Zgodność z normami i przepisami


Certyfikat ISO 27001 dla Dropbox

Certyfikacje ISO

Międzynarodowa Organizacja Normalizacyjna (ISO) opracowała szereg światowych standardów z zakresu bezpieczeństwa informacji i społeczeństw, aby pomóc organizacjom w opracowywaniu niezawodnych i innowacyjnych produktów oraz usług. Stosowane przez Dropbox centra danych, technologie, systemy, aplikacje, personel i procesy mają certyfikaty, które zostały przyznane po serii audytów przez niezależny holenderski instytut EY CertifyPoint.

ISO 27001 (zarządzanie bezpieczeństwem informacji)

ISO 27001 uznaje się na całym świecie za czołowy standard w dziedzinie systemów zarządzania bezpieczeństwem informacji (ISMS). Korzysta on także z najlepszych praktyk z zakresu bezpieczeństwa opisanych w normie ISO 27002. Aby zasłużyć na zaufanie użytkowników, w Dropbox nieustannie i kompleksowo zarządzamy naszymi mechanizmami kontroli fizycznej, technicznej i prawnej oraz stale je doskonalimy. Nasz audytor, EY CertifyPoint, ma akredytację ISO 27001 przyznaną przez Raad voor Accreditatie (Holenderską Radę Akredytacyjną). Wyświetl certyfikat ISO 27001 dotyczący Dropbox Business i Dropbox Education.

ISO 27017 (bezpieczeństwo w chmurze)

ISO 27017 to międzynarodowy standard bezpieczeństwa w chmurze, który zawiera wskazówki z zakresu kontroli bezpieczeństwa dotyczące świadczenia i korzystania z usług chmurowych. W naszym Przewodniku dotyczącym wspólnej odpowiedzialności omówiono kilka wymagań związanych z bezpieczeństwem, prywatnością i zgodnością, które w drodze współpracy mogą spełnić Dropbox i jego klienci. Wyświetl certyfikat ISO 27017 dotyczący Dropbox Business i Dropbox Education.

ISO 27018 (ochrona prywatności i danych w chmurze)

ISO 27018 to międzynarodowy standard ochrony prywatności i danych, który dotyczy dostawców usług w chmurze, takich jak Dropbox, przetwarzających dane osobowe w imieniu swoich klientów. Standard ten jest podstawą do określania typowych wymagań regulacyjnych i umownych oraz udzielania odpowiedzi na związane z nimi pytania. Wyświetl certyfikat ISO 27018 dotyczący Dropbox Business i Dropbox Education.

ISO 22301 (zarządzanie ciągłością działania)

ISO 22301 to międzynarodowy standard ciągłości działania, który pomaga organizacjom w ograniczeniu negatywnego wpływu zakłóceń działalności, a w razie ich wystąpienia ułatwia odpowiednie reagowanie i minimalizowanie potencjalnych szkód. Stosowany w Dropbox Business system zarządzania ciągłością działania jest elementem naszej szerszej strategii zarządzania ryzykiem, która ma na celu ochronę ludzi i działalności w sytuacjach kryzysowych. Wyświetl certyfikat ISO 22301 dotyczący Dropbox Business i Dropbox Education.


Zgodność z SOC w Dropbox

Raporty SOC

Raporty Service Organization Controls (SOC), znane pod nazwami SOC 1, SOC 2 i SOC 3, to ramy określone przez American Institute of Certified Public Accountants (AICPA) i dotyczące sprawozdań na temat wewnętrznych mechanizmów kontrolnych wdrożonych w danej organizacji. Systemy, aplikacje, personel i procesy Dropbox zostały zweryfikowane podczas serii audytów przeprowadzonych przez niezależną firmę Ernst & Young LLP.

