A Organização Internacional para Padronização (ISO) desenvolveu uma série de normas de nível mundial para segurança da informação e segurança societal, ajudando empresas a desenvolver produtos e serviços confiáveis e inovadores. O Dropbox tem certificação para seus centros de dados, sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa Ernst & Young CertifyPoint independente sediada na Holanda.
A certificação ISO 27001 é reconhecida como um padrão de sistema de gestão de segurança de informações (ISMS) de primeira linha em todo o mundo. O padrão também adota as melhores práticas de segurança detalhadas na ISO 27002. Para merecer sua confiança, estamos continuamente e de modo abrangente gerenciando e melhorando os controles físicos, técnicos e legais do Dropbox. Nosso auditor, a Ernst & Young CertifyPoint, mantém o seu credenciamento ISO 27001 pelo Raad voor Accreditatie (Conselho de credenciamento holandês). Veja os certificados ISO 27001 do Dropbox Business e do Dropbox Education.
A ISO 27017 é uma norma internacional para segurança na nuvem que oferece diretrizes para controles de segurança aplicáveis para o fornecimento e o uso de serviços de nuvem. Nosso Guia de responsabilidade compartilhada explica diversas necessidades de segurança, privacidade e conformidade que o Dropbox e seus clientes podem resolver em conjunto. Veja os certificados ISO 27017 do Dropbox Business e do Dropbox Education.
A ISO 27018 é uma norma internacional para privacidade e proteção de dados que se aplica a prestadores de serviços em nuvem, como o Dropbox, que processam informações pessoais para seus clientes. Essa certificação serve de base para nossos clientes lidarem com requisitos ou questões comuns de natureza regulatória e contratual. Veja os certificados ISO 27018 do Dropbox Business e do Dropbox Education.
A ISO 22301 é uma norma internacional para continuidade dos negócios que orienta empresas no sentido de como diminuir o impacto de eventos disruptivos, respondendo a eles de maneira apropriada, caso ocorram, para minimizar os danos em potencial. O sistema de gerenciamento de continuidade de negócios (BCMS) do Dropbox Business é parte de nossa estratégia geral de gerenciamento de risco para proteger pessoas e operações em tempos de crise. Veja os certificados ISO 22301 do Dropbox Business e do Dropbox Education.
Os relatórios de Controles de Organização de Serviço (Service Organization Controls, SOC), conhecidos como SOC 1, SOC 2 ou SOC 3, são estruturas estabelecidas pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para avaliação de controles internos implementados em uma empresa. O Dropbox validou seus sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa independente, a Ernst & Young LLP.
O relatório de garantia SOC 3 cobre todos os cinco princípios de serviço de segurança, confidencialidade, integridade do processamento, disponibilidade e privacidade (TSP seção 100). O relatório do Dropbox de uso geral é um resumo executivo do relatório SOC 2 e inclui a opinião do auditor independente sobre o design efetivo e as operações de nossos controles. Veja o exame SOC 3 do Dropbox Business e do Dropbox Education.
O relatório SOC 2 oferece aos clientes uma garantia baseada em controles com alto nível de detalhamento, cobrindo todos os cinco princípios de serviço de segurança, confidencialidade, integridade de processamento, disponibilidade e privacidade (TSP seção 100). O relatório SOC 2 inclui uma descrição detalhada dos processos do Dropbox e mais de 100 controles adotados para proteger seus dados. Além do parecer do auditor independente a respeito da eficiência do projeto e operação dos nossos controles, o relatório inclui os procedimentos de teste do auditor e os resultados de cada controle. Nosso relatório SOC 2 (por vezes também chamado de relatório SOC 2+) inclui ainda um mapeamento auditado de nossos controles para os padrões ISO mencionados acima, fornecendo transparência adicional aos nossos clientes. O exame SOC 2 do Dropbox Business e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
O relatório SOC 1 fornece garantias específicas para os clientes que determinam que o Dropbox Business ou o Dropbox Education é um elemento-chave dos seus controles internos sobre o programa de relatório financeiro (ICFR). Essas garantias servem primariamente para a conformidade com a lei Sarbanes-Oxley (SOX). A auditoria independente é conduzida conforme a Instrução sobre normas de certificação de atestados n° 18 (Statement on Standards for Attestation Engagements, SSAE 18) e as Normas internacionais para atestado de certificação n° 3402 (International Standard on Assurance Engagements, ISAE 3402). Esses padrões substituíram a antiga Declaração sobre padrões de auditoria No. 16 (SSAE 16) e a Declaração sobre padrões de auditoria No. 70 (SAS 70). O exame SOC 2 do Dropbox Business e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
O registro de Segurança, Confiança e Garantia de Qualidade da CSA (Security, Trust & Assurance Registry, STAR) é gratuito e publicamente acessível, e oferece um programa de garantia de segurança para serviços de nuvem, ajudando os usuários a avaliar a segurança dos provedores que já usam ou estão pensando em contratar.
