Conformidade com padrões e regulamentações

Pessoas em uma mesa com uma tela de computador mostrando uma grande marca de verificação

Certificações ISO

A Organização Internacional para Padronização (ISO) desenvolveu uma série de normas de nível mundial para segurança da informação e segurança societal, ajudando empresas a desenvolver produtos e serviços confiáveis e inovadores. O Dropbox tem certificação para seus centros de dados, sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa Ernst & Young CertifyPoint independente sediada na Holanda.

ISO 27001 (Gerenciamento de segurança da informação)

A certificação ISO 27001 é reconhecida como uma norma de sistema de gestão de segurança de informações (ISMS) de primeira linha em todo o mundo. A norma também adota as melhores práticas de segurança detalhadas na ISO 27002. Para merecer sua confiança, estamos continuamente e de modo abrangente gerenciando e melhorando os controles físicos, técnicos e legais do Dropbox. Nosso auditor, a EY CertifyPoint, mantém o seu credenciamento ISO 27001 pelo Raad voor Accreditatie (Conselho de credenciamento holandês). Veja a certificação ISO 27001 do Dropbox Standard, Advanced, Enterprise e Education.

ISO 27017 (Segurança na nuvem)

A ISO 27017 é uma norma internacional para segurança na nuvem que oferece diretrizes para controles de segurança aplicáveis para o fornecimento e o uso de serviços em nuvem. Nosso Guia de Responsabilidade Compartilhada explica diversos requisitos de segurança, privacidade e conformidade que o Dropbox e seus clientes podem resolver juntos Veja a certificação ISO 27017 do Dropbox Standard, Advanced, Enterprise e Education.

ISO 27018 (Privacidade na nuvem e proteção de dados)

A ISO 27018 é uma norma internacional para privacidade e proteção de dados que se aplica a provedores de serviços em nuvem, como o Dropbox, que processam informações pessoais para seus clientes. Essa certificação serve de base para nossos clientes lidarem com requisitos ou questões comuns de natureza regulatória e contratual. Veja a certificação ISO 27018 do Dropbox Standard, Advanced, Enterprise e Education.

ISO 22301 (Gerenciamento de continuidade dos negócios)

A ISO 22301 é uma norma internacional para continuidade dos negócios que orienta empresas no sentido de como diminuir o impacto de eventos disruptivos, respondendo a eles de maneira apropriada, caso ocorram, para minimizar os danos em potencial. O sistema de gerenciamento de continuidade de negócios (BCMS) do Dropbox é parte de nossa estratégia geral de gerenciamento de risco para proteger pessoas e operações em tempos de crise. Veja a certificação ISO 22301 do Dropbox Standard, Advanced, Enterprise e Education.

ISO 27701 (Gerenciamento de informações de privacidade)

A ISO 27701 é uma norma internacional para o gerenciamento de informações de privacidade. A norma fornece uma estrutura para melhorar e ampliar o sistema de gerenciamento da segurança da informação segundo a norma ISO 27001 para um PIMS (sistema de gerenciamento de informação de privacidade). O Dropbox recebeu esta certificação como processador de PII. Veja a certificação ISO 27701 do Dropbox Standard, Advanced, Enterprise e Education.

Relatórios SOC

Os relatórios de Controles de Organização de Serviço (Service Organization Controls, SOC), conhecidos como SOC 1, SOC 2 ou SOC 3, são estruturas estabelecidas pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para avaliação de controles internos implementados em uma empresa. O Dropbox validou seus sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa independente, a Ernst & Young LLP.

SOC 3 para segurança, confidencialidade, integridade, disponibilidade e privacidade

O relatório de garantia SOC 3 abrange todos os cinco Princípios de serviços de confiança para segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade (seção 100 do TSP). O relatório do Dropbox de uso geral é um resumo executivo do relatório SOC 2 e inclui o parecer do auditor terceiro independente sobre a eficiência do projeto e da operação de nossos controles. Veja o exame SOC 3 do Dropbox Standard, Advanced, Enterprise e Education.

