Conformità agli standard e alle normative

Certificazioni ISO

L'Organizzazione internazionale per la standardizzazione (ISO) ha sviluppato una serie di standard sofisticati per la sicurezza sociale e delle informazioni per aiutare le organizzazioni a sviluppare prodotti e servizi affidabili e innovativi. Dropbox ha ottenuto la certificazione per data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young CertifyPoint con sede nei Paesi Bassi.

ISO 27001 (gestione della sicurezza delle informazioni)

La norma ISO 27001 è riconosciuta come principale standard mondiale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Gli standard si affidano inoltre alle best practice sulla sicurezza illustrate nella norma ISO 27002. Per guadagnarci la tua fiducia, in Dropbox gestiamo e miglioriamo continuamente e in modo completo i nostri controlli fisici, tecnici e legali. Il nostro istituto di certificazione Ernst & Young CertifyPoint possiede l'accreditamento ISO 27001 concesso dal Raad voor Accreditatie (Consiglio di accreditamento olandese). Visualizza il certificato ISO 27001 di Dropbox Business e Dropbox Education.

ISO 27017 (sicurezza del cloud)

ISO 27017 è uno standard internazionale per la sicurezza del cloud che fornisce linee guida per i controlli di sicurezza applicabili alla fornitura e all'utilizzo di servizi cloud. La nostra Guida alla responsabilità condivisa illustra molti dei requisiti relativi a sicurezza, privacy e compliance per i quali Dropbox e i suoi clienti possono trovare una soluzione condivisa.Visualizza il certificato ISO 27017 di Dropbox Business e Dropbox Education.

ISO 27018 (privacy nel cloud e protezione dei dati)

ISO 27018 è uno standard internazionale per la privacy e la protezione dei dati che si applica ai fornitori di servizi su cloud, come Dropbox, che elaborano dati personali per conto dei loro clienti; esso fornisce una base su cui i nostri clienti possono soddisfare requisiti e rispondere alle domande di natura normativa e contrattuale più frequenti. Visualizza il certificato ISO 27018 di Dropbox Business e Dropbox Education.

ISO 22301 (gestione della continuità aziendale)

ISO 22301 è uno standard internazionale per la continuità aziendale che indica alle organizzazioni come ridurre l'impatto di eventi improvvisi e come rispondervi in modo appropriato, minimizzando i potenziali danni. Il sistema di gestione di continuità aziendale (BCMS) fa parte della nostra strategia complessiva di gestione del rischio per la protezione del personale e delle operazioni nei momenti critici. Visualizza il certificato ISO 22301 di Dropbox Business e Dropbox Education.

ISO 27701 (gestione delle informazioni personali)

ISO 27701 è uno standard internazionale per la gestione delle informazioni personali. Questo standard offre un framework per ottimizzare ed estendere il sistema di gestione della sicurezza delle informazioni di ISO 27001 a un sistema di gestione delle informazioni personali (PIMS, Privacy Information Management System). Dropbox Business e Dropbox Education hanno ricevuto questa certificazione in qualità di entità che si occupa del trattamento dei dati personali. Visualizza il certificato ISO 27001 di Dropbox Business e Dropbox Education.

 

Rapporti SOC 

I rapporti SOC (Service Organization Controls), noti anche come SOC 1, SOC 2 o SOC 3, sono framework stabiliti dall'American Institute of Certified Public Accountants (AICPA) per fornire resoconti sui controlli implementati all'interno di un'organizzazione. Dropbox ha ottenuto la convalida di data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young LLP.

