Mematuhi piawaian dan peraturan

Pensijilan ISO

International Organization for Standardization (ISO) telah membangunkan satu siri piawaian bertaraf dunia untuk keselamatan maklumat dan sosial bagi membantu organisasi membangunkan produk dan perkhidmatan yang inovatif dan boleh diharapkan. Dropbox telah mengaudit pusat data, sistem, aplikasi, kakitangan, dan prosesnya melalui satu siri audit oleh pihak ketiga bebas yang berasas di Belanda, EY CertifyPoint.

ISO 27001 (Pengurusan Keselamatan Maklumat)

ISO 27001 diiktiraf sebagai piawaian sistem pengurusan keselamatan maklumat (ISMS) premier di seluruh dunia. Piawaian ini turut mengumpil amalan keselamatan terbaik yang dijelaskan dalam ISO 27002. Untuk layak menerima kepercayaan anda, kami mengurus dan memperbaiki kawalan fizikal, teknikal, dan perundangan kami di Dropbox secara berterusan dan menyeluruh. Juruaudit kami, EY CertifyPoint, memelihara akreditasi ISO 27001 mereka daripada Raad voor Accreditatie (Majlis Akreditasi Belanda). Lihat Sijil ISO 27001 Dropbox Business dan Dropbox Education.

ISO 27017 (Keselamatan Awan)

ISO 27017 merupakan piawaian antarabangsa untuk keselamatan awan yang menyediakan garis panduan untuk kawalan keselamatan berkenaan dengan peruntukan dan penggunaan perkhidmatan awan. Panduan Tanggungjawab Bersama kami menjelaskan sebahagian daripada kewajipan keselamatan, privasi dan kepatuhan yang boleh diselesaikan oleh Dropbox bersama-sama para pelanggannya. Lihat Sijil ISO 27001 Dropbox Business dan Dropbox Education.

ISO 27018 (Privasi Awan dan Perlindungan Data)

ISO 27018 merupakan piawaian antarabangsa untuk perlindungan privasi dan data yang dikenakan kepada pembekal perkhidmatan awan seperti Dropbox yang memproses maklumat peribadi bagi pihak pelanggan mereka dan menyediakan dasar di mana pelanggan boleh mengemukakan kehendak atau pertanyaan lazim berkenaan kawalan selia dan kontrak. Lihat Sijil ISO 27001 Dropbox Business dan Dropbox Education.

ISO 22301 (Pengurusan Kesinambungan Perniagaan)

ISO 22301 merupakan piawaian antarabangsa untuk kesinambungan perniagaan yang membimbing organisasi tentang cara untuk mengurangkan kesan peristiwa kerosakan dan bertindak balas dengan sewajarnya sekiranya ia berlaku dengan meminimumkan potensi kerosakan. Sistem pengurusan kesinambungan (BCMS) Dropbox Business adalah sebahagian daripada strategi pengurusan risiko keseluruhan kami bagi melindungi kakitangan dan operasi sepanjang berlakunya krisis. Lihat Sijil ISO 22301 Dropbox Business dan Dropbox Education.

ISO 27701 (Pengurusan Maklumat Privasi)

ISO 27701 merupakan standard antarabangsa untuk pengurusan maklumat privasi. Standard ini menyediakan kerangka kerja untuk meningkatkan dan melanjutkan sistem pengurusan keselamatan di bawah ISO 27001 kepada sistem pengurusan maklumat privasi (PIMS). Dropbox Business dan Dropbox Education telah menerima pensijilan ini sebagai Pemproses PII. Lihat Sijil ISO 27701 Dropbox Business dan Dropbox Education.

 

Laporan SOC 

Laporan Service Organization Controls (SOC), yang dikenali sebagai SOC 1, SOC 2, atau SOC 3, merupakan rangka kerja yang ditubuhkan oleh American Institute of Certified Public Accountants (AICPA) bagi melaporkan tentang kawalan dalaman yang dilaksanakan dalam sesebuah organisasi. Dropbox telah mengesahkan sistem, aplikasi, kakitangan, dan prosesnya melalui satu siri audit oleh pihak ketiga bebas, Ernst & Young LLP.

SOC 3 untuk Keselamatan, Kerahsiaan, Kewibawaan, Ketersediaan, dan Privasi

Laporan jaminan SOC 3 meliputi kesemua lima Kriteria Amanah iaitu Keselamatan, Ketersediaan, Kewibawaan Pemprosesan, Kerahsiaan dan Privasi (TSP Seksyen 100). Laporan penggunaan umum Dropbox merupakan ringkasan eksekutif bagi laporan SOC 2 dan menyertakan pendapat juruaudit pihak ketiga bebas mengenai keberkesanan reka bentuk dan pengendalian kawalan kami. Lihat Pemeriksaan SOC 3 Dropbox Business dan Dropbox Education.

