Overholdelse av standarder og forskrifter


ISO 27001-sertifisering hos Dropbox

ISO-sertifiseringer

International Organization for Standardization (ISO) har utviklet en rekke standarder i verdensklasse for informasjon og samfunnssikkerhet, som gjør det lettere for organisasjoner å utvikle pålitelige og innovative produkter og tjenester. Dropbox har sertifisert sine datasentre, systemer, applikasjoner, mennesker og prosesser gjennom en serie revisjoner som blir utført av en uavhengig tredjepart, Nederland-baserte EY CertifyPoint.

ISO 27001 (administrasjon av informasjonssikkerhet)

ISO 27001 er anerkjent verden over som den høyeste oppnåelige standarden innen administrasjonssystem for informasjonssikkerhet (ISMS). Denne standarden benytter også de beste fremgangsmåtene for sikkerhet, som er beskrevet i ISO 27002. For å være verdig tilliten din administrerer og forbedrer vi, på en kontinuerlig og omfattende måte, de fysiske, tekniske og juridiske kontrollene hos Dropbox. Revisoren vår, EY CertifyPoint, opprettholder sin ISO 27001-akkreditering fra Raad voor Accreditatie (Nederlandsk akkrediteringsråd). Vis ISO 27001-sertifikatet for Dropbox Business og Dropbox Education.

ISO 27017 (skysikkerhet)

ISO 27017 er en internasjonal standard for skysikkerhet som gir retningslinjer for sikkerhetskontroller som gjelder levering og bruk av skytjenester. Veiledningen om delt ansvar beskriver mange av sikkerhets-, personvern- og overholdelseskravene som Dropbox og kundene kan løse sammen. Vis ISO 27017-sertifikatet for Dropbox Business og Dropbox Education.

ISO 27018 (personvern og databeskyttelse i skyen)

ISO 27018 er en internasjonal standard for personvern og databeskyttelse som gjelder for nettsky-tjenesteleverandører som Dropbox, som behandler personopplysninger på vegne av kundene og gir et grunnlag for kundene hvis de vil ta opp vanlige forskrifts- og kontraktsmessige krav eller spørsmål. Vis ISO 27018-sertifikatet for Dropbox Business og Dropbox Education.

ISO 22301 (administrasjon av bedriftskontinuitet)

ISO 22301 er en internasjonal standard for bedriftskontinuitet som veileder organisasjoner med hensyn til hvordan de kan redusere påvirkningen av forstyrrende hendelser og reagere korrekt på disse hvis de oppstår, ved å minimere skadepotensialet. Systemet for administrering av kontinuitet (BCMS) for Dropbox Business er en del av vår totale risikostyringsstrategi som skal beskytte mennesker og virksomheter når det er krise. Vis ISO 22301-sertifikatet for Dropbox Business og Dropbox Education.


SOC-overholdelse hos Dropbox

SOC-rapporter

SOC-rapporten (Service Organization Controls), kjent som SOC 1, SOC 2 eller SOC 3, er rammeverk som er etablert av American Institute of Certified Public Accountants (AICPA) for rapportering om internkontroll som er implementert i en organisasjon. Dropbox har validert sine systemer, applikasjoner, mennesker og prosesser gjennom en serie revisjoner som utføres av en uavhengig tredjepart, Ernst & Young LLP.

SOC 3 for sikkerhet, taushetsplikt, integritet, tilgjengelighet og personvern

SOC 3-attestasjonsrapporten tar for seg alle de fem «Trust Service»-prinsippene: Sikkerhet, konfidensialitet, behandlingsintegritet, tilgjengelighet og personvern (TSP Avsnitt 100). Den generelle bruksrapporten for Dropbox er en overordnet oppsummering av SOC 2-rapporten og omfatter den uavhengige tredjepartens vurdering om den effektive utformingen og gjennomføringen av kontrollene. Vis Dropbox Business og Dropbox Education SOC 3-undersøkelsen.

SOC 2 for sikkerhet, taushetsplikt, integritet, tilgjengelighet og personvern

SOC 2-rapporten gir kundene kontrollbasert forsikring på et detaljert nivå, som tar for seg alle fem «Trust Service»-prinsippene: sikkerhet, konfidensialitet, behandlingsintegritet, tilgjengelighet og personvern (TSP Avsnitt 100). SOC 2-rapporten inneholder en detaljert beskrivelse av hvordan Dropbox gjennomfører mer enn 100 kontroller for å beskytte tingene dine. I tillegg til vår uavhengige tredjeparts vurdering om effektiv utforming og gjennomføring av kontrollene, beskriver rapporten testutførerens testprosedyrer og resultater for hver kontroll. SOC 2-rapporten (noen ganger omtalt som SOC 2+-rapporten) omfatter også en revidert kartlegging av våre kontroller i henhold til ISO-standardene omtalt ovenfor, noe som gir kundene ekstra innsyn. SOC 2-undersøkelsen for Dropbox Business og Dropbox Education er tilgjengelig på forespørsel rettet til salgsteamet eller kontoadministrasjonsteamet.

