Naleving van normen en voorschriften
ISO-certificeringen
De Internationale Organisatie voor Standaardisatie (ISO) heeft een reeks normen ontwikkeld voor optimale kwaliteit van informatiebeveiliging en maatschappelijke veiligheid om organisaties te helpen betrouwbare en innovatieve producten en services te ontwikkelen. De datacenters, systemen, toepassingen, medewerkers en processen van Dropbox zijn gecertificeerd door EY CertifyPoint in Nederland, een onafhankelijke derde partij.
ISO 27001 (informatiebeveiligingsbeheer)
ISO 27001 wordt wereldwijd erkend als de belangrijkste ISMS-norm (Information Security Management System). De normen zijn ook gebaseerd op de best practices voor beveiliging die worden beschreven in ISO 27002. We willen het vertrouwen van onze klanten waard zijn en daarom houden we voortdurend en nauwlettend toezicht op onze fysieke, technische en wettelijke controlemiddelen bij Dropbox. Onze auditor, EY CertifyPoint, heeft een ISO 27001-accreditatie verkregen van de Raad voor Accreditatie. Het ISO 27001-certificaat voor Dropbox Standard, Advanced, Enterprise en Education weergeven.
ISO 27017 (cloudbeveiliging)
ISO 27017 is een internationale norm voor cloudbeveiliging die richtlijnen bevat voor beveiligingsmaatregelen die van toepassing zijn op de levering en het gebruik van cloudservices. In onze Handleiding voor gedeelde verantwoordelijkheid vind je enkele beveiligings-, privacy- en nalevingsvereisten waaraan Dropbox en zijn klanten gezamenlijk moeten voldoen. Het ISO 27017-certificaat voor Dropbox Standard, Advanced, Enterprise en Education weergeven.
ISO 27018 (privacy- en gegevensbescherming in de cloud)
ISO 27018 is een nieuwe internationale norm voor privacy- en gegevensbescherming toegespitst op leveranciers van cloudservices (zoals Dropbox) die persoonlijke gegevens namens hun klanten verwerken. Deze norm vormt een kader voor situaties waarin klanten meer informatie willen of vragen hebben over veelvoorkomende wettelijke en contractuele kwesties. Het ISO 27018-certificaat voor Dropbox Standard, Advanced, Enterprise en Education weergeven.
ISO 22301 (bedrijfscontinuïteitsbeheer)
ISO 22301 is een internationale norm voor bedrijfscontinuïteit die organisaties richtlijnen biedt over hoe ze de kans op ontwrichtende incidenten kunnen verlagen en welke maatregelen ze kunnen treffen om mogelijke schade tot een minimum te beperken. Het Dropbox Business Continuity Management System (BCMS) maakt deel uit van onze algemene risicobeheerstrategie om mensen en activiteiten in tijden van crisis te beschermen. Het ISO 22301-certificaat voor Dropbox Standard, Advanced, Enterprise en Education weergeven.
ISO 27701 (Informatiebeveiligingsbeheer)
ISO 27701 is een nieuwe internationale norm voor het beheren van privacygevoelige informatie. De norm biedt een raamwerk voor het verbeteren en uitbreiden van het managementsysteem voor informatiebeveiliging onder ISO 27001 naar een managementsysteem voor privacygevoelige informatie (PIMS). Dropbox heeft deze certificering ontvangen als een PII-verwerker. Het ISO 27701-certificaat voor Dropbox Standard, Advanced, Enterprise en Education weergeven.
SOC-rapporten
SOC-rapporten (Service Organization Controls), ook wel SOC 1, SOC 2 of SOC 3 genoemd, zijn kaders die zijn vastgelegd door de AICPA (American Institute of Certified Public Accounts) voor rapportage over interne controlemiddelen die in een organisatie zijn geïmplementeerd. De systemen, toepassingen, medewerkers en processen van Dropbox zijn gevalideerd door Ernst & Young LLP, een onafhankelijke derde partij.
SOC 3 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy
Het SOC 3-controlerapport is gebaseerd op de vijf vertrouwenscriteria voor beveiliging, beschikbaarheid, procesintegriteit, vertrouwelijkheid en privacy (sectie 100 van Trust Service Principles). Het Dropbox-rapport voor algemeen gebruik is een samenvatting van het SOC 2-rapport en bevat het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen. Bekijk het SOC 3-onderzoek voor Dropbox Standard, Advanced, Enterprise en Education.
SOC 2 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy
Het SOC 2-rapport biedt klanten gedetailleerde garanties op basis van controlemiddelen en heeft betrekking op de vijf criteria van vertrouwensdiensten, namelijk beveiliging, beschikbaarheid, procesintegriteit, vertrouwelijkheid en privacy (sectie 100 van Trust Service Principles). Het SOC 2-rapport bevat een uitvoerige beschrijving van de processen bij Dropbox en de meer dan 100 controlemiddelen die we inzetten om jouw spullen te beschermen. Naast het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen, bevat het rapport de testprocedures die de auditor hanteert en de resultaten van elke controle. Ons SOC 2-rapport (soms ook wel een SOC 2+ rapport genoemd) bevat ook een gecontroleerde toewijzing van onze controlemiddelen aan de ISO-normen die hierboven worden genoemd. Dit zorgt voor meer transparantie voor onze klanten. Het SOC 2-onderzoek voor Dropbox Standard, Advanced, Enterprise en Education is op aanvraag beschikbaar via ons salesteam of (voor bestaande Dropbox Team-klanten) support.