SOC 3 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il rapporto SOC 3 riguarda tutti i cinque Trust Criteria (criteri di affidabilità) relativi a sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy (TSP Section 100) Il rapporto di Dropbox destinato a un uso generico è un riepilogo operativo del rapporto SOC 2 e comprende l'opinione della società terza indipendente sul design effettivo e su come vengono condotti i nostri controlli.Visualizza il rapporto SOC 3 di Dropbox Business e Dropbox Education

SOC 2 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il rapporto SOC 2 fornisce ai clienti una garanzia dettagliata e basata su controlli, che riguarda tutti i cinque Trust Service Criteria (criteri di affidabilità del servizio) relativi a sicurezza, riservatezza, integrità di elaborazione, disponibilità e privacy (TSP Section 100). Il rapporto SOC 2 comprende una descrizione dettagliata dei processi di Dropbox e gli oltre 100 controlli che abbiamo implementato per proteggere i tuoi file. Oltre all'opinione della società terza indipendente sul design effettivo e sulla conduzione dei nostri controlli, il rapporto comprende le procedure di verifica della società che si occupa dell'audit e i risultati di ciascun controllo. Il nostro rapporto SOC 2 (chiamato a volte rapporto SOC 2+) comprende anche una mappatura verificata dei nostri controlli rispetto agli standard ISO menzionati sopra, offrendo ulteriore trasparenza ai nostri clienti. Dropbox può fornire il rapporto SOC 2 per Dropbox Business e Dropbox Education su richiesta tramite il team di vendita o (per i clienti già iscritti a Dropbox Business) tramite l'assistenza.

SOC 1 / SSAE 18 / ISAE 3402 (precedentemente SSAE 16 o SAS 70)

Il rapporto SOC 1 fornisce una garanzia specifica per i clienti che considerano Dropbox Business o Dropbox Education un elemento chiave per i propri controlli interni sui programmi di reportistica finanziaria (ICFR). Queste garanzie specifiche vengono utilizzate principalmente per la conformità con la normativa Sarbanes-Oxley (SOX) da parte dei nostri clienti. La revisione da parte dell'istituto di certificazione indipendente viene condotta in conformità con lo Statement on Standards for Attestation Engagements n. 18 (SSAE 18) e l'International Standard on Assurance Engagements n. 3402 (ISAE 3402), che hanno sostituito i precedenti Statement on Standards for Attestation Engagement n.16 (SSAE 16) e Statement on Auditing Standards n. 70 (SAS 70). Dropbox può fornire il rapporto SOC 1 per Dropbox Business e Dropbox Education su richiesta tramite il team vendite o (per i clienti già iscritti a Dropbox Business) tramite l'assistenza.

 

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

Il CSA Security, Trust, Assurance, Risk (CSA STAR) Registry (STAR) è un registro gratuito e pubblicamente accessibile che offre un programma di garanzie di sicurezza per i servizi cloud, aiutando in tal modo gli utenti a valutare le procedure di sicurezza dei provider di cloud computing attualmente utilizzati o che stanno pensando di adottare.

Dropbox Business e Dropbox Education hanno conseguito sia la certificazione di livello 2 che l'attestato di livello 2 CSA STAR. CSA STAR di livello 2 richiede una valutazione terza indipendente dei nostri controlli di sicurezza effettuata da EY CertifyPoint (per la certificazione) e da Ernst & Young LLP (per l'attestazione) sulla base dei requisiti ISO 27001, dei Trust Service Criteria di SOC 2 e della Cloud Controls Matrix (CCM) v.3.0.1 di CSA. Visualizza la nostra certificazione e attestazione CSA STAR di livello 2 sul sito web di CSA.

 

HIPAA/HITECH

Dropbox firmerà contratti per partner aziendali (BAA, Business Associate Agreements) con i clienti Dropbox Business e Dropbox Education che li richiedono, al fine di rispettare l'Health Insurance Portability and Accountability Act (HIPAA) e l'Health Information Technology for Economic and Clinical Health Act (HITECH). Consulta la nostra guida "Getting Started with HIPAA" (Introduzione dell'HIPAA) e l'articolo del Centro assistenza per informazioni più dettagliate.

Dropbox mette a disposizione un rapporto di garanzia per terze parti che valuta i nostri controlli in merito alle norme in materia di sicurezza, privacy e notifiche di violazione HIPAA/HITECH, oltre a offrire una mappatura delle nostre pratiche interne e consigli per i clienti che stanno cercando di soddisfare i requisiti previsti dalla clausola di protezione e privacy HIPAA/HITECH con Dropbox Enterprise ed Education.

