Naleving van normen en voorschriften


ISO 27001-certificering bij Dropbox

ISO-certificeringen

De Internationale Organisatie voor Standaardisatie (ISO) heeft een reeks normen ontwikkeld voor optimale kwaliteit van informatiebeveiliging en maatschappelijke veiligheid om organisaties te helpen betrouwbare en innovatieve producten en services te ontwikkelen. De datacenters, systemen, toepassingen, medewerkers en processen van Dropbox zijn gecertificeerd door EY CertifyPoint in Nederland, een onafhankelijke derde partij.

ISO 27001 (informatiebeveiligingsbeheer)

ISO 27001 wordt wereldwijd erkend als de belangrijkste ISMS-norm (Information Security Management System). De normen zijn ook gebaseerd op de best practices voor beveiliging die worden beschreven in ISO 27002. We willen het vertrouwen van onze klanten waard zijn en daarom houden we voortdurend en nauwlettend toezicht op onze fysieke, technische en wettelijke controlemiddelen. Onze auditor, EY CertifyPoint, heeft een ISO 27001-accreditatie verkregen van de Raad voor Accreditatie. Bekijk het ISO 27001-certificaat voor Dropbox Business en Dropbox Education.

ISO 27017 (cloudbeveiliging)

ISO 27017 is een internationale norm voor cloudbeveiliging die richtlijnen bevat voor beveiligingsmaatregelen die van toepassing zijn op de levering en het gebruik van cloudservices. In onze Handleiding voor gedeelde verantwoordelijkheid vind je enkele beveiligings-, privacy- en nalevingsvereisten waaraan Dropbox en zijn klanten gezamenlijk moeten voldoen. Het ISO 27017-certificaat voor Dropbox Business en Dropbox Education weergeven

ISO 27018 (privacy- en gegevensbescherming in de cloud)

ISO 27018 is een nieuwe internationale norm voor privacy- en gegevensbescherming toegespitst op leveranciers van cloudservices (zoals Dropbox) die persoonlijke gegevens namens hun klanten verwerken. Deze norm vormt een kader voor situaties waarin klanten meer informatie willen of vragen hebben over veelvoorkomende wettelijke en contractuele kwesties. Het ISO 27018-certificaat voor Dropbox Business en Dropbox Education weergeven

ISO 22301 (bedrijfscontinuïteitsbeheer)

ISO 22301 is een internationale norm voor bedrijfscontinuïteit die organisaties richtlijnen biedt over hoe ze de kans op ontwrichtende incidenten kunnen verlagen en welke maatregelen ze kunnen treffen om mogelijke schade tot een minimum te beperken. Het Dropbox Business Continuity Management System (BCMS) maakt deel uit van onze algemene risicobeheerstrategie om mensen en activiteiten in tijden van crisis te beschermen. Het ISO 22301-certificaat voor Dropbox Business en Dropbox Education weergeven


SOC-naleving bij Dropbox

SOC-rapporten

SOC-rapporten (Service Organization Controls), ook wel SOC 1, SOC 2 of SOC 3 genoemd, zijn raamwerken die zijn vastgelegd door de AICPA (American Institute of Certified Public Accounts) voor rapportage over interne controlemiddelen die in een organisatie zijn geïmplementeerd. De systemen, toepassingen, medewerkers en processen van Dropbox zijn gevalideerd door Ernst & Young LLP, een onafhankelijke derde partij.

SOC 3 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 3-controlerapport is gebaseerd op de vijf principes voor vertrouwensdiensten, namelijk beveiliging, vertrouwelijkheid, procesintegriteit, beschikbaarheid en privacy (sectie 100 van Trust Service Principles). Het Dropbox-rapport voor algemeen gebruik is een samenvatting van het SOC 2-rapport en bevat het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen. Het SOC3-onderzoek voor Dropbox Business en Dropbox Education weergeven

SOC 2 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 2-rapport biedt klanten gedetailleerde garanties op basis van controlemiddelen en heeft betrekking op de vijf principes van vertrouwensdiensten, namelijk beveiliging, vertrouwelijkheid, procesintegriteit, beschikbaarheid en privacy (sectie 100 van Trust Service Principles). Het SOC 2-rapport bevat een uitvoerige beschrijving van de processen bij Dropbox en de meer dan 100 controlemiddelen die we inzetten om jouw spullen te beschermen. Naast het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen, bevat het rapport de testprocedures die de auditor hanteert en de resultaten van elke controle. Ons SOC 2-rapport (soms ook wel een SOC 2+ rapport genoemd) bevat ook een gecontroleerde toewijzing van onze controlemiddelen aan de ISO-normen die hierboven worden genoemd. Dit zorgt voor meer transparantie voor onze klanten. Het SOC 2-onderzoek voor Dropbox Business en Dropbox Education is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.

