Overholdelse av standarder og forskrifter


ISO 27001-sertifisering hos Dropbox

ISO

International Organization for Standardization (ISO) har utviklet en rekke med standarder i verdensklasse for informasjon og samfunnssikkerhet, for å hjelpe organisasjoner med å utvikle pålitelige og innovative produkter og tjenester. Hos Dropbox har vi ISO-sertifisert våre datasentre, vår teknologi, våre systemer, våre programmer, våre mennesker og våre prosesser av en uavhengig tredjepart, Nederland-baserte EY CertifyPoint, som opprettholder sine ISO-akkrediteringer fra Raad voor Accreditatie (Nederlands akkrediteringsråd).

ISO 27001 (informasjonssikkerhet)

ISO 27001 er anerkjent som den beste standarden for administrasjonssystem for informasjonssikkerhet (ISMS) rundt om i verden. Den benytter de beste praksiser som beskrevet i ISO 27002. For å være verdig tilliten din, administrerer vi, kontinuerlig og omfattende, våre fysiske, tekniske og juridiske kontroller hos Dropbox. Se Dropbox Business, Enterprise og Education ISO 27001-sertifikatene.

ISO 27017 (skysikkerhet)

ISO 27017 er en ny internasjonal standard for skysikkerhet som gir retningslinjer for sikkerhetskontroller som gjelder framstilling og bruk av skytjenester. Veiledningen om delt ansvar forklarer alle sikkerhets-, personvern- og overholdelseskrav som Dropbox og kundene kan løse sammen. Se Dropbox Business, Enterprise og Education ISO 27017-sertifikatene.

ISO 27018 (personvern og databeskyttelse i skyen)

ISO 27018 er en nyere internasjonal standard for personvern og databeskyttelse som gjelder for nettsky-tjenesteleverandører som Dropbox, som behandler personopplysninger på vegne av kundene og gir et grunnlag for kundene hvis de vil ta opp vanlige forskrifts- og kontraktsmessige krav eller spørsmål. Se Dropbox Business, Enterprise og Education ISO 27018-sertifikatene.

ISO 22301 (bedriftskontinuitet)

ISO 22301 er en internasjonal standard for bedriftskontinuitet som er en retningslinje for organisasjoner når det gjelder å redusere sannsynligheten for forstyrrende hendelser og respondere korrekt på disse hvis de oppstår, ved å minimere skadepotensialet. Dropbox Business sitt system for administrering av kontinuitet (BCMS) er en del av vår totale risikostyringsstrategi, for å beskytte mennesker og virksomheter når det er krise. Se Dropbox Business, Enterprise og Education ISO 22301-sertifikatene.


CSA Star Certification hos Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) er et gratis, offentlig tilgjengelig register som tilbyr et sikkerhetsprogram for skyløsninger. Dette hjelper brukere med å få tilgang til vurderingen av sikkerheten til skyleverandører de bruker for tiden, eller som de vurderer å begynne å bruke.

Dropbox Business, Enterprise og Education har mottatt CSA STAR Level 2-sertifisering, en tredjeparts uavhengig vurdering av våre sikkerhetskontroller av EY CertifyPoint, basert på kravene i ISO 27001 og CSA Cloud Controls Matrix (CCM) v.3.0.1, et sett med kriterier som måler evnenivåene til skytjenester. Dropbox Business har også gjennomført CSA STAR Level 1 Self-Assessment, en streng undersøkelse basert på CSAs Consensus Assessments Initiative Questionnaire (CAIQ), som tilpasses med CCM og gir svar på nesten 300 spørsmål en skykunde eller skysikkerhetrevisor kan ønske å spørre.


SOC-overholdelse hos Dropbox

SOC

SOC-rapporten (Service Organization Controls), kjent som enten SOC 1, SOC 2 eller SOC 3, er rammeverk etablert av American Institute of Certified Public Accountants (AICPA) for rapportering om internkontroll implementert i en organisasjon. Dropbox har fått sertifisert virksomheten, prosessene og teknologien sin av en uavhengig tredjeparts revisor, Ernst & Young LLP.

SOC 3 for sikkerhet, taushetsplikt, integritet, tilgjengelighet og personvern

SOC 3-attestasjonsrapporten tar for seg de fem «Trust Service Principles of Security», konfidensialitet, integritet, tilgjengelighet og personvern (TSP Avsnitt 100). Dropbox sin generelle bruksrapport er en overordnet oppsummering av SOC 2-rapporten vår, og inkluderer den uavhengige tredjepartens vurdering om den effektive utformingen og gjennomføringen av kontrollene. Se Dropbox Business, Enterprise og Education SOC 3-undersøkelsen.