SOC 1/SSAE 18/ISAE 3402 (voorheen SSAE 16 of SAS 70)
Ons SOC 1-rapport biedt specifieke garanties voor klanten voor wie Dropbox essentieel onderdeel vormt van hun interne controlemiddelen voor het programma voor financiële rapportage (ICFR). Deze specifieke garanties worden hoofdzakelijk gebruikt voor de naleving van Sarbanes-Oxley (SOX) door onze klanten. De onafhankelijke externe audit wordt uitgevoerd in overeenstemming met SSAE 18 (Statement on Standards for Attestation Engagements nr. 18) en ISAE 3402 (International Standard on Assurance Engagements nr. 3402). Deze standaarden vervangen het verouderde SSAE 16 (Statement on Standards for Attestation nr. 16) en SAS 70 (Statement on Auditing Standards nr. 70). Het SOC 1-onderzoek voor Dropbox Standard, Advanced, Enterprise en Education is op aanvraag beschikbaar via ons salesteam of (voor bestaande Dropbox Team-klanten) support.
Cloud Security Alliance: Security, Trust, Assurance, Risk-register (CSA STAR)
Het CSA Security, Trust, Assurance, and Risk (STAR) register is een gratis, openbaar toegankelijk register dat een garantieprogramma biedt voor de beveiliging van cloudservices. Hiermee kunnen gebruikers de veiligheid beoordelen van leveranciers van cloudservices die ze momenteel gebruiken of overwegen te gebruiken.
Dropbox Standard, Advanced, Enterprise en Education hebben de CSA STAR Level 2-certificering en de Level 2-attestatie. Voor CSA STAR Level 2 is een onafhankelijke beoordeling van onze beveiligingsmiddelen vereist door EY CertifyPoint (voor certificering) en Ernst & Young LLP (voor attestatie), op basis van de vereisten van ISO 27001, SOC 2 Trust Service Criteria en de CSA Cloud Controls Matrix (CCM) v.3.0.1. Bekijk onze CSA STAR Level 2-certificering en -attestatie op de website van CSA.
HIPAA/HITECH
Dropbox is bereid een Business Associate Agreement (BAA) te ondertekenen voor klanten van Dropbox Standard, Advanced, Enterprise en Education, die er een nodig hebben om te voldoen aan de wetten HIPAA (Health Insurance Portability and Accountability Act) en HITECH (Health Information Technology for Economic and Clinical Health Act). Zie onze handleiding Aan de slag met HIPAA en dit artikel in het Helpcentrum voor gedetailleerde informatie.
Dropbox stelt een SOC 2-onderzoek beschikbaar met een beoordeling van onze controlemiddelen voor de handhaving van de HIPAA-/HITECH-regels op het gebied van beveiliging, privacy en inbreukmeldingen. Daarnaast bevat dit rapport een overzicht van onze interne procedures en aanbevelingen voor klanten die met Dropbox Standard, Advanced, Enterprise en Education willen voldoen aan de beveiligings- en privacyvereisten van HIPAA/HITECH.
Klanten die deze documenten willen aanvragen, kunnen contact opnemen met ons salesteam. Als je momenteel een teambeheerder bent van Dropbox, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.
Opmerking: de mogelijkheid om een digitale BAA te ondertekenen via de Beheerconsole is alleen beschikbaar voor klanten in de Verenigde Staten.
NIST SP 800-171 R2-attestrapport
Het Amerikaanse National Institute of Standards and Technology (NIST) promoot en onderhoudt standaarden en richtlijnen voor het beschermen van informatiesystemen. Het document NIST Special Publication (SP) 800-171 Revision 2 (R2) geeft richtlijnen voor het beschermen van CUI (Controlled Unclassified Information; gereguleerde niet-geclassificeerde informatie) in niet-federale informatiesystemen en organisaties. Elke entiteit die CUI van de Amerikaanse overheid verwerkt of opslaat, bijvoorbeeld onderzoeksinstellingen en de onderwijssector, moet aan NIST SP 800-171 R2 voldoen. De CUI-systemen, -processen en -controlemiddelen van Dropbox zijn gevalideerd door Ernst & Young LLP, een onafhankelijke externe auditor.
Het NIST SP 800-171 R2-rapport voor Dropbox Standard, Advanced, Enterprise en Education is geïntegreerd in het SOC 2-rapport dat op aanvraag beschikbaar is via ons salesteam of (voor bestaande Dropbox Team-klanten) via support.
*Dropbox Paper valt niet binnen het toepassingsgebied van het NIST SP 800-171 R2-rapport.
