Kepatuhan terhadap standar dan peraturan

Sertifikasi ISO

Organisasi Standardisasi Internasional (ISO) telah menyusun serangkaian standar kelas dunia untuk keamanan informasi dan masyarakat untuk membantu organisasi mengembangkan produk dan layanan yang andal dan inovatif. Dropbox telah mensertifikasi pusat data, sistem, aplikasi, karyawan, dan proses miliknya melalui serangkaian audit oleh pihak ketiga independen, yaitu EY CertifyPoint yang berkantor di Belanda.

ISO 27001 (Manajemen Keamanan Informasi)

ISO 27001 diakui sebagai standar sistem manajemen keamanan informasi (ISMS) utama di seluruh dunia. Standar ini juga menggunakan praktik terbaik di bidang keamanan yang dirinci dalam ISO 27002. Untuk mendapatkan kepercayaan Anda, kami terus-menerus dan secara komprehensif mengelola dan meningkatkan kontrol fisik, teknis, dan legal di Dropbox. Auditor kami, EY CertifyPoint, mendapatkan akreditasi ISO 27001 dari Raad voor Accreditatie (Dewan Akreditasi Belanda). Lihat sertifikat ISO 27001 Dropbox Business dan Dropbox Education.

ISO 27017 (Keamanan Cloud)

ISO 27017 adalah standar internasional untuk keamanan cloud yang memberikan panduan kontrol keamanan yang berlaku untuk penyediaan dan penggunaan layanan cloud. Panduan Tanggung Jawab Bersama kami menjelaskan beberapa persyaratan keamanan, privasi, dan kepatuhan yang dapat diatasi bersama oleh Dropbox dan pelanggannya. Lihat sertifikat ISO 27017 Dropbox Business dan Dropbox Education.

ISO 27018 (Privasi Cloud dan Perlindungan Data)

ISO 27018 adalah standar internasional untuk privasi dan perlindungan data yang berlaku untuk penyedia layanan cloud seperti Dropbox yang memproses informasi pribadi mewakili pelanggannya dan menyediakan dasar bagi pelanggan untuk dapat menangani persyaratan atau pertanyaan peraturan dan kontrak pada umumnya. Lihat sertifikat ISO 27018 Dropbox Business dan Dropbox Education.

ISO 22301 (Manajemen Kesinambungan Bisnis)

ISO 22301 adalah standar internasional untuk kesinambungan bisnis yang memberikan panduan pada organisasi terkait cara mengurangi dampak peristiwa-peristiwa yang mengganggu dan menanggapi peristiwa tersebut dengan tepat jika hal itu terjadi dengan meminimalkan potensi kerugian. Sistem manajemen kesinambungan bisnis (BCMS) Dropbox adalah bagian dari strategi manajemen risiko secara keseluruhan untuk melindungi karyawan dan operasi selama masa krisis. Lihat sertifikat ISO 22301, Dropbox Business dan Dropbox Education.

ISO 27701 (Manajemen Informasi Privasi)

ISO 27701 adalah sebuah standar internasional untuk manajemen informasi privasi. Standar tersebut memberikan sebuah kerangka kerja untuk meningkatkan dan mengembangkan sistem manajemen keamanan informasi berdasarkan ISO 27001 menjadi sebuah sistem manajemen informasi privasi (PIMS). Dropbox Business dan Dropbox Education telah menerima sertifikasi ini sebagai pemroses PII. Lihat sertifikat ISO 27701 Dropbox Business dan Dropbox Education.

 

Laporan SOC 

Laporan Kontrol Organisasi Layanan (SOC), yang dikenal dengan istilah SOC 1, SOC 2, atau SOC 3, adalah kerangka kerja yang didirikan oleh American Institute of Certified Public Accountants (AICPA) untuk pelaporan kontrol internal yang diterapkan di dalam organisasi. Dropbox telah memvalidasi sistem, aplikasi, karyawan, dan proses miliknya melalui serangkaian audit oleh pihak ketiga independen, yaitu Ernst & Young LLP.

SOC 3 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi

Laporan jaminan SOC 3 mencakup kelima Kriteria Keandalan untuk Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, dan Privasi (TSP Bab 100) Laporan penggunaan umum Dropbox merupakan ringkasan eksekutif dari laporan SOC 2 dan mencakup pendapat auditor pihak ketiga independen tentang desain dan pengoperasian yang efektif dari kontrol kami. Lihat pengujian SOC 3 untuk Dropbox Business dan Dropbox Education.

