Conforme agli standard e alla normativa


Certificazione ISO 27001 a Dropbox

Certificazioni ISO

L'Organizzazione internazionale per la standardizzazione (ISO) ha sviluppato una serie di standard sofisticati per la sicurezza sociale e delle informazioni per aiutare le organizzazioni a sviluppare prodotti e servizi affidabili e innovativi. Dropbox ha ottenuto la certificazione per data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young CertifyPoint con sede nei Paesi Bassi.

ISO 27001 (gestione della sicurezza delle informazioni)

La norma ISO 27001 è riconosciuta come principale standard mondiale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Gli standard si rifanno inoltre alle best practice sulla sicurezza illustrate nella norma ISO 27002. Per guadagnarci la tua fiducia, in Dropbox gestiamo e miglioriamo continuamente e in modo completo i nostri controlli fisici, tecnici e legali. Il nostro istituto di certificazione Ernst & Young CertifyPoint possiede l'accreditamento ISO 27001 concesso dal Raad voor Accreditatie (consiglio di accreditamento olandese). Visualizza il certificato ISO 27001 di Dropbox Business e Dropbox Education.

ISO 27017 (sicurezza del cloud)

ISO 27017 è uno standard internazionale per la sicurezza del cloud che fornisce linee guida per i controlli di sicurezza applicabili alla fornitura e utilizzo di servizi cloud. La nostra Guida alla responsabilità condivisa illustra molti dei requisiti relativi a sicurezza, privacy e compliance a cui Dropbox e i suoi clienti possono trovare una soluzione condivisa. Visualizza il certificato ISO 27017 di Dropbox Business e Dropbox Education.

ISO 27018 (privacy nel cloud e protezione dei dati)

ISO 27018 è uno standard internazionale per la privacy e la protezione dei dati che si applica ai fornitori di servizi sul cloud come Dropbox che elaborano dati personali per conto dei loro clienti e fornisce una base su cui i nostri clienti possono affrontare questioni o requisiti normativi e contrattuali più frequenti. Visualizza il certificato ISO 27018 di Dropbox Business e Dropbox Education.

ISO 22301 (gestione della continuità aziendale)

ISO 22301 è uno standard internazionale per la continuità aziendale che indica alle organizzazioni come ridurre l'impatto di eventi improvvisi e come rispondervi in modo appropriato, minimizzando i potenziali danni. Il sistema di gestione di continuità aziendale (BCMS) di Dropbox Business fa parte della nostra strategia complessiva di gestione del rischio per la protezione del personale e delle operazioni nei casi di crisi. Visualizza il certificato ISO 22301 di Dropbox Business e Dropbox Education.


Compliance SOC di Dropbox

Rapporti SOC

I rapporti SOC (Service Organization Controls), noti anche come SOC 1, SOC 2 o SOC 3, sono framework stabiliti dall'American Institute of Certified Public Accountants (AICPA) per fornire resoconti sui controlli implementati all'interno di un'organizzazione. Dropbox ha ottenuto la convalida di data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young LLP.

SOC 3 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il rapporto SOC 3 riguarda tutti i cinque Trust Service Principles di sicurezza, riservatezza, integrità dell'elaborazione, disponibilità e privacy (TSP Section 100). Il rapporto Dropbox destinato a un uso generico è un executive summary del rapporto SOC 2 e comprende l'opinione della società terza indipendente sul design effettivo e su come vengono condotti i nostri controlli. Visualizza l'analisi SOC 3 di Dropbox Business e Dropbox Education.

SOC 2 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il rapporto SOC 2 fornisce ai clienti una garanzia dettagliata e basata su controlli, che riguarda tutti i cinque Trust Service Principles relativi a sicurezza, riservatezza, integrità di elaborazione, disponibilità e privacy (TSP Section 100). Il rapporto SOC 2 comprende una descrizione dettagliata dei processi Dropbox e gli oltre 100 controlli che abbiamo implementato per proteggere i tuoi file. Oltre all'opinione della società terza indipendente sul design effettivo e la conduzione dei nostri controlli, il rapporto comprende le procedure di verifica della società che si occupa dell'audit e i risultati di ciascun controllo. Il nostro rapporto SOC 2 (chiamato a volte rapporto SOC 2+) comprende anche una mappatura controllata dei nostri controlli agli standard ISO menzionati sopra, fornendo ulteriore trasparenza ai nostri clienti. L'analisi SOC 2 per Dropbox Business e Dropbox Education è disponibile su richiesta tramite il team di vendita o il team di gestione dell'account.

