A Organização Internacional para Padronização (ISO) desenvolveu uma série de normas de nível mundial para segurança da informação e segurança societal, ajudando empresas a desenvolver produtos e serviços confiáveis e inovadores. O Dropbox tem certificação para seus centros de dados, sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa Ernst & Young CertifyPoint independente sediada na Holanda.
*O Dropbox Paper não está incluído no escopo das certificações ISO.
A certificação ISO 27001 é reconhecida como um padrão de sistema de gestão de segurança de informações (ISMS) de primeira linha em todo o mundo. O padrão também adota as melhores práticas de segurança detalhadas na ISO 27002. Para merecer sua confiança, estamos continuamente e de modo abrangente gerenciando e melhorando os controles físicos, técnicos e legais do Dropbox. Nosso auditor, a Ernst & Young CertifyPoint, mantém o seu credenciamento ISO 27001 pela Raad voor Accreditatie (Conselho de credenciamento holandês). Veja os certificados ISO 27001 do Dropbox Dropbox Business, Enterprise e Education.
A ISO 27017 é uma nova norma internacional para segurança na nuvem que oferece diretrizes para controles de segurança aplicáveis para o fornecimento e uso de serviços de nuvem. Nosso Guia de responsabilidade compartilhada explica muitas das necessidades de segurança, privacidade e conformidade que o Dropbox e seus clientes podem resolver em conjunto. Veja o certificado ISO 27017 do Dropbox Dropbox Business, Enterprise e Education.
A ISO 27018 é uma nova norma internacional para privacidade e proteção de dados que se aplica a prestadores de serviços em nuvem, como o Dropbox, que processam informações pessoais para seus clientes. Essa certificação serve de base para nossos clientes lidarem com requisitos ou questões comuns de natureza regulatória e contratual. Veja o certificado ISO 27018 do Dropbox Dropbox Business, Enterprise e Education.
A ISO 22301 é uma norma internacional para continuidade dos negócios que orienta empresas no sentido de como diminuir o impacto de eventos disruptivos, respondendo a eles de maneira apropriada, caso ocorram, para minimizar os danos em potencial. O sistema de gerenciamento de continuidade de negócios (BCMS) do Dropbox Business é parte de nossa estratégia geral de gerenciamento de risco para proteger pessoas e operações em tempos de crise. Veja os certificados ISO 22301 do Dropbox Dropbox Business, Enterprise e Education..
O registro de Segurança, Confiança e Garantia de Qualidade da CSA (Security, Trust & Assurance Registry, STAR) é gratuito e publicamente acessível, e oferece um programa de garantia de segurança para serviços de nuvem, ajudando os usuários a avaliar a segurança dos provedores que já usam ou estão pensando em contratar.
O Dropbox Dropbox Business, Enterprise e Education receberam a certificação CSA STAR de 2º nível, uma avaliação de terceiros independente de nossos controles de segurança, pela EY CertifyPoint , com base nos requisitos da ISO 27001 e da Matriz de Controle de Nuvem (Cloud Controls Matrix, CCM) da CSA v.3.0.1, um conjunto de critérios que mensura a capacidade dos serviços de nuvem. Dropbox Business também completou a auto-avaliação CSA STAR de 1º nível, um questionário rigoroso com base no Consensus Assessments Initiative Questionnaire (CAIQ) da CSA, que alinha-se com o CCM e fornece respostas para mais de 300 perguntas que um cliente ou um auditor de serviço de nuvem podem querer perguntar.
*O Dropbox Paper não está incluído no escopo das listas de registro da certificação CSA STAR.
Os relatórios de Controles de Organização de Serviço (Service Organization Controls, SOC), conhecidos como SOC 1, SOC 2 ou SOC 3, são estruturas estabelecidas pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para avaliação de controles internos implementados em uma empresa. O Dropbox validou seus sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa independente, a Ernst & Young LLP.
*O Dropbox Paper não está incluído no escopo dos relatórios SOC.
O relatório de garantia SOC 3 cobre todos os cinco princípios de serviço de segurança, confidencialidade, integridade do processamento, disponibilidade e privacidade (TSP seção 100). O relatório do Dropbox de uso geral é um resumo executivo do relatório SOC 2 e inclui a opinião de nosso auditor independente sobre o design efetivo e as operações de nossos controles. Veja o exame SOC 3 do Dropbox Dropbox Business, Entreprise e Education.
O relatório SOC 2 oferece aos clientes uma garantia baseada em controles com alto nível de detalhamento, cobrindo todos os cinco princípios de serviço de segurança, confidencialidade, integridade de processamento, disponibilidade e privacidade (TSP seção 100). O relatório SOC 2 inclui uma descrição detalhada dos processos do Dropbox e mais de 100 controles adotados para proteger seus dados. Além do parecer do auditor independente a respeito da eficiência do projeto e operação dos nossos controles, o relatório inclui os procedimentos de teste do auditor e os resultados de cada controle. O exame SOC 2 para Dropbox Dropbox Business, Enterprise e Education está disponível sob solicitação por meio da equipe de vendas ou da conta de gerenciamento da equipe.
