Conforme agli standard e alla normativa

Certificazioni ISO

L'Organizzazione internazionale per la standardizzazione (ISO) ha sviluppato una serie di standard sofisticati per la sicurezza sociale e delle informazioni per aiutare le organizzazioni a sviluppare prodotti e servizi affidabili e innovativi. Dropbox ha ottenuto la certificazione per data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young CertifyPoint con sede nei Paesi Bassi.

ISO 27001 (gestione della sicurezza delle informazioni)

La norma ISO 27001 è riconosciuta come principale standard mondiale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Gli standard sfruttano inoltre le best practice sulla sicurezza illustrate nella norma ISO 27002. Per guadagnarci la tua fiducia, in Dropbox gestiamo e miglioriamo continuamente e in modo completo i nostri controlli fisici, tecnici e legali. Il nostro istituto di certificazione Ernst & Young CertifyPoint possiede l'accreditamento ISO 27001 concesso dal Raad voor Accreditatie (consiglio di accreditamento olandese). Visualizza il certificato ISO 27001 di Dropbox per aziende e Dropbox Education.

ISO 27017 (sicurezza del cloud)

ISO 27017 è uno standard internazionale per la sicurezza del cloud che fornisce linee guida per i controlli di sicurezza applicabili alla fornitura e utilizzo di servizi cloud. La nostra Guida alla responsabilità condivisa illustra molti dei requisiti relativi a sicurezza, privacy e compliance a cui Dropbox e i suoi clienti possono trovare una soluzione condivisa. Visualizza il certificato ISO 27001 di Dropbox per aziende e Dropbox Education.

ISO 27018 (privacy nel cloud e protezione dei dati)

ISO 27018 è uno standard internazionale per la privacy e la protezione dei dati che si applica ai fornitori di servizi sul cloud come Dropbox che elaborano dati personali per conto dei loro clienti e fornisce una base su cui i nostri clienti possono affrontare questioni o requisiti normativi e contrattuali più frequenti. Leggi il certificato ISO 27001 di Dropbox aziende e Dropbox Education.

ISO 22301 (gestione della continuità aziendale)

ISO 22301 è uno standard internazionale per la continuità aziendale che indica alle organizzazioni come ridurre l'impatto di eventi improvvisi e come rispondervi in modo appropriato, minimizzando i potenziali danni. Il sistema di gestione della continuità aziendale (BCMS) di Dropbox aziende fa parte della nostra strategia generale di gestione dei rischi per proteggere le persone e le operazioni in momenti di crisi. Leggi il certificato ISO 27001 di Dropbox aziende e Dropbox Education.

ISO 27701 (gestione delle informazioni personali)

ISO 27701 è uno standard internazionale per la gestione delle informazioni sulla privacy. Lo standard fornisce un quadro normativo per migliorare ed estendere il sistema di gestione della sicurezza delle informazioni disciplinato da ISO 27001 a un sistema di gestione delle informazioni sulla privacy (PIMS). Dropbox per aziende e Dropbox Education hanno ricevuto questa certificazione in quanto responsabili delle informazioni di identificazione personale. Visualizza il certificato ISO 27001 di Dropbox per aziende e Dropbox Education.

Rapporti SOC

I rapporti SOC (Service Organization Controls), noti anche come SOC 1, SOC 2 o SOC 3, sono framework stabiliti dall'American Institute of Certified Public Accountants (AICPA) per fornire resoconti sui controlli implementati all'interno di un'organizzazione. Dropbox ha ottenuto la convalida di data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young LLP.

SOC 3 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il rapporto SOC 3 riguarda tutti i cinque Trust Criteria (criteri di affidabilità) relativi a sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy (TSP Section 100) Il rapporto Dropbox destinato a un uso generico è un executive summary del rapporto SOC 2 e comprende l'opinione della società terza indipendente sul design effettivo e su come vengono condotti i nostri controlli. Visualizza il rapporto SOC 3 di Dropbox per aziende e Dropbox Education

SOC 2 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il report SOC 2 è un'analisi dettagliata basata sul livello dei controlli che riguarda tutti i cinque Trust Service Criteria (criteri di affidabilità del servizio) relativi a sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy (TSP Section 100). Il rapporto SOC 2 comprende una descrizione dettagliata dei processi Dropbox e gli oltre 100 controlli che abbiamo implementato per proteggere i tuoi file. Oltre all'opinione della società terza indipendente sulla struttura effettiva e sulla modalità di conduzione dei controlli, il rapporto comprende le procedure di verifica della società che si occupa dell'audit e i risultati di ciascun controllo. Il nostro rapporto SOC 2 (chiamato a volte rapporto SOC 2+) comprende anche una mappatura controllata dei nostri controlli agli standard ISO menzionati sopra, fornendo ulteriore trasparenza ai nostri clienti. Dropbox può fornire l'analisi del report SOC 2 per Dropbox per aziende e Dropbox Education su richiesta tramite il team di vendita o (per i clienti già iscritti a Dropbox per aziende) tramite l'assistenza.