SOC 3 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport poświadczający zgodność z SOC 3 obejmuje wszystkie pięć zasad Trust Service Principles: bezpieczeństwo, poufność, integralność przetwarzania, dostępność i prywatność (TSP sekcja 100). Ten raport Dropbox do powszechnego użycia jest streszczeniem raportu SOC 2 i zawiera opinię niezależnego audytora zewnętrznego na temat wdrożonego projektu i działania naszych mechanizmów kontroli. Wyświetl badanie SOC 3 dotyczące Dropbox Business i Dropbox Education.

SOC 2 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport SOC 2 przedstawia klientom szczegółowe, oparte na kontrolach zapewnienia obejmujące wszystkie pięć zasad Trust Service Principles: bezpieczeństwo, poufność, integralność przetwarzania, dostępność i prywatność (TSP sekcja 100). Raport SOC 2 zawiera szczegółowy opis procesów i ponad 100 mechanizmów kontroli, jakie Dropbox wdrożył w celu ochrony Twoich materiałów. Oprócz opinii naszego niezależnego audytora zewnętrznego na temat wdrożonego projektu i działania naszych mechanizmów kontroli raport zawiera także procedury testowe audytora oraz wyniki uzyskane dla każdego mechanizmu kontroli. Nasz raport SOC 2 (czasem nazywany także raportem SOC 2+) obejmuje również zweryfikowane odwzorowanie naszych mechanizmów kontroli na wyżej wymienione standardy ISO, zwiększając naszą przejrzystość z perspektywy klientów. Badanie SOC 2 dotyczące Dropbox Business i Dropbox Education można uzyskać od zespołu ds. sprzedaży lub opiekuna.

SOC 1 / SSAE 18 / ISAE 3402 (dawniej SSAE 16 lub SAS 70)

Raport SOC 1 przedstawia konkretne zapewnienia dla klientów, którzy wymagają, aby Dropbox Business lub Dropbox Education był kluczowym elementem ich programu wewnętrznej kontroli nad sprawozdawczością finansową (ICFR). Te konkretne zapewnienia służą głównie klientom wymagającym zgodności z amerykańską ustawą Sarbanesa-Oxleya (SOX) Niezależny audyt zewnętrzny jest przeprowadzany zgodnie z deklaracją Statement on Standards for Attestation Engagements No. 18 (SSAE 18) i standardem International Standard for Assurance Engagements No. 3402 (ISAE 3402). Standardy te zastąpiły nieaktualne wersje o nazwach Statement on Standards for Attestation Engagement No.16 (SSAE 16) i Statement on Auditing Standards No. 70 (SAS 70). Badanie SOC 1 dotyczące Dropbox Business i Dropbox Education można uzyskać od zespołu ds. sprzedaży lub opiekuna.


Certyfikat CSA Star dla Dropbox

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) to bezpłatny, ogólnodostępny rejestr oferujący program zapewnienia bezpieczeństwa usług chmurowych, który pomaga użytkownikom w ocenie zabezpieczeń stosowanych przez obecnych lub potencjalnych dostawców usług.

Dropbox Business i Dropbox Education otrzymały certyfikat CSA STAR poziomu 2 oraz poświadczenie poziomu 2. Poziom 2 CSA STAR wymaga przeprowadzenia niezależnej zewnętrznej oceny naszych mechanizmów kontroli zabezpieczeń przez EY CertifyPoint (certyfikacja) i Ernst & Young LLP (poświadczenie) na podstawie wymagań standardu ISO 27001, zasad SOC 2 Trust Service Principles i specyfikacji CSA Cloud Controls Matrix (CCM) v.3.0.1. Dropbox przeprowadził także samoocenę CSA STAR poziomu 1 dotyczącą Dropbox Business i Dropbox Education. Samoocena jest rygorystycznym przeglądem dokonywanym na podstawie formularza CSA Consensus Assessments Initiative Questionnaire (CAIQ), zgodnego z CCM i obejmującego odpowiedzi na niemal 300 możliwych pytań klientów lub audytorów bezpieczeństwa usług w chmurze. Wyświetl nasze certyfikaty i poświadczenia CSA STAR poziomu 1 i poziomu 2 w witrynie CSA


Certyfikat HIPAA Dropbox

HIPAA/HITECH

Dropbox podpisuje umowy o partnerstwie biznesowym (Business Associate Agreement – BAA) z klientami korzystającymi z Dropbox Business lub Dropbox Education, którzy potrzebują tych umów w celu spełnienia wymagań wynikających z ustawy Health Insurance Portability and Accountability Act (HIPAA) i ustawy Health Information Technology for Economic and Clinical Health Act (HITECH). Zobacz nasz przewodnik „Wprowadzenie do HIPAA” i artykuł w Centrum pomocy, aby uzyskać bardziej szczegółowe informacje.

