Naleving van normen en voorschriften

ISO-certificeringen

De Internationale Organisatie voor Standaardisatie (ISO) heeft een reeks normen ontwikkeld voor optimale kwaliteit van informatiebeveiliging en maatschappelijke veiligheid om organisaties te helpen betrouwbare en innovatieve producten en services te ontwikkelen. De datacenters, systemen, toepassingen, medewerkers en processen van Dropbox zijn gecertificeerd door EY CertifyPoint in Nederland, een onafhankelijke derde partij.

ISO 27001 (informatiebeveiligingsbeheer)

ISO 27001 wordt wereldwijd erkend als de belangrijkste ISMS-norm (Information Security Management System). De normen zijn ook gebaseerd op de best practices voor beveiliging die worden beschreven in ISO 27002. We willen het vertrouwen van onze klanten waard zijn en daarom houden we voortdurend en nauwlettend toezicht op onze fysieke, technische en wettelijke controlemiddelen. Onze auditor, EY CertifyPoint, heeft een ISO 27001-accreditatie verkregen van de  Raad voor Accreditatie . Het ISO 27001-certificaat voor Dropbox Business en Dropbox Education weergeven.

ISO 27017 (cloudbeveiliging)

ISO 27017 is een internationale norm voor cloudbeveiliging die richtlijnen bevat voor beveiligingsmaatregelen die van toepassing zijn op de levering en het gebruik van cloudservices. In onze  Handleiding voor gedeelde verantwoordelijkheid vind je enkele beveiligings-, privacy- en nalevingsvereisten waaraan Dropbox en zijn klanten gezamenlijk moeten voldoen. Het ISO 27001-certificaat voor Dropbox Business en Dropbox Education weergeven.

ISO 27018 (privacy- en gegevensbescherming in de cloud)

ISO 27018 is een nieuwe internationale norm voor privacy- en gegevensbescherming toegespitst op leveranciers van cloudservices (zoals Dropbox) die persoonlijke gegevens namens hun klanten verwerken. Deze norm vormt een kader voor situaties waarin klanten meer informatie willen of vragen hebben over veelvoorkomende wettelijke en contractuele kwesties. Het ISO 27001-certificaat voor Dropbox Business en Dropbox Education weergeven.

ISO 22301 (bedrijfscontinuïteitsbeheer)

ISO 22301 is een internationale norm voor bedrijfscontinuïteit die organisaties richtlijnen biedt over hoe ze de kans op ontwrichtende incidenten kunnen verlagen en welke maatregelen ze kunnen treffen om mogelijke schade tot een minimum te beperken. Het Dropbox Business Continuity Management System (BCMS) maakt deel uit van onze algemene risicobeheerstrategie om mensen en activiteiten in tijden van crisis te beschermen. Het ISO 22301-certificaat voor Dropbox Business en Dropbox Education weergeven.

ISO 27701 (Informatiebeveiligingsbeheer)

ISO 27701 is een internationale standaard voor het beheer van uw vertrouwelijke informatie. De standaard biedt een kader om het beheersysteem voor informatiebeveiliging onder ISO 27001 te verbeteren en uit te breiden tot een beheersysteem voor vertrouwelijke informatie (PIMS). Dropbox Business en Dropbox Education hebben deze certificering ontvangen als een PII-verwerker. Het ISO 27701-certificaat voor Dropbox Business en Dropbox Education weergeven.

 

SOC-rapporten 

SOC-rapporten (Service Organization Controls), ook wel SOC 1, SOC 2 of SOC 3 genoemd, zijn raamwerken die zijn vastgelegd door de AICPA (American Institute of Certified Public Accounts) voor rapportage over interne controlemiddelen die in een organisatie zijn geïmplementeerd. De systemen, toepassingen, medewerkers en processen van Dropbox zijn gevalideerd door Ernst & Young LLP, een onafhankelijke derde partij.

SOC 3 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 3-controlerapport is gebaseerd op de vijf vertrouwenscriteria voor beveiliging, beschikbaarheid, procesintegriteit, vertrouwelijkheid en privacy (sectie 100 van Trust Service Principles). Het Dropbox-rapport voor algemeen gebruik is een samenvatting van het SOC 2-rapport en bevat het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen. Bekijk het SOC 3-onderzoek voor Dropbox Business en Dropbox Education.