SOC 1 / SSAE 18 / ISAE 3402 (tidligere SSAE 16 eller SAS 70)

SOC 1-rapporten gir bestemte forsikringer til kunder som mener at Dropbox Business eller Dropbox Education er et nøkkelelement i deres interne kontroller i finansielle rapporteringsprogram (ICFR). Disse bestemte forsikringene brukes hovedsakelig til å overholde Sarbanes-Oxley (SOX). Den uavhengige tredjepartsgjennomgangen utføres i henhold til «Statement on Standards for Attestation Engagements No. 18» (SSAE 18) og «International Standard on Assurance Engagements No. 3402» (ISAE 3402). Disse standardene har erstattet de frarådede Statement on Standards for Attestation Engagement No.16 (SSAE 16) og Statement on Auditing Standards No. 70 (SAS 70). SOC 1-undersøkelsen for Dropbox Business og Dropbox Education er tilgjengelig på forespørsel rettet til salgsteamet eller kontoadministrasjonsteamet.


CSA Star Certification hos Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) er et gratis, offentlig tilgjengelig register som tilbyr et sikkerhetsprogram for skyløsninger. Dette hjelper brukere med å få tilgang til vurderingen av sikkerheten til skyleverandører de bruker for tiden, eller som de vurderer å begynne å bruke.

Dropbox Business og Dropbox Education har mottatt både CSA STAR Level 2 Certification og Level 2 Attestation. CSA STAR Level 2 krever en tredjeparts uavhengig vurdering av sikkerhetskontrollene av EY CertifyPoint (for Certification) og Ernst & Young LLP (for Attestation), basert på kravene til ISO 27001, SOC 2 Trust Service Principles og CSA Cloud Controls Matrix (CCM) v.3.0.1. Dropbox har også fullført CSA STAR Level 1 Self-Assessment for Dropbox Business og Dropbox Education. Self-Assessment er en streng undersøkelse basert på CSAs Consensus Assessments Initiative Questionnaire (CAIQ), som er på linje med CCM og gir svar på nesten 300 spørsmål en skykunde eller skysikkerhetrevisor kan ønske å spørre. Se vår CSA STAR Level 1- og Level 2-sertifisering og Attestation på CSA-nettstedet


Dropbox HIPAA-sertifisering

HIPAA/HITECH

Dropbox vil signere avtaler av typer Business Associate Agreements (BAA-er) med Dropbox Business- og Dropbox Education-kunder som krever dem for å overholde Health Insurance Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health Act (HITECH). Se veiledningen «Komme i gang med HIPAA» og hjelpesenterartikkelen for å få mer detaljert informasjon.

Dropbox har en tredjeparts forsikringsrapport som evaluerer kontrollene våre for reglene for HIPAA/HITECH sikkerhet, personvern og bruddvarsling, samt en kartlegging av interne rutiner og anbefalinger tilgjengelig for kunder som ønsker å innfri kravene om sikkerhet og personvernregler for HIPAA/HITECH med Dropbox Business eller Dropbox Education.

Kunder som er interessert i å få disse dokumentene, kan enten ta kontakt med kontoadministrasjonsteamet sitt eller salgsteamet vårt. Hvis du er teamadministrator for Dropbox Business eller Dropbox Education, kan du signere en BAA elektronisk fra Konto-siden i administratorverktøyet.

Obs! Det er bare kunder som er basert i USA, og som bruker Dropbox Paper, som kan signere en elektronisk BAA via administratorverktøyet. Dropbox tilbyr ikke HIPAA/HITECH-støtte for Dropbox Paper.


Dropbox Germany BSI C5-rapport

Germany BSI C5 Attestation-rapport

Cloud Computing Compliance Controls Catalog (C5) er et rammeverk etablert av det tyske føderale byrået for IT-sikkerhet (Bundesamt fur Sicherheit in der Informationstechnik – BSI) for rapportering om sikkerhtskontroller for nettskytjenester. Med C5-attesten kan organisasjoner vise at tiltak de har iverksatt for informasjonssikkerheten overholder BSIs «sikkerhetsanbefalinger for skyleverandører». C5 bygger på eksisterende internasjonale sikkerhetskrav som ISO 27001 og CSA STAR. For å få C5-attesten ble systemene, prosessene og kontrollene hos Dropbox godkjent av en uavhengig tredjeparts revisor i Tyskland, nærmere bestemt Ernst & Young GmbH. Den uavhengige revisjonen er utført i samsvar med International Standard on Assurance Engagements No. 3000 (ISAE 3000).

