Mematuhi piawaian dan peraturan


Pensijilan ISO 27001 di Dropbox

ISO

International Organization for Standardization (ISO) telah membangunkan satu siri piawaian bertaraf dunia untuk keselamatan maklumat dan sosial bagi membantu organisasi membangunkan produk dan perkhidmatan yang inovatif dan boleh diharapkan. Di Dropbox, pusat data, teknologi, sistem, aplikasi, kakitangan, dan proses kami telah diperakui ISO oleh pihak ketiga bebas, EY CertifyPoint yang beribu pejabat di Belanda, yang mengekalkan akreditasi ISO mereka daripada Raad voor Accreditatie (Lembaga Akreditasi Belanda).

ISO 27001 (Keselamatan Maklumat)

ISO 27001 diiktiraf sebagai piawaian sistem pengurusan keselamatan maklumat (ISMS) utama di seluruh dunia yang memanfaatkan amalan terbaik seperti yang dinyatakan dalam ISO 27002. Untuk layak menerima kepercayaan anda, kami menguruskan kawalan fizikal, teknikal, dan perundangan kami di Dropbox secara berterusan dan menyeluruh. Lihat sijil ISO 27001 Dropbox Business, Enterprise, dan Education.

ISO 27017 (Keselamatan Awan)

ISO 27017 merupakan piawaian antarabangsa baru untuk keselamatan awan yang menyediakan garis panduan untuk kawalan keselamatan yang bersesuaian untuk peruntukan dan penggunaan perkhidmatan awan. Panduan Tanggungjawab Bersama kami menjelaskan semua kewajipan keselamatan, privasi, dan kepatuhan yang boleh diselesaikan oleh Dropbox bersama-sama para pelanggannya. Lihat sijil ISO 27017 Dropbox Business, Enterprise, dan Education.

ISO 27018 (Privasi Awan dan Perlindungan Data)

ISO 27018 merupakan piawaian antarabangsa yang semakin diiktiraf untuk perlindungan privasi dan data yang dikenakan kepada pembekal perkhidmatan awan seperti Dropbox yang memproses maklumat peribadi bagi pihak pelanggan mereka dan menyediakan asas di mana pelanggan boleh mengemukakan kehendak atau pertanyaan lazim berkenaan kawal selia dan kontrak. Lihat sijil ISO 27018 Dropbox Business, Enterprise, dan Education.

ISO 22301 (Kesinambungan Perniagaan)

ISO 22301 merupakan piawaian antarabangsa untuk kesinambungan perniagaan yang membimbing organisasi tentang cara untuk mengurangkan kebarangkalian peristiwa kerosakan dan bertindak balas dengan sewajarnya sekiranya ia berlaku dengan meminimumkan potensi kerosakan. Sistem pengurusan kesinambungan Dropbox Business (BCMS) adalah sebahagian daripada strategi pengurusan risiko keseluruhan kami bagi melindungi kakitangan dan operasi sepanjang berlakunya krisis. Lihat sijil ISO 22301 Dropbox Business, Enterprise, dan Education.


Pensijilan CSA Star di Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

Security, Trust & Assurance Registry (STAR) oleh CSA merupakan pusat pendaftaran percuma yang boleh diakses oleh orang awam yang menawarkan program jaminan keselamatan untuk perkhidmatan awan, dan dengan itu membantu pengguna menilai kedudukan keselamatan pembekal awan yang sedang digunakan atau mempertimbang untuk digunakan.

Dropbox Business, Enterprise dan Education telah menerima Pensijilan CSA STAR Tahap 2, penilaian bebas pihak ketiga tentang kawalan keselamatan kami oleh EY CertifyPoint berdasarkan syarat-syarat ISO 27001 dan CSA Cloud Controls Matrix (CCM) v.3.0.1, satu set kriteria yang mengukur tahap keupayaan perkhidmatan awan. Dropbox Business juga telah melengkapkan Penilaian Kendiri CSA STAR Tahap 1, satu tinjauan rapi berdasarkan Concensus Assessments Initiative Questionnaire (CAIQ) CSA, yang selaras dengan CCM, dan menyediakan jawapan kepada hampir 300 soalan yang mungkin ditanya oleh pelanggan awan atau juruaudit keselamatan awan.


Pematuhan SOC di Dropbox

SOC

Laporan Service Organization Controls (SOC), yang dikenali sebagai SOC 1, SOC 2, atau SOC 3 adalah rangka kerja yang diwujudkan oleh American Institute of Certified Public Accountants (AICPA) bagi melaporkan kawalan dalaman yang dilaksanakan dalam sesebuah organisasi. Dropbox telah diperakui operasi, proses dan teknologinya oleh juruaudit pihak ketiga bebas, Ernst & Young LLP.

SOC 3 untuk Keselamatan, Kerahsiaan, Kewibawaan, Ketersediaan, dan Privasi

Laporan jaminan SOC 3 meliputi lima Prinsip Perkhidmatan Amanah iaitu Keselamatan, Kerahsiaan, Kewibawaan, Ketersediaan, dan Privasi (TSP Seksyen 100). Laporan penggunaan umum Dropbox adalah ringkasan eksekutif laporan SOC 2 dan termasuk pendapat juruaudit pihak ketiga bebas mengenai keberkesanan reka bentuk dan pengendalian kawalan kami. Lihat pemeriksaan SOC 3 Dropbox Business, Enteprise dan Pendidikan.