SOC 2 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 2-rapport biedt klanten gedetailleerde garanties op basis van controlemiddelen en heeft betrekking op de vijf criteria van vertrouwensdiensten, namelijk beveiliging, beschikbaarheid, procesintegriteit, vertrouwelijkheid en privacy (sectie 100 van Trust Service Principles). Het SOC 2-rapport bevat een uitvoerige beschrijving van de processen bij Dropbox en de meer dan 100 controlemiddelen die we inzetten om jouw spullen te beschermen. Naast het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen, bevat het rapport de testprocedures die de auditor hanteert en de resultaten van elke controle. Ons SOC 2-rapport (soms ook wel een SOC 2+ rapport genoemd) bevat ook een gecontroleerde toewijzing van onze controlemiddelen aan de ISO-normen die hierboven worden genoemd. Dit zorgt voor meer transparantie voor onze klanten. Het SOC 2-onderzoek voor Dropbox Business en Dropbox Education is op aanvraag beschikbaar via ons  salesteam  of (voor bestaande Dropbox Businessklanten) support.

SOC 1/SSAE 18/ISAE 3402 (voorheen SSAE 16 of SAS 70)

Het SOC 1-rapport biedt specifieke garanties aan klanten voor wie Dropbox Business of Dropbox Education een essentieel onderdeel is van hun programma voor interne controle op de financiële verslaglegging (ICFR). Deze specifieke garanties worden hoofdzakelijk gebruikt voor de naleving van Sarbanes-Oxley (SOX) door onze klanten. De onafhankelijke externe audit wordt uitgevoerd in overeenstemming met SSAE 18 (Statement on Standards for Attestation Engagements nr. 18) en ISAE 3402 (International Standard on Assurance Engagements nr. 3402). Deze standaarden vervangen het verouderde SSAE 16 (Statement on Standards for Attestation nr. 16) en SAS 70 (Statement on Auditing Standards nr. 70). Het SOC 1-onderzoek voor Dropbox Business en Dropbox Education is op aanvraag beschikbaar via ons  salesteam  of (voor bestaande Dropbox Businessklanten) support.

 

Cloud Security Alliance: Security, Trust, Assurance, Risk-register (CSA STAR)

Het CSA Security, Trust, Assurance, and Risk (STAR) register is een gratis, openbaar toegankelijk register dat een garantieprogramma biedt voor de beveiliging van cloudservices. Hiermee kunnen gebruikers de veiligheid beoordelen van leveranciers van cloudservices die ze momenteel gebruiken of overwegen te gebruiken.

Dropbox Business en Dropbox Education hebben de CSA STAR Level 2-certificering en het Level 2-attest. Voor CSA STAR Level 2 is een onafhankelijke beoordeling van onze beveiligingsmiddelen vereist door EY CertifyPoint (voor certificering) en Ernst & Young LLP (voor attestatie), op basis van de vereisten van ISO 27001, SOC 2 Trust Service Criteria en de CSA Cloud Controls Matrix (CCM) v.3.0.1. Bekijk onze CSA STAR Level 2-certificering en -attestatie op de website van CSA.

 

HIPAA/HITECH

Dropbox is bereid een Business Associate Agreement (BAA) te ondertekenen voor klanten van Dropbox Business en Dropbox Education, die er een nodig hebben om te voldoen aan de wetten HIPAA (Health Insurance Portability and Accountability Act) en HITECH (Health Information Technology for Economic and Clinical Health Act). Zie onze handleiding Aan de slag met HIPAA en dit artikel in het helpcentrum voor gedetailleerde informatie.

Dropbox stelt een extern assurancerapport beschikbaar met een beoordeling van onze controlemiddelen voor de handhaving van de HIPAA-/HITECH-regels op het gebied van beveiliging, privacy en inbreukmeldingen. Daarnaast bevat dit rapport een overzicht van onze interne procedures en aanbevelingen voor klanten die met Dropbox Business en Dropbox Education willen voldoen aan de beveiligings- en privacyvereisten van HIPAA/HITECH.