SOC 2 for sikkerhet, taushetsplikt, integritet, tilgjengelighet og personvern

SOC 2-rapporten gir kundene et detaljert nivå av kontrollbasert forsikring, som tar for seg de fem «Trust Service Principles of Security», konfidensialitet, behandlingsintegritet, tilgjengelighet og personvern (TSP Avsnitt 100). SOC 2-rapporten inneholder en detaljert beskrivelse av Dropbox sine prosesser og mer enn 100 kontroller som vi har iverksatt for å beskytte tingene dine. I tillegg til vår uavhengige tredjeparts vurdering om effektiv utforming og gjennomføring av kontrollene våre, beskriver rapporten testgjennomførerens testprosedyrer og resultater for hver kontroll. SOC 2-undersøkelsen for Dropbox Business, Enterprise og Education er tilgjengelig på forespørsel rettet til salgsteamet eller kontoadministrasjonsteamet.

SOC 1 / SSAE 16 / ISAE 3402 (tidligere SAS 70)

SOC 1-rapporten gir bestemte forsikringer til kunder som fastslår at Dropbox Business, Enterprise eller Education er et nøkkelelement i deres interne kontroller i finansielle rapporteringsprogram (ICFR). Disse bestemte forsikringene brukes hovedsakelig til å overholde Sarbanes-Oxley (SOX). Den uavhengige tredjepartsgjennomgangen utføres i henhold til «Statement on Standards for Attestation Engagements No. 16» (SSAE 16) og «International Standard on Assurance Engagements No. 3402» (ISAE 3402). Disse standardene har erstattet de frarådede Statement on Auditing Standards No. 70 (SAS 70). SOC 2-undersøkelsen for Dropbox Business, Enterprise og Education er tilgjengelig på forespørsel rettet til salgsteamet eller kontoadministrasjonsteamet.


Elever/barn (FERPA og COPPA)

Med Dropbox Business, Enterprise og Education kan kundene bruke disse tjenestene i samsvar med leverandørens forpliktelser som følger av den amerikanske Family Education Rights and Privacy Act (FERPA). Utdanningsinstitusjoner med elever under 13 år kan også bruke Dropbox Business, Enterprise eller Education i samsvar med Children's Online Privacy Protection Act (COPPA), forutsatt at de godtar bestemte kontraktsbestemmelser som krever at institusjonen innhenter foreldrenes samtykke når det gjelder bruk av våre tjenester.

Storbritannias Digital Marketplace G-Cloud

Dropbox Business er nå oppført i Storbritannias Digital Marketplace, hvor myndighetene blant annet formidler anskaffelse av nettskytjenester. Se oppføringen her.


Dropbox HIPAA-sertifisering

HIPAA/HITECH

Dropbox vil signere avtaler av typer Business Associate Agreements (BAA-er) med Dropbox Business, Enterprise eller Education-kunder som krever dem for å overholde Health Insurance Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health Act (HITECH). Se veiledningen «Komme i gang med HIPAA» og hjelpesenterartikkelen for å få mer detaljert informasjon.

Dropbox har en tredjeparts forsikringsrapport som evaluerer kontrollene våre for reglene for HIPAA/HITECH sikkerhet, personvern og bruddvarsling, samt en kartlegging av interne rutiner og anbefalinger tilgjengelig for kunder som ønsker å innfri kravene om sikkerhet og personvernregler for HIPAA/HITECH med Dropbox Business, Enterprise og Education.

Kunder som er interessert i å be om disse dokumentene, kan enten ta kontakt med kontoadministrasjonsteamet sitt eller salgsteamet vårt. Hvis du i øyeblikket er administrator for et Dropbox Business-, Enterprise- eller Education-team, kan du signere en BAA elektronisk fra Konto -siden i administratorverktøyet.

Obs! Det er bare kunder som er basert i USA, og som ikke er involvert i Dropbox Paper-betaen , som kan signere en elektronisk BAA via administratorverktøyet.


PCI DSS

Dropbox som bedrift overholder Payment Card Industry Data Security Standard (PCI DSS). Imidlertid er Dropbox Business, Enterprise og Educationikke ment for behandling eller lagring av kredittkorttransaksjoner. PCI Attestation of Compliance (AoC) for bedriftsstatusen vår er tilgjengelig ved forespørsel til salgsteamet eller kontoadministrasjonsteamet.

Våre leverandører av undertjenester

Tjenesteleverandørene våre for samlokaliserte og administrerte datasentre gjennomgår også regelmessige SOC 1-, SOC 2- og/eller ISO 27001-revisjoner for å bekrefte sikkerhetspraksisen i disse firmaene. Dropbox går gjennom resultatene av disse revisjonene minst én gang i året som en del av programmet for administrering av informasjonssikkerhet. I tilfelle disse revisjonene har viktige funn som vi vurderer som risikoer for Dropbox eller kundene våre, jobber vi med leverandøren av undertjenesten for å få oversikt over potensiell innvirkning på kundedataene, og sporer utbedringsinnstatsen deres til problemet har blitt løst.

Mer informasjon om Dropbox Business, Enterprise og Education-overholdelse

Overholdelses- og sertifiseringsdokumenter kan bli forespurt fra en Dropbox-representant eller kontoadministrasjonsteamet.