Standardy i przepisy, z którymi są zgodne usługi Dropbox Business i Education

ISO

CSA STAR

SOC

FERPA i COPPA

UK Digital Marketplace G-Cloud

HIPAA / HITECH

PCI DSS

Programy Tarcza Prywatności UE-USA oraz Szwajcaria-USA

Ogólne rozporządzenie UE o ochronie danych

Międzynarodowa Organizacja Normalizacyjna (ISO) opracowała szereg światowych standardów z zakresu bezpieczeństwa informacji i społeczeństw, aby pomóc organizacjom w opracowywaniu niezawodnych i innowacyjnych produktów oraz usług. Stosowane przez Dropbox centra danych, technologie, systemy, aplikacje, personel i procesy mają certyfikaty, które zostały przyznane po serii audytów przez niezależny holenderski instytut EY CertifyPoint.

Uwaga: Dropbox Paper nie wchodzi w skład certyfikacji ISO.

ISO 27001 (zarządzanie bezpieczeństwem informacji)

ISO 27001 uznaje się na całym świecie za czołowy standard w dziedzinie systemów zarządzania bezpieczeństwem informacji (ISMS). Korzysta on także z najlepszych praktyk z zakresu bezpieczeństwa opisanych w normie ISO 27002. Aby zasłużyć na zaufanie użytkowników, w Dropbox nieustannie i kompleksowo zarządzamy naszymi mechanizmami kontroli fizycznej, technicznej i prawnej oraz stale je doskonalimy. Nasz audytor, EY CertifyPoint, ma akredytację ISO 27001 przyznaną przez Raad voor Accreditatie (Holenderską Radę Akredytacyjną).

Wyświetl certyfikat ISO 27001 dotyczący Dropbox Business i Education.

ISO 27017 (bezpieczeństwo w chmurze)

ISO 27017 to nowy międzynarodowy standard bezpieczeństwa w chmurze, który zawiera wskazówki z zakresu kontroli bezpieczeństwa dotyczące świadczenia i korzystania z usług chmurowych. Nasz Przewodnik dotyczący wspólnej odpowiedzialności zawiera kilka wymagań związanych z bezpieczeństwem, prywatnością i zgodnością, które w drodze współpracy mogą spełnić Dropbox i jego klienci.

Wyświetl certyfikat ISO 27017 dotyczący Dropbox Business i Education.

ISO 27018 (ochrona prywatności i danych w chmurze)

ISO 27018 to nowy międzynarodowy standard ochrony prywatności i danych, który dotyczy dostawców usług w chmurze, takich jak Dropbox, przetwarzających dane osobowe w imieniu swoich klientów. Standard ten jest podstawą do określania typowych wymagań regulacyjnych i umownych oraz udzielania odpowiedzi na związane z nimi pytania.

Wyświetl certyfikat ISO 27018 dotyczący Dropbox Business i Education.

ISO 22301 (zarządzanie ciągłością działania)

ISO 22301 to międzynarodowy standard ciągłości działania, który pomaga organizacjom w ograniczeniu negatywnego wpływu zakłóceń działalności, a w razie ich wystąpienia ułatwia odpowiednie reagowanie i minimalizowanie potencjalnych szkód. Stosowany w Dropbox system zarządzania ciągłością działania jest elementem naszej szerszej strategii zarządzania ryzykiem, która ma na celu ochronę ludzi i działalności w sytuacjach kryzysowych.

Wyświetl certyfikat ISO 22301 dotyczący Dropbox Business i Education.

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) to bezpłatny, ogólnodostępny rejestr oferujący program zapewnienia bezpieczeństwa usług chmurowych, który pomaga użytkownikom w ocenie zabezpieczeń stosowanych przez obecnych lub potencjalnych dostawców usług.

Dropbox Business i Education otrzymały certyfikat CSA STAR poziomu 2, będący wynikiem niezależnej zewnętrznej oceny naszych mechanizmów kontroli zabezpieczeń przeprowadzonej przez EY CertifyPoint w oparciu o wymagania standardu ISO 27001 i specyfikacji CSA Cloud Controls Matrix (CCM) v.3.0.1, czyli zestawu kryteriów mierzących poziomy możliwości usług chmurowych. Dropbox Business przeprowadził także samoocenę CSA STAR poziomu 1, czyli rygorystyczny przegląd dokonywany na podstawie formularza CSA Consensus Assessments Initiative Questionnaire (CAIQ), zgodnego z CCM i obejmującego odpowiedzi na niemal 300 możliwych pytań klientów lub audytorów bezpieczeństwa usług w chmurze.

