Conformidade com padrões e regulamentações
Certificações ISO
A Organização Internacional para Padronização (ISO) desenvolveu uma série de normas de nível mundial para segurança da informação e segurança societal, ajudando empresas a desenvolver produtos e serviços confiáveis e inovadores. O Dropbox tem certificação para seus centros de dados, sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa Ernst & Young CertifyPoint independente sediada na Holanda.
ISO 27001 (Gerenciamento de segurança da informação)
A certificação ISO 27001 é reconhecida como um padrão de sistema de gestão de segurança de informações (ISMS) de primeira linha em todo o mundo. O padrão também adota as melhores práticas de segurança detalhadas na ISO 27002. Para merecer sua confiança, estamos continuamente e de modo abrangente gerenciando e melhorando os controles físicos, técnicos e legais do Dropbox. Nosso auditor, a EY CertifyPoint, mantém o seu credenciamento ISO 27001 pelo Raad voor Accreditatie (Conselho de credenciamento holandês). Veja os certificados ISO 27001 do Dropbox para empresas e do Dropbox Education.
ISO 27017 (Segurança na nuvem)
A ISO 27017 é uma norma internacional para segurança na nuvem que oferece diretrizes para controles de segurança aplicáveis para o fornecimento e o uso de serviços de nuvem. Nosso Guia de responsabilidade compartilhada explica diversas necessidades de segurança, privacidade e conformidade que o Dropbox e seus clientes podem resolver em conjunto. Veja os certificados ISO 27017 do Dropbox para empresas e do Dropbox Education.
ISO 27018 (Privacidade na nuvem e proteção de dados)
A ISO 27018 é uma norma internacional para privacidade e proteção de dados que se aplica a prestadores de serviços em nuvem, como o Dropbox, que processam informações pessoais para seus clientes. Essa certificação serve de base para nossos clientes lidarem com requisitos ou questões comuns de natureza regulatória e contratual. Veja os certificados ISO 27018 do Dropbox para empresas e do Dropbox Education.
ISO 22301 (Gerenciamento de continuidade dos negócios)
A ISO 22301 é uma norma internacional para continuidade dos negócios que orienta empresas no sentido de como diminuir o impacto de eventos disruptivos, respondendo a eles de maneira apropriada, caso ocorram, para minimizar os danos em potencial. O sistema de continuidade de negócios (BCMS) do Dropbox para empresas faz parte de nossa estratégia geral de gerenciamento de riscos que visa proteger pessoas e operações durante tempos de crise. Veja os certificados ISO 22301 do Dropbox para empresas e do Dropbox Education.
ISO 27701 (Gerenciamento de informações de privacidade)
A ISO 27701 é uma norma internacional para o gerenciamento de informações de privacidade. A norma fornece uma estrutura para melhorar e ampliar o sistema de gerenciamento da segurança da informação segundo a norma ISO 27001 a um PIMS (sistema de gerenciamento de informação de privacidade). O Dropbox Business e o Dropbox Education receberam essa certificação como Processador de PII. Veja os certificados ISO 27701 do Dropbox Business e do Dropbox Education.
Relatórios SOC
Os relatórios de Controles de Organização de Serviço (Service Organization Controls, SOC), conhecidos como SOC 1, SOC 2 ou SOC 3, são estruturas estabelecidas pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para avaliação de controles internos implementados em uma empresa. O Dropbox validou seus sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa independente, a Ernst & Young LLP.
SOC 3 para segurança, confidencialidade, integridade, disponibilidade e privacidade
O relatório de garantia SOC 3 cobre todos os cinco princípios de serviço de segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade (TSP seção 100). O relatório do Dropbox de uso geral é um resumo executivo do relatório SOC 2 e inclui a opinião de nosso auditor independente sobre o design efetivo e as operações de nossos controles. Veja o exame SOC 3 do Dropbox para empresas e do Dropbox Education.
SOC 2 para segurança, confidencialidade, integridade, disponibilidade e privacidade
O relatório SOC 2 oferece aos clientes uma garantia baseada em controles com alto nível de detalhamento, cobrindo todos os cinco princípios de serviço de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade (TSP seção 100). O relatório SOC 2 inclui uma descrição detalhada dos processos do Dropbox e mais de 100 controles adotados para proteger seus dados. Além do parecer do auditor independente a respeito da eficiência do projeto e operação dos nossos controles, o relatório inclui os procedimentos de teste do auditor e os resultados de cada controle. Nosso relatório SOC 2 (por vezes também chamado de relatório SOC 2+) inclui ainda um mapeamento auditado de nossos controles para os padrões ISO mencionados acima, fornecendo transparência adicional aos nossos clientes. O exame SOC 2 do Dropbox para empresas e do Dropbox Education está disponível mediante solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox para empresas) de atendimento.
