Kepatuhan atas standar dan peraturan
Sertifikasi ISO
Organisasi Internasional untuk Standardisasi (ISO) telah mengembangkan serangkaian standar kelas informasi dan keamanan masyarakat kelas dunia untuk membantu organisasi mengembangkan produk dan layanan yang andal dan inovatif. Dropbox telah melakukan sertifikasi pusat data, sistem, aplikasi, karyawan, dan proses melalui serangkaian audit oleh pihak ketiga independen yaitu EY CertifyPoint yang berbasis di Belanda.
ISO 27001 (Manajemen Keamanan Informasi)
ISO 27001 diakui sebagai standar sistem manajemen keamanan informasi (ISMS) utama di seluruh dunia. Standar ini juga memanfaatkan praktik terbaik keamanan yang dijelaskan detail dalam ISO 27002. Untuk meraih kepercayaan Anda, kami terus menerus dan secara komprehensif mengelola dan meningkatkan kontrol fisik, teknis, dan legal di Dropbox. Auditor kami, EY CertifyPoint, mempertahankan akreditasi ISO 27001-nya dari Raad voor Accreditatie (Dewan Akreditasi Belanda). Lihat sertifikat ISO 27001 Dropbox untuk bisnis dan Dropbox Education.
ISO 27017 (Keamanan Awan)
ISO 27017 adalah standar internasional untuk keamanan awan yang memberikan panduan kontrol keamanan yang berlaku untuk penyediaan dan penggunaan layanan awan. Panduan Tanggung Jawab Bersama kami menjelaskan beberapa persyaratan keamanan, privasi, dan kepatuhan yang dapat diatasi bersama oleh Dropbox dan pelanggannya. Lihat sertifikat ISO 27017 Dropbox untuk bisnis dan Dropbox Education.
ISO 27018 (Privasi Awan dan Perlindungan Data)
ISO 27018 adalah standar internasional untuk privasi dan perlindungan data yang berlaku untuk layanan awan seperti Dropbox yang memproses informasi pribadi mewakili pelanggannya dan menyediakan dasar bagi pelanggan untuk dapat menjawab berbagai kewajiban dan pertanyaan terkait regulasi umum dan kontrak. Lihat sertifikat ISO 27018 Dropbox untuk bisnis dan Dropbox Education.
ISO 22301 (Manajemen Keberlanjutan Bisnis)
ISO 22301 adalah standar internasional untuk keberlanjutan bisnis yang memberikan panduan pada organisasi terkait cara mengurangi dampak peristiwa-peristiwa yang mengganggu dan menanggapi dengan tepat jika hal itu terjadi dengan meminimalkan potensi kerugian. Sistem manajemen keberlanjutan (BCMS) Dropbox untuk bisnis adalah bagian dari strategi manajemen risiko total untuk melindungi orang-orang dan operasi selama masa krisis. Lihat sertifikat ISO 22301 Dropbox untuk bisnis dan Dropbox Education.
ISO 27701 (Manajemen Informasi Privasi)
ISO 27701 adalah sebuah standar internasional untuk manajemen informasi privasi. Standar tersebut memberikan sebuah kerangka kerja untuk meningkatkan dan mengembangkan sistem manajemen keamanan informasi berdasarkan ISO 27001 menjadi sebuah sistem manajemen informasi privasi (PIMS). Dropbox Business dan Dropbox Education telah menerima sertifikasi ini sebagai pemroses PII. Lihat sertifikat ISO 27701 Dropbox Business dan Dropbox Education.
Laporan SOC
Laporan Kontrol Organisasi Layanan (SOC), yang dikenal dengan istilah SOC 1, SOC 2, atau SOC 3, adalah kerangka kerja yang didirikan oleh American Institute of Certified Public Accountants (AICPA) untuk pelaporan kontrol internal yang diimplementasikan di dalam organisasi. Dropbox telah memvalidasi sistem, aplikasi, karyawan, dan prosesnya melalui serangkaian audit oleh pihak ketiga independen, Ernst & Young LLP.