SOC 1 / SSAE 18 / ISAE 3402 (precedentemente SSAE 16 or SAS 70)

Il rapporto SOC 1 fornisce una garanzia specifica per i clienti che considerano Dropbox Business o Dropbox Education un elemento chiave per i propri controlli interni sui programmi di reportistica finanziaria (ICFR). Queste garanzie specifiche vengono utilizzate principalmente per la conformità con la normativa Sarbanes-Oxley (SOX) da parte dei nostri clienti. La revisione da parte dell'istituto di certificazione indipendente viene condotta in conformità con lo Statement on Standards for Attestation Engagements n. 18 (SSAE 18) e l'International Standard on Assurance Engagements n. 3402 (ISAE 3402), che hanno sostituito i precedenti Statement on Standards for Attestation Engagement n.16 (SSAE 16) e Statement on Auditing Standards n. 70 (SAS 70). L'analisi SOC 1 per Dropbox Business e Dropbox Education è disponibile su richiesta tramite il team di vendita o il team di gestione dell'account.


Certificazione CSA Star a Dropbox

Cloud Security Alliance: Security, Trust and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) è un registro gratuito e pubblicamente accessibile, che offre un programma di garanzie di sicurezza per servizi cloud, aiutando in tal modo gli utenti a valutare le procedure di sicurezza dei provider di cloud computing attualmente utilizzati o che stanno pensando di adottare.

Dropbox Business e Dropbox Education hanno conseguito sia la certificazione di livello 2 che l'attestato di livello 2 CSA STAR. CSA STAR di livello 2 richiede una valutazione terza indipendente dei nostri controlli di sicurezza effettuata da EY CertifyPoint (per la certificazione) e da Ernst & Young LLP (per l'attestazione) sulla base dei requisiti ISO 27001, dei Trust Service Principles di SOC 2 e di Cloud Controls Matrix (CCM) v.3.0.1 di CSA. Dropbox ha inoltre completato l'autovalutazione CSA STAR di livello 1 per Dropbox Business e Dropbox Education. L'autovalutazione è una rigorosa indagine basata sul questionario Consensus Assessments Initiative Questionnaire (CAIQ) di CSA, in linea con il CCM, e fornisce risposte a quasi 300 domande che un cliente cloud o una società di audit della sicurezza nel cloud potrebbero porre. Visualizza la nostra certificazione e attestazione CSA STAR di livello 1 e 2 sul sito web di CSA


Certificazione HIPAA Dropbox

HIPAA/HITECH

Dropbox firmerà contratti Business Associate Agreements (BAA) con i clienti di Dropbox Business o Dropbox Education che li richiedono, al fine di rispettare l'Health Insurance Portability and Accountability Act (HIPAA) e l'Health Information Technology for Economic and Clinical Health Act (HITECH). Consulta la nostra guida "Getting Started with HIPAA" e l'articolo del Centro assistenza per informazioni più dettagliate.

Dropbox mette a disposizione un rapporto di garanzia per le terze parti che valuta i nostri controlli in merito alle norme di Sicurezza, Privacy e Notifiche di violazione HIPAA/HITECH e la mappatura delle nostre pratiche interne e consigli per i clienti che stanno cercando di soddisfare i requisiti HIPAA/HITECH della regola di protezione e privacy con Dropbox Business o Dropbox Education.

I clienti interessati a richiedere questi documenti possono contattare il team di gestione dell'account o il team vendite. Se sei l'amministratore di un teamDropbox Business o Dropbox Education, puoi firmare elettronicamente un contratto BAA dalla pagina Account della Console amministratore.

Nota. La firma di un BAA elettronico tramite la Console amministratore è disponibile solo per i clienti con sede negli Stati Uniti che non utilizzano Dropbox Paper. Dropbox non offre supporto HIPAA/HITECH per Dropbox Paper.


Rapporto C5 del BSI tedesco su Dropbox

Rapporto sull'attestazione C5 del BSI tedesco su Dropbox

Il Cloud Computing Compliance Controls Catalog (C5) è un framework stabilito dall'Ufficio federale tedesco per la Sicurezza informatica (Bundesamt fur Sicherheit in der Informationstechnik - BSI) per la generazione di rapporti per i controlli di sicurezza applicabili alla fornitura di servizi cloud. L'attestazione C5 aiuta le organizzazioni a dimostrare che le loro pratiche di sicurezza delle informazioni sono conformi alle "Security Recommendations for Cloud Providers" di BSI. C5 si integra con gli standard esistenti per la sicurezza internazionale, quali ISO 27001 e CSA STAR. Allo scopo di ricevere il rapporto sull'attestazione C5, i sistemi, i processi e i controlli di Dropbox sono stati convalidati da Ernst & Young GmbH, un revisore terzo indipendente con sede in Germania. L'audit indipendente viene condotto in conformità con l'International Standard on Assurance Engagements n. 3000 (ISAE 3000).