SOC 1/SSAE 18/ISAE 3402 (anteriormente SSAE 16 ou SAS 70)
O relatório SOC 1 fornece garantias específicas para os clientes que determinam que o Dropbox para empresas ou o Dropbox Education é um elemento-chave dos seus controles internos sobre o programa de relatório financeiro (ICFR). Essas garantias servem primariamente para a conformidade com a lei Sarbanes-Oxley (SOX). A auditoria independente é conduzida conforme a Instrução sobre normas de certificação de atestados n° 18 (Statement on Standards for Attestation Engagements, SSAE 18) e as Normas internacionais para atestado de certificação n° 3402 (International Standard on Assurance Engagements, ISAE 3402). Esses padrões substituíram a antiga Declaração sobre padrões de auditoria No. 16 (SSAE 16) e a Declaração sobre padrões de auditoria No. 70 (SAS 70). O exame SOC 1 do Dropbox para empresas e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox para empresas) de atendimento.
Cloud Security Alliance: registro de Segurança, Confiança, Garantia e Risco (CSA STAR em inglês)
O registro de Segurança, Confiança, Garantia e Risco da CSA (Security, Trust & Assurance Registry, STAR) é gratuito e publicamente acessível, e oferece um programa de garantia de segurança para serviços de nuvem, ajudando os usuários a avaliar a segurança dos provedores que já usam ou estão pensando em contratar.
Tanto o Dropbox Business como o Dropbox Education receberam a certificação CSA STAR de nível 2 e a conformidade de nível 2. A CSA STAR de nível 2 exige uma avaliação de terceiro independente de nossos controles de segurança pela Ernst & Young CertifyPoint (para certificação) e pela Ernst & Young LLP (para conformidade), com base nos requisitos da ISO 27001, nos Princípios de serviço de segurança (Trust Service Criteria) SOC 2 e na Matriz de controle de nuvem CSA (Cloud Controls Matrix - CCM) v3.0.1. Veja nossa certificação CSA STAR de nível 2 de conformidade no site da CSA.
HIPAA/HITECH
O Dropbox assinará acordos de parceria comercial (BAAs) com clientes do Dropbox para empresas ou o Dropbox Education, que precisem deles para cumprir com a Health Insurance Portability and Portability Act (HIPAA - lei de Portabilidade e Responsabilidade de Seguros de Saúde) e a Health Information Technology for Economic and Clinical Health Act (HITECH - lei da Tecnologia de Informação da Economia e da Saúde Clínica). Veja o nosso guia "Introdução à HIPAA”" e o artigo da Central de ajuda para obter informações mais detalhadas.
O Dropbox disponibiliza uma análise SOC 2 avaliando nossos controles para as normas de segurança, privacidade e notificação de violação HIPAA/HITECH, bem como um mapeamento das nossas práticas internas e recomendações aos clientes que pretendem cumprir as exigências das normas de segurança e privacidade HIPAA/HITECH com o Dropbox para empresas ou Dropbox Education.
Os clientes interessados na solicitação desses documentos podem entrar em contato com nossa equipe de vendas. Se no momento você for administrador de uma equipe do Dropbox para empresas ou Dropbox Education, pode assinar um BAA eletronicamente pela página Conta na Administração.
Aviso: a capacidade de assinar um BAA eletrônico pela seção de Administração só está disponível para clientes nos Estados Unidos.
Relatório de certificação NIST SP 800-171 R2
O National Institute of Standards and Technology (NIST) dos EUA promove e mantém padrões e diretrizes para ajudar a proteger os sistemas de informação. A publicação NIST Special Publication (SP) 800-171 Revisão 2 (R2) fornece diretrizes sobre como proteger informação não classificada controlada (CUI, em inglês) em sistemas de informação não federais e organizações. Qualquer entidade que processe ou armazene CUIs do governo dos EUA, como instituições de pesquisa e do setor de educação, devem cumprir com o NIST SP 800-171 R2. Os sistemas, processos e controles CUI do Dropbox foram validados por um auditor terceirizado independente: a Ernst & Young LLP.
O relatório NIST SP 800-171 R2 do Dropbox para empresas e do Dropbox Education está integrado ao relatório SOC 2 que está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox para empresas) de atendimento.
*O Dropbox Paper não está incluído no escopo dos relatórios NIST SP 800-171 R2.
Certificação de Privacy Shield entre União Europeia-Estados Unidos e Suíça-Estados Unidos
O Dropbox está em conformidade com a certificação de Privacy Shield entre União Europeia-Estados Unidos e Suíça-Estados Unidos, conforme estabelecido pelo Departamento de Comércio dos EUA, referente à coleta, ao uso e à retenção de dados pessoais transferidos da União Europeia, da Área Econômica Europeia, do Reino Unido e da Suíça para os Estados Unidos. A adesão aos princípios de Privacy Shield garante que uma empresa forneça proteção adequada da privacidade ao abrigo do GDPR.
