Naleving van normen en voorschriften


ISO 27001-certificering bij Dropbox

ISO-certificeringen

De Internationale Organisatie voor Standaardisatie (ISO) heeft een reeks normen ontwikkeld voor optimale kwaliteit van informatiebeveiliging en maatschappelijke veiligheid om organisaties te helpen betrouwbare en innovatieve producten en services te ontwikkelen. De datacenters, systemen, toepassingen, medewerkers en processen van Dropbox zijn gecertificeerd door EY CertifyPoint in Nederland, een onafhankelijke derde partij.

*Dropbox Paper valt niet binnen het toepassingsgebied van de ISO-certificeringen.

ISO 27001 (informatiebeveiligingsbeheer)

ISO 27001 wordt wereldwijd erkend als de belangrijkste ISMS-norm (Information Security Management System). De normen zijn ook gebaseerd op de best practices voor beveiliging die worden beschreven in ISO 27002. We willen het vertrouwen van onze klanten waard zijn en daarom houden we voortdurend en nauwlettend toezicht op onze fysieke, technische en wettelijke controlemiddelen. Onze auditor, EY CertifyPoint, heeft een ISO 27001-accreditatie verkregen van de Raad voor Accreditatie. Het ISO 27001-certificaat voor Dropbox Business, Enterprise en Education weergeven

ISO 27017 (cloudbeveiliging)

ISO 27017 is een nieuwe internationale norm voor cloudbeveiliging die richtlijnen bevat voor beveiligingsmaatregelen die van toepassing zijn op de levering en het gebruik van cloudservices. In onze Handleiding voor gedeelde verantwoordelijkheid vind je enkele beveiligings-, privacy- en nalevingsvereisten waaraan Dropbox en zijn klanten gezamenlijk kunnen voldoen. Het ISO 27017-certificaat voor Dropbox Business, Enterprise en Education weergeven

ISO 27018 (privacy- en gegevensbescherming in de cloud)

ISO 27018 is een nieuwe internationale norm voor privacy- en gegevensbescherming voor leveranciers van cloudservices (zoals Dropbox) die persoonlijke gegevens namens hun klanten verwerken. Deze norm vormt een kader voor situaties waarin klanten meer informatie willen of vragen hebben over veelvoorkomende wettelijke en contractuele kwesties. Het ISO 27018-certificaat voor Dropbox Business, Enterprise en Education weergeven

ISO 22301 (bedrijfscontinuïteitsbeheer)

ISO 22301 is een internationale norm voor bedrijfscontinuïteit die organisaties richtlijnen biedt over hoe ze de kans op ontwrichtende incidenten kunnen verlagen en welke maatregelen ze kunnen treffen om mogelijke schade tot een minimum te beperken. Het Dropbox Business Continuity Management System (BCMS) maakt deel uit van onze algemene risicobeheerstrategie om mensen en activiteiten in tijden van crisis te beschermen. Het ISO 22301-certificaat voor Dropbox Business, Enterprise en Education weergeven


CSA Star-certificering bij Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

De CSA Security, Trust & Assurance Registry (STAR) is een gratis, openbaar toegankelijk register dat een garantieprogramma biedt voor de beveiliging van cloudservices. Hiermee kunnen gebruikers de veiligheid beoordelen van leveranciers van cloudservices die ze momenteel gebruiken of overwegen te gebruiken.

Dropbox Business, Enterprise en Education hebben de CSA STAR Level 2-certificering, een onafhankelijke, externe beoordeling van onze beveiligingsmaatregelen door EY CertifyPoint, op basis van de vereisten van ISO 27001 en de CSA Cloud Controls Matrix (CCM) v.3.0.1, een reeks criteria die de capaciteiten van cloudservices meet. Dropbox Business heeft ook de CSA STAR Level 1-zelfbeoordeling doorlopen. Dit is een zeer gedegen onderzoek dat is gebaseerd op de Consensus Assessments Initiative Questionnaire (CAIQ) van CSA (die aansluit op de CMM) en antwoord geeft op bijna 300 vragen die een klant van cloudservices of een auditor van cloudbeveiliging zou kunnen stellen.

*Dropbox Paper valt niet binnen het toepassingsgebied van de vermelding in het CSA STAR-register.


