International Organization for Standardization (ISO) har utviklet en rekke standarder i verdensklasse for informasjon og samfunnssikkerhet, som gjør det lettere for organisasjoner å utvikle pålitelige og innovative produkter og tjenester. Dropbox har sertifisert sine datasentre, systemer, applikasjoner, mennesker og prosesser gjennom en serie revisjoner som blir utført av en uavhengig tredjepart, Nederland-baserte EY CertifyPoint.
ISO 27001 er anerkjent verden over som den høyeste oppnåelige standarden innen administrasjonssystem for informasjonssikkerhet (ISMS). Denne standarden benytter også de beste fremgangsmåtene for sikkerhet, som er beskrevet i ISO 27002. For å være verdig tilliten din, administrerer og forbedrer vi, kontinuerlig og omfattende, våre fysiske, tekniske og juridiske kontroller hos Dropbox. Revisoren vår, EY CertifyPoint, opprettholder sin ISO 27001-akkreditering fra Raad voor Accreditatie (Nederlandsk akkrediteringsråd). Vis ISO 27001 sertifikatet for Dropbox Business og Dropbox Education.
ISO 27017 er en internasjonal standard for skysikkerhet som gir retningslinjer for sikkerhetskontroller som gjelder levering og bruk av skytjenester. Veiledningen om delt ansvar beskriver mange av sikkerhets-, personvern- og overholdelseskravene som Dropbox og kundene kan løse sammen. Vis ISO 27017 sertifikatet for Dropbox Business og Dropbox Education.
ISO 27018 er en internasjonal standard for personvern og databeskyttelse som gjelder for nettsky-tjenesteleverandører som Dropbox, som behandler personopplysninger på vegne av kundene og gir et grunnlag for kundene hvis de vil ta opp vanlige forskrifts- og kontraktsmessige krav eller spørsmål. Vis ISO 27018 sertifikatet for Dropbox Business og Dropbox Education.
ISO 22301 er en internasjonal standard for bedriftskontinuitet som veileder organisasjoner med hensyn til hvordan de kan redusere påvirkningen av forstyrrende hendelser og reagere korrekt på disse hvis de oppstår, ved å minimere skadepotensialet. Dropbox for bedrifter sitt system for administrering av kontinuitet (BCMS) er en del av vår totale risikostyringsstrategi som skal beskytte mennesker og virksomheter når det er krise. Vis ISO 22301 sertifikatet for Dropbox Business og Dropbox Education.
ISO 27701 er en internasjonal standard for personverninformasjon. Standarden gir et rammeverk for å forbedre og utvide informasjonssikkerhetsadministrasjonsystemet under ISO 27001 til et personverninformasjonsadministrasjonsystem (PIMS). Dropbox Business og Dropbox Education har mottatt denne sertifiseringen som PII-prosessor. Vis ISO 27701-sertifikatet for Dropbox Business og Dropbox Education.
SOC-rapporten (Service Organization Controls), kjent som SOC 1, SOC 2 eller SOC 3, er rammeverk som er etablert av American Institute of Certified Public Accountants (AICPA) for rapportering om internkontroll som er implementert i en organisasjon. Dropbox har validert sine systemer, applikasjoner, mennesker og prosesser gjennom en serie revisjoner som utføres av en uavhengig tredjepart, Ernst & Young LLP.
SOC 3-attestasjonsrapporten dekker alle fem tillitskriteriene for sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern (TSP avsnitt 100). Dropbox' generelle bruksrapport er en overordnet oppsummering av SOC 2-rapporten og inkluderer den uavhengige vurderingen til tredjepartsrevisor om den effektive utformingen og gjennomføringen av styringen vår. Vis SOC 3-undersøkelsen for Dropbox Business og Dropbox Education.
SOC 2-rapporten gir kundene et detaljert nivå av kontrollbasert attestasjon, som dekker alle fem Trust Service-kriteriene for sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern (TSP avsnitt 100). SOC 2-rapporten inneholder en detaljert beskrivelse av Dropbox' prosesser og mer enn 100 kontroller som er på plass for å beskytte tingene dine. I tillegg til vurderingen til vår uavhengige tredjepartsrevisor om effektiv utforming og gjennomføring av kontrollene våre, inkluderer rapporten revisorens testprosedyrer og resultater for hver kontroll. SOC 2-rapporten vår(noen ganger omtalt som SOC 2+-rapporten) omfatter også en revidert kartlegging av kontrollene våre i henhold til ISO-standardene omtalt ovenfor som gir ytterligere transparens til kundene våre. SOC 2-undersøkelsen for Dropbox Business og Dropbox Education er tilgjengelig på forespørsel gjennom salgsteamet eller (for eksisterende Dropbox Business-kunder) kundestøtten vår.