Tale rapporto include una descrizione dettagliata del sistema Dropbox, delle sue applicazioni, processi e controlli nonché le procedure di test e i risultati di ogni controllo effettuati dal revisore indipendente. Il rapporto C5 per Dropbox Business e Dropbox Education è disponibile su richiesta tramite il team di vendita o il team di gestione dell'account.

*Dropbox Paper non è incluso nell'ambito del rapporto C5.


Scudo UE-USA e Svizzera-USA per la privacy

Dropbox è conforme alle normative dello Scudo EU-USA e Svizzera-USA per la privacy come stabilito dal Dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l'utilizzo e la conservazione dei dati personali provenienti dall'Unione Europea, dallo Spazio Economico Europeo e dalla Svizzera e trasferiti agli Stati Uniti. L'adesione ai principi dell'accordo Scudo per la privacy assicura che le organizzazioni forniscano un'adeguata tutela della privacy ai sensi della direttiva sulla tutela dei dati dell'Unione Europea.

Visualizza la certificazione Privacy Shield di Dropbox e trova ulteriori informazioni sul sito web di Privacy Shield.


Regolamento generale sulla protezione dei dati dell'UE (GDPR)

Il Regolamento generale sulla protezione dei dati 2016/679 o GDPR è un regolamento dell'Unione Europea che segna un cambiamento significativo del quadro normativo esistente per l'elaborazione dei dati personali o individuali nell'UE. Il GDPR introduce una serie di requisiti nuovi o migliorati che si applicano a imprese come Dropbox che gestiscono dati personali. Entrerà in vigore il 25 maggio 2018 e sostituirà la Direttiva attuale 95/46 CE dell'UE, più nota come Direttiva sulla protezione dei dati. Come tutte le imprese responsabili, Dropbox continua a creare e sviluppare piani dettagliati per il rispetto del GDPR e segue un processo per assicurare il rispetto completo prima del 25 maggio 2018. Per ulteriori informazioni, consulta questo articolo del Centro assistenza.


Studenti e bambini (FERPA e COPPA)

Dropbox Business e Dropbox Education consentono ai clienti di utilizzare i servizi in conformità agli obblighi per i fornitori imposti dalla legge statunitense FERPA (Family Education Rights and Privacy Act). Anche gli istituti scolastici con studenti di età inferiore a 13 anni possono utilizzare Dropbox Business o Dropbox Education in conformità alla legge COPPA (Children's Online Privacy Protection Act), a condizione che accettino specifiche norme contrattuali che richiedono all'istituto di ottenere il consenso dei genitori in relazione all'uso dei nostri servizi.


G-Cloud Digital Marketplace Regno Unito

Dropbox Business è inserito nel Digital Marketplace del Regno Unito per la fornitura di servizi cloud al settore pubblico. Vedi le nostre schede sul sito web UK Digital Marketplace per il piano Dropbox Business Standard, il piano Dropbox Business Advanced e il piano Dropbox Enterprise.

*Dropbox Paper non è incluso nella scheda di UK Digital Marketplace G-Cloud.


PCI DSS

Dropbox è conforme agli standard Payment Card Industry Data Security Standard (PCI DSS). Tuttavia, Dropbox Dropbox Business, Dropbox Education e Paper non nascono con l'obiettivo di elaborare o archiviare dati di transazioni con carta di credito. L'Attestato di compliance (AoC) PCI per il nostro stato di commerciante è disponibile su richiesta tramite il team di vendita o il team di gestione dell'account.


I nostri provider di sottoservizi

Anche i nostri provider di co-location di data center e i nostri provider di servizi gestiti sono sottoposti ad audit periodici SOC 1, SOC 2 e/o ISO 27001 per verificare le loro pratiche di sicurezza. Almeno una volta all'anno, Dropbox rivede i risultati di questi audit o realizza revisioni della sicurezza dei fornitori se non sono disponibili rapporti di audit nel quadro del nostro programma di gestione della sicurezza delle informazioni. Nel caso in cui gli audit o le revisioni contengano risultati materiali che costituiscono un rischio attuale per Dropbox o per i suoi clienti, lavoreremo con il provider di servizi per capire il potenziale impatto sui dati dei clienti e monitorare i suoi sforzi per sanare il problema fino a quando non verrà risolto.


Ulteriori informazioni sulla compliance di Dropbox Business o Dropbox Education

I documenti relativi alla compliance e le certificazioni possono essere richiesti a un rappresentante Dropbox o al team di gestione dell'account.