O relatório SOC 1 fornece garantias específicas para os clientes que usam o Dropbox Dropbox Business, Enterprise ou Education como um elemento-chave dos seus controles internos sobre o programa de relatório financeiro (ICFR). Essas garantias servem primariamente para a conformidade com a lei Sarbanes-Oxley (SOX). A auditoria independente é conduzida conforme a Instrução sobre normas de certificação de atestados n° 16 (Statement on Standards for Attestation Engagements, SSAE 16) e as Normas internacionais para atestado de certificação n° 3402 (International Standard on Assurance Engagements, ISAE 3402), que substituíram a antiga norma Statement on Auditing Standards No. 70 (SAS 70). O exame SOC 1 para Dropbox Dropbox Business, Enterprise e Education está disponível sob solicitação por meio da equipe de vendas ou da conta de gerenciamento da equipe.
Com o Dropbox Business, Enterprise e Education, os clientes podem usar os serviços de acordo com as obrigações de fornecedor dispostas pela Lei de Direitos Educacionais e Privacidade da Família (Family Education Rights and Privacy Act, FERPA) dos Estados Unidos. As instituições de ensino com estudantes que tenham menos de 13 anos também podem usar o Dropbox Dropbox Business, Enterprise e Education em conformidade com a Lei de Proteção da Privacidade On-line das Crianças (Children's Online Privacy Protection Act, COPPA), desde que concordem com as disposições contratuais específicas e obtenham consentimento parental para usar nossos serviços.
O Dropbox Business e o Enterprise agora estão entre as empresas aceitas pelo setor de Mercado Digital do Reino Unido para aquisição de serviços de nuvem para o governo. Veja nossas listagens de sites de Mercado Digital do Reino Unido para o Dropbox Business Standard, Dropbox Business Advanced e para o Dropbox Enterprise.
*O Dropbox Paper não está incluído na iniciativa G-Cloud de Mercado Digital do Reino Unido.
O Dropbox assinará acordos de parceria comercial (BAAs) com clientes Dropbox Business, Enterprise ou Education que precisem deles para cumprir com a lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e a lei da Tecnologia de Informação da Economia e da Saúde Clínica (HITECH). Veja o nosso guia “Introdução ao HIPAA” e o artigo da Central de ajuda para obter informações mais detalhadas.
O Dropbox disponibiliza um relatório de garantia emitido por terceiro, avaliando nossos controles sobre as normas de segurança, privacidade e notificação de violação HIPAA/HITECH, bem como um mapeamento das nossas práticas internas e recomendações aos clientes que pretendem cumprir os requerimentos das normas de segurança e privacidade HIPAA/HITECH com o Dropbox Dropbox Business, Enterprise e Education.
Os clientes interessados na solicitação desses documentos podem entrar em contato com sua equipe de administração de contas ou com a nossa equipe de vendas. Se no momento você for administrador de uma equipe do Dropbox Dropbox Business, Enterprise ou Education, pode assinar um BAA eletronicamente pela página Conta na seção de Administração.
Nota: A capacidade de assinar um BAA eletrônico pela seção de Administração só está disponível para clientes nos Estados Unidos que não estejam usando o Dropbox Paper. O Dropbox não oferece suporte para HIPAA/HITECH para o Dropbox Paper.
O Dropbox está em conformidade com o Padrão de segurança de dados de cartões de pagamento (Payment Card Industry Standard Data Security, PCI DSS). No entanto, o Dropbox Dropbox Business, o Dropbox Enterprise, o Dropbox Education e o Dropbox Paper não foram projetados para processar ou armazenar transações de cartão de crédito. O Atestado de conformidade (AoC) do PCI referente ao nosso status de estabelecimento está disponível mediante solicitação à equipe de vendas ou pela equipe de gerenciamento de conta.
O Dropbox está em conformidade com os padrões da Privacy Shield entre União Europeia-Estados Unidos e Suíça-Estados Unidos, conforme estabelecido pelo Departamento de Comércio dos EUA, referentes à coleta, ao uso e à retenção de informações pessoais transferidas da União Europeia, da Área Econômica Europeia e da Suíça para os Estados Unidos. A adesão aos princípios de Privacy Shield garante que uma empresa forneça proteção de privacidade adequada ao abrigo da diretiva de proteção de dados da União Europeia.
Veja a certificação de Privacy Shield do Dropbox e saiba mais sobre ela no site da Privacy Shield.
O Regulamento Geral de Proteção de Dados 2016/679, ou GDPR, é um regulamento da União Europeia que marca uma mudança significativa na estrutura existente de processamento de dados pessoais de indivíduos na UE. O GDPR introduz uma série de regulamentos novos ou aprimorados que se aplicam a empresas como o Dropbox, que lidam com dados pessoais. Entrará em vigor no dia 25 de maio de 2018 e substituirá a atual Diretiva 95/46 EC da UE, mais conhecida como Diretiva de Proteção de Dados. Como todas as empresas responsáveis, o Dropbox continua a construir e a executar nossos planos detalhados de conformidade com a GDPR e está se encaminhando para a conformidade plena antes de 25 de maio de 2018. Para mais informações, acesse este artigo da Central de ajuda.
Nossos provedores de colocalização de banco de dados e serviços gerenciados também passam por auditorias SOC 1, SOC 2 e/ou ISO 27001 com regularidade, para verificar suas práticas de segurança. Ao menos uma vez por ano, o Dropbox revisa os resultados dessas auditorias, como parte de nosso programa de gerenciamento de segurança da informação. Caso essas auditorias apresentem conclusões significativas, que determinamos que representam risco ao Dropbox ou aos nossos clientes, trabalharemos com o provedor subcontratado para compreender qualquer impacto potencial aos dados dos clientes e acompanhar esforços de correção até que o problema tenha sido resolvido.
Você pode solicitar documentos de conformidade e certificações para um representante do Dropbox ou para a equipe de gerenciamento de contas.
