Kepatuhan atas standar dan peraturan


Sertifikasi ISO 27001 di Dropbox

Sertifikasi ISO

Organisasi Internasional untuk Standardisasi (ISO) telah mengembangkan serangkaian standar kelas informasi dan keamanan masyarakat kelas dunia untuk membantu organisasi mengembangkan produk dan layanan yang andal dan inovatif. Dropbox telah mensertifikasi pusat data, sistem, aplikasi, orang, dan proses melalui serangkaian audit oleh pihak ketiga independen yaitu EY CertifyPoint yang berbasis di Belanda.

*Dropbox Paper tidak disertakan dalam cakupan sertifikasi ISO.

ISO 27001 (Manajemen Keamanan Informasi)

ISO 27001 diakui sebagai standar sistem manajemen keamanan informasi (ISMS) utama di seluruh dunia. Standar ini juga memanfaatkan praktik terbaik keamanan yang dirinci dalam ISO 27002. Untuk meraih kepercayaan Anda, kami terus menerus dan secara komprehensif mengelola dan meningkatkan kontrol fisik, teknis, dan legal di Dropbox. Auditor kami, EY CertifyPoint, memelihara akreditasi ISO 27001-nya dari Raad voor Accreditatie (Dewan Akreditasi Belanda). Lihat sertifikat ISO 27001 Dropbox Business, Enterprise, dan Education.

ISO 27017 (Keamanan Cloud)

ISO 27017 adalah standar internasional baru untuk keamanan cloud yang memberikan panduan kontrol keamanan yang berlaku untuk penyediaan dan penggunaan layanan cloud. Panduan Pertanggungjawaban Bersama kami menjelaskan beberapa keamanan, privasi, dan persyaratan kepatuhan yang dapat diatasi bersama oleh Dropbox dan pelanggannya. Lihat sertifikat ISO 27017 Dropbox Business, Enterprise, dan Education.

ISO 27018 (Privasi Cloud dan Perlindungan Data)

ISO 27018 adalah standar internasional yang baru muncul untuk privasi dan perlindungan data yang berlaku untuk layanan cloud seperti Dropbox yang memproses informasi pribadi mewakili pelanggannya dan menyediakan dasar bagi pelanggan untuk dapat menjawab berbagai kewajiban dan pertanyaan terkait regulasi umum dan kontrak. Lihat sertifikat ISO 27018 Dropbox Business, Enterprise, dan Education.

ISO 22301 (Manajemen Kelangsungan Bisnis)

ISO 22301 adalah standar internasional untuk kesinambungan bisnis yang memberikan panduan pada organisasi terkait cara mengurangi dampak peristiwa-peristiwa yang mengganggu dan menanggapi peristiwa ini dengan tepat jika hal itu terjadi dengan meminimalkan potensi kerugian. Sistem manajemen berkesinambungan Dropbox Business (BCMS) adalah bagian dari strategi manajemen risiko total untuk melindungi orang-orang dan operasi selama masa krisis. Lihat sertifikat ISO 27301 Dropbox Business, Enterprise dan Education.


Sertifikasi CSA Star di Dropbox

Cloud Security Alliance - Daftar Keamanan, Kepercayaan, dan Jaminan (CSA STAR- Security, Trust, and Assurance Registry)

CSA Security, Trust & Assurance Registry (STAR) merupakan daftar yang bisa diakses gratis oleh publik yang menawarkan program jaminan keamanan untuk layanan cloud, dengan demikian membantu pengguna menilai pendirian keamanan dari penyedia awan yang saat ini mereka gunakan atau rencanakan untuk mengikat kontrak.

Dropbox Business, Enterprise, dan Education telah menerima CSA STAR Level 2 Certification, penilaian independen pihak ketiga dari kontrol keamanan kami oleh EY CertifyPoint berdasarkan persyaratan ISO 27001 dan CSA Cloud Controls Matrix (CCM) v.3.0.1, seperangkat kriteria yang mengukur tingkat kemampuan layanan awan. Dropbox Business juga telah memenuhi CSA STAR Level 1 Self-Assessment, sebuah survei yang sangat akurat berdasarkan CSA’s Consensus Assessments Initiative Questionnaire (CAIQ), yang sejalan dengan CCM, dan memberikan jawaban atas hampir 300 pertanyaan yang berniat diajukan oleh pelanggan awan atau auditor keamanan awan.

*Dropbox Paper tidak disertakan dalam cakupan daftar registrasi CSA STAR.