SOC 1-rapporten gir bestemte forsikringer til kunder som fastslår at Dropbox Business eller Dropbox Education er et nøkkelelement i deres program for interne kontroller i finansiell rapportering (ICFR). Disse bestemte forsikringene brukes hovedsakelig til å overholde Sarbanes-Oxley (SOX). Den uavhengige tredjepartsgjennomgangen utføres i henhold til «Statement on Standards for Attestation Engagements No. 18» (SSAE 18) og «International Standard on Assurance Engagements No. 3402» (ISAE 3402). Disse standardene har erstattet de frarådede Statement on Standards for Attestation Engagement No.16 (SSAE 16) og Statement on Auditing Standards No. 70 (SAS 70). SOC 1-undersøkelsen for Dropbox Business og Dropbox Education er tilgjengelig etter forespørsel gjennom vårt salgsteam eller (for eksisterende Dropbox Business-kunder) støtte.
CSA-registeret for sikkerhet, tillit, attestasjon og risiko (STAR) er et gratis, offentlig tilgjengelig register som tilbyr et styringsprogram for attestasjon av nettskytjenester, og på den måten hjelper brukere med å vurdere sikkerhetsholdningen til nettskyleverandørene de bruker for øyeblikket eller vurderer å inngå kontrakt med .
Dropbox Business og Dropbox Education har både CSA-STAR-nivåtosertifisering og -nivåtoattestering. CSA-STAR nivå 2 krever en tredjeparts uavhengig vurdering av sikkerhetskontrollene våre av EY CertifyPoint (for sertifisering) og Ernst & Young LLP (for attestering), basert på kravene i ISO 27001, SOC 2 Trust Service-kriterier og CSA-nettskystyringsmatrise (CCM) v3.0.1. Se vår CSA-STAR-nivåtosertifisering og attestasjon på CSA-nettsted.
Dropbox vil signere avtaler av typer Business Associate Agreements (BAA-er) med Dropbox Business eller Dropbox Education-kunder, som krever dem for å overholde Health Insurance Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health Act (HITECH). Se veiledningen «Komme i gang med HIPAA» og hjelpesenterartikkelen for å få mer detaljert informasjon.
Dropbox har en tredjeparts forsikringsrapport som evaluerer kontrollene våre for reglene for HIPAA/HITECH sikkerhet, personvern og bruddvarsling, samt en kartlegging av interne rutiner og anbefalinger tilgjengelig for kunder som ønsker å innfri kravene om sikkerhet og personvernregler for HIPAA/HITECH med Dropbox for bedrifter eller Dropbox Education.
Kunder som er interessert i å be om disse dokumentene, kan enten ta kontakt med salgsteamet vårt. Hvis du i øyeblikket er administrator for et Dropbox Business- eller Dropbox Education-team, kan du signere en BAA elektronisk fra Konto-siden i administratorverktøyet.
Obs! Det er bare kunder som er basert i USA som kan signere en elektronisk BAA via administratorverktøyet.
Katalogen for Cloud Computing Compliance Controls (C5) er et rammeverk opprettet av det tyske forbundskontoret for sikkerhet i informasjonsteknologi (Bundesamt fur Sicherheit in der Informationstechnik - BSI) for rapportering om sikkerhetsstyring relevant for levering av nettskytjenester. C5-attestasjon hjelper organisasjoner med å vise at deres sikkerhetstiltak for informasjonen er i samsvar med BSIs «sikkerhetsanbefalinger for nettskyleverandører». C5 bygger på eksisterende internasjonale sikkerhetsstandarder som ISO 27001 og CSA-STAR. For å motta C5-attestasjonsrapport, ble Dropbox' systemer, prosesser og kontroller validert av en uavhengig, tredjepartsrevisor, Ernst & Young GmbH med base i Tyskland. Det uavhengige tilsynet gjennomføres i samsvar med den internasjonale standarden for attestasjonsforpliktelser nr. 3000 (ISAE 3000 og IDW PS 860).
Rapporten inneholder en detaljert beskrivelse av systemene, programmene, prosessene og kontrollene hos Dropbox, i tillegg til den uavhengige revisors testprosedyrer og resultatet for hver kontroll. C5-rapporten for Dropbox Business og Dropbox Education er tilgjengelig etter forespørsel rettet til salgsteamet eller (for eksisterende Dropbox Business-kunder) støtte.
*Dropbox Paper er ikke med i omfanget av C5-rapporten.
US National Institute of Standards and Technology (NIST) fremmer og vedlikeholder standarder og retningslinjer for å beskytte informasjonssystemer. NIST Special Publication (SP) 800-171 Revision 2 (R2), gir retningslinjer for beskyttelse av kontrollert uklassifisert informasjon (CUI) i ikke føderale informasjonssystemer og organisasjoner. Enhver entitet som behandler eller lagrer uklassifisert informasjon (CUI) fra amerikanske myndigheter, slik som forskningsinstitusjoner og utdanningssektoren, skal overholde NIST SP 800-171 R2. Dropbox' CUI-systemer, prosesser og kontroller er validert av en uavhengig tredjepartsrevisor, Ernst & Young LLP.