Klanten die deze documenten willen aanvragen, kunnen contact opnemen met ons salesteam. Als je een teambeheerder van een Dropbox Business- of Dropbox Education-team bent, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.

Opmerking: De mogelijkheid om een digitale BAA te ondertekenen via de Beheerconsole is alleen beschikbaar voor klanten in de Verenigde Staten.

 

BSI C5-attestrapport Duitsland

De Cloud Computing Compliance Controls Catalog (C5) is een raamwerk dat is opgesteld door het Duitse Federale Kantoor voor Informatiebeveiliging (Bundesamt fur Sicherheit in der Informationstechnik - BSI) voor de rapportage over beveiligingscontrolemiddelen die van toepassing zijn op de levering van cloudservices. Het C5-attest helpt organisaties aan te tonen dat hun procedures voor informatiebeveiliging in overeenstemming zijn met de beveiligingsaanbevelingen voor cloudproviders van BSI. C5 is gebaseerd op bestaande internationale beveiligingsnormen, zoals ISO 27001 en CSA STAR. Voor het verkrijgen van hetC5-attestrapport zijn de systemen, processen en controlemiddelen van Dropbox gevalideerd door Ernst & Young GmbH, een onafhankelijke externe auditor in Duitsland. De onafhankelijke externe audit wordt uitgevoerd in overeenstemming met ISAE 3000 (International Standard on Assurance Engagements nr. 3000 en IDW PS 860).

Het rapport bevat een gedetailleerde beschrijving van de systemen, toepassingen, processen en controlemiddelen van Dropbox, evenals de testprocedures en resultaten van onze onafhankelijke auditor voor elk controlemiddel. Het C5-rapport voor Dropbox Business en Dropbox Education is op aanvraag beschikbaar via ons salesteam of (voor bestaande Dropbox Business-klanten) support.

*Dropbox Paper valt niet binnen het toepassingsgebied van het C5-rapport.

 

NIST SP 800-171 R2-attestrapport

Het Amerikaanse  National Institute of Standards and Technology (NIST) promoot en onderhoudt standaarden en richtlijnen voor het beschermen van informatiesystemen. Het document  NIST Special Publication (SP) 800-171 Revision 2 (R2) geeft richtlijnen voor het beschermen van CUI (Controlled Unclassified Information; gereguleerde niet-geclassificeerde informatie) in niet-federale informatiesystemen en organisaties. Elke entiteit die CUI van de Amerikaanse overheid verwerkt of opslaat, bijvoorbeeld onderzoeksinstellingen en de onderwijssector, moet aan NIST SP 800-171 R2 voldoen. De CUI-systemen, -processen en -controlemiddelen van Dropbox zijn gevalideerd door Ernst & Young LLP, een onafhankelijke externe auditor. 

Het NIST SP 800-171 R2-rapport voor Dropbox Business en Dropbox Education is op aanvraag beschikbaar via ons salesteam of onze support (voor Dropbox Business-klanten).

*Dropbox Paper valt niet binnen het toepassingsgebied van het NIST SP 800-171 R2-rapport.

 

Het Amerikaans-Europese Privacy Shield en het Amerikaans-Zwitserse Privacy Shield

Dropbox voldoet aan de Amerikaans-Europese en Amerikaans-Zwitserse Privacy Shield Frameworks zoals omschreven door het Amerikaanse Department of Commerce, inzake het verzamelen, gebruiken en bewaren van persoonsgegevens die van de Europese Unie, de Europese Economische Ruimte, het Verenigd Koninkrijk en Zwitserland worden overgebracht naar de Verenigde Staten. Het naleven van de Privacy Shield-principes zorgt ervoor dat een organisatie voldoende privacybescherming biedt onder de AVG.

Bekijk het Privacy Shield-certificaat van Dropbox en ga voor meer informatie naar de Privacy Shield-website.