SOC 2 untuk Keselamatan, Kerahsiaan, Kewibawaan, Ketersediaan, dan Privasi

Laporan SOC 2 memberi tahap jaminan berdasarkan kawalan yang terperinci, meliputi lima Prinsip Perkhidmatan Amanah iaitu Keselamatan, Kerahsiaan, Kewibawaan Pemprosesan, Ketersediaan, dan Privasi (TSP Seksyen 100). Laporan SOC 2 mengandungi penerangan terperinci mengenai proses Dropbox dan lebih daripada 100 kawalan yang kami ada untuk melindungi fail anda. Selain daripada pendapat juruaudit pihak ketiga bebas kami berkenaan keberkesanan reka bentuk dan pengendalian kawalan kami, laporan ini mengandungi prosedur ujian juruaudit dan hasil untuk setiap kawalan. Pemeriksaan SOC 2 untuk Dropbox Business, Enterprise, dan Education tersedia atas permintaan menerusi pasukan jualan atau pasukan pengurusan akaun..

SOC 1 / SSAE 16 / ISAE 3402 (sebelum ini SAS 70)

Laporan SOC 1 memberi jaminan khusus untuk pelanggan yang menyatakan bahawa Dropbox Business, Enterprise atau Education adalah elemen utama bagi program kawalan dalaman ke atas pelaporan kewangan (ICFR) mereka. Jaminan khusus ini digunakan terutamanya untuk pematuhan Sarbanes-Oxley (SOX) pelanggan kami. Audit pihak ketiga bebas ini dikendalikan mengikut pematuhan Statement on Standards for Attestation Engagements No. 16 (SSAE 16) dan International Standard on Assurance Engagements No. 3402 (ISAE 3402). Piawaian ini telah menggantikan Statement on Auditing Standards No. 70 (SAS 70) yang dimansuhkan. Pemeriksaan SOC 1 untuk Dropbox Business, Enterprise dan Education tersedia atas permintaan menerusi pasukan jualan atau pasukan pengurusan akaun.


Pelajar dan Kanak-Kanak (FERPA dan COPPA)

Dropbox Business, Enterprise dan Education membolehkan pelanggan menggunakan perkhidmatan dengan mematuhi kewajipan vendor yang dikenakan oleh Family Education Rights and Privacy Act (FERPA) di Amerika Syarikat. Institusi pendidikan dengan pelajar di bawah umur 13 tahun juga boleh menggunakan Dropbox Business, Enterprise atau Education dengan mematuhi Children’s Online Privacy Protection Act (COPPA), dengan syarat mereka bersetuju dengan peruntukan kontrak tertentu yang menghendaki institusi untuk mendapatkan kebenaran ibubapa berhubung penggunaan perkhidmatan kami.

UK Digital Marketplace G-Cloud

Dropbox Business kini tersenarai dalam United Kingdom (UK) Digital Marketplace untuk perolehan perkhidmatan awan kerajaan. Lihat penyenaraian kami di sini.


Pensijilan Dropbox HIPAA

HIPAA/HITECH

Dropbox akan menandatangani perjanjian sekutu perniagaan (BAA) dengan pelanggan Dropbox Business, Enterprise atau Education yang memerlukannya untuk mematuhi Akta Health Insurance Portability and Accountability (HIPAA) dan Akta Health Information Technology for Economic and Clinical Health (HITECH). Sila lihat panduan “Bermula dengan HIPAA” dan artikel pusat bantuan kami untuk maklumat lebih lanjut.

Dropbox menyediakan laporan jaminan pihak ketiga yang menilai pengawalan kami untuk peraturan Keselamatan, Privasi, dan Pemberitahuan Pelanggaran HIPAA/HITECH, dan juga pemetaan amalan dalaman kami serta cadangan untuk pelanggan yang cuba memenuhi syarat-syarat peraturan Keselamatan dan Privasi HIPAA/HITECH dengan Dropbox Business, Enterprise dan Education.

Pelangan yang berminat untuk meminta dokumen ini boleh menghubungi pasukan pengurusan akaun atau pasukan jualan. Jika anda pentadbir pasukan Dropbox Business, Enterprise dan Education, anda boleh menandatangani BAA secara elektronik daripada halaman Akaun dalam Konsol Pentadbir.

Perhatian: Keupayaan untuk menandatangani BAA elektronik melalui Konsol Pentadbir hanya tersedia kepada pelanggan di AS yang tidak terlibat dengan Dropbox Paper beta.


PCI DSS

Dropbox adalah peniaga yang mematuhi Payment Card Industry Data Security Standard (PCI DSS). Walau bagaimanapun, Dropbox Business, Enterprise dan Education tidak bertujuan untuk memproses atau menyimpan transaksi kad kredit. Perakuan Attestation of Compliance (AoC) PCI untuk status perdagangan kami tersedia atas permintaan melalui pasukan jualan atau pasukan pengurusan akaun.

Pembekal subperkhidmatan kami

Lokasi bersama pusat data dan pembekal perkhidmatan di bawah pengurusan kami juga menjalankan audit SOC 1, SOC 2, dan/atau ISO 27001 dengan kerap untuk mengesahkan amalan keselamatan mereka. Dropbox menyemak keputusan audit ini sekurang-kurangnya setiap tahun sebagai sebahagian daripada program pengurusan keselamatan maklumat kami. Sekiranya audit ini mempunyai penemuan kukuh di mana kami menentukan terdapat risiko kepada Dropbox atau pelanggan kami, kami akan bekerja dengan pembekal subperkhidmatan untuk memahami sebarang kesan berpotensi kepada data pelanggan dan mengesan usaha pemulihan mereka sehingga isu itu diselesaikan.

Maklumat lanjut mengenai pematuhan Dropbox Business, Enterprise atau Education

Dokumen pematuhan dan pensijilan boleh diminta melalui wakil atau pasukan pengurusan akaun Dropbox.