Zgodność z normami i przepisami


Certyfikat ISO 27001 dla Dropbox

ISO

Międzynarodowa Organizacja Normalizacyjna (ISO) opracowała szereg światowych standardów z zakresu bezpieczeństwa informacji i społeczeństw, aby pomóc organizacjom w opracowywaniu niezawodnych i innowacyjnych produktów oraz usług. W Dropbox nasze centra danych, technologie, systemy, aplikacje, personel i procesy mają certyfikaty ISO przyznane przez niezależny holenderski instytut EY CertifyPoint, który otrzymał akredytację ISO od Raad voor Accreditatie (holenderskiej rady akredytacyjnej).

ISO 27001 (bezpieczeństwo informacji)

ISO 27001 uznaje się na całym świecie za czołowy standard w dziedzinie systemów zarządzania bezpieczeństwem informacji (ISMS), który korzysta z najlepszych praktyk opisanych w normie ISO 27002. Aby zasłużyć na zaufanie użytkowników, w Dropbox nieustannie i kompleksowo zarządzamy naszymi mechanizmami kontroli fizycznej, technicznej i prawnej. Wyświetl certyfikat ISO 27001 dotyczący Dropbox Business, Enterprise i Education.

ISO 27017 (bezpieczeństwo w chmurze)

ISO 27017 to nowy międzynarodowy standard bezpieczeństwa w chmurze, który zawiera wskazówki z zakresu kontroli bezpieczeństwa dotyczące świadczenia i korzystania z usług chmurowych. Nasz Przewodnik dotyczący wspólnej odpowiedzialności zawiera wszystkie wymagania związane z bezpieczeństwem, prywatnością i zgodnością, które w drodze współpracy mogą spełnić Dropbox i jego klienci. Wyświetl certyfikat ISO 27017 dotyczący Dropbox Business, Enterprise i Education.

ISO 27018 (ochrona prywatności i danych w chmurze)

ISO 27018 to nowy międzynarodowy standard ochrony prywatności i danych, który dotyczy dostawców usług w chmurze, takich jak Dropbox, przetwarzających dane osobowe w imieniu swoich klientów. Standard ten jest podstawą do określania typowych wymagań regulacyjnych i umownych oraz udzielania odpowiedzi na związane z nimi pytania. Wyświetl certyfikat ISO 27018 dotyczący Dropbox Business, Enterprise i Education.

ISO 22301 (ciągłość działania)

ISO 22301 to międzynarodowy standard ciągłości działania, który pomaga organizacjom w obniżaniu prawdopodobieństwa wystąpienia zakłóceń w działalności, a w razie ich wystąpienia ułatwia odpowiednie reagowanie i minimalizowanie potencjalnych szkód. Stosowany w Dropbox Business system zarządzania ciągłością działania jest elementem naszej szerszej strategii zarządzania ryzykiem, która ma na celu ochronę ludzi i działalności w sytuacjach kryzysowych. Wyświetl certyfikat ISO 22301 dotyczący Dropbox Business, Enterprise i Education.


Certyfikat CSA Star dla Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) to bezpłatny, ogólnodostępny rejestr oferujący program zapewnienia bezpieczeństwa usług chmurowych, który pomaga użytkownikom w ocenie zabezpieczeń stosowanych przez obecnych lub potencjalnych dostawców usług.

Dropbox Business, Enterprise i Education otrzymały certyfikat CSA STAR poziomu 2, będący wynikiem niezależnej zewnętrznej oceny naszych mechanizmów kontroli zabezpieczeń przeprowadzonej przez EY CertifyPoint w oparciu o wymagania standardu ISO 27001 i specyfikacji CSA Cloud Controls Matrix (CCM) v.3.0.1, czyli zestawu kryteriów mierzących poziomy funkcji i możliwości usług chmurowych. Dropbox Business przeprowadził także samoocenę CSA STAR poziomu 1, czyli rygorystyczny przegląd dokonywany na podstawie formularza CSA Consensus Assessments Initiative Questionnaire (CAIQ), zgodnego z CCM i obejmującego odpowiedzi na niemal 300 możliwych pytań klientów lub audytorów bezpieczeństwa usług w chmurze.


Zgodność z SOC w Dropbox

SOC

Raporty Service Organization Controls (SOC), znane pod nazwami SOC 1, SOC 2 i SOC 3, to ramy określone przez American Institute of Certified Public Accountants (AICPA) i dotyczące sprawozdań na temat wewnętrznych mechanizmów kontrolnych wdrożonych w danej organizacji. Działalność, procesy i technologie Dropbox mają certyfikat wystawiony przez niezależnego audytora zewnętrznego Ernst & Young LLP.

SOC 3 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport poświadczający zgodność z SOC 3 obejmuje zasady Trust Service Principles dotyczące bezpieczeństwa, poufności, integralności, dostępności i prywatności (TSP sekcja 100). Ten raport Dropbox do powszechnego użycia jest streszczeniem raportu SOC 2 i zawiera opinię niezależnego audytora zewnętrznego na temat wdrożonego projektu i działania naszych mechanizmów kontroli. Wyświetl badanie SOC 3 dotyczące Dropbox Business, Enterprise i Education.

SOC 2 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport SOC 2 przedstawia klientom szczegółowe, oparte na kontrolach zapewnienia obejmujące pięć zasad Trust Service Principles: bezpieczeństwo, poufność, integralność przetwarzania, dostępność i prywatność (TSP sekcja 100). Raport SOC 2 zawiera szczegółowy opis procesów Dropbox i ponad 100 mechanizmów kontroli, które wdrożyliśmy w celu ochrony Twoich materiałów. Oprócz opinii naszego niezależnego audytora zewnętrznego na temat wdrożonego projektu i działania naszych mechanizmów kontroli raport zawiera także procedury testowe audytora oraz wyniki uzyskane dla każdego mechanizmu kontroli. Badanie SOC 2 dotyczące Dropbox Business, Enterprise i Education można uzyskać od zespołu ds. sprzedaży lub opiekuna.