I clienti interessati a richiedere questi documenti possono contattare il team di gestione dell'account o il team di vendita. Se sei l'amministratore di un team Business o Education, puoi firmare elettronicamente un contratto BAA dalla pagina Account della Console amministratore.

Nota: la firma di un BAA elettronico tramite la Console amministratore è disponibile solo per i clienti con sede negli Stati Uniti.

 

Rapporto sull'attestazione C5 del BSI tedesco su Dropbox

Il Cloud Computing Compliance Controls Catalog (C5) è un sistema introdotto dall'Ufficio federale tedesco per la sicurezza informatica (Bundesamt fur Sicherheit in der Informationstechnik - BSI) per la generazione di rapporti per i controlli di sicurezza applicabili alla fornitura di servizi cloud. L'attestazione C5 aiuta le organizzazioni a dimostrare che le loro pratiche di sicurezza sulle informazioni siano conformi alle "Security Recommendations for Cloud Providers” (raccomandazioni di sicurezza per fornitori di servizi cloud) del BSI. C5 si integra con gli standard esistenti per la sicurezza internazionale quali ISO 27001 e CSA STAR. Allo scopo di ricevere il rapporto sull'attestazione C5, i sistemi, i processi e i controlli di Dropbox sono stati convalidati da Ernst & Young GmbH, un revisore terzo indipendente con sede in Germania. L'audit indipendente viene condotto in conformità con l'International Standard on Assurance Engagements n. 3000 (ISAE 3000 e IDW PS 860).

Tale rapporto include una descrizione dettagliata del sistema Dropbox, delle sue applicazioni, processi e controlli nonché le procedure di test e i risultati di ogni controllo effettuati dal revisore indipendente. Dropbox può fornire il rapporto C5 per Dropbox Business e Dropbox Education su richiesta tramite il team di vendita o (per i clienti già iscritti a Dropbox Business) tramite l'assistenza.

*Dropbox Paper non è incluso nell'ambito del rapporto C5.

 

Rapporto di attestazione NIST SP 800-171 R2

Il National Institute of Standards and Technology (NIST) degli Stati Uniti promuove e gestisce standard e linee guida per supportare e proteggere i sistemi informatici. Il documento NIST Special Publication (SP) 800-171 Revision 2 (R2) fornisce delle linee guida sulla protezione delle informazioni controllate non classificate (CUI, dall'inglese Controlled Unclassified Information) nei sistemi informatici e nelle organizzazioni che non si trovano sul territorio federale. Qualsiasi entità che elabori o memorizzi informazioni controllate non classificate all'interno del territorio statunitense, come istituti di ricerca e appartenenti al settore dell'istruzione, deve essere conforme al regolamento NIST SP 800-171 R2. I sistemi, i processi e i controlli delle informazioni controllate non classificate di Dropbox sono stati approvati da un revisore esterno indipendente, Ernst & Young LLP. 

Dropbox può fornire il rapporto NIST SP 800-171 R2 per Dropbox Business e Dropbox Education su richiesta tramite il team di vendita o, per i clienti già iscritti a Dropbox Business, tramite l'assistenza.

*Dropbox Paper non è incluso nell'ambito del rapporto NIST SP 800-171 R2.

 

Privacy Shield UE-USA e Svizzera-USA

Dropbox è conforme alle normative del Privacy Shield UE-USA e Svizzera-USA come stabilito dal Dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l'utilizzo e la conservazione dei dati personali provenienti dall'Unione europea, dallo Spazio economico europeo, dal Regno Unito e dalla Svizzera e trasferiti agli Stati Uniti. L'adesione ai principi dell'accordo Privacy Shield garantisce che le organizzazioni forniscano un'adeguata tutela della privacy ai sensi del GDPR.

Visualizza la certificazione Privacy Shield di Dropbox e trova ulteriori informazioni sul sito web di Privacy Shield.

