Mematuhi piawaian dan peraturan
Pensijilan ISO
International Organization for Standardization (ISO) telah membangunkan satu siri piawaian bertaraf dunia untuk keselamatan maklumat dan sosial bagi membantu organisasi membangunkan produk dan perkhidmatan yang inovatif dan boleh diharapkan. Dropbox telah mengaudit pusat data, sistem, aplikasi, kakitangan, dan prosesnya melalui satu siri audit oleh pihak ketiga bebas yang berasas di Belanda, EY CertifyPoint.
ISO 27001 (Pengurusan Keselamatan Maklumat)
ISO 27001 diiktiraf sebagai standard sistem pengurusan keselamatan maklumat (ISMS) premier di seluruh dunia. Standard ini turut memanfaatkan amalan terbaik keselamatan yang dijelaskan dalam ISO 27002. Untuk layak menerima kepercayaan anda, kami mengurus dan menambah baik kawalan fizikal, teknikal, dan perundangan kami di Dropbox secara berterusan dan menyeluruh. Juruaudit kami, EY CertifyPoint, mengekalkan pentauliahan ISO 27001 mereka daripada Raad voor Accreditatie (Majlis Pentauliahan Belanda). Lihat sijil ISO 27001 Dropbox Standard, Advanced, Enterprise dan Education.
ISO 27017 (Keselamatan Awan)
ISO 27017 ialah standard antarabangsa untuk keselamatan awan yang menyediakan garis panduan untuk kawalan keselamatan berkenaan dengan peruntukan dan penggunaan perkhidmatan awan. Panduan Tanggungjawab Bersama kami menjelaskan beberapa keperluan keselamatan, privasi, dan pematuhan yang boleh diselesaikan oleh Dropbox bersama-sama pelanggan Dropbox. Lihat sijil ISO 27017 Dropbox Standard, Advanced, Enterprise dan Education.
ISO 27018 (Privasi Awan dan Perlindungan Data)
ISO 27018 ialah standard antarabangsa untuk perlindungan privasi dan data yang dikenakan kepada pembekal perkhidmatan awan seperti Dropbox yang memproses maklumat peribadi bagi pihak pelanggan mereka dan menyediakan dasar tempat pelanggan boleh mengemukakan keperluan atau pertanyaan lazim berkenaan peraturan dan kontrak. Lihat sijil ISO 27018 Dropbox Standard, Advanced, Enterprise dan Education.
ISO 22301 (Pengurusan Kesinambungan Perniagaan)
ISO 22301 ialah standard antarabangsa untuk kesinambungan perniagaan yang membimbing organisasi tentang cara mengurangkan kesan peristiwa kerosakan dan bertindak balas dengan sewajarnya sekiranya perkara berlaku dengan meminimumkan potensi kerosakan. Sistem Pengurusan Kesinambungan Dropbox untuk Perniagaan (BCMS) merupakan sebahagian daripada strategi pengurusan risiko keseluruhan kami bagi melindungi kakitangan dan operasi apabila berlakunya krisis. Lihat sijil ISO 22301 Dropbox Standard, Advanced, Enterprise dan Education.
ISO 27701 (Pengurusan Maklumat Privasi)
ISO 27701 ialah standard antarabangsa untuk pengurusan maklumat privasi. Standard ini menyediakan rangka kerja untuk mempertingkatkan dan melanjutkan sistem pengurusan keselamatan maklumat di bawah ISO 27001 kepada sistem pengurusan maklumat privasi (PIMS). Dropbox telah menerima pensijilan ini sebagai Pemproses PII. Lihat sijil ISO 27701 Dropbox Standard, Advanced, Enterprise dan Education.
Laporan SOC
Laporan Service Organization Controls (SOC), yang dikenali sebagai SOC 1, SOC 2, atau SOC 3, merupakan rangka kerja yang ditubuhkan oleh American Institute of Certified Public Accountants (AICPA) bagi melaporkan tentang kawalan dalaman yang dilaksanakan dalam sesebuah organisasi. Dropbox telah mengesahkan sistem, aplikasi, kakitangan, dan prosesnya melalui satu siri audit oleh pihak ketiga bebas, Ernst & Young LLP.