SOC 3 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi
Laporan jaminan SOC 3 mencakup kelima Kriteria Kepercayaan untuk Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, dan Privasi (TSP Bab 100). Laporan penggunaan umum Dropbox merupakan ringkasan eksekutif dari laporan SOC 2 kami dan meliputi pendapat auditor independen pihak ketiga tentang desain efektif dan kelangsungan semua kontrol kami. Lihat pengujian SOC 3 Dropbox untuk bisnis dan Dropbox Education.
SOC 2 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi
Laporan SOC 2 menyajikan detail jaminan berdasarkan kontrol, yang mencakup kelima Kriteria Keandalan Layanan untuk Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, dan Privasi (TSP Bab 100). Laporan SOC 2 mencakup keterangan mendetail mengenai proses Dropbox dan lebih dari 100 kontrol yang kami miliki untuk melindungi file Anda. Selain pendapat auditor pihak ketiga independen mengenai desain yang efektif dan operasi kontrol kami, laporan ini berisi prosedur dan hasil tes auditor untuk masing-masing kontrol. Laporan SOC 2 kami (terkadang juga disebut sebagai laporan SOC 2+) juga menyertakan pemetaan teraudit atas kontrol kami terhadap standar ISO yang dicantumkan di atas, menyediakan transparansi tambahan kepada pelanggan kami. Pengujian SOC 2 untuk Dropbox untuk bisnis dan Dropbox Education tersedia jika diminta melalui tim penjualan atau (bagi pelanggan Dropbox untuk bisnis yang ada) bagian dukungan.
SOC 1 / SSAE 18 / ISAE 3402 (sebelumnya SSAE 16 atau SAS 70)
Laporan SOC 1 memberikan jaminan spesifik kepada pelanggan yang menetapkan bahwa Dropbox untuk bisnis atau Dropbox Education merupakan elemen kunci bagi kontrol internal mereka atas program laporan keuangan (ICFR). Jaminan spesifik ini utamanya digunakan untuk kepatuhan Sarbanes-Oxley (SOX) pelanggan kami. Audit pihak ketiga independen dilakukan sesuai dengan Pernyataan tentang Standar Pelibatan Pengesahan No. 18 (SSAE 18) dan Standar Internasional tentang Pelibatan Jaminan No. 3402 (ISAE 3402). Standar-standar ini telah menggantikan Pernyataan tentang Standar Pelibatan Pengesahan No.16 (SSAE 16) dan Pernyataan tentang Standar Pengauditan No. 70 (SAS 70) yang sudah tidak digunakan lagi. Pengujian SOC 1 bagi Dropbox untuk bisnis dan Dropbox Education tersedia berdasarkan permintaan melalui tim penjualan kami atau (bagi pelanggan Dropbox untuk bisnis yang ada) bagian dukungan.
Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry
CSA Security, Trust, Assurance, and Risk (STAR) Registry merupakan daftar yang bisa diakses oleh publik secara gratis yang menawarkan program jaminan keamanan untuk layanan cloud, sehingga membantu pengguna menilai bentuk keamanan dari penyedia layanan cloud yang saat ini mereka gunakan atau yang sedang dipertimbangkan untuk dikontrak.
Dropbox Business dan Dropbox Education telah menerima baik Sertifikasi CSA STAR Level 2 dan Pengesahan Level 2. CSA STAR Level 2 membutuhkan penilaian independen pihak ketiga atas kontrol keamanan kami oleh EY CertifyPoint (untuk Sertifikasi) dan Ernst & Young LLP (untuk Pengesahan), berdasarkan persyaratan ISO 27001, SOC 2 Trust Service Criteria, dan CSA Cloud Controls Matrix (CCM) v3.0.1. Lihat Sertifikasi dan Pengesahan CSA STAR Level 2 kami di situs web CSA.