 

Regolamento generale sulla protezione dei dati dell'UE (GDPR)

Il Regolamento generale sulla protezione dei dati 2016/679, o GDPR, è un regolamento dell'Unione europea che segna un cambiamento significativo del quadro normativo esistente per l'elaborazione dei dati personali dei soggetti interessati residenti nell'UE. Il GDPR ha introdotto una serie di requisiti nuovi o migliorati che si applicano a imprese come Dropbox che gestiscono dati personali. Il GDPR è entrato in vigore il 25 maggio 2018 e ha sostituito la Direttiva 95/46 CE dell'UE, più nota come Direttiva sulla protezione dei dati. Dropbox è conforme con il GDPR, pertanto i clienti possono utilizzarlo per semplificare il processo di conformità con il GDPR. Per ulteriori informazioni, consulta questo articolo del Centro assistenza.

 

Alleanza sulla sicurezza cloud (CSA, Cloud Security Alliance): codice di condotta per la conformità al GDPR

Il codice di condotta CSA per la conformità al GDPR è uno strumento volontario di responsabilità e trasparenza ideato per consentire a un provider di servizi cloud, come Dropbox, di dimostrare ai clienti cloud la sua conformità agli elementi chiave del Regolamento generale sulla protezione dei dati dell'UE (GDPR). Dropbox Business ha completato l'autovalutazione relativa al Codice di condotta CSA per la conformità al GDPR, che include un'analisi approfondita da parte di un valutatore esterno ed è stata dichiarata la sua conformità. Per ulteriori informazioni sul Codice di condotta CSA per la conformità al GDPR e sulla conformità di Dropbox al codice, visitare il sito web CSA.

 

Studenti e bambini (FERPA e COPPA)

Dropbox for Business consente ai clienti di utilizzare i servizi in conformità agli obblighi per i fornitori imposti dalla legge statunitense FERPA (Family Education Rights and Privacy Act). Gli istituti scolastici possono usare Dropbox Business o Dropbox Education esclusivamente in conformità al Children’s Online Privacy Protection Act (COPPA). 

 

FDA 21 CFR Part 11

Il Titolo 21 del Code of Federal Regulations (CFR) disciplina gli alimenti e i farmaci negli Stati Uniti per la Food and Drug Administration (FDA), la Drug Enforcement Administration e l'Office of National Drug Control Policy. La Parte 11 del Titolo 21 definisce i criteri in base ai quali l'FDA considera i dati elettronici affidabili, attendibili e generalmente equivalenti ai documenti cartacei e alle firme manoscritte su carta.  

Consultra il nostro whitepaper Dropbox and FDA 21 CFR Part 11 e l'articolo del centro assistenza per ulteriori informazioni su come Dropbox può agevolare le tue iniziative di conformità con la Parte 11 del Titolo 21 del CFR.

 

PCI DSS

Dropbox è conforme al Payment Card Industry Data Security Standard (PCI DSS). Tuttavia, Dropbox Business, Education e Paper non nascono con l'obiettivo di elaborare o archiviare dati di transazioni con carta di credito. L'attestato di conformità PCI (AoC) per il nostro stato di commerciante è disponibile su richiesta tramite il team di vendita oppure (per i clienti già iscritti a Dropbox Business) tramite l'assistenza.

 

I nostri provider di sottoservizi

Anche i nostri provider di co-location di data center e i nostri provider di servizi gestiti sono sottoposti ad audit periodici SOC 1, SOC 2 e/o ISO 27001 per verificare le loro pratiche di sicurezza. Almeno una volta all'anno, Dropbox esamina i risultati di questi audit o effettua valutazioni della sicurezza dei fornitori se non sono disponibili rapporti di audit, nel quadro del nostro programma di gestione della sicurezza delle informazioni. Nel caso in cui gli audit o le analisi contengano risultati che costituiscono materialmente un rischio attuale per Dropbox o per i suoi clienti, collaboreremo con il provider di servizi per capire il potenziale impatto sui dati dei clienti e monitoreremo il suo impegno per sanare il problema fino a quando questo non verrà risolto.

 

Ulteriori informazioni sulla compliance di Dropbox Business ed Education

I documenti relativi alla conformità e alla certificazione possono essere richiesti tramite l' ufficio venditedi Dropbox, oppure (per i clienti già iscritti a Dropbox Business) all'assistenza.