Het EU-VS-gegevensprivacykader, de Britse uitbreiding van het EU-VS-gegevensprivacykader en het Zwitsers-Amerikaanse-gegevensprivacykader
Dropbox voldoet aan het EU-VS-gegevensprivacykader, de Britse uitbreiding van het EU-VS-gegevensprivacykader en het Zwitsers-Amerikaanse-gegevensprivacykader, zoals opgesteld door het Amerikaanse ministerie van Handel met betrekking tot het verzamelen, gebruiken en bewaren van persoonlijke gegevens die worden overgedragen van de Europese Unie, het Verenigd Koninkrijk en Zwitserland naar de Verenigde Staten. Het naleven van de principes van het gegevensprivacykader zorgt ervoor dat een organisatie adequate privacybescherming biedt onder de AVG.
Bekijk de certificering voor het gegevensprivacykader van Dropbox voor meer informatie op de website van het gegevensprivacykader.
Europese Algemene Verordening Gegevensbescherming (AVG)
De Algemene verordening gegevensbescherming 2016/679 (of AVG) is een verordening van de EU die een zorgde voor een significante wijziging aan het kader voor bescherming van de persoonlijke gegevens van staatsburgers van EU-lidstaten. De AVG heeft een reeks nieuwe of strengere vereisten geïntroduceerd die van toepassing zijn op bedrijven als Dropbox die persoonsgegevens verwerken. De AVG is van kracht geworden op 25 mei 2018 en vervangt de Europese richtlijn 95/46 EG, beter bekend als de Databeschermingsrichtlijn. Dropbox voldoet aan de vereisten van de AVG, zodat klanten Dropbox kunnen gebruiken om de eigen naleving van de AVG te vergemakkelijken. Lees dit artikel in het helpcentrum voor meer informatie.
Europese gedragscode voor de cloud
De Europese gedragscode voor de cloud is een vrijwillig instrument waarmee een cloudserviceprovider, zoals Dropbox, kan aantonen dat we de AVG naleven. Na het positieve advies van het Europees Comité voor gegevensbescherming (EDPB) werd de Europese gedragscode voor de cloud in mei 2021 officieel goedgekeurd door de Belgische autoriteit voor gegevensbescherming (Verificatie-ID: 2022LVL02SCOPE3114).Dropbox Standard-, Advanced-, Enterprise- en Education-abonnementen voor teams, zijn adherent verklaard aan de Europese gedragscode voor de cloud en hebben een nalevingsmarkering van 'Niveau 2' gekregen, wat betekent dat deze services technische, organisatorische en contractuele maatregelen hebben genomen die in overeenstemming zijn met de eisen van de gedragscode. Meer informatie over de Europese gedragscode voor de cloud en de naleving van de gedragscode door Dropbox is te vinden op de officiële website van de gedragscode.
Scholieren en kinderen (FERPA en COPPA)
Dropbox staat Team-klanten toe om de services te gebruiken volgens de eisen die door de wet FERPA (Family Education Rights and Privacy Act) in de VS worden gesteld aan providers. Onderwijsinstellingen mogen Dropbox Standard, Advanced, Enterprise en Education alleen gebruiken in overeenstemming met de Wet voor de bescherming van kinderen op internet (COPPA).
FDA 21 CFR deel 11
Titel 21 van de Code of Federal Regulations (CFR) reglementeert voedingsmiddelen en geneesmiddelen in de Verenigde Staten voor de Food and Drug Administration (FDA), de Drug Enforcement Administration en de Office of National Drug Control Policy. Part 11 van Titel 21 zet de criteria uiteen volgens welke de FDA elektronische documenten en handtekeningen als betrouwbaar en over het algemeen gelijkwaardig beschouwt aan papieren documenten en handgeschreven handtekeningen die op papier zijn uitgevoerd.
Bekijk onze Whitepaper over Dropbox en FDA 21 CFR Part 11 en ons Helpcentrum voor meer informatie over hoe Dropbox kan helpen bij je inspanningen op het gebied van naleving van 21 CFR Part 11.
Onze subdienstverleners
Onze providers van co-locatieservices voor onze datacenters en providers van beheerde services ondergaan ook regelmatig SOC 1-, SOC 2- en/of ISO 27001-audits waarbij hun beveiligingsmethoden worden gecontroleerd. Dropbox controleert de resultaten van die audits ten minste één keer per jaar of voert beveiligingscontroles van leveranciers uit als een controlerapport niet beschikbaar is in het kader van ons programma voor informatiebeveiligingsbeheer. Als uit deze audits belangrijke bevindingen naar voren komen die volgens ons risico's inhouden voor Dropbox of voor onze klanten, gaan we samen met de provider eventuele gevolgen voor klantgegevens na en controleren we wat de provider doet om dit te verhelpen totdat het probleem ook daadwerkelijk is opgelost.
Meer informatie over de naleving van de richtlijnen door Dropbox
Documenten over naleving en certificering kun je aanvragen bij een salesmedewerker van Dropbox (voor bestaande Dropbox Team-klanten) of support.