SOC 2 untuk Keselamatan, Kerahsiaan, Kewibawaan, Ketersediaan, dan Privasi

Laporan SOC 2 memberi pelanggan tahap jaminan berdasarkan kawalan secara terperinci, meliputi kesemua lima Prinsip Perkhidmatan Amanah iaitu Keselamatan, Ketersediaan, Kewibawaan Pemprosesan, Kerahsiaan, dan Privasi (TSP Seksyen 100). Laporan SOC 2 mengandungi penerangan terperinci mengenai proses Dropbox dan lebih daripada 100 kawalan yang kami ada untuk melindungi fail anda. Selain daripada pendapat juruaudit pihak ketiga bebas kami berkenaan keberkesanan reka bentuk dan pengendalian kawalan kami, laporan ini mengandungi prosedur ujian juruaudit dan hasil untuk setiap kawalan. Laporan SOC 2 (kadang kala dirujuk sebagai laporan SOC 2+) kami turut mengandungi pemetaan kawalan kami yang diaudit kepada piawaian yang disebut di atas, memberi ketelusan lanjut kepada pelanggan kami. Pemeriksaan SOC 2 untuk Dropbox Business dan Dropbox Education disediakan atas permintaan melalui pasukan jualan kami atau (untuk pelanggan Dropbox Business sedia ada) sokongan.

SOC 1 / SSAE 18 / ISAE 3402 (sebelum ini SSAE 16 atau SAS 70)

Laporan SOC 1 memberi jaminan khusus untuk pelanggan yang menyatakan bahawa Dropbox Business atau Dropbox Education adalah elemen utama bagi program kawalan dalaman ke atas pelaporan kewangan (ICFR) mereka. Jaminan khusus ini digunakan terutamanya untuk pematuhan Sarbanes-Oxley (SOX) pelanggan kami. Audit pihak ketiga bebas ini dikendalikan mengikut Statement on Standards for Attestation Engagements No. 18 (SSAE 18) dan International Standard on Assurance Engagements No. 3402 (ISAE 3402). Piawaian ini telah menggantikan Statement on Standards for Attestation Engagement No. 16 (SSAE 16) dan Statement on Auditing Standards No. 70 (SAS 70) yang dimansuhkan. Pemeriksaan SOC 1 untuk Dropbox Business dan Dropbox Education disediakan atas permintaan melalui pasukan jualan kami atau (untuk pelanggan Dropbox Business sedia ada) sokongan.

 

Cloud Security Alliance: Security, Trust, Assurance, Risk CSA STAR) Registry

Security, Trust, Assurance and Risk (STAR) Registry oleh CSA merupakan pusat pendaftaran percuma yang boleh diakses oleh orang awam yang menawarkan program jaminan keselamatan untuk perkhidmatan awan, dan dengan itu membantu pengguna menilai kedudukan keselamatan pembekal awan yang sedang digunakan atau mempertimbangkan untuk digunakan.

Dropbox Business dan Dropbox Education telah menerima Pensijilan CSA STAR Tahap 2 dan Perakuan Tahap 2. CSA STAR Tahap 2 mewajibkan penilaian pihak ketiga bebas terhadap kawalan keselamatan kami oleh EY CertifyPoint (untuk Pensijilan) dan Ernst & Young LLP (untuk Perakuan), berdasarkan syarat-syarat ISO 27001, SOC 2 Kriteria Perkhidmatan Amanah, dan CSA Cloud Controls Matrix (CCM) v3.0.1. Lihat Pensijilan serta Perakuan CSA STAR Tahap 2 kami di laman web CSA.

 

HIPAA/HITECH

Dropbox akan menandatangani perjanjian sekutu perniagaan (BAA) dengan pelanggan Dropbox Business atau Dropbox Education yang memerlukannya untuk mematuhi Akta Health Insurance Portability and Accountability (HIPAA) dan Akta Health Information Technology for Economic and Clinical Health (HITECH). Sila lihat panduan “Bermula dengan HIPAA” dan artikel pusat bantuan kami untuk maklumat lebih terperinci.