Kepatuhan SOC di Dropbox

Laporan SOC

Laporan Kontrol Organisasi Layanan (SOC), yang dikenal dengan istilah SOC 1, SOC 2, atau SOC 3, adalah kerangka kerja yang didirikan oleh American Institute of Certified Public Accountants (AICPA) untuk pelaporan kontrol internal yang diimplementasikan di dalam organisasi. Dropbox telah memvalidasikan sistem, aplikasi, orang, dan proses melalui serangkaian audit oleh pihak ketiga independen, Ernst & Young LLP.

*Dropbox Paper tidak disertakan dalam cakupan laporan SOC.

SOC 3 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi.

Laporan jaminan SOC 3 mencakup semua Prinsip Layanan Kepercayaan dari Keamanan, Kerahasiaan, Pemrosesan, Integritas, Ketersediaan, dan Privasi (Bagian 100 TCP). Laporan penggunaan umum ini merupakan ringkasan eksekutif dari laporan SOC 2 kami dan meliputi pendapat auditor independen pihak ketiga tentang desain efektif dan kelangsungan semua kontrol kami. Lihat ujian SOC 3 Dropbox Business, Enterprise, dan Education.

SOC 2 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi

Laporan SOC 2 memberikan pelanggan tingkat jaminan yang berbasis kontrol secara terperinci, yang mencakup semua Prinsip Layanan Kepercayaan dari Keamanan, Kerahasiaan, Integritas Pemrosesan, Ketersediaan, dan Privasi ( Bagian 100 TCP). Laporan SOC 2 mencakup keterangan mendetail mengenai proses Dropbox dan lebih dari 100 kontrol yang kami miliki untuk melindungi file Anda. Selain pendapat auditor pihak ketiga independen mengenai desain yang efektif dan operasi kontrol kami, laporan ini berisi prosedur dan hasil tes auditor untuk masing-masing kontrol. Ujian SOC 2 untuk Dropbox Business, Enterprise, dan Education tersedia jika diminta melalui tim penjualan atau tim manajemen akun.

SOC 1 / SSAE 16 / ISAE 3402 (sebelumnya SAS 70)

Laporan SOC 1 menyediakan jaminan spesifik kepada pelanggan yang menetapkan bahwa Dropbox Business, Enterprise, atau Education merupakan elemen kunci bagi kontrol internal mereka atas program laporan keuangan (ICFR). Jaminan spesifik ini utamanya digunakan untuk kepatuhan Sarbanes-Oxley (SOX) pelanggan kami. Auditor pihak ketiga independen dilakukan sesuai dengan Pernyataan tentang Standar Pelibatan Pengesahan (Statement on Standards for Attestation Engagements No. 16 (SSAE 16)) dan Standar Internasional tentang Pelibatan Jaminan (International Standard on Assurance Engagements No. 3402 (ISAE 3402)). Standar-standar ini telah menggantikan Statement on Auditing Standards No. 70 (SAS 70) yang telah usang. Ujian SOC 1 untuk Dropbox Business, Enterprise, dan Education tersedia jika diminta melalui tim penjualan atau tim manajemen akun.


Siswa dan Anak-anak (FERPA dan COPPA)

Dropbox Business, Enterprise, dan Education memungkinkan konsumen menggunakan layanan yang mematuhi kewajiban vendor yang diwajibkan oleh Undang-Undang Hak-Hak dan Privasi Edukasi Keluarga AS ( US Family Education Rights and Privacy Act (FERPA)). Institusi pendidikan dengan siswa berusia kurang dari 13 juga bisa menggunakan Dropbox Business, Enterprise, atau Education sesuai dengan Undang-Undang Perlindungan Privasi Online Anak atau Children's Online Privacy Protection Act (COPPA), dengan syarat mereka setuju dengan ketentuan kontrak khusus yang mewajibkan institusi untuk mendapatkan izin orang tua terkait dengan penggunaan layanan kami.


UK Digital Marketplace G-Cloud

Dropbox Business sekarang terdaftar di United Kingdom (UK) Digital Marketplace untuk pengadaan layanan cloud pemerintah. Lihat daftar kami di sini.

*Dropbox Paper tidak disertakan dalam daftar UK Digital Marketplace G-Cloud.


Sertifikasi HIPAA Dropbox

HIPAA/HITECH

Dropbox akan menandatangani perjanjian rekan bisnis (BAA) dengan pelanggan Dropbox Business, Enterprise, atau Education yang membutuhkannya untuk mematuhi Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Technology for Economic and Clinical Health Act (HITECH). Lihat panduan “Getting Started with HIPAA" (dalam Bahasa Inggris)” dan artikel Pusat Bantuan untuk mendapatkan informasi lebih mendetail.