Dropbox udostępnia niezależny raport poświadczający zgodność naszych mechanizmów kontroli z określonymi w ustawach HIPAA/HITECH zasadami bezpieczeństwa, prywatności i powiadamiania o naruszeniach, a także zestawienie swoich wewnętrznych praktyk i zaleceń przeznaczone dla klientów, którzy podczas korzystania z Dropbox Business lub Dropbox Education chcą spełnić wymogi w zakresie bezpieczeństwa i prywatności wynikające z ustaw HIPAA/HITECH.

Klienci zainteresowani uzyskaniem tych dokumentów mogą kontaktować się ze swoim opiekunem lub naszym zespołem ds. sprzedaży. Jeśli obecnie jesteś administratorem zespołu w Dropbox Business lub Dropbox Education, możesz podpisać umowę o partnerstwie biznesowym elektronicznie na stronie Konto w Konsoli administratora.

Uwaga: Możliwość podpisania elektronicznej umowy o partnerstwie biznesowym za pośrednictwem Konsoli administratora jest dostępna tylko dla klientów z siedzibą w USA, którzy nie korzystają z Dropbox Paper. Dropbox nie oferuje wsparcia związanego z ustawami HIPAA/HITECH w odniesieniu do Dropbox Paper.


Raport Dropbox dotyczący niemieckiego standardu BSI C5

Raport poświadczający zgodność z niemieckim standardem BSI C5

Cloud Computing Compliance Controls Catalog (C5) to ramowa platforma ustanowiona przez niemiecki federalny urząd ds. bezpieczeństwa technologii informatycznych (Bundesamt fur Sicherheit in der Informationstechnik – BSI) z myślą o sporządzaniu raportów na temat mechanizmów kontroli dotyczących świadczenia usług chmurowych. Dzięki poświadczeniu C5 organizacje mogą łatwiej dowieść, że ich praktyki z dziedziny bezpieczeństwa informacji są zgodne z „zaleceniami bezpieczeństwa dla dostawców usług chmurowych” określonymi przez BSI Specyfikacja C5 została określona na podstawie dotychczasowych międzynarodowych standardów bezpieczeństwa, takich jak ISO 27001 i CSA STAR. W celu otrzymania raportu z poświadczeniem C5 Dropbox poddał swoje systemy, procesy i mechanizmy kontroli weryfikacji przez niezależnego, zewnętrznego audytora z siedzibą w Niemczech, czyli Ernst & Young GmbH. Niezależny audyt zewnętrzny jest przeprowadzany zgodnie z deklaracją International Standard on Assurance Engagements No. 3000 (ISAE 3000).

Raport zawiera szczegółowy opis systemu, aplikacji, procesów i mechanizmów kontroli stosowanych przez Dropbox, a także procedury testowe naszego niezależnego audytora i wyniki dotyczące każdego mechanizmu kontroli. Raport C5 dotyczący Dropbox Business i Dropbox Education można uzyskać od zespołu ds. sprzedaży lub opiekuna.

*Dropbox Paper nie wchodzi w skład raportu C5.


Programy Tarcza Prywatności UE-USA oraz Szwajcaria-USA

Dropbox jest zgodny z programami Tarcza Prywatności UE-USA i Szwajcaria-USA Departamentu Handlu Stanów Zjednoczonych dotyczącymi zbierania, wykorzystania i przechowywania danych osobowych przesyłanych z Unii Europejskiej, Europejskiego Obszaru Gospodarczego i Szwajcarii do USA. Przestrzeganie zasad Tarczy Prywatności daje gwarancję, że organizacja zapewnia wystarczającą ochronę prywatności w świetle unijnej dyrektywy o ochronie danych.