SOC 1 / SSAE 18 / ISAE 3402 (precedentemente SSAE 16 or SAS 70)

Il rapporto SOC 1 fornisce una garanzia specifica per i clienti che considerano Dropbox per aziende o Dropbox Education un elemento chiave per i propri controlli interni sui programmi di reportistica finanziaria (ICFR). Queste garanzie specifiche vengono utilizzate principalmente per la conformità con la normativa Sarbanes-Oxley (SOX) da parte dei nostri clienti. La revisione da parte dell'istituto di certificazione indipendente viene condotta in conformità con lo Statement on Standards for Attestation Engagements n. 18 (SSAE 18) e l'International Standard on Assurance Engagements n. 3402 (ISAE 3402), che hanno sostituito i precedenti Statement on Standards for Attestation Engagement n.16 (SSAE 16) e Statement on Auditing Standards n. 70 (SAS 70). Dropbox può fornire il report SOC 1 per Dropbox per aziende e Dropbox Education su richiesta tramite il team vendite o (per i clienti già iscritti a Dropbox per aziende) tramite l'assistenza.

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

Il CSA Security, Trust, Assurance, Risk (CSA STAR) Registry (STAR) è un registro gratuito e pubblicamente accessibile che offre un programma di garanzie di sicurezza per i servizi cloud, aiutando in tal modo gli utenti a valutare le procedure di sicurezza dei provider di cloud computing attualmente utilizzati o che stanno pensando di adottare.

Dropbox per aziende e Dropbox Education hanno conseguito sia la certificazione di livello 2 che l'attestato di livello 2 CSA STAR. CSA STAR di livello 2 richiede una valutazione terza indipendente dei nostri controlli di sicurezza effettuata da EY CertifyPoint (per la certificazione) e da Ernst & Young LLP (per l'attestazione) sulla base dei requisiti ISO 27001, dei Trust Service Criteria di SOC 2 e della Cloud Controls Matrix (CCM) v.3.0.1 di CSA. Visualizza la nostra certificazione e attestazione CSA STAR di livello 2 sul sito web di CSA.

HIPAA/HITECH

Dropbox firmerà contratti per partner aziendali (BAA, Business Associate Agreements) con i clienti Dropbox per aziende e Dropbox Education che li richiedono, al fine di rispettare l'Health Insurance Portability and Accountability Act (HIPAA) e l'Health Information Technology for Economic and Clinical Health Act (HITECH). Consulta la nostra guida "Getting Started with HIPAA" e l'articolo del centro assistenza per informazioni più dettagliate.

Dropbox mette a disposizione un'analisi SOC 2 che valuta i nostri controlli rispetto alle norme HIPAA/HITECH in materia di sicurezza, privacy e notifiche di violazione, oltre a offrire una mappatura delle nostre pratiche interne e consigli per i clienti che devono soddisfare i requisiti previsti dalla clausola di protezione e privacy HIPAA/HITECH con Dropbox per aziende ed Education.

I clienti interessati a richiedere questi documenti possono contattare il team di gestione dell'account o il team vendite. Se sei l'amministratore di un team Business o Education, puoi firmare elettronicamente un contratto BAA dalla pagina Account della Console amministratore.

Nota: la firma di un BAA elettronico tramite la Console amministratore è disponibile solo per i clienti con sede negli Stati Uniti.

Rapporto di attestazione NIST SP 800-171 R2

Il National Institute of Standards and Technology (NIST) degli Stati Uniti promuove e gestisce standard e linee guida per supportare e proteggere i sistemi informatici. Il documento NIST Special Publication (SP) 800-171 Revision 2 (R2) fornisce delle linee guida sulla protezione delle informazioni controllate non classificate (CUI, dall'inglese Controlled Unclassified Information) nei sistemi informatici e nelle organizzazioni che non si trovano sul territorio federale. Qualsiasi entità che elabori o memorizzi informazioni controllate non classificate all'interno del territorio statunitense, come istituti di ricerca e appartenenti al settore dell'istruzione, deve essere conforme al regolamento NIST SP 800-171 R2. I sistemi, i processi e i controlli delle informazioni controllate non classificate di Dropbox sono stati approvati da un revisore esterno indipendente, Ernst & Young LLP.