SOC 1 / SSAE 16 / ISAE 3402 (dawny SAS 70)

Raport SOC 1 przedstawia konkretne zapewnienia dla klientów, którzy wymagają, aby Dropbox Business, Enterprise lub Education był kluczowym elementem ich programu wewnętrznej kontroli nad sprawozdawczością finansową (ICFR). Te konkretne zapewnienia służą głównie klientom wymagającym zgodności z amerykańską ustawą Sarbanesa-Oxley'a (SOX) Niezależny audyt zewnętrzny jest przeprowadzany zgodnie z deklaracją Statement on Standards for Attestation Engagements No. 16 (SSAE 16) i standardem International Standard for Assurance Engagements No. 3402 (ISAE 3402). Standardy te zastąpiły nieaktualną wersję o nazwie Statement on Auditing Standards No. 70 (SAS 70). Badanie SOC 1 dotyczące Dropbox Business, Enterprise i Education można uzyskać od zespołu ds. sprzedaży lub od opiekuna.


Studenci i dzieci (FERPA i COPPA)

Dropbox Business, Enterprise i Education pozwala klientom korzystać z usług zgodnie ze zobowiązaniami dostawcy nałożonymi przez US Family Education Rights and Privacy Act (FERPA – ustawa o prawach rodziny do edukacji i prywatności). Instytucje edukacyjne kształcące uczniów poniżej 13 roku życia również mogą korzystać z Dropbox Business, Enterprise lub Education zgodnie z Children's Online Privacy Protection Act (COPPA – ustawa o ochronie prywatności dzieci w internecie), pod warunkiem że zaakceptują pewne postanowienia umowne, wymagające od instytucji uzyskania zgody rodziców na korzystanie z usług.

UK Digital Marketplace G-Cloud

Dropbox Business jest teraz dostępny w brytyjskim serwisie Digital Marketplace, w którym instytucje rządowe zaopatrują się w usługi w chmurze. Zobacz nasz wpis tutaj.


Certyfikat HIPAA Dropbox

HIPAA/HITECH

Dropbox podpisuje umowy o partnerstwie biznesowym (Business Associate Agreement – BAA) z klientami Dropbox Business, Enterprise i Education, którzy potrzebują ich w celu spełnienia wymagań wynikających z ustawy Health Insurance Portability and Accountability Act (HIPAA) i ustawy Health Information Technology for Economic and Clinical Health Act (HITECH). Zobacz nasz przewodnik „Wprowadzenie do HIPAA” i artykuł w Centrum pomocy, aby uzyskać bardziej szczegółowe informacje.

Dropbox udostępnia niezależny raport poświadczający zgodność naszych mechanizmów kontroli z określonymi w ustawach HIPPA/HITECH zasadami bezpieczeństwa, prywatności i powiadamiania o naruszeniach, a także zestawienie swoich wewnętrznych praktyk i zaleceń przeznaczone dla klientów, którzy podczas korzystania z Dropbox Business, Enterprise i Education chcą spełnić wymogi w zakresie bezpieczeństwa i prywatności wynikające z ustaw HIPAA/HITECH.

Klienci zainteresowani uzyskaniem tych dokumentów mogą kontaktować się ze swoim opiekunem lub naszym zespołem ds. sprzedaży. Jeśli obecnie jesteś administratorem zespołu w Dropbox Business, Enterprise lub Education, możesz podpisać umowę o partnerstwie biznesowym elektronicznie na stronie Konto w Konsoli administratora.

Uwaga: możliwość podpisania elektronicznej umowy o partnerstwie biznesowym za pośrednictwem Konsoli administratora jest dostępna tylko dla klientów z siedzibą w USA, którzy nie biorą udziału w programie beta Dropbox Paper.


PCI DSS

Dropbox przestrzega standardów Payment Card Industry Data Security Standard (PCI DSS). Dropbox Business, Enterprise ani Education nie jest jednak uprawniony do przetwarzania ani przechowywania danych o transakcjach wykonywanych kartami kredytowymi. Atest zgodności PCI Attestation of Compliance (AoC) poświadczający nasz status handlowy można uzyskać od zespołu ds. sprzedaży lub opiekuna.

Nasi dostawcy usług wspierających

Nasi operatorzy centów danych, dostawcy usług kolokacji i hostingu również poddawani są regularnym audytom SOC 1, SOC 2, i/lub ISO 27001 w celu sprawdzenia stosowanych przez nich praktyk ochrony. Dropbox opiniuje wyniki tych kontroli co najmniej raz w roku w ramach naszego programu zarządzania bezpieczeństwem informacji. W przypadku, gdy w wyniku przeprowadzonego audytu zaistnieje dowód, który wskazuje na ryzyko dla Dropbox lub naszych klientów, podejmujemy współpracę z naszymi usługodawcami w celu zrozumienia potencjalnego wpływu ryzyka dla danych klientów oraz śledzimy podjęte kroki zapobiegawcze i naprawcze do czasu, aż problem zostanie rozwiązany.

Więcej informacji na temat zgodności Dropbox Business, Enterprise lub Education

Dokumenty dotyczące zgodności i certyfikacji można uzyskać od przedstawiciela Dropbox lub od opiekuna.