud seperti Dropbox yang memproses informasi pribadi mewakili pelanggannya dan menyediakan dasar bagi pelanggan untuk dapat menjawab berbagai kewajiban dan pertanyaan terkait regulasi umum dan kontrak. Lihat sertifikat ISO 27018 Dropbox Business, Enterprise, dan Education.

ISO 22301 (Kesinambungan Bisnis)

ISO 22301 adalah standar internasional untuk kesinambungan bisnis yang memberikan panduan pada organisasi terkait cara menurunkan kemungkinan peristiwa-peristiwa yang mengganggu dan menanggapi peristiwa ini dengan tepat jika hal itu terjadi dengan meminimalkan potensi kerugian. Sistem manajemen berkesinambungan Dropbox Business (BCMS) adalah bagian dari strategi manajemen risiko total untuk melindungi orang-orang dan operasi selama masa krisis. Lihat sertifikat ISO 27301 Dropbox Business, Enterprise dan Education.


Sertifikasi CSA Star di Dropbox

Cloud Security Alliance - Daftar Keamanan, Kepercayaan, dan Jaminan (CSA STAR- Security, Trust, and Assurance Registry)

CSA Security, Trust & Assurance Registry (STAR) merupakan daftar yang bisa diakses gratis oleh publik yang menawarkan program jaminan keamanan untuk layanan cloud, dengan demikian membantu pengguna menilai pendirian keamanan dari penyedia awan yang saat ini mereka gunakan atau rencanakan untuk mengikat kontrak.

Dropbox Business, Enterprise, dan Education telah menerima CSA STAR Level 2 Certification, penilaian independen pihak ketiga dari kontrol keamanan kami oleh EY CertifyPoint berdasarkan persyaratan ISO 27001 dan CSA Cloud Controls Matrix (CCM) v.3.0.1, seperangkat kriteria yang mengukur tingkat kemampuan layanan awan. Dropbox Business juga telah memenuhi CSA STAR Level 1 Self-Assessment, sebuah survei yang sangat akurat berdasarkan CSA’s Consensus Assessments Initiative Questionnaire (CAIQ), yang sejalan dengan CCM, dan memberikan jawaban atas hampir 300 pertanyaan yang berniat diajukan oleh pelanggan awan atau auditor keamanan awan.


Kepatuhan SOC di Dropbox

SOC

Laporan Kontrol Organisasi Layanan (SOC), yang dikenal dengan istilah SOC 1, SOC 2, atau SOC 3, adalah kerangka kerja yang didirikan oleh American Institute of Certified Public Accountants (AICPA) untuk pelaporan kontrol internal yang diimplementasikan di dalam organisasi. Dropbox telah mensertifikasi pengoperasian, proses, dan teknologinya oleh auditor independen pihak ketiga, Ernst & Young LLP.

SOC 3 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi.

Laporan jaminan SOC 3 mencakup lima Prinsip Layanan Kepercayaan dari Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi (Bagian 100 TCP). Laporan penggunaan umum ini merupakan ringkasan eksekutif dari laporan SOC 2 kami dan meliputi pendapat auditor independen pihak ketiga tentang desain efektif dan kelangsungan semua kontrol kami. Lihat ujian SOC 3 Dropbox Business, Enterprise, dan Education.

SOC 2 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi

Laporan SOC 2 memberikan pelanggan tingkat jaminan yang berbasis kontrol secara terperinci, yang mencakup lima Prinsip Layanan Kepercayaan dari Keamanan, Kerahasiaan, Integritas Pemrosesan, Ketersediaan, dan Privasi ( Bagian 100 TCP). Laporan SOC 2 mencakup keterangan mendetail mengenai proses Dropbox dan lebih dari 100 kontrol yang kami miliki untuk melindungi file Anda. Selain pendapat auditor pihak ketiga independen mengenai desain yang efektif dan operasi kontrol kami, laporan ini berisi prosedur dan hasil tes auditor untuk masing-masing kontrol. Ujian SOC 2 untuk Dropbox Business, Enterprise, dan Education tersedia jika diminta melalui tim penjualan atau tim manajemen akun.