Rapporten inneholder en detaljert beskrivelse av systemene, programmene, prosessene og kontrollene hos Dropbox, i tillegg til den uavhengige revisors testprosedyrer og resultatet for hver kontroll. C5-rapporten for Dropbox Business og Dropbox Education er tilgjengelig på forespørsel rettet til salgsteamet eller kontoadministrasjonsteamet.

*Dropbox Paper er ikke med i omfanget av C5-rapporten.


Privacy Shield-rammeverket mellom EU og USA og Privacy Shield-rammeverket mellom Sveits og EU

Dropbox handler i samsvar med Privacy Shield-rammeverket mellom EU og USA og Privacy Shield-rammeverket mellom Sveits og EU som er fastsatt av US Department of Commerce når det gjelder innsamling, bruk og oppbevaring av personlig informasjon som overføres fra EU, EØS og Sveits til USA. Det å følge Privacy Shield-prinsippene sikrer at en organisasjon gir tilstrekkelig personvernbeskyttelse under EUs direktiv om databeskyttelse.

Vis Privacy Shield-sertifiseringen til Dropbox her og finn ut mer på Privacy Shield-nettstedet.


Personvernforordningen for EU (General Data Protection Regulation – GDPR)

Personvernforordningen for EU 2016/679, eller GDPR markerer en viktig endring i det eksisterende rammeverket for behandling av private data som tilhører personer i EU. GDPR introduserer en rekke nye eller forbedrede krav som vil gjelde for selskaper som Dropbox, som håndterer personopplysninger. Reguleringen trer i kraft 25. mai 2018 og vil erstatte dagens EU-direktiv 95/46 EF, som er bedre kjent som personverndirektivet. I likhet med alle andre ansvarlige selskaper fortsetter Dropbox å videreutvikle og handle basert på detaljerte planer for GDPR-overholdelse, og vi nærmer oss full overholdelse i forkant av 25. mai 2018. Hvis du vil ha mer informasjon, kan du ta en titt på denne artikkelen i hjelpesenteret.


Elever/barn (FERPA og COPPA)

Dropbox Business og Dropbox Education lar kundene bruke disse tjenestene i samsvar med leverandørens forpliktelser som følger av den amerikanske Family Education Rights and Privacy Act (FERPA). Utdanningsinstitusjoner med elever under 13 år kan også bruke Dropbox Business eller Dropbox Education i samsvar med Children's Online Privacy Protection Act (COPPA), forutsatt at de godtar bestemte kontraktsbestemmelser som krever at institusjonen innhenter foreldrenes samtykke når det gjelder bruk av våre tjenester.


Storbritannias Digital Marketplace G-Cloud

Dropbox Business er oppført i Storbritannias Digital Marketplace, hvor myndighetene blant annet formidler anskaffelse av nettskytjenester. Se vår oppføring på Storbritannias Digital Marketplace-nettsted for Dropbox Business Standard-abonnementet, Dropbox Business Advanced-abonnementet og Dropbox Enterprise--abonnement.

*Dropbox Paper er ikke med i oppføringen for UK Digital Marketplace G-Cloud.


PCI DSS

Dropbox som bedrift overholder Payment Card Industry Data Security Standard (PCI DSS). Imidlertid er Dropbox Business, Dropbox Education og Dropbox Paper ikke ment for behandling eller lagring av kredittkorttransaksjoner. PCI Attestation of Compliance (AoC) for bedriftsstatusen vår er tilgjengelig ved forespørsel til salgsteamet eller kontoadministrasjonsteamet.


Våre leverandører av undertjenester

Tjenesteleverandørene våre for samlokaliserte og administrerte datasentre gjennomgår også regelmessige SOC 1-, SOC 2- og/eller ISO 27001-revisjoner for å bekrefte sikkerhetspraksisen i disse firmaene. Dropbox går gjennom resultatene av disse revisjonene, eller går gjennom leverandørsikkerhet hvis en revisjonsrapport ikke er tilgjengelig, minst én gang i året som en del av programmet for administrering av informasjonssikkerhet I tilfelle disse revisjonene eller gjennomgangene har viktige funn som vi vurderer som risikoer for Dropbox eller kundene våre, jobber vi med leverandøren av tjenesten for å få oversikt over potensiell innvirkning på kundedataene, og sporer utbedringsinnstatsen deres til problemet har blitt løst.


Mer informasjon om Dropbox Business- og Dropbox Education-overholdelse

Overholdelses- og sertifiseringsdokumenter kan bli forespurt fra en Dropbox-representant eller kontoadministrasjonsteamet.