HIPAA/HITECH
Dropbox akan menandatangani perjanjian rekan bisnis (BAA) dengan pelanggan Dropbox untuk bisnis atau Dropbox Education yang membutuhkannya untuk mematuhi Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Technology for Economic and Clinical Health Act (HITECH). Lihat panduan “Memulai dengan HIPAA” dan artikel pusat bantuan untuk mendapatkan informasi yang lebih detail.
Dropbox menyediakan pengujian SOC 2 yang mengevaluasi kontrol kami untuk aturan Keamanan, Privasi, dan Pemberitahuan Pelanggaran HIPAA/HITECH, serta pemetaan praktik internal kami dan rekomendasi untuk pelanggan yang ingin memenuhi persyaratan aturan Keamanan dan Privasi HIPAA/HITECH dengan Dropbox untuk bisnis atau Dropbox Education.
Pelanggan yang tertarik untuk meminta dokumen ini dapat menghubungi tim penjualan kami. Jika saat ini Anda adalah admin tim Dropbox untuk bisnis atau Dropbox Education, Anda dapat menandatangani BAA secara elektronik dari halaman Akun di Konsol Admin.
Catatan: Penandatanganan BAA elektronik melalui Konsol Admin hanya tersedia untuk pelanggan di AS.
Laporan Pengesahan NIST SP 800-171 R2
Badan Nasional Standar dan Teknologi (National Institute of Standards and Technology - NIST) AS mendorong dan menjalankan standar dan pedoman untuk membantu melindungi sistem informasi. Publikasi Khusus NIST (NIST Special Publication (SP)) 800-171 Revisi 2 (R2) memberikan panduan untuk melindungi Informasi Nonrahasia Terkendali (CUI) di dalam sistem informasi dan organisasi nonfederal. Setiap entitas yang memproses atau menyimpan CUI milik pemerintah AS, seperti lembaga penelitian dan sektor pendidikan, harus mematuhi NIST SP 800-171 R2. Sistem, proses, dan kontrol CUI Dropbox divalidasi oleh auditor pihak ketiga independen, yaitu Ernst & Young LLP.
Laporan NIST SP 800-171 R2 bagi Dropbox untuk bisnis dan Dropbox Education diintegrasikan ke dalam laporan SOC 2 yang tersedia berdasarkan permintaan melalui tim penjualan atau (bagi pelanggan Dropbox untuk bisnis yang ada) bagian dukungan.
*Dropbox Paper tidak termasuk dalam cakupan laporan NIST SP 800-171 R2.
EU-U.S. Privacy Shield dan Swiss-U.S. Privacy Shield
Dropbox mematuhi kerangka kerja Privacy Shield EU-AS dan Swiss-AS sebagaimana yang ditetapkan oleh Departemen Perdagangan AS mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi yang dikirimkan dari negara-negara Uni Eropa, Kawasan Ekonomi Eropa, Inggris, dan Swiss ke Amerika Serikat. Menaati Prinsip-Prinsip Privacy Shield akan memastikan bahwa suatu organisasi menyediakan perlindungan privasi yang memadai berdasarkan GDPR.
Lihat sertifikasi Privacy Shield Dropbox dan ketahui selanjutnya di situs web Privacy Shield.
Peraturan Perlindungan Data Umum Uni Eropa (GDPR)
General Data Protection Regulation 2016/679, atau GDPR, adalah peraturan Uni Eropa yang menandai perubahan besar terhadap kerangka kerja yang ada untuk pemrosesan data pribadi milik subjek data di UE. GDPR memperkenalkan serangkaian persyaratan baru atau lebih lengkap yang akan diterapkan pada perusahaan seperti Dropbox, yang menangani data pribadi. GDPR berlaku mulai 25 Mei 2018 dan menggantikan EU Directive 95/46 EC, atau yang lebih dikenal sebagai Petunjuk Perlindungan Data. Dropbox mematuhi GDPR sehingga pelanggan dapat menggunakan Dropbox untuk memfasilitasi kepatuhan mereka terhadap GDPR. Untuk informasi lebih lanjut, lihat artikel pusat bantuan ini.