Tanto o Dropbox Business como o Dropbox Education receberam a certificação CSA STAR de 2º nível e a conformidade de 2ª nível. A CSA STAR de 2º nível exige uma avaliação de terceiros independente de nossos controles de segurança pela Ernst & Young CertifyPoint (para certificação) e pela Ernst & Young LLP (para conformidade), com base nos requisitos da ISO 27001, nos Princípios de serviço de segurança (Trust Service Principles) SOC 2 e na Matriz de controle de nuvem CSA (Cloud Controls Matrix - CCM) v.3.0.1. O Dropbox também completou a autoavaliação CSA STAR de 1º nível para o Dropbox Business e o Dropbox Education. A autoavaliação é um questionário rigoroso com base no Questionário de iniciativa de avaliações consensuais (Consensus Assessments Initiative Questionnaire - CAIQ) da CSA, que se alinha com o CCM e fornece respostas para quase 300 perguntas que um cliente ou um auditor de segurança de nuvem possa perguntar. Veja nossa certificação CSA STAR de 1º e conformidade de 2º nível no site da CSA.
O Dropbox assinará acordos de parceria comercial (BAAs) com clientes do Dropbox Business ou o Dropbox Education, que precisem deles para cumprir com a Health Insurance Portability and Accountability Act (HIPAA - lei de Portabilidade e Responsabilidade de Seguros de Saúde) e a Health Information Technology for Economic and Clinical Health Act (HITECH - lei da Tecnologia de Informação da Economia e da Saúde Clínica). Veja o nosso guia “Introdução ao HIPAA” e o artigo da Central de ajuda para obter informações mais detalhadas.
O Dropbox disponibiliza um relatório de garantia emitido por terceiro, avaliando nossos controles sobre as normas de segurança, privacidade e notificação de violação HIPAA/HITECH, bem como um mapeamento das nossas práticas internas e recomendações aos clientes que pretendem cumprir os requerimentos das normas de segurança e privacidade HIPAA/HITECH com o Dropbox Business ou Dropbox Education.
Os clientes interessados na solicitação desses documentos podem entrar em contato com nossa equipe de vendas. Se no momento você for administrador de uma equipe do Dropbox Business ou Dropbox Education, pode assinar um BAA eletronicamente pela página Conta na Administração.
Nota: A capacidade de assinar um BAA eletrônico Administração só está disponível somente para clientes nos Estados Unidos que não estejam usando o Dropbox Paper. O Dropbox não oferece suporte para HIPAA/HITECH para o Dropbox Paper.
O Catálogo de controles de conformidade de computação em nuvem (Cloud Computing Compliance Controls Catalog - C5) é uma estrutura estabelecida pelo Departamento federal alemão para tecnologia de segurança da informação (Bundesamt für Sicherheit in der Informationstechnik - BSI) para relatar controles de segurança aplicáveis para a conformidade dos serviços em nuvem. A conformidade com o C5 ajuda as organizações a demonstrarem suas práticas de segurança de informação de acordo com as "Recomendações de segurança para provedores em nuvem" do BSI. O C5 foi desenvolvido com base em padrões de segurança internacional já existentes, como o ISO 27001 e o CSA STAR. Para receber a conformidade com o relatório C5, os sistemas, processos e controles do Dropbox foram validados por um auditor terceiro independente, com sede na Alemanha, a Ernst & Young GmbH. A auditoria independente é conduzida conforme as Normas internacionais para atestado de certificação n° 3000 (International Standard on Assurance Engagements, ISAE 3000).