SOC 2 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi

Laporan SOC 2 menyajikan rincian tingkat jaminan berdasarkan kontrol, yang mencakup kelima Kriteria Keandalan Layanan untuk Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, dan Privasi (TSP Bab 100). Laporan SOC 2 mencakup gambaran terperinci mengenai proses Dropbox dan lebih dari 100 kontrol tersedia untuk melindungi file Anda. Selain pendapat auditor pihak ketiga independen mengenai desain dan pengoperasian yang efektif dari kontrol kami, laporan ini menyertakan prosedur dan hasil tes auditor untuk masing-masing kontrol. Laporan SOC 2 kami (terkadang juga disebut sebagai laporan SOC 2+) juga menyertakan pemetaan teraudit atas kontrol kami terhadap standar ISO yang disebutkan di atas, untuk memberikan transparansi tambahan kepada pelanggan kami. Pengujian SOC 2 untuk Dropbox Business dan Dropbox Education tersedia berdasarkan permintaan melalui tim penjualan kami atau (untuk pelanggan Dropbox Business saat ini) bagian dukungan.

SOC 1 / SSAE 18 / ISAE 3402 (sebelumnya SSAE 16 atau SAS 70)

Laporan SOC 1 memberikan jaminan spesifik kepada pelanggan yang memutuskan bahwa Dropbox Business atau Dropbox Education merupakan elemen kunci dalam kontrol internal terhadap program laporan keuangan (ICFR) mereka. Jaminan spesifik ini terutama digunakan untuk kepatuhan terhadap Sarbanes-Oxley (SOX) oleh pelanggan kami. Audit oleh pihak ketiga independen dilakukan sesuai dengan Pernyataan Standar Perikatan Pengesahan (Statement on Standards for Attestation Engagements No. 18 (SSAE 18)) dan Standar Internasional Perikatan Jaminan (International Standard on Assurance Engagements No. 3402 (ISAE 3402)). Standar-standar ini telah menggantikan Pernyataan Standar Perikatan Pengesahan No.16 (SSAE 16) dan Pernyataan Standar Audit No. 70 (SAS 70) yang sudah tidak berlaku. Pengujian SOC 1 untuk Dropbox Business dan Dropbox Education tersedia berdasarkan permintaan melalui tim penjualan atau (untuk pelanggan Dropbox Business saat ini) bagian dukungan kami.

 

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

CSA Security, Trust, Assurance, and Risk (STAR) Registry merupakan daftar yang bisa diakses oleh publik secara gratis yang menawarkan program jaminan keamanan untuk layanan cloud, sehingga membantu pengguna menilai bentuk keamanan dari penyedia layanan cloud yang saat ini mereka gunakan atau yang sedang dipertimbangkan untuk dikontrak.

Dropbox Business dan Dropbox Education telah menerima baik Sertifikasi CSA STAR Level 2 dan Pengesahan Level 2. CSA STAR Level 2 membutuhkan penilaian independen pihak ketiga atas kontrol keamanan kami oleh EY CertifyPoint (untuk Sertifikasi) dan Ernst & Young LLP (untuk Pengesahan), berdasarkan persyaratan ISO 27001, SOC 2 Trust Service Criteria, dan CSA Cloud Controls Matrix (CCM) v3.0.1. Lihat Sertifikasi dan Pengesahan CSA STAR Level 2 kami di situs web CSA.

 

HIPAA/HITECH

Dropbox akan menandatangani perjanjian rekan bisnis (BAA) dengan pelanggan Dropbox Business atau Dropbox Education yang membutuhkannya untuk mematuhi Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan Undang-Undang Teknologi Informasi Kesehatan untuk Kesehatan Ekonomi dan Klinis (HITECH). Lihat panduan “Getting Started with HIPAA" dan artikel pusat bantuan untuk mendapatkan informasi lebih terperinci.

Dropbox menyediakan laporan jaminan pihak ketiga yang mengevaluasi kontrol kami terhadap aturan Keamanan, Privasi, dan Pemberitahuan Pelanggaran berdasarkan HIPAA/HITECH, serta pemetaan praktik internal kami dan saran untuk pelanggan yang ingin memenuhi persyaratan aturan Keamanan dan Privasi berdasarkan HIPAA/HITECH dengan Dropbox Business atau Dropbox Education.