SOC 3 untuk Keselamatan, Kerahsiaan, Integriti, Ketersediaan, dan Privasi
Laporan jaminan SOC 3 meliputi kelima-lima Kriteria Amanah iaitu Keselamatan, Ketersediaan, Integriti Pemprosesan, Kerahsiaan, dan Privasi (TSP Seksyen 100). Laporan penggunaan umum Dropbox merupakan ringkasan eksekutif laporan SOC 2 dan merangkumi pendapat juruaudit pihak ketiga bebas tentang reka bentuk dan pengendalian kawalan kami yang berkesan. Lihat pemeriksaan SOC 3 Dropbox Standard, Advanced, Enterprise dan Education.
SOC 2 untuk Keselamatan, Kerahsiaan, Integriti, Ketersediaan, dan Privasi
Laporan SOC 2 memberi pelanggan tahap jaminan berdasarkan kawalan secara terperinci, yang meliputi kelima-lima Kriteria Perkhidmatan Amanah iaitu Keselamatan, Ketersediaan, Integriti Pemprosesan, Kerahsiaan dan Privasi (TSP Seksyen 100). Laporan SOC 2 mengandungi penerangan terperinci tentang proses Dropbox dan lebih daripada 100 kawalan yang kami ada untuk melindungi kandungan anda. Selain pendapat juruaudit pihak ketiga bebas kami berkenaan dengan reka bentuk dan pengendalian kawalan kami yang berkesan, laporan tersebut merangkumi prosedur dan keputusan ujian juruaudit untuk setiap kawalan. Laporan SOC 2 (kadangkala dirujuk sebagai laporan SOC 2+) kami turut mengandungi pemetaan kawalan kami yang diaudit mengikut standard ISO yang disebut di atas, yang memberikan ketelusan lanjut kepada pelanggan kami. Laporan SOC 2 meliputi Dropbox Standard, Advanced, Enterprise dan Education. Laporan SOC 2 tersedia untuk dimuat turun di Pusat Amanah Dropbox.
SOC 1 / SSAE 18 / ISAE 3402 (sebelum ini SSAE 16 atau SAS 70)
Laporan SOC 1 memberikan jaminan khusus untuk pelanggan yang menentukan Dropbox sebagai elemen utama kawalan dalaman mereka ke atas program pelaporan kewangan (ICFR). Jaminan khusus ini digunakan terutamanya untuk pematuhan Sarbanes-Oxley (SOX) pelanggan kami. Audit pihak ketiga yang bebas dijalankan mengikut Penyataan Standard untuk Penglibatan Pengakusaksian No. 18 (SSAE 18) dan Standard Antarabangsa tentang Penglibatan Jaminan No. 3402 (ISAE 3402). Standard ini telah menggantikan Penyataan tentang Standard untuk Penglibatan Pengakusaksian No.16 (SSAE 16) dan Pernyataan tentang Standard Pengauditan No. 70 (SAS 70) yang disusutkan. Laporan SOC 1 meliputi Dropbox Standard, Advanced, Enterprise dan Education. Laporan SOC 1 tersedia untuk dimuat turun di Pusat Amanah Dropbox.
Pendaftaran Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR)
Security, Trust, Assurance and Risk (STAR) Registry oleh CSA merupakan pusat pendaftaran percuma yang boleh diakses oleh orang awam yang menawarkan program jaminan keselamatan untuk perkhidmatan awan, dan dengan itu membantu pengguna menilai kedudukan keselamatan pembekal awan yang sedang digunakan atau mempertimbangkan untuk digunakan.
Dropbox Standard, Advanced, Enterprise dan Education telah menerima Pensijilan CSA STAR Tahap 2 dan Pengakusaksian Tahap 2. CSA STAR Tahap 2 mewajibkan penilaian bebas pihak ketiga terhadap kawalan keselamatan kami oleh EY CertifyPoint (untuk Pensijilan) dan Ernst & Young LLP (untuk Pengakusaksian), berdasarkan syarat-syarat ISO 27001, SOC 2 Kriteria Perkhidmatan Amanah, dan CSA Cloud Controls Matrix (CCM) v3.0.1. Lihat Pensijilan dan Pengakusaksian CSA STAR Tahap 2 kami di laman web CSA.