NIST SP 800-171 R2-rapporten for Dropbox Business og Dropbox Education er tilgjengelig på forespørsel gjennom vårt salgsteam eller (for eksisterende Dropbox Business-kunder) kundestøtten.
*Dropbox Paper er ikke inkludert i omfanget av NIST SP 800-171 R2-rapporten.
Dropbox overholder rammeverkene for Privacy Shield for EU-USA og Sveits-USA som er publisert av det amerikanske Handelsdepartementet angående innsamling, bruk og oppbevaring av personopplysninger overført fra EU, Det europeiske økonomiske området, Storbritannia og Sveits til USA. Overholdelse av prinsipper for Privacy Shield sikrer at en organisasjon gir tilstrekkelig personvern under GDPR.
Vis Privacy Shield-sertifiseringen til Dropbox her og finn ut mer på Privacy Shield-nettstedet.
Den generelle personvernforordningen 2016/679, eller GDPR, er en EU-forordning som markerte en betydelig endring av det eksisterende rammeverket for behandling av personopplysninger for EU-borgere. GDPR introduserte en serie nye eller utvidede krav som gjelder selskaper som Dropbox, som håndterer personopplysninger. GDPR trådte i kraft 25. mai 2018 og erstattet EU-direktiv 95/46 EC, bedre kjent som personverndirektivet. Dropbox er i samsvar med GDPR, slik at kunder kan bruke Dropbox til å forenkle prosessen med å være i samsvar med GDPR. Du kan lese denne artikkelen i hjelpesenteret hvis du vil ha mer informasjon.
CSA etiske retningslinjer for GDPR-samsvar er et frivillig ansvarlighetsverktøy og en omfattende åpenhetsøvelse designet for å gjøre det mulig for en nettskytjenesteleverandør, for eksempel Dropbox, å demonstrere for nettskykunder hvordan den samsvarer med hovedelementer i EUs generelle databeskyttelsesforordning (GDPR). Dropbox Business har gjennomført selvvurderingen for CSA etiske retningslinjer for GDPR-samsvar, som inkluderer en grundig revisjon av et tredjepartsvurderingsorgan, og har mottatt samsvarsmerket "erklært". For mer informasjon om CSA etiske retningslinjer for GDPR-samsvar og Dropboxs samsvar med retningslinjene, kan du besøke CSA-nettsiden.
Dropbox Business og Dropbox Education lar kundene bruke tjenestene i samsvar med leverandørens forpliktelser som følger av den amerikanske Family Education Rights and Privacy Act (FERPA). Utdanningsinstitusjoner kan bare bruke Dropbox Business eller Dropbox Education i samsvar med Children’s Online Privacy Protection Act (COPPA).
Kapittel 21 i Code of Federal Regulations (CFR) styrer mat og medisiner innen USA for Food and Drug Administration (FDA), Drug Enforcement Administration og Office of National Drug Control Policy. Del 11 i kapittel 21 fremlegger kriteriene for at FDA skal anse elektroniske opptegnelser og underskrifter som pålitelige og generelt likeverdige med papiropptegnelser og håndskrevne underskrifter på papir.
Se vår hvitebok Dropbox og FDA 21 CFR, del 11 oghjelpesenterartikkelen for mer informasjon om hvordan Dropbox kan hjelpe deg med overholdelse av 21 CFR, del 11.
Dropbox som bedrift overholder Payment Card Industry Data Security Standard (PCI DSS). Imidlertid er Dropbox for bedrifter, Dropbox Education og Dropbox Paper ikke ment for behandling eller lagring av kredittkorttransaksjoner. PCI Attestation of Compliance (AoC) for bedriftsstatusen vår er tilgjengelig ved forespørsel til salgsteamet eller (for eksisterende Dropbox for bedrifter-kunder) støtte.
Tjenesteleverandørene våre for samlokaliserte og administrerte datasentre gjennomgår også regelmessige SOC 1-, SOC 2- og/eller ISO 27001-revisjoner for å bekrefte sikkerhetspraksisen i disse firmaene. Dropbox går gjennom resultatene av disse revisjonene, eller går gjennom leverandørsikkerhet hvis en revisjonsrapport ikke er tilgjengelig, minst én gang i året som en del av programmet for administrering av informasjonssikkerhet I tilfelle disse revisjonene eller gjennomgangene har viktige funn som vi vurderer som risikoer for Dropbox eller kundene våre, jobber vi med leverandøren av tjenesten for å få oversikt over potensiell innvirkning på kundedataene, og sporer utbedringsinnstatsen deres til problemet har blitt løst.
Samsvars- og sertifiseringsdokumenter kan forespørres gjennom en av representantene til Dropbox for bedrifter eller (for eksisterende Dropbox for bedrifter-kunder) støtte.