Il rapporto NIST SP 800-171 R2 per Dropbox per aziende e Dropbox Education è integrato nel rapporto SOC 2, che può essere fornito su richiesta dal team di vendita o, per i clienti già iscritti a Dropbox per aziende, tramite l'assistenza.

*Dropbox Paper non è incluso nell'ambito del rapporto NIST SP 800-171 R2.

Scudo UE-USA e Svizzera-USA per la privacy

Dropbox è conforme alle normative del Privacy Shield UE-USA e Svizzera-USA come stabilito dal Dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l'utilizzo e la conservazione dei dati personali provenienti dall'Unione europea, dallo Spazio economico europeo, dal Regno Unito e dalla Svizzera e trasferiti agli Stati Uniti. L'adesione ai principi dell'accordo Privacy Shield garantisce che le organizzazioni forniscano un'adeguata tutela della privacy ai sensi del GDPR.

Visualizza la certificazione Privacy Shield di Dropbox e trova ulteriori informazioni sul sito web di Privacy Shield.

Regolamento generale sulla protezione dei dati dell'UE (GDPR)

Il Regolamento generale sulla protezione dei dati 2016/679 o GDPR è un regolamento dell'Unione europea che segna un cambiamento significativo del quadro normativo esistente per l'elaborazione dei dati personali o individuali nell'UE. Il GDPR ha introdotto una serie di requisiti nuovi o migliorati che si applicano a imprese come Dropbox che gestiscono dati personali. È entrata in vigore il 25 maggio 2018 e ha sostituito la Direttiva attuale 95/46 CE dell'UE, più nota come Direttiva sulla protezione dei dati. Dropbox è conforme con i requisiti del GDPR pertanto i clienti possono utilizzare Dropbox per raggiungere la conformità con il GDPR. Per ulteriori informazioni, consulta questo articolo del centro assistenza.

Codice di condotta UE per il cloud

Il Codice di condotta dell'Unione europea per i servizi cloud (EU Cloud CoC) è uno strumento volontario che consente ai fornitori di servizi cloud, come Dropbox, di dimostrare il loro impegno nel rispettare il GDPR. In seguito al parere positivo espresso dall'EDPB (comitato europeo per la protezione dei dati), il Codice di condotta dell'Unione europea per i servizi cloud è stato approvato ufficialmente dall'autorità per la protezione dei dati belga a maggio 2021. Dropbox per aziende, che include i piani Standard, Advanced, Enterprise ed Education per team, è stato dichiarato conforme al Codice di condotta dell'Unione europea per i servizi cloud e ha ricevuto un marchio di conformità di "Livello 2". Questo significa che i servizi offerti includono misure tecniche, organizzative e contrattuali in linea con i requisiti del Codice. Per ulteriori informazioni sul Codice di condotta dell'Unione europea per i servizi cloud e sulla conformità di Dropbox a tale codice, visitare il sito web ufficiale.

FDA 21 CFR Part 11

Il Titolo 21 del Code of Federal Regulations (CFR) disciplina i prodotti alimentari e farmaceutici negli Stati Uniti per la Food and Drug Administration (FDA), la Drug Enforcement Administration e l'Office of National Drug Control Policy. La Parte 11 del Titolo 21 definisce i criteri in base ai quali l'FDA considera i dati elettronici affidabili, attendibili e generalmente equivalenti ai documenti cartacei e alle firme manoscritte su carta.

Consultra il nostro whitepaper Dropbox and FDA 21 CFR Part 11 e l'articolo del centro assistenza per ulteriori informazioni su come Dropbox può agevolare le tue iniziative di conformità con la Parte 11 del Titolo 21 del CFR.

PCI DSS

Dropbox è conforme agli standard Payment Card Industry Data Security Standard (PCI DSS). L'attestato di conformità (AoC) PCI indicante il nostro stato di commerciante può essere richiesto al team di vendita o (per i clienti già iscritti a Dropbox per aziende) tramite l'assistenza.

Ulteriori informazioni sulla compliance di Dropbox aziende ed Education

I documenti relativi alla conformità e alla certificazione possono essere richiesti tramite l'ufficio vendite di Dropbox oppure (per i clienti già iscritti a Dropbox per aziende) all'assistenza.