HIPAA/HITECH
Dropbox akan menandatangani perjanjian sekutu perniagaan (BAA) dengan pelanggan Dropbox Standard, Advanced, Enterprise dan Education yang memerlukan mereka mematuhi Akta Kemudahalihan dan Kebertanggungjawapan Insurans Kesihatan (HIPAA) dan Akta Teknologi Maklumat Kesihatan untuk Kesihatan Ekonomi dan Klinikal (HITECH). Sila lihat panduan “Bermula dengan HIPAA” dan artikel pusat bantuan kami untuk mendapatkan maklumat lanjut.
Dropbox menyediakan pemeriksaan SOC 2 yang menilai kawalan kami terhadap peraturan Pemberitahuan Keselamatan, Privasi, dan Pelanggaran HIPAA/HITECH, serta pemetaan amalan dalaman kami serta pengesyoran untuk pelanggan yang cuba memenuhi keperluan peraturan Keselamatan dan Privasi HIPAA/HITECH dengan Dropbox Standard, Advanced, Enterprise dan Education.
Pelanggan yang berminat untuk meminta dokumen ini boleh mengakses dokumen tersebut di Pusat Amanah Dropbox. Jika anda merupakan pentadbir pasukan Dropbox pada masa ini, anda boleh menandatangani BAA secara elektronik daripada halaman Akaun dalam Konsol Pentadbir.
Perhatian: Keupayaan untuk menandatangani BAA elektronik melalui Konsol Pentadbir hanya tersedia kepada pelanggan di AS sahaja.
Laporan Pengakusaksian NIST SP 800-171 R2
Institut Piawaian dan Teknologi Negara (NIST) A.A. menggalakkan dan mengekalkan piawaian serta garis panduan untuk membantu melindungi sistem maklumat. Semakan 2 (R2) Penerbitan Khas NIST (SP) 800-171, menyediakan garis panduan tentang cara melindungi Kawalan Tidak Sulit Terkawal (CUI) dalam sistem dan maklumat dan organisasi bukan persekutuan. Mana-mana entiti yang memproses atau menyimpan CUI kerajaan A.S., seperti institusi penyelidikan dan sektor pendidikan, hendaklah mematuhi R2 NIST SP 800-171. Sistem, proses dan kawalan CUI Dropbox disahkan oleh juruaudit pihak ketiga bebas, Ernst & Ernst LLP.
Laporan NIST SP 800-171 R2 untuk Dropbox Standard, Advanced, Enterprise dan Education telah disepadukan ke dalam laporan SOC 2 yang tersedia di Pusat Amanah Dropbox.
*Dropbox Paper tidak termasuk dalam skop NIST SP 800-171 R2 report.
Rangka Kerja Privasi Data KU-A.S., Sambungan UK kepada Rangka Kerja Privasi Data KU-A.S. dan Rangka Kerja Privasi Data Switzerland-A.S.
Dropbox mematuhi Rangka Kerja Privasi Data KU-A.S., Sambungan UK kepada Rangka Kerja Privasi Data KU-A.S., dan Rangka Kerja Privasi Data Switzerland-A.S. seperti yang ditetapkan oleh Jabatan Perdagangan A.S. berkenaan dengan pengumpulan, penggunaan dan pengekalan data peribadi yang dipindahkan dari Kesatuan Eropah, United Kingdom dan Switzerland ke Amerika Syarikat. Mematuhi Prinsip Rangka Kerja Privasi Data memastikan organisasi menyediakan perlindungan privasi yang mencukupi di bawah GDPR.
Lihat pensijilan Rangka Kerja Privasi Data Dropbox dan ketahui lagi di laman web Rangka Kerja Privasi Data.
Peraturan Perlindungan Data Umum EU (GDPR)
The General Data Protection Regulation 2016/679, atau GDPR, merupakan peraturan Kesatuan Eropah yang melambangkan perubahan besar terhadap rangka kerja yang sedia ada untuk memproses data peribadi individu di subjek data EU. GDPR memperkenalkan satu siri syarat baharu atau dipertingkat yang akan digunakan kepada syarikat seperti Dropbox yang mengendalikan data peribadi. GDPR mula berkuat kuasa pada 25 Mei 2018 dan telah menggantikan Arahan EU 95/46 EC, yang lebih dikenali sebagai Arahan Perlindungan Data. Dropbox mematuhi GDPR supaya pelanggan boleh menggunakan Dropbox untuk meringankan pematuhan GDPR mereka. Untuk mendapatkan maklumat lanjut, sila lihat artikel pusat bantuan ini.