Pelanggan yang tertarik untuk meminta dokumen ini dapat menghubungi tim penjualan kami. Jika Anda saat ini adalah admin tim Dropbox Business atau Dropbox Education, Anda dapat menandatangani BAA secara elektronis dari halaman Akun di Konsol Admin.

Catatan: Penandatanganan BAA elektronis melalui Konsol Admin hanya tersedia untuk pelanggan di AS.

 

Laporan Pengesahan C5 BSI Jerman

Cloud Computing Compliance Controls Catalog (C5) merupakan kerangka kerja yang didirikan oleh Dinas Federal Keamanan Teknologi Informasi Jerman (Bundesamt fur Sicherheit in der Informationstechnik - BSI) untuk pelaporan kontrol keamanan yang berlaku untuk penyediaan layanan cloud. Pengesahan C5 membantu organisasi dengan mendemonstrasikan praktik keamanan informasi sesuai dengan “Rekomendasi Keamanan untuk Penyedia Layanan Cloud“ dari BSI. C5 dibangun di atas standar keamanan internasional yang ada seperti ISO 27001 dan CSA STAR. Untuk menerima laporan pengesahan C5, sistem, proses, dan kontrol Dropbox divalidasi oleh auditor pihak ketiga independen yang berkantor di Jerman, yaitu Ernst & Young GmbH. Audit independen tersebut dilaksanakan sesuai dengan Standar Internasional Perikatan Jaminan No. 3000 (ISAE 3000 dan IDW PS 860).

Laporan tersebut mencakup gambaran terperinci mengenai sistem, aplikasi, proses, dan kontrol Dropbox, serta prosedur dan hasil pengujian oleh auditor independen kami untuk masing-masing kontrol. Laporan C5 untuk Dropbox Business dan Dropbox Education tersedia berdasarkan permintaan melalui tim penjualan atau (untuk pelanggan Dropbox Business) bagian dukungan.

*Dropbox Paper tidak termasuk dalam cakupan laporan C5.

 

Laporan Pengesahan NIST SP 800-171 R2

Badan Nasional Standar dan Teknologi (National Institute of Standards and Technology - NIST) AS mendorong dan menjalankan standar dan pedoman untuk membantu melindungi sistem informasi. Publikasi Khusus NIST (NIST Special Publication (SP)) 800-171 Revisi 2 (R2) memberikan panduan untuk melindungi Informasi Nonrahasia Terkendali (CUI) di dalam sistem informasi dan organisasi nonfederal. Setiap entitas yang mengolah atau menyimpan CUI milik pemerintah AS, seperti lembaga penelitian dan sektor pendidikan, harus mematuhi NIST SP 800-171 R2. Sistem, proses, dan kontrol CUI Dropbox divalidasi oleh auditor pihak ketiga independen, yaitu Ernst & Young LLP. 

Laporan NIST SP 800-171 R2 untuk Dropbox Business dan Dropbox Education tersedia berdasarkan permintaan melalui tim penjualan kami atau tim dukungan (untuk pelanggan Dropbox Business saat ini).

*Dropbox Paper tidak termasuk dalam cakupan laporan NIST SP 800-171 R2.

 

Privacy Shield EU-AS dan Privacy Shield Swiss-AS

Dropbox mematuhi kerangka kerja Privacy Shield EU-AS dan Swiss-AS sebagaimana yang ditetapkan oleh Departemen Perdagangan AS mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi yang dikirimkan dari negara-negara Uni Eropa, Kawasan Ekonomi Eropa, Inggris, dan Swiss ke Amerika Serikat. Menaati Prinsip-Prinsip Privacy Shield akan memastikan bahwa suatu organisasi menyediakan perlindungan privasi yang memadai berdasarkan GDPR.

Lihat sertifikasi Privacy Shield Dropbox dan pelajari selengkapnya di  situs web Privacy Shield.

 

Peraturan Perlindungan Data Umum (GDPR) Uni Eropa

General Data Protection Regulation 2016/679, atau GDPR, adalah peraturan Uni Eropa yang menandai perubahan besar terhadap kerangka kerja yang ada untuk pemrosesan data pribadi milik subjek data di UE. GDPR memperkenalkan serangkaian persyaratan baru atau lebih lengkap yang akan diterapkan pada perusahaan seperti Dropbox, yang menangani data pribadi. GDPR berlaku mulai 25 Mei 2018 dan menggantikan EU Directive 95/46 EC, atau yang lebih dikenal sebagai Petunjuk Perlindungan Data. Dropbox mematuhi GDPR sehingga pelanggan dapat menggunakan Dropbox untuk mempermudah kepatuhan mereka terhadap GDPR. Untuk informasi selengkapnya, lihat artikel pusat bantuan ini.