SOC 1/SSAE 18/ISAE 3402 (voorheen SSAE 16 of SAS 70)

Ons SOC 1-rapport biedt specifieke garanties voor klanten voor wie Dropbox Business of Dropbox Education een essentieel onderdeel vormt van hun interne controlemiddelen voor het programma voor financiële rapportage (ICFR). Deze specifieke garanties worden hoofdzakelijk gebruikt voor de naleving van Sarbanes-Oxley (SOX) door onze klanten. De onafhankelijke externe audit wordt uitgevoerd in overeenstemming met SSAE 18 (Statement on Standards for Attestation Engagements nr. 18) en ISAE 3402 (International Standard on Assurance Engagements nr. 3402). Deze standaarden vervangen het verouderde SSAE 16 (Statement on Standards for Attestation nr. 16) en SAS 70 (Statement on Auditing Standards nr. 70). Het SOC 1-onderzoek voor Dropbox Business en Dropbox Education is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.


CSA Star-certificering bij Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

De CSA Security, Trust & Assurance Registry (STAR) is een gratis, openbaar toegankelijk register dat een garantieprogramma biedt voor de beveiliging van cloudservices. Hiermee kunnen gebruikers de veiligheid beoordelen van leveranciers van cloudservices die ze momenteel gebruiken of overwegen te gebruiken.

Dropbox Business en Dropbox Education hebben de CSA STAR Level 2-certificering en het Level 2-attest. Voor CSA STAR Level 2 is een onafhankelijke beoordeling van onze beveiligingsmiddelen vereist door EY CertifyPoint (voor certificering) en Ernst & Young LLP (voor attestatie), op basis van de vereisten van ISO 27001, SOC 2 Trust Service Principles en de CSA Cloud Controls Matrix (CCM) v.3.0.1. Dropbox heeft ook de CSA STAR Level 1-zelfbeoordeling doorlopen voor Dropbox Business en Dropbox Education. Deze zelfbeoordeling is een zeer gedegen onderzoek dat is gebaseerd op de Consensus Assessments Initiative Questionnaire (CAIQ) van CSA (die aansluit op de CMM) en antwoord geeft op bijna 300 vragen die een klant van cloudservices of een auditor van cloudbeveiliging zou kunnen stellen. Onze CSA STAR Level 1- en Level 2-certificering en -attestatie op de website van CSA weergeven


HIPAA-certificering van Dropbox

HIPAA/HITECH

Dropbox is bereid een leveranciersovereenkomst (BAA, business associate agreement) te ondertekenen voor klanten met Dropbox Business of Dropbox Education die er een nodig hebben om te voldoen aan de wetten HIPAA (Health Insurance Portability and Accountability Act) en HITECH (Health Information Technology for Economic and Clinical Health Act). Zie onze handleiding Aan de slag met HIPAA en dit artikel in het helpcentrum voor gedetailleerde informatie.

Dropbox stelt een extern controlerapport beschikbaar met een beoordeling van onze controles van de regels van HIPAA/HITECH voor beveiliging, privacy en kennisgeving van inbreuken. Dit rapport brengt ook onze interne praktijken en aanbevelingen in kaart voor klanten die met Dropbox Business of Dropbox Education willen voldoen aan de beveiligings- en privacyvereisten van HIPAA/HITECH.

Klanten die deze documenten willen aanvragen, kunnen contact opnemen met het accountbeheerteam of het salesteam. Als je momenteel een teambeheerder bent van een Dropbox Business- of Dropbox Education-team, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.

Opmerking: De mogelijkheid om een digitale BAA te ondertekenen via de Beheerconsole is alleen beschikbaar voor klanten in de Verenigde Staten die Dropbox Paper niet gebruiken. Dropbox biedt geen HIPAA/HITECH-ondersteuning voor Dropbox Paper.


BSI C5-rapport Dropbox Duitsland

BSI C5-attestrapport Duitsland

De Cloud Computing Compliance Controls Catalog (C5) is een raamwerk dat is opgesteld door het Duitse Federale Kantoor voor Informatiebeveiliging (Bundesamt fur Sicherheit in der Informationstechnik - BSI) voor de rapportage over beveiligingscontrolemiddelen die van toepassing zijn op de levering van cloudservices. Het C5-attest helpt organisaties aan te tonen dat hun procedures voor informatiebeveiliging in overeenstemming zijn met de beveiligingsaanbevelingen voor cloudproviders van BSI. C5 is gebaseerd op bestaande internationale beveiligingsnormen, zoals ISO 27001 en CSA STAR. Voor het verkrijgen van het C5-attestrapport zijn de systemen, processen en controlemiddelen van Dropbox gevalideerd door Ernst & Young GmbH, een onafhankelijke externe auditor in Duitsland. De onafhankelijke externe audit wordt uitgevoerd in overeenstemming met ISAE 3000 (International Standard on Assurance Engagements nr. 3000).