Wyświetl naszą samoocenę CSA STAR poziomu 1 i certyfikat poziomu 2 w witrynie CSA.

Uwaga: Dropbox Paper nie wchodzi w skład wpisu w rejestrze CSA STAR.

Raporty SOC

Raporty Service Organization Controls (SOC), znane pod nazwami SOC 1, SOC 2 i SOC 3, to ramy określone przez American Institute of Certified Public Accountants (AICPA) i dotyczące sprawozdań na temat wewnętrznych mechanizmów kontrolnych wdrożonych w danej organizacji. Działalność, procesy i technologie Dropbox mają certyfikat wystawiony przez niezależnego audytora zewnętrznego Ernst & Young LLP.

Uwaga: Dropbox Paper nie wchodzi w skład raportów SOC.

SOC 3 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport poświadczający zgodność z SOC 3 obejmuje wszystkie pięć zasad Trust Service Principles: bezpieczeństwo, poufność, integralność, dostępność i prywatność (TSP sekcja 100). Ten raport Dropbox do powszechnego użycia jest streszczeniem raportu SOC 2 i zawiera opinię niezależnego audytora zewnętrznego na temat wdrożonego projektu i działania naszych mechanizmów kontroli.

Wyświetl badanie SOC 3 dotyczące Dropbox i Education.

SOC 2 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport SOC 2 przedstawia klientom szczegółowe, oparte na kontrolach zapewnienia obejmujące wszystkie pięć zasad Trust Service Principles: bezpieczeństwo, poufność, integralność przetwarzania, dostępność i prywatność (TSP sekcja 100). Raport SOC 2 zawiera szczegółowy opis procesów i ponad 100 mechanizmów kontroli, jakie Dropbox wdrożył w celu ochrony Twoich materiałów. Oprócz opinii naszego niezależnego audytora zewnętrznego na temat wdrożonego projektu i działania naszych mechanizmów kontroli raport zawiera także procedury testowe audytora oraz wyniki uzyskane dla każdego mechanizmu kontroli. Badanie SOC 2 dotyczące Dropbox Business i Education można uzyskać od zespołu ds. sprzedaży lub opiekuna.

SOC 1 / SSAE 16 / ISAE 3402 (dawniej SAS 70)

Raport SOC 1 przedstawia konkretne zapewnienia dla klientów, którzy wymagają, aby Dropbox Business lub Education był kluczowym elementem ich programu wewnętrznej kontroli nad sprawozdawczością finansową (ICFR). Te konkretne zapewnienia służą głównie klientom wymagającym zgodności z amerykańską ustawą Sarbanesa-Oxley'a (SOX) Niezależny audyt zewnętrzny jest przeprowadzany zgodnie z deklaracją Statement on Standards for Attestation Engagements No. 16 (SSAE 16) i standardem International Standard for Assurance Engagements No. 3402 (ISAE 3402). Standardy te zastąpiły nieaktualną wersję o nazwie Statement on Auditing Standards No. 70 (SAS 70). Badanie SOC 1 dotyczące Dropbox Business i Education można uzyskać od zespołu ds. sprzedaży lub opiekuna.

Uczniowie i dzieci (FERPA i COPPA)

Dropbox Business i Education pozwala klientom korzystać z usług zgodnie ze zobowiązaniami dostawcy nałożonymi przez US Family Education Rights and Privacy Act (FERPA – ustawa o prawach rodziny do edukacji i prywatności). Instytucje edukacyjne kształcące uczniów poniżej 13 roku życia również mogą korzystać z Dropbox Business lub Education zgodnie z Children's Online Privacy Protection Act (COPPA – ustawa o ochronie prywatności dzieci w internecie) pod warunkiem, że zaakceptują pewne postanowienia umowne, wymagające od instytucji uzyskania zgody rodziców na korzystanie z usług.

UK Digital Marketplace G-Cloud

Dropbox Business i Enterprise są dostępne w brytyjskim serwisie Digital Marketplace, w którym instytucje rządowe zaopatrują się w usługi w chmurze.

Wyświetl nasze wpisy w witrynie UK Digital Marketplace dotyczące taryfy Dropbox Business Standardtaryfy Dropbox Business Advanced i  Dropbox Enterprise.

Uwaga: Dropbox Paper nie wchodzi w skład wpisu w UK Digital Marketplace G-Cloud.

HIPAA / HITECH

Dropbox podpisuje umowy o partnerstwie biznesowym (Business Associate Agreement – BAA) z klientami Dropbox Business, Enterprise i Education, którzy potrzebują ich w celu spełnienia wymagań wynikających z ustawy Health Insurance Portability and Accountability Act (HIPAA) i ustawy Health Information Technology for Economic and Clinical Health Act (HITECH).