SOC-naleving bij Dropbox

SOC-rapporten

SOC-rapporten (Service Organization Controls), ook wel SOC 1, SOC 2 of SOC 3 genoemd, zijn raamwerken die zijn vastgelegd door de AICPA (American Institute of Certified Public Accounts) voor rapportage over interne controlemiddelen die in een organisatie zijn geïmplementeerd. De systemen, toepassingen, medewerkers en processen van Dropbox zijn gevalideerd door Ernst & Young LLP, een onafhankelijke derde partij.

*Dropbox Paper valt niet binnen het toepassingsgebied van de SOC-rapporten.

SOC 3 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 3-controlerapport is gebaseerd op de vijf principes voor vertrouwensdiensten, namelijk beveiliging, vertrouwelijkheid, procesintegriteit, beschikbaarheid en privacy (sectie 100 van Trust Service Principles). Het Dropbox-rapport voor algemeen gebruik is een samenvatting van het SOC 2-rapport en bevat het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen. Het SOC 3-onderzoek voor Dropbox Business, Enterprise en Education weergeven

SOC 2 voor beveiliging, vertrouwelijkheid, integriteit, beschikbaarheid en privacy

Het SOC 2-rapport biedt klanten gedetailleerde garanties op basis van controlemiddelen en heeft betrekking op de vijf principes van vertrouwensdiensten, namelijk beveiliging, vertrouwelijkheid, procesintegriteit, beschikbaarheid en privacy (sectie 100 van Trust Service Principles). Het SOC 2-rapport bevat een uitvoerige beschrijving van de processen bij Dropbox en de meer dan 100 controlemiddelen die we inzetten om jouw spullen te beschermen. Naast het oordeel van onze onafhankelijke externe auditor over het effectieve ontwerp en de effectieve werking van onze controlemiddelen, bevat het rapport de testprocedures die de auditor hanteert en de resultaten van elke controle. Het SOC 2-onderzoek voor Dropbox Business, Enterprise en Education is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.

SOC 1 / SSAE 16 / ISAE 3402 (voorheen SAS 70)

Het SOC 1-rapport biedt specifieke garanties aan klanten voor wie Dropbox Business, Enterprise of Education een essentieel onderdeel is van hun programma voor interne controle op de financiële verslaglegging (ICFR). Deze specifieke garanties worden hoofdzakelijk gebruikt voor de naleving van Sarbanes-Oxley (SOX) door onze klanten. De onafhankelijke externe audit wordt uitgevoerd in overeenstemming met SSAE 16 (Statement on Standards for Attestation Engagements nr. 16) en ISAE 3402 (International Standard on Assurance Engagements nr. 3402). Deze normen vervangen de verouderde SAS 70 (Statement on Auditing Standards nr. 70). Het SOC 1-onderzoek voor Dropbox Business, Enterprise en Education is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.


Scholieren en kinderen (FERPA en COPPA)

Dropbox Business, Enterprise en Education bieden klanten de mogelijkheid om de services te gebruiken in overeenstemming met de eisen die aan leveranciers worden gesteld door de wet FERPA (Family Education Rights and Privacy Act) in de VS. Onderwijsinstellingen met leerlingen jonger dan 13 jaar mogen Dropbox Business, Enterprise of Education ook gebruiken overeenkomstig de wet COPPA (Children's Online Privacy Protection Act), mits ze akkoord gaan met bepaalde clausules waarin de instelling wordt verplicht ouders toestemming te vragen voor het gebruik van onze services.


UK Digital Marketplace G-Cloud

Dropbox Business en Enterprise zijn nu opgenomen in de digitale marktplaats van het Verenigd Koninkrijk voor de inkoop van cloudservices door de overheid. Bekijk onze vermeldingen op de website voor de digitale marktplaats van het Verenigd Koninkrijk voor het Dropbox Business Standard-abonnement, het Dropbox Business Advanced-abonnement en Dropbox Enterprise.

*Dropbox Paper is niet opgenomen in de UK Digitale Marketplace G-Cloud-vermelding.


HIPAA-certificering van Dropbox

HIPAA/HITECH

Dropbox is bereid een Business Associate Agreement (BAA) te ondertekenen voor klanten van Dropbox Business, Enterprise of Education, die er een nodig hebben om te voldoen aan de wetten HIPAA (Health Insurance Portability and Accountability Act) en HITECH (Health Information Technology for Economic and Clinical Health Act). Zie onze handleiding Aan de slag met HIPAA en dit artikel in het Helpcentrum voor gedetailleerde informatie.