Dropbox menyediakan laporan jaminan pihak ketiga yang mengevaluasi kontrol kami atas Keamanan HIPAA/HITECH, Privasim dan aturan Pemberitahuan Pelanggaran, serta pemetaan antara praktik internal kami dan saran untuk pelanggan yang ingin memenuhi persyaratan aturan HIPAA/HITECH Security and Privacy Rule dengan Dropbox Business, Enterprise, dan Education.

Pelanggan yang tertarik untuk meminta dokumen ini dapat menghubungi tim manajemen akun mereka atau menghubungi tim penjualan kami. Jika saat ini Anda adalah admin tim Dropbox Business, Enterprise, and Education, Anda dapat menandatangani BAA secara elektronik dari halaman Akun di Konsol Admin.

Perhatikan: Kemampuan untuk menandatangani BAA elektronik melalui Konsol Admin hanya tersedia bagi pelanggan yang berada di AS dan tidak menggunakan Dropbox Paper. Dropbox tidak menawarkan dukungan HIPAA/HITECH untuk Dropbox Paper.


PCI DSS

Dropbox adalah usaha yang tunduk pada Standar Keamanan Data Industri Kartu Pembayaran atau Payment Card Industry Data Security Standard (PCI DSS). Namun demikian, Dropbox Business, Enterprise, Education, dan Dropbox Paper tidak dimaksudkan sebagai pihak yang memproses atau menyimpan transaksi kartu kredit. PCI Attestation of Compliance (AoC) sebagai status usaha kami tersedia apabila diminta melalui tim penjualan atau tim manajemen akun.

EU-U.S. Privacy Shield dan Swiss-U.S. Privacy Shield

Dropbox mematuhi kerangka EU-U.S. dan Swiss-U.S. Privacy Shield sebagaimana yang ditetapkan oleh Departemen Perdagangan AS perihal pengumpulan, penggunaan, dan penyimpanan informasi pribadi dari negara-negara anggota Uni Eropa, Wilayah Ekonomi Eropa, dan Swiss ke Amerika Serikat. Mematuhi Privacy Shield Principles memastikan organisasi menyediakan perlindungan privasi yang cukup di bawah direktif UE tentang perlindungan data.

Lihat sertifikasi Privacy Shield Dropbox dan ketahui lebih lanjut di situs web Privacy Shield.

Peraturan Perlindungan Data Umum Uni Eropa (EU General Data Protection Regulation - GDPR)

General Data Protection Regulation 2016/679, atau GDPR, adalah peraturan Uni Eropa yang menandai perubahan yang berarti atas kerangka kerja yang ada untuk pemrosesan data pribadi dari individu di UE. GDPR memperkenalkan serangkaian persyaratan baru atau lebih tinggi yang akan diterapkan pada perusahaan seperti Dropbox yang menangani data pribadi. Peraturan ini akan berlaku mulai 25 Mei 2018 dan menggantikan EU Directive 95/46 EC yang ada saat ini, atau yang lebih dikenal sebagai Data Protection Directive. Seperti halnya semua perusahaan yang bertanggung jawab, Dropbox terus membangun dan melaksanakan rencana terperinci kepatuhan GDPR dan menuju kepatuhan penuh sebelum 25 Mei 2018. Untuk informasi lebih lanjut, lihat artikel pusat bantuan ini.

Penyedia sub-layanan kami

Lokasi bersama pusat data dan penyedia layanan terkelola kami juga menjalani audit SOC 1, SOC 2, dan/atau ISO 27001 reguler untuk memverifikasi praktik keamanannya. Dropbox meninjau semua hasil audit ini setidaknya sekali setahun sebagai bagian dari program pengelolaan keamanan informasi kami. Apabila audit ini menemukan adanya material yang kami tetapkan sebagai risiko saat ini bagi Dropbox atau pelanggan kami, kami akan bekerja sama dengan penyedia sub-layanan untuk memahami semua potensi dampak terhadap data pelanggan dan melacak semua upaya perbaikan sampai masalahnya selesai.

Informasi lebih lanjut tentang kepatuhan Dropbox Business, Enterprise, atau Education

Dokumen kepatuhan dan sertifikasi dapat diminta melalui perwakilan Dropbox atau tim manajemen akun.