Więcej informacji znajdziesz w naszym Wprowadzeniu do HIPAA i artykule Centrum pomocy.

Dropbox udostępnia niezależny raport poświadczający zgodność naszych mechanizmów kontroli z określonymi w ustawach HIPPA/HITECH zasadami bezpieczeństwa, prywatności i powiadamiania o naruszeniach, a także zestawienie swoich wewnętrznych praktyk i zaleceń przeznaczone dla klientów, którzy podczas korzystania z Dropbox Business, Enterprise i Education chcą spełnić wymogi w zakresie bezpieczeństwa i prywatności wynikające z ustaw HIPAA/HITECH.

Klienci zainteresowani uzyskaniem tych dokumentów mogą się kontaktować z zespołem ds. sprzedaży lub opiekunem. Jeśli obecnie jesteś administratorem zespołu w Dropbox Business, Enterprise lub Education, możesz podpisać umowę o partnerstwie biznesowym elektronicznie na stronie Konto w Konsoli administratora.

Klientom objętym przepisami ustaw HIPAA/HITECH przypominamy, że przed przeniesieniem chronionych informacji zdrowotnych na swoje konto Dropbox należy podpisać umowę o partnerstwie biznesowym. Aby dowiedzieć się więcej o zakupie usługi Dropbox Business, skontaktuj się z naszym zespołem ds. sprzedaży. Ewentualnie, jeśli obecnie jesteś administratorem zespołu w Dropbox Business, Enterprise lub Education, umowę o partnerstwie biznesowym możesz podpisać elektronicznie na stronie Konto w Konsoli administratora.

Uwaga: Możliwość podpisania elektronicznej umowy o partnerstwie biznesowym za pośrednictwem Konsoli administratora jest dostępna tylko dla klientów z siedzibą w USA, którzy nie korzystają z Dropbox Paper. Dropbox nie oferuje wsparcia związanego z ustawami HIPAA/HITECH w odniesieniu do Dropbox Paper.

PCI DSS

Usługa Dropbox jest zgodna ze standardami płatniczymi Payment Card Industry Data Security Standard (PCI DSS). Jednak Dropbox Business, Education ani Dropbox Paper nie są uprawnione do przetwarzania ani przechowywania danych o transakcjach wykonywanych kartami kredytowymi. Atest zgodności PCI Attestation of Compliance (AoC) poświadczający nasz status handlowy można uzyskać od zespołu ds. sprzedaży lub opiekuna.

Programy Tarcza Prywatności UE-USA oraz Szwajcaria-USA

Dropbox jest zgodny z programami Tarcza Prywatności UE-USA i Szwajcaria-USA Departamentu Handlu Stanów Zjednoczonych dotyczącymi zbierania, wykorzystania i przechowywania danych osobowych przesyłanych z Unii Europejskiej, Europejskiego Obszaru Gospodarczego i Szwajcarii do USA. Przestrzeganie zasad Tarczy Prywatności daje gwarancję, że organizacja zapewnia wystarczającą ochronę prywatności w świetle unijnej dyrektywy o ochronie danych.

Wyświetl certyfikat Tarczy Prywatności dotyczący Dropbox lub dowiedz się więcej w witrynie Tarczy Prywatności.

Ogólne rozporządzenie UE o ochronie danych

Ogólne rozporządzenie o ochronie danych 2016/679 jest rozporządzeniem Unii Europejskiej, które wprowadza istotne zmiany w dotychczasowych przepisach o przetwarzaniu danych osobowych w UE. Rozporządzenie wprowadza szereg nowych lub zaostrzonych wymagań, które będą dotyczyć firm takich jak Dropbox mających do czynienia z danymi osobowymi. Rozporządzenie wejdzie w życie 25 maja 2018 r. i zastąpi obecną unijną dyrektywę 95/46 WE, lepiej znaną jako dyrektywa o ochronie danych. Tak jak wszystkie odpowiedzialne firmy, Dropbox opracowuje i realizuje szczegółowe plany zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych i zamierza osiągnąć pełną zgodność przed 25 maja 2018 r. Dowiedz się więcej o Dropbox i ogólnym rozporządzeniu UE o ochronie danych.

Czy ten artykuł odpowiedział na Twoje pytanie?

Przykro nam to słyszeć. Powiedz nam, jak możemy ulepszyć naszą usługę:

Dziękujemy za przesłanie opinii.

Odpowiedzi społeczności
    Odpowiedzi społeczności

      Other ways to get help

      Społeczność

      Pomoc techniczna – Twitter

      Pomoc z przewodnikiem