Veja a certificação de Privacy Shield do Dropbox e saiba mais sobre ela no site da Privacy Shield.
Regulamento Geral de Proteção de Dados (GDPR) da União Europeia
O Regulamento Geral de Proteção de Dados 2016/679, ou GDPR, é um regulamento da União Europeia que marca uma mudança significativa na estrutura existente de processamento de dados pessoais de indivíduos na UE. O GDPR introduziu uma série de regulamentos novos ou aprimorados que se aplicam a empresas como o Dropbox, que lidam com dados pessoais. Ele entrou em vigor no dia 25 de maio de 2018 e substituiu a Diretiva 95/46 EC da UE, mais conhecida como Diretiva de Proteção de Dados. O Dropbox tem conformidade com o GDPR para que os clientes possam usá-lo para facilitar sua própria conformidade com o GDPR. Para mais informações, consulte este artigo da Central de ajuda.
Código de conduta da nuvem UE
O Código de conduta para nuvem da UE é um instrumento voluntário que permite que um provedor de serviços na nuvem, como o Dropbox, demonstre o compromisso com a conformidade com o GDPR. Seguindo o parecer positivo emitido pelo EDPB (Conselho Europeu de Proteção de dados), o Código de conduta para nuvem da UE foi aprovado oficialmente em pela Autoridade Belga de Proteção de dados em maio de 2021. Foi declarado que o Dropbox para empresas, que é composto pelos planos para equipes Standard, Advanced, Enterprise e Education, adere ao Código de conduta para nuvem da UE e recebeu uma Marca de conformidade de "Nível 2", que significa que esses serviços implementaram medidas técnicas, organizacionais e contratuais alinhadas às exigências do Código. Para obter mais informações sobre o Código de conduta para nuvem da UE e a conformidade do Dropbox com o Código, acesse o site oficial do código.

Estudantes e crianças (FERPA e COPPA)
O Dropbox Business e o Dropbox Education permitem aos clientes usar os serviços de acordo com as obrigações de fornecedor dispostas pela Lei de Direitos Educacionais e Privacidade da Família (Family Education Rights and Privacy Act, FERPA) dos Estados Unidos. As instituições de ensino só podem usar o Dropbox Business ou o Dropbox Education em conformidade com a Lei de Proteção da Privacidade On-line das Crianças (Children's Online Privacy Protection Act, COPPA).
FDA 21 CFR Parte 11
O Título 21 do CFR (Code of Federal Regulations, Código de Regulamentos Federais) rege alimentos e medicamentos nos Estados Unidos para o FDA (Food and Drug Administration), o DEA (Drug Enforcement Administration) e o Office of National Drug Control Policy. A Parte 11 do Título 21 estabelece os critérios segundo os quais o FDA considera que registros eletrônicos e assinaturas são confiáveis e geralmente equivalentes a registros em papel e assinaturas manuscritas empregadas em papel.
Consulte nosso whitepaper Dropbox e FDA 21 CFR Part 11 e o artigo da Central de ajuda para obter mais informações sobre como o Dropbox pode ajudá-lo em seus esforços de conformidade com o 21 CFR Part 11.
PCI DSS
O Dropbox está em conformidade com o Padrão de segurança de dados de cartões de pagamento (Payment Card Industry Standard Data Security, PCI DSS). O Atestado de conformidade (AoC) do PCI para nosso status de comerciante está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox para empresas) de atendimento.
Nossos provedores subcontratados
Nossos provedores de colocalização de banco de dados e serviços gerenciados também passam por auditorias SOC 1, SOC 2 e/ou ISO 27001 com regularidade, para verificar suas práticas de segurança. Ao menos uma vez por ano, o Dropbox revisa os resultados dessas auditorias ou realiza a revisão da segurança do fornecedor caso um relatório de auditoria não esteja disponível como parte de nosso programa de gerenciamento de segurança da informação. Caso essas auditorias ou revisões apresentem conclusões significativas, que determinamos que representam risco ao Dropbox ou aos nossos clientes, trabalharemos com o provedor contratado para compreender qualquer impacto potencial aos dados dos clientes e acompanhar esforços de correção até que o problema tenha sido resolvido.
Mais informações sobre a conformidade do Dropbox para empresas ou do Dropbox Education
Documentos de conformidade e certificação podem ser solicitados por meio de um representante de vendas ou (para clientes existentes do Dropbox para empresas) do atendimento do Dropbox.