Het rapport bevat een gedetailleerde beschrijving van de systemen, toepassingen, processen en controlemiddelen van Dropbox, evenals de testprocedures en resultaten van onze onafhankelijke auditor voor elk controlemiddel. Het C5-rapport voor Dropbox Business en Dropbox Education is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.

*Dropbox Paper valt niet binnen het toepassingsgebied van het C5-rapport.


Het Amerikaans-Europese Privacy Shield en het Amerikaans-Zwitserse Privacy Shield

Dropbox voldoet aan de Amerikaans-Europese en Amerikaans-Zwitserse Privacy Shield Frameworks zoals omschreven door het Amerikaanse Department of Commerce, inzake het verzamelen, gebruiken en bewaren van persoonsgegevens die van de Europese Unie, de Europese Economische Ruimte en Zwitserland worden overgebracht naar de Verenigde Staten. Een organisatie die de grondbeginselen van de Privacy Shields naleeft, biedt voldoende privacybescherming onder de EU-richtlijn voor gegevensbescherming.

Bekijk het Privacy Shield-certificaat van Dropbox en ga voor meer informatie naar de Privacy Shield-website.


Europese Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming 2016/679 (ook wel de General Data Protection Regulation, of afgekort de GDPR genoemd) is een verordening van de Europese Unie die een belangrijke wijziging vormt in het bestaande raamwerk voor het verwerken van persoonsgegevens van natuurlijke personen in de EU. De AVG introduceert een reeks nieuwe of strengere vereisten die van toepassing zijn op bedrijven als Dropbox die persoonsgegevens verwerken. De verordening wordt van kracht op 25 mei 2018 en vervangt de huidige Europese richtlijn 95/46 EG, beter bekend als de Databeschermingsrichtlijn. Zoals alle bonafide bedrijven werkt Dropbox aan de uitbreiding en uitvoering van zijn gedetailleerde plannen voor de naleving van de AVG. We verwachten de AVG vóór 25 mei 2018 volledig na te leven. Lees dit artikel in het helpcentrum voor meer informatie.


Scholieren en kinderen (FERPA en COPPA)

Dropbox Business en Dropbox Education staan klanten toe om de services te gebruiken volgens de eisen die door de wet FERPA (Family Education Rights and Privacy Act) in de VS worden gesteld aan providers. Onderwijsinstellingen met leerlingen jonger dan 13 jaar mogen Dropbox Business of Dropbox Education ook gebruiken volgens de wet COPPA (Children's Online Privacy Protection Act), mits ze akkoord gaan met bepaalde clausules waarin de instelling wordt verplicht ouders toestemming te vragen voor het gebruik van onze services.


UK Digital Marketplace G-Cloud

Dropbox Business is nu opgenomen in de digitale marktplaats van het Verenigd Koninkrijk voor inkoop van cloudservices door de overheid. Bekijk onze vermeldingen op de website voor de digitale marktplaats van het Verenigd Koninkrijk voor het Dropbox Business Standard-abonnement, het Dropbox Business Advanced-abonnement en het Dropbox Enterprise-abonnement.

*Dropbox Paper is niet opgenomen in de UK Digitale Marketplace G-Cloud-vermelding.


PCI DSS

Dropbox voldoet als bedrijf aan de PCI DSS (Payment Card Industry Data Security Standard). Dropbox Business, Dropbox Education en Dropbox Paper zijn echter niet bedoeld om creditcardtransacties te verwerken of op te slaan. De Attestation of Compliance (AoC) van PCI over onze status als handelaar is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.


Onze subdienstverleners

Onze providers van co-locatieservices voor onze datacenters en providers van beheerde services ondergaan ook regelmatig SOC 1-, SOC 2- en/of ISO 27001-audits waarbij hun beveiligingsmethoden worden gecontroleerd. Dropbox controleert de resultaten van die audits ten minste één keer per jaar of voert beveiligingscontroles van leveranciers uit als een controlerapport niet beschikbaar is in het kader van ons programma voor informatiebeveiligingsbeheer. Als uit deze audits belangrijke bevindingen naar voren komen die volgens ons risico's inhouden voor Dropbox of voor onze klanten, gaan we samen met de provider eventuele gevolgen voor klantgegevens na en controleren we wat de provider doet om dit te verhelpen totdat het probleem ook daadwerkelijk is opgelost.


Meer informatie over de naleving van richtlijnen door Dropbox Business of Dropbox Education

Documenten over naleving en certificering kun je aanvragen bij een salesmedewerker van Dropbox of het accountbeheerteam.