 

Cloud Security Alliance: Kode Etik untuk Kepatuhan Terhadap GDPR

Kode Etik CSA untuk Kepatuhan Terhadap GDPR adalah sebuah perangkat akuntabilitas suka rela dan penerapan transparansi komprehensif yang dirancang untuk memungkinkan penyedia layanan cloud, seperti Dropbox, untuk menunjukkan kepada pelanggan cloud bagaimana mereka mematuhi elemen-elemen utama dalam Peraturan Perlindungan Data Umum (GDPR) UE. Dropbox Business telah menyelesaikan penilaian mandiri Kode Etik CSA untuk Kepatuhan Terhadap GDPR, yang meliputi audit menyeluruh oleh penilai pihak ketiga, dan mendapatkan Nilai Kepatuhan "Declared" (Telah Dinilai). Untuk informasi selengkapnya tentang Kode Etik CSA untuk Kepatuhan Terhadap GDPR dan kepatuhan Dropbox terhadap Kode Etik tersebut, silakan kunjungi situs web CSA.

 

Pelajar dan Anak-anak (FERPA dan COPPA)

Dropbox Business dan Dropbox Education memungkinkan pelanggan menggunakan layanan sesuai dengan kewajiban vendor yang ditentukan oleh Undang-Undang Privasi dan Hak Pendidikan Keluarga (FERPA) AS. Lembaga pendidikan hanya dapat menggunakan Dropbox Business atau Dropbox Education sesuai dengan Undang-Undang Perlindungan Privasi Online Anak (COPRA). 

 

FDA 21 CFR Bagian 11

Bab 21 dari Code of Federal Regulations (CFR) mengatur tentang makanan dan obat-obatan di Amerika Serikat untuk Badan Pengawas Makanan dan Obat-obatan Amerika (FDA), Badan Narkotika Amerika (Drug Enforcement Administration), dan Kantor Kebijakan Pengendalian Obat Amerika (Office of National Drug Control Policy). Bagian 11 dari Bab 21 menentukan kriteria yang digunakan oleh FDA untuk mempertimbangkan apakah suatu catatan elektronik dan tanda tangan elektronik tepercaya, andal, secara umum setara dengan catatan dalam bentuk kertas dan tanda tangan tertulis yang diberikan pada dokumen kertas.  

Lihat Laporan Resmi Dropbox dan FDA 21 CFR Bagian 11 dan artikel pusat bantuan untuk informasi selengkapnya tentang bagaimana Dropbox bisa membantu upaya kepatuhan Anda terhadap 21 CFR Bagian 11.

 

PCI DSS

Dropbox adalah perusahaan yang tunduk pada Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Namun demikian, Dropbox Business, Dropbox Education, dan Dropbox Paper tidak ditujukan untuk memproses atau menyimpan transaksi kartu kredit. Pengesahan Kepatuhan (AoC) PCI untuk status perusahaan tersedia berdasarkan permintaan melalui tim penjualan atau (untuk pelanggan Dropbox Business saat ini) bagian dukungan kami.

 

Penyedia Sub-layanan kami

Lokasi bersama pusat data dan penyedia layanan terkelola kami juga menjalani audit SOC 1, SOC 2, dan/atau ISO 27001 rutin untuk memverifikasi praktik keamanannya Dropbox. Setidaknya setahun sekali, Dropbox meninjau hasil audit tersebut atau melakukan peninjauan keamanan vendor jika laporan audit tidak tersedia sebagai bagian dari program manajemen keamanan informasi kami. Apabila audit atau tinjauan ini memiliki temuan material yang kami anggap menimbulkan risiko bagi Dropbox atau pelanggan kami, kami akan bekerja sama dengan penyedia layanan untuk memahami setiap potensi dampak terhadap data pelanggan dan mengikuti upaya perbaikan sampai masalah tersebut teratasi.

 

Informasi selengkapnya tentang kepatuhan Dropbox Business atau Dropbox Education

Dokumen kepatuhan dan sertifikasi dapat diminta melalui  perwakilan penjualan Dropbox atau (untuk pelanggan Dropbox Business saat ini) bagian dukungan kami.