SOC 1 / SSAE 16 / ISAE 3402 (sebelumnya SAS 70)

Laporan SOC 1 menyediakan jaminan spesifik kepada pelanggan yang menetapkan bahwa Dropbox Business, Enterprise, atau Education merupakan elemen kunci bagi kontrol internal mereka atas program laporan keuangan (ICFR). Jaminan spesifik ini utamanya digunakan untuk kepatuhan Sarbanes-Oxley (SOX) pelanggan kami. Auditor pihak ketiga independen dilakukan sesuai dengan Pernyataan tentang Standar Pelibatan Pengesahan (Statement on Standards for Attestation Engagements No. 16 (SSAE 16)) dan Standar Internasional tentang Pelibatan Jaminan (International Standard on Assurance Engagements No. 3402 (ISAE 3402)). Standar-standar ini telah menggantikan Statement on Auditing Standards No. 70 (SAS 70) yang telah usang. Ujian SOC 1 untuk Dropbox Business, Enterprise, dan Education tersedia jika diminta melalui tim penjualan atau tim manajemen akun.


Siswa dan Anak-anak (FERPA dan COPPA)

Dropbox Business, Enterprise, dan Education memungkinkan konsumen menggunakan layanan yang mematuhi kewajiban vendor yang diwajibkan oleh Undang-Undang Hak-Hak dan Privasi Edukasi Keluarga AS ( US Family Education Rights and Privacy Act (FERPA)). Institusi pendidikan dengan siswa berusia kurang dari 13 juga bisa menggunakan Dropbox Business, Enterprise, atau Education sesuai dengan Undang-Undang Perlindungan Privasi Online Anak atau Children's Online Privacy Protection Act (COPPA), dengan syarat mereka setuju dengan ketentuan kontrak khusus yang mewajibkan institusi untuk mendapatkan izin orang tua terkait dengan penggunaan layanan kami.

UK Digital Marketplace G-Cloud

Dropbox Business sekarang terdaftar di United Kingdom (UK) Digital Marketplace untuk pengadaan layanan cloud pemerintah. Lihat daftar kami di sini.


Sertifikasi HIPAA Dropbox

HIPAA/HITECH

Dropbox akan menandatangani perjanjian rekan bisnis (BAA) dengan pelanggan Dropbox Business, Enterprise, atau Education yang membutuhkannya untuk mematuhi Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Technology for Economic and Clinical Health Act (HITECH). Lihat panduan “Getting Started with HIPAA" (dalam Bahasa Inggris)” dan artikel Pusat Bantuan untuk mendapatkan informasi lebih mendetail.

Dropbox menyediakan laporan jaminan pihak ketiga yang mengevaluasi kontrol kami atas Keamanan HIPAA/HITECH, Privasim dan aturan Pemberitahuan Pelanggaran, serta pemetaan antara praktik internal kami dan saran untuk pelanggan yang ingin memenuhi persyaratan aturan HIPAA/HITECH Security and Privacy Rule dengan Dropbox Business, Enterprise, dan Education.

Pelanggan yang tertarik untuk meminta dokumen ini dapat menghubungi tim manajemen akun mereka atau menghubungi tim penjualan kami. Jika saat ini Anda adalah admin tim Dropbox Business, Enterprise, and Education, Anda dapat menandatangani BAA secara elektronik dari halaman Akun di Konsol Admin.

Perhatikan: Kemampuan untuk menandatangani BAA secara elektronis melalui Konsol Admin hanya tersedia bagi pelanggan yang berada di AS yang tidak ikut dalam program beta Dropbox Paper.


PCI DSS

Dropbox adalah usaha yang tunduk pada Standar Keamanan Data Industri Kartu Pembayaran atau Payment Card Industry Data Security Standard (PCI DSS). Namun demikian, Dropbox Business, Enterprise, dan Education bukan dimaksudkan sebagai pihak yang memproses atau menyimpan transaksi kartu kredit. PCI Attestation of Compliance (AoC) sebagai status pedagang kami tersedia apabila diminta melalui tim penjualan atau tim manajemen akun.

Penyedia sub-layanan kami

Lokasi bersama pusat data dan penyedia layanan terkelola kami juga menjalani audit SOC 1, SOC 2, dan/atau ISO 27001 reguler untuk memverifikasi praktik keamanannya. Dropbox meninjau semua hasil audit ini setidaknya sekali setahun sebagai bagian dari program pengelolaan keamanan informasi kami. Apabila audit ini menemukan adanya material yang kami tetapkan sebagai risiko saat ini bagi Dropbox atau pelanggan kami, kami akan bekerja sama dengan penyedia sub-layanan untuk memahami semua potensi dampak terhadap data pelanggan dan melacak semua upaya perbaikan sampai masalahnya selesai.

Informasi lebih lanjut tentang kepatuhan Dropbox Business, Enterprise, atau Education

Dokumen kepatuhan dan sertifikasi dapat diminta melalui perwakilan Dropbox atau tim manajemen akun.