Tatakelakuan Awan EU
Tatakelakuan Awan EU merupakan alat sukarela yang membolehkan pembekal perkhidmatan awan seperti Dropbox, untuk menunjukkan komitmen kami terhadap pematuhan GDPR. Berikutan pendapat positif yang dikeluarkan oleh Lembaga Perlindungan Data Eropah (EDPB), Tatakelakuan Awan EU telah diluluskan secara rasmi oleh Pihak Berkuasa Perlindungan Data Belgium pada bulan Mei 2021 (ID Pengesahan: 2022LVL02SCOPE3114). Pelan Standard, Advanced, Enterprise, dan Education Dropbox untuk pasukan telah diisytiharkan mematuhi Tatakelakuan Awan EU dan menerima Tanda Pematuhan “Tahap 2”, yang bermaksud bahawa perkhidmatan ini telah melaksanakan langkah teknikal, organisasi, dan kontrak selaras dengan keperluan Tatakelakuan. Untuk mendapatkan maklumat lanjut tentang Tatakelakuan Awan EU dan pematuhan Dropbox terhadap tatakelakuan ini, sila layari laman web rasmi Tatakelakuan.
Pelajar dan Kanak-Kanak (FERPA dan COPPA)
Dropbox membolehkan pelanggan Pasukan menggunakan perkhidmatan yang mematuhi syarat vendor yang dikenakan oleh US Family Education Rights and Privacy Act (FERPA). Institusi pendidikan hanya boleh menggunakan Dropbox Standard, Advanced, Enterprise dan Education sejajar dengan Akta Perlindungan Privasi Kanak-kanak Dalam Talian (COPPA).
FDA 21 CFR Bahagian 11
Tajuk 21 Kod Peraturan Persekutuan (CFR) mengurus tadbir makanan dan ubat-ubatan kerajaan di Amerika Syarikat untuk Pentadbiran Makanan dan Ubat (FDA), Pentadbiran Penguatkuasaan Ubat, dan Pejabat Dasar Pengawalan Ubat Nasional. Bahagian 11 daripada Tajuk 21 menetapkan kriteria yang FDA melihat rekod dan tandatangan elektronik sebagai boleh diyakini, boleh dipercayai, dan umumnya, setara dengan rekod kertas dan tandatangan bertulis yang ditulis di atas kertas.
Sila lihat Dropbox dan Kertas Putih FDA 21 CFR Bahagian 11 dan artikel pusat bantuan untuk maklumat lanjut tentang cara Dropbox boleh membantu menolong usaha pematuhan anda dengan 21 CFR Bahagian 11.
PCI DSS
Dropbox ialah peniaga yang mematuhi Payment Card Industry Data Security Standard (PCI DSS). PCI Attestation of Compliance (AoC) untuk status peniaga kami tersedia di Pusat Amanah Dropbox.
Pembekal subperkhidmatan kami
Lokasi bersama pusat data dan pembekal perkhidmatan di bawah pengurusan kami juga menjalani audit SOC 1, SOC 2, dan/atau ISO 27001 dengan kerap untuk mengesahkan amalan keselamatan mereka. Sekurang-kurangnya setiap tahun, Dropbox menyemak keputusan audit-audit ini atau melaksanakan semakan keselamatan vendor jika laporan audit tidak tersedia hasil daripada program pengurusan keselamatan maklumat kami. Sekiranya audit atau semakan ini mempunyai penemuan kukuh di mana kami menentukan terdapat risiko kepada Dropbox atau pelanggan kami, kami akan bekerja dengan pembekal perkhidmatan untuk memahami sebarang potensi kesan terhadap data pelanggan dan menjejak usaha pemulihan mereka sehingga isu itu diselesaikan.
Maklumat lanjut tentang pematuhan Dropbox
Dokumen pematuhan dan pensijilan boleh diakses melalui Pusat Amanah Dropbox.