Ogólne rozporządzenie UE o ochronie danych

Ogólne rozporządzenie o ochronie danych 2016/679 jest rozporządzeniem Unii Europejskiej, które wprowadza istotne zmiany w dotychczasowych przepisach o przetwarzaniu danych osobowych w UE. Rozporządzenie wprowadza szereg nowych lub zaostrzonych wymagań, które będą dotyczyć firm takich jak Dropbox, mających do czynienia z danymi osobowymi. Rozporządzenie wejdzie w życie 25 maja 2018 r. i zastąpi obecną unijną dyrektywę 95/46 WE, lepiej znaną jako dyrektywa o ochronie danych. Tak jak wszystkie odpowiedzialne firmy, Dropbox opracowuje i realizuje szczegółowe plany zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych i zamierza osiągnąć pełną zgodność przed 25 maja 2018 r. Więcej informacji możesz znaleźć w tym artykule w centrum pomocy.


Studenci i dzieci (FERPA i COPPA)

Dropbox Business i Dropbox Education pozwalają klientom korzystać z usług zgodnie ze zobowiązaniami dostawcy nałożonymi przez US Family Education Rights and Privacy Act (FERPA – ustawa o prawach rodziny do edukacji i prywatności ). Instytucje edukacyjne kształcące uczniów poniżej 13 roku życia również mogą korzystać z Dropbox Business lub Dropbox Education zgodnie z Children's Online Privacy Protection Act (COPPA – ustawa o ochronie prywatności dzieci w internecie) pod warunkiem, że zaakceptują pewne postanowienia umowne, wymagające od instytucji uzyskania zgody rodziców na korzystanie z usług.


UK Digital Marketplace G-Cloud

Dropbox Business jest dostępny w brytyjskim serwisie Digital Marketplace, w którym instytucje rządowe zaopatrują się w usługi w chmurze. Wyświetl nasze wpisy w witrynie UK Digital Marketplace dotyczące taryfy Dropbox Business Standard, taryfy Dropbox Business Advanced i taryfy Dropbox Enterprise.

*Dropbox Paper nie wchodzi w skład wpisu w UK Digital Marketplace G-Cloud.


PCI DSS

Dropbox przestrzega standardów Payment Card Industry Data Security Standard (PCI DSS). Jednak Dropbox Business, Dropbox Education ani Dropbox Paper nie są uprawnione do przetwarzania ani przechowywania danych o transakcjach wykonywanych kartami kredytowymi. Atest zgodności PCI Attestation of Compliance (AoC) poświadczający nasz status handlowy można uzyskać od zespołu ds. sprzedaży lub opiekuna.


Nasi dostawcy usług wspierających

Nasi dostawcy usług kolokacji centrów danych i usług zarządzanych również poddawani są regularnym audytom SOC 1, SOC 2 i/lub ISO 27001 weryfikującym ich praktyki w zakresie bezpieczeństwa. W ramach swojego programu zarządzania bezpieczeństwem informacji Dropbox co najmniej raz w roku dokonuje przeglądu wyników tych audytów lub weryfikuje zabezpieczenia dostawców, jeśli raport z audytu jest niedostępny. W przypadku, gdy w ramach audytu lub przeglądu zostanie stwierdzona możliwość istnienia ryzyka dla Dropbox lub naszych klientów, we współpracy z danym dostawcą identyfikujemy potencjalny wpływ czynników ryzyka na dane klientów oraz monitorujemy wdrożone przez usługodawcę kroki zaradcze do czasu rozwiązania problemu.


Więcej informacji na temat zgodności Dropbox Business lub Dropbox Education

Dokumenty dotyczące zgodności i certyfikacji można uzyskać od przedstawiciela Dropbox lub od opiekuna.