O relatório inclui uma descrição detalhada do sistema, aplicativos, processos e controles do Dropbox, bem como nossos procedimentos e resultados de testes feitos por um auditor independente para cada controle. O relatório C5 do Dropbox Business e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
*O Dropbox Paper não está incluído no escopo dos relatórios C5.
O Dropbox está em conformidade com os padrões da Privacy Shield entre União Europeia-Estados Unidos e Suíça-Estados Unidos, conforme estabelecido pelo Departamento de Comércio dos EUA, referentes à coleta, ao uso e à retenção de informações pessoais transferidas da União Europeia, da Área Econômica Europeia e da Suíça para os Estados Unidos. A adesão aos princípios de Privacy Shield garante que uma empresa forneça proteção de privacidade adequada ao abrigo da diretiva de proteção de dados da União Europeia.
Veja a certificação de Privacy Shield do Dropbox e saiba mais sobre ela no site da Privacy Shield.
O Regulamento Geral de Proteção de Dados 2016/679, ou GDPR, é um regulamento da União Europeia que marca uma mudança significativa na estrutura existente de processamento de dados pessoais de indivíduos na UE. O GDPR introduziu uma série de regulamentos novos ou aprimorados que se aplicam a empresas como o Dropbox, que lidam com dados pessoais. Ele entrou em vigor no dia 25 de maio de 2018 e substituiu a Diretiva 95/46 EC da UE, mais conhecida como Diretiva de Proteção de Dados. O Dropbox tem conformidade com o GDPR para que os clientes possam usá-lo para facilitar sua própria conformidade com o GDPR. Para mais informações, consulte este artigo da Central de ajuda.
O Dropbox Business e o Dropbox Education permitem aos clientes usar os serviços de acordo com as obrigações de fornecedor dispostas pela Lei de Direitos Educacionais e Privacidade da Família (Family Education Rights and Privacy Act, FERPA) dos Estados Unidos. As instituições de ensino com estudantes que tenham menos de 13 anos também podem usar o Dropbox Business ou o Dropbox Education em conformidade com a Lei de Proteção da Privacidade On-line das Crianças (Children's Online Privacy Protection Act, COPPA), desde que concordem com as provisões contratuais específicas e obtenham consentimento parental para usar nossos serviços.
O Dropbox Business está relacionado no Mercado Digital do Reino Unido para aquisição de serviços de nuvem para o governo. Veja nossas listas no site do Mercado Digital do Reino Unido para o Plano Standard do Dropbox Business, o Plano Advanced do Dropbox Business e o Plano do Dropbox Enterprise.
*O Dropbox Paper não está incluído na iniciativa G-Cloud de Mercado Digital do Reino Unido.
O Dropbox está em conformidade com o Padrão de segurança de dados de cartões de pagamento (Payment Card Industry Standard Data Security, PCI DSS). No entanto, o Dropbox Business, o Dropbox Education e o Dropbox Paper não são destinados a processar nem armazenar transações de cartão de crédito. O Atestado de conformidade (AoC) do PCI para nosso status de comerciante está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
Nossos provedores de colocalização de banco de dados e serviços gerenciados também passam por auditorias SOC 1, SOC 2 e/ou ISO 27001 com regularidade, para verificar suas práticas de segurança. Ao menos uma vez por ano, o Dropbox revisa os resultados dessas auditorias ou realiza a revisão da segurança do fornecedor caso um relatório de auditoria não esteja disponível como parte de nosso programa de gerenciamento de segurança da informação. Caso essas auditorias ou revisões apresentem conclusões significativas, que determinamos que representam risco ao Dropbox ou aos nossos clientes, trabalharemos com o provedor contratado para compreender qualquer impacto potencial aos dados dos clientes e acompanhar esforços de correção até que o problema tenha sido resolvido.
Documentos de conformidade e certificação podem ser solicitados por meio de um representante de vendas ou (para clientes existentes do Dropbox Business) do atendimento do Dropbox.