Kode Etik Awan UE
Kode Etik Awan UE adalah instrumen sukarela yang memungkinkan penyedia layanan awan, seperti Dropbox, untuk menunjukkan komitmen kami terhadap kepatuhan GDPR. Mengikuti opini positif yang dikeluarkan oleh Dewan Perlindungan Data Eropa (EDPB), Kode Etik Awan Uni Eropa secara resmi disetujui oleh Otoritas Perlindungan Data Belgia pada Mei 2021. Dropbox untuk bisnis, yang terdiri dari paket Standard, Advanced, Enterprise, dan Education untuk tim, telah dinyatakan mematuhi Kode Etik Awan UE dan menerima Tanda Kepatuhan “Level 2”, yang berarti bahwa layanan ini telah menerapkan langkah-langkah teknis, organisasi, dan kontrak sesuai dengan persyaratan Kode. Untuk informasi selengkapnya tentang Kode Etik Awan UE dan kepatuhan Dropbox terhadap kode tersebut, kunjungi situs web resmi Kode.

Siswa dan Anak-anak (FERPA dan COPPA)
Dropbox Business dan Dropbox Education memungkinkan pelanggan menggunakan layanan sesuai dengan kewajiban vendor yang ditentukan oleh Undang-Undang Privasi dan Hak Pendidikan Keluarga (FERPA) AS. Lembaga pendidikan hanya dapat menggunakan Dropbox Business atau Dropbox Education sesuai dengan Undang-Undang Perlindungan Privasi Online Anak (COPRA).
FDA 21 CFR Bagian 11
Bab 21 dari Code of Federal Regulations (CFR) mengatur tentang makanan dan obat-obatan di Amerika Serikat untuk Badan Pengawas Makanan dan Obat-obatan Amerika (FDA), Badan Narkotika Amerika (Drug Enforcement Administration), dan Kantor Kebijakan Pengendalian Obat Amerika (Office of National Drug Control Policy). Bagian 11 dari Bab 21 menentukan kriteria yang digunakan oleh FDA untuk mempertimbangkan apakah suatu catatan elektronik dan tanda tangan elektronik tepercaya, andal, secara umum setara dengan catatan dalam bentuk kertas dan tanda tangan tertulis yang diberikan pada dokumen kertas.
Lihat Laporan Resmi Dropbox dan FDA 21 CFR Bagian 11 dan artikel pusat bantuan untuk informasi selengkapnya tentang bagaimana Dropbox bisa membantu upaya kepatuhan Anda terhadap 21 CFR Bagian 11.
PCI DSS
Dropbox adalah usaha yang tunduk pada Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Atestasi Kepatuhan (AoC) PCI untuk status merchant tersedia jika diminta melalui tim penjualan kami atau (bagi pelanggan Dropbox untuk bisnis yang ada) bagian dukungan.
Penyedia sublayanan kami
Lokasi bersama pusat data dan penyedia layanan terkelola kami juga menjalani audit SOC 1, SOC 2, dan/atau ISO 27001 secara rutin untuk memverifikasi praktik keamanannya. Minimal setahun sekali, Dropbox meninjau hasil audit tersebut atau melakukan peninjauan keamanan vendor, jika laporan audit tidak tersedia sebagai bagian dari program manajemen keamanan informasi kami. Apabila audit atau tinjauan ini menemukan adanya material yang kami tetapkan sebagai risiko saat ini bagi Dropbox atau pelanggan kami, kami akan bekerja sama dengan penyedia layanan untuk memahami semua potensi dampak terhadap data pelanggan dan melacak semua upaya perbaikan sampai masalahnya selesai.
Informasi lebih lanjut tentang kepatuhan Dropbox untuk bisnis atau Dropbox Education
Dokumen kepatuhan dan sertifikasi dapat diminta melalui perwakilan penjualan Dropbox atau (bagi pelanggan Dropbox untuk bisnis yang ada) bagian dukungan.