 

Europese Algemene Verordening Gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming 2016/679 (of AVG) is een verordening van de EU die een zorgde voor een significante wijziging aan het kader voor bescherming van de persoonlijke gegevens van staatsburgers van EU-lidstaten. De AVG heeft een reeks nieuwe of strengere vereisten geïntroduceerd die van toepassing zijn op bedrijven als Dropbox die persoonsgegevens verwerken. De AVG is van kracht geworden op 25 mei 2018 en vervangt de Europese richtlijn 95/46 EG, beter bekend als de Databeschermingsrichtlijn. Dropbox voldoet aan de vereisten van de AVG, zodat klanten Dropbox kunnen gebruiken om de eigen naleving van de AVG te vergemakkelijken. Lees  dit artikel in het helpcentrum voor meer informatie.

 

Cloud Security Alliance: gedragscode voor naleving van de AVG

De CSA-gedragscode voor naleving van de AVG is een vrijwillig verantwoordingsinstrument en een uitgebreide transparantieoefening die is ontworpen om een cloudserviceprovider, zoals Dropbox, in staat te stellen klanten te laten zien hoe deze voldoet aan de belangrijkste elementen van de Europese Algemene Verordening Gegevensbescherming (AVG). Dropbox Business heeft de CSA-gedragscode voor zelfbeoordeling van de AVG-naleving voltooid, die een grondige audit door een externe beoordelaar omvat, en heeft een nalevingsmarkering van 'verklaard' ontvangen. Ga naar de CSA-website voor meer informatie over de CSA-gedragscode voor naleving van de AVG en over hoe Dropbox de gedragscode naleeft.

 

Scholieren en kinderen (FERPA en COPPA)

Dropbox Business en Dropbox Education staat klanten toe om de dienst te gebruiken volgens de eisen die door de wet FERPA (Family Education Rights and Privacy Act) in de VS aan leveranciers worden gesteld. Onderwijsinstellingen mogen Dropbox Business of Dropbox Education alleen gebruiken in overeenstemming met de Wet voor de bescherming van kinderen op internet (COPPA). 

 

FDA 21 CFR Part 11

Titel 21 van de Code of Federal Regulations (CFR) regelt voedsel en drugs in de Verenigde Staten voor de Food and Drug Administration (FDA), de Drug Enforcement Administration en het Office of National Drug Control Policy. Part 11 van Titel 21 zet de criteria uiteen volgens welke de FDA elektronische documenten en handtekeningen als betrouwbaar en over het algemeen gelijkwaardig beschouwt aan papieren documenten en handgeschreven handtekeningen die op papier zijn uitgevoerd.  

Bekijk onze Whitepaper over Dropbox en FDA 21 CFR Part 11 en ons Helpcentrum voor meer informatie over hoe Dropbox kan helpen bij je inspanningen op het gebied van naleving van 21 CFR Part 11.

 

PCI DSS

Dropbox voldoet als bedrijf aan de PCI DSS (Payment Card Industry Data Security Standard). Dropbox Business, Dropbox Education en Dropbox Paper zijn echter niet bedoeld om creditcardtransacties te verwerken of op te slaan. De Attestation of Compliance (AoC) van PCI over onze status als handelaar is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam  of (voor bestaande Dropbox Business-klanten) support.

 

Onze subdienstverleners

Onze providers van co-locatieservices voor onze datacenters en providers van beheerde services ondergaan ook regelmatig SOC 1-, SOC 2- en/of ISO 27001-audits waarbij hun beveiligingsmethoden worden gecontroleerd. Dropbox controleert de resultaten van die audits ten minste één keer per jaar of voert beveiligingscontroles van leveranciers uit als een controlerapport niet beschikbaar is in het kader van ons programma voor informatiebeveiligingsbeheer. Als uit deze audits belangrijke bevindingen naar voren komen die volgens ons risico's inhouden voor Dropbox of voor onze klanten, gaan we samen met de provider eventuele gevolgen voor klantgegevens na en controleren we wat de provider doet om dit te verhelpen totdat het probleem ook daadwerkelijk is opgelost.

 

Meer informatie over de naleving van de richtlijnen door Dropbox Business of Dropbox Education

Documenten over naleving en certificering kun je aanvragen bij een  salesmedewerker  van Dropbox (voor bestaande Dropbox Business-klanten) of support.