Dropbox menyediakan laporan jaminan pihak ketiga yang menilai pengawalan kami untuk peraturan Keselamatan, Privasi, dan Pemberitahuan Pelanggaran HIPAA/HITECH, dan juga pemetaan amalan dalaman kami serta cadangan untuk pelanggan yang cuba memenuhi syarat peraturan Keselamatan dan Privasi HIPAA/HITECH dengan Dropbox Business dan Dropbox Education.

Pelanggan yang berminat untuk meminta dokumen ini boleh menghubungi pasukan jualan. Jika anda pentadbir pasukan Dropbox Business atau Dropbox Education, anda boleh menandatangani BAA secara elektronik daripada halaman Akaun dalam Konsol Pentadbir.

Perhatian: Keupayaan untuk menandatangani BAA elektronik melalui Konsol Pentadbir hanya tersedia kepada pelanggan di AS sahaja.

 

Laporan Perakuan BSI C5 Jerman

The Cloud Computing Compliance Controls Catalog (C5) merupakan rangka kerja yang ditubuhkan oleh German Federal Office for Security in Information Technology (Bundesamt fur Sicherheit in der Informationstechnik - BSI) untuk melaporkan tentang kawalan keselamatan berkenaan dengan peruntukan perkhidmatan awan. Perakuan C5 akan membantu organisasi membuktikan amalan keselamatan maklumat mereka yang selaras dengan “Security Recommendations for Cloud Providers” oleh BSI. C5 ditubuhkan berasaskan piawaian keselamatan antarabangsa sedia ada seperti ISO 27001 dan CSA STAR. Bagi menerima laporan perakuan C5, sistem, proses, dan kawalan Dropbox telah disahkan oleh juruaudit bebas pihak ketiga dari Jerman, Ernst & Young GmbH. Audit bebas ini dijalankan menurut International Standard on Assurance Engagements No. 3000 (ISAE 3000 dan IDW PS 860).

Laporan ini mengandungi keterangan terperinci tentang sistem, aplikasi, proses, dan kawalan Dropbox, serta prosedur dan keputusan ujian juruaudit bebas kami bagi setiap kawalan. Laporan C5 untuk Dropbox Business dan Dropbox Education disediakan atas permintaan melalui pasukan jualan kami atau (untuk pelanggan Dropbox Business sedia ada) sokongan.

*Dropbox Paper tidak termasuk dalam skop laporan C5.

 

Laporan Pengakusaksian NIST SP 800-171 R2

 Institut Negara Standard dan Teknologi (NIST) mempromosikan dan mengekalkan standard serta garis panduan untuk membantu melindungi sistem maklumat.  Penerbitan Khas NIST (SP) 800-171 Semakan 2 (R2), menyediakan garis panduan tentang melindungi Kawalan Tidak Sulit Terkawal (CUI) dalam sistem dan maklumat dan organisasi bukan persekutuan. Sebarang entiti yang memproses atau menyimpan CUI kerajaan A.S., seperti institusi penyelidikan dan sektor pendidikan, sepatutnya mematuhi NIST SP 800-171 R2. Sistem, proses dan kawalan CUI Dropbox disahkan oleh juruaudit pihak ketiga bebas, Ernst & Young LLP. 

Laporan NIST SP 800-171 R2 untuk Dropbox Business dan Dropbox Education disediakan atas permintaan melalui pasukan jualan kami atau (untuk pelanggan Dropbox Business sedia ada) sokongan.

*Dropbox Paper tidak termasuk dalam skop NIST SP 800-171 R2 report.

 

EU-U.S. Privacy Shield dan Swiss-U.S. Privacy Shield

Dropbox mematuhi Rangka Kerja Privacy Shield EU-U.S. dan Swiss-U.S. seperti yang ditetapkan oleh Jabatan Perdagangan Amerika Syarikat berkenaan pengumpulan, penggunaan, dan pemegangan data peribadi yang dipindahkan dari Kesatuan Eropah, Kawasan Ekonomi Eropah, United Kingdom dan Switzerland ke Amerika Syarikat. Mematuhi Privacy Shield Principles akan memastikan organisasi menyediakan perlindungan privasi yang mencukupi di bawah arahan perlindungan GDPR.

Lihat Pensijilan Privacy Shield Dropbox dan ketahui lebih lanjut di laman web Privacy Shield.