Dropbox stelt een extern assurancerapport beschikbaar met een beoordeling van onze controlemiddelen voor de handhaving van de HIPAA-/HITECH-regels op het gebied van beveiliging, privacy en inbreukmeldingen. Daarnaast bevat dit rapport een overzicht van onze interne procedures en aanbevelingen voor klanten die met Dropbox Business, Enterprise of Education willen voldoen aan de beveiligings- en privacyvereisten van HIPAA/HITECH.

Klanten die deze documenten willen aanvragen, kunnen contact opnemen met het accountbeheerteam of het salesteam. Als je een teambeheerder van een Dropbox Business-, Enterprise- of Education-team bent, kun je elektronisch een BAA ondertekenen op de pagina Account in de Beheerconsole.

Opmerking: De mogelijkheid om een digitale BAA te ondertekenen via de Beheerconsole is alleen beschikbaar voor klanten in de Verenigde Staten die Dropbox Paper niet gebruiken. Dropbox biedt geen HIPAA/HITECH-ondersteuning voor Dropbox Paper.


PCI DSS

Dropbox voldoet als bedrijf aan de PCI DSS (Payment Card Industry Data Security Standard). Dropbox Business, Enterprise, Education en Dropbox Paper zijn echter niet bedoeld om creditcardtransacties te verwerken of op te slaan. De Attestation of Compliance (AoC) van PCI over onze status als handelaar is op aanvraag beschikbaar. Je kunt je aanvraag richten aan het salesteam of het accountbeheerteam.

Het Amerikaans-Europese Privacy Shield en het Amerikaans-Zwitserse Privacy Shield

Dropbox voldoet aan de Amerikaans-Europese en Amerikaans-Zwitserse Privacy Shield Frameworks zoals omschreven door het Amerikaanse Department of Commerce, inzake het verzamelen, gebruiken en bewaren van persoonsgegevens die van de Europese Unie, de Europese Economische Ruimte en Zwitserland worden overgebracht naar de Verenigde Staten. Een organisatie die de grondbeginselen van de Privacy Shields naleeft, biedt voldoende privacybescherming onder de EU-richtlijn voor gegevensbescherming.

Bekijk het Privacy Shield-certificaat van Dropbox en ga voor meer informatie naar de Privacy Shield-website.

Europese Algemene Verordening Gegevensbescherming (AVG)

De Algemene Verordening Gegevensbescherming 2016/679 (ook wel de General Data Protection Regulation, of afgekort de GDPR genoemd) is een richtlijn van de Europese Unie die een belangrijke wijziging vormt in het bestaande raamwerk voor het verwerken van persoonsgegevens van natuurlijke personen in de EU. De AVG introduceert een reeks nieuwe of strengere vereisten die van toepassing zijn op bedrijven als Dropbox die persoonsgegevens verwerken. De verordening wordt van kracht op 25 mei 2018 en vervangt de huidige Europese richtlijn 95/46 EG, beter bekend als de Databeschermingsrichtlijn. Zoals alle bonafide bedrijven werkt Dropbox aan de uitbreiding en uitvoering van zijn gedetailleerde plannen voor de naleving van de AVG. We verwachten de AVG vóór 25 mei 2018 volledig na te leven. Lees dit artikel in het Helpcentrum voor meer informatie.

Onze subdienstverleners

Onze providers van co-locatieservices voor onze datacenters en providers van beheerde services ondergaan ook regelmatig SOC 1-, SOC 2- en/of ISO 27001-audits waarbij hun beveiligingsmethoden worden gecontroleerd. Dropbox controleert de resultaten van die audits ten minste één keer per jaar in het kader van ons programma voor informatiebeveiligingsbeheer. Als uit deze audits belangrijke bevindingen naar voren komen die volgens ons risico's inhouden voor Dropbox of voor onze klanten, gaan we samen met de provider eventuele gevolgen voor klantgegevens na en controleren we wat de provider doet om dit te verhelpen totdat het probleem ook daadwerkelijk is opgelost.

Meer informatie over de wet- en regelnaleving door Dropbox Business, Enterprise of Education

Documenten over naleving en certificering kun je aanvragen bij een salesmedewerker van Dropbox of het accountbeheerteam.