 

Pengawalan Perlindungan Data Umum (GDPR) EU

The General Data Protection Regulation 2016/679, atau GDPR, merupakan peraturan Kesatuan Eropah yang melambangkan perubahan besar terhadap rangka kerja sedia ada untuk memproses data peribadi individu di EU. GDPR memperkenalkan satu siri syarat baharu atau dipertingkat yang akan dikenakan kepada syarikat seperti Dropbox yang mengendalikan data peribadi. GDPR mula berkuat kuasa pada 25 Mei 2018 dan telah menggantikan Arahan EU 95/46 EC, yang lebih dikenali sebagai Arahan Perlindungan Data. Dropbox mematuhi GDPR supaya pelanggan boleh menggunakan Dropbox untuk meringankan pematuhan GDPR mereka. Untuk maklumat lanjut, sila lihat artikel pusat bantuan ini.

 

Cloud Security Alliance: Tatakelakuan untuk Compliant GDPR

Tatakelakuan CSA untuk Compliant GDPR merupakan alat kebertanggungjawaban sukarela dan merupakan latihan ketelusan yang menyeluruh, yang direka untuk membolehkan pembekal perkhidmatan awan seperti Dropbox, menunjukkan pelanggan awan cara ia mematuhi elemen utama Pengawalan Perlindungan Data Umum (GDPR). Dropbox Business telah melengkapkan Tatakelakuan CSA untuk penilaian kendiri Compliant GDPR, yang termasuk audit menyeluruh oleh penilai pihak ketiga dan telah menerima Tanda Pematuhan "Diakui". Bagi maklumat lanjut tentang Tatakelakuan CSA untuk Compliant GDPR dan pematuhan Dropbox dengan Tata ini, sila layari laman web CSA.

 

Pelajar dan Kanak-Kanak (FERPA dan COPPA)

Dropbox Business dan Dropbox Education membolehkan pelanggan menggunakan perkhidmatan yang mematuhi syarat vendor yang dikenakan oleh US Family Education Rights and Privacy Act (FERPA). Institusi pendidikan hanya boleh menggunakan Dropbox Business atau Dropbox Education sejajar dengan Akta Perlindungan Privasi Kanak-kanak Dalam Talian (COPPA). 

 

FDA 21 CFR Bahagian 11

Tajuk 21 Tata Peraturan Persekutuan (Code of Federal Regulations, CFR) mengurus tadbir makanan dan ubat-ubatan di Amerika Syarikat untuk Pentadbiran Makanan dan Ubat (Food and Drug Administration, FDA), Pentadbiran Penguatkuasaan Ubat, dan Pejabat Dasar Pengawalan Ubat Nasional. Bahagian 11 daripada Tajuk 21 menetapkan kriteria yang mana FDA menganggap rekod dan tandatangan elektronik boleh diyakini, boleh dipercayai, dan secara umumnya setara dengan rekod kertas dan tandatangan bertulis yang ditulis di atas kertas. 

Sila lihat Dropbox dan Kertas Putih FDA 21 CFR Bahagian 11 dan artikel pusat bantuan untuk maklumat lanjut tentang cara Dropbox boleh membantu menolong usaha pematuhan anda dengan 21 CFR Bahagian 11.

 

PCI DSS

Dropbox adalah peniaga yang mematuhi Payment Card Industry Data Security Standard (PCI DSS). Walau bagaimanapun, Dropbox Business, Dropbox Education dan Dropbox Paper tidak bertujuan untuk memproses atau menyimpan transaksi kad kredit. Perakuan Attestation of Compliance (AoC) PCI untuk status perdagangan kami disediakan atas permintaan melalui pasukan jualan atau (bagi pelanggan sedia ada Dropbox Business) sokongan.

 

Pembekal subperkhidmatan kami

Lokasi bersama pusat data dan pembekal perkhidmatan di bawah pengurusan kami juga menjalani audit SOC 1, SOC 2, dan/atau ISO 27001 dengan kerap untuk mengesahkan amalan keselamatan mereka. Sekurang-kurangnya setiap tahun, Dropbox menyemak keputusan audit-audit ini atau melaksanakan semakan keselamatan vendor jika laporan audit tidak tersedia hasil daripada program pengurusan keselamatan maklumat kami. Sekiranya audit atau semakan ini mempunyai penemuan kukuh di mana kami menentukan terdapat risiko kepada Dropbox atau pelanggan kami, kami akan bekerja dengan pembekal perkhidmatan untuk memahami sebarang potensi kesan terhadap data pelanggan dan menjejak usaha pemulihan mereka sehingga isu itu diselesaikan.

 

Maklumat lanjut mengenai pematuhan Dropbox Business atau Dropbox Education

Dokumen pematuhan dan pensijilan boleh diminta melalui wakil jualan Dropbox atau (bagi pelanggan sedia ada Dropbox Business) sokongan.