SOC 2 para segurança, confidencialidade, integridade, disponibilidade e privacidade

O relatório SOC 2 oferece aos clientes uma garantia baseada em controles com alto nível de detalhamento, abrangendo todos os cinco Princípios de serviços de confiança para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade (seção 100 do TSP). O relatório SOC 2 inclui uma descrição detalhada dos processos do Dropbox e mais de 100 controles adotados para proteger seus dados. Além do parecer do auditor independente a respeito da eficiência do projeto e da operação dos nossos controles, o relatório inclui os procedimentos de teste do auditor e os resultados de cada controle. Nosso relatório SOC 2 (por vezes também chamado de relatório SOC 2+) inclui ainda um mapeamento auditado de nossos controles para as normas ISO mencionadas acima, fornecendo transparência adicional aos nossos clientes. O exame SOC 2 do Dropbox Standard, Advanced, Enterprise e Education está disponível mediante solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Equipes) por meio do atendimento.

SOC 1/SSAE 18/ISAE 3402 (anteriormente SSAE 16 ou SAS 70)

O relatório SOC 1 fornece garantias específicas para clientes que determinam que o Dropbox é um elemento fundamental dos controles internos deles sobre o programa de relatório financeiro (ICFR). Essas garantias específicas servem principalmente para a conformidade de nossos clientes com a lei Sarbanes-Oxley (SOX). A auditoria de um terceiro independente é conduzida conforme a Instrução sobre normas de certificação de atestados n° 18 (Statement on Standards for Attestation Engagements, SSAE 18) e as Normas internacionais sobre certificação de garantia n° 3402 (International Standard on Assurance Engagements, ISAE 3402). Essas normas substituíram a antiga Instrução sobre normas de certificação de atestados No. 16 (SSAE 16) e a Instrução sobre normas de auditoria No. 70 (SAS 70). O exame SOC 1 do Dropbox Standard, Advanced, Enterprise e Education está disponível mediante solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox para equipes) por meio do atendimento.

Cloud Security Alliance: registro de Segurança, Confiança, Garantia e Risco (CSA STAR em inglês)

O registro de Segurança, Confiança, Garantia e Risco da CSA (Security, Trust & Assurance Registry, STAR) é gratuito e publicamente acessível, e oferece um programa de garantia de segurança para serviços de nuvem, ajudando os usuários a avaliar a segurança dos provedores que já usam ou estão pensando em contratar.

O Dropbox Standard, Advanced, Enterprise e Education receberam tanto a conformidade de nível 2 como a certificação de nível 2 da CSA STAR. A CSA STAR de nível 2 exige uma avaliação de terceiro independente de nossos controles de segurança pela EY CertifyPoint (para certificação) e pela Ernst & Young LLP (para conformidade), com base nos requisitos da ISO 27001, dos Princípios de serviços de confiança (Trust Service Criteria) SOC 2 e da Matriz de controles de nuvem (Cloud Controls Matrix - CCM) v3.0.1 da CSA. Veja nossa certificação e conformidade de nível 2 da CSA STAR no site da CSA.

HIPAA/HITECH

O Dropbox vai assinar acordos de parceria comercial (BAAs) com clientes que têm o Dropbox Standard, Advanced, Enterprise e Education que precisem desses acordos para cumprir com a lei HIPPA (do inglês, Lei da Portabilidade e Responsabilidade de Seguros de Saúde) e a lei HITECH (do inglês, Lei da Tecnologia da Informação em Saúde para a Economia e Saúde Clínica). Veja o nosso guia "Introdução à HIPAA" e o artigo da Central de ajuda para obter informações mais detalhadas.

O Dropbox disponibiliza um exame SOC 2 avaliando nossos controles para as regras de segurança, privacidade e notificação de violação HIPAA/HITECH, bem como um mapeamento das nossas práticas internas e recomendações aos clientes que pretendem cumprir as exigências das regras de segurança e privacidade HIPAA/HITECH com o Dropbox Standard, Advanced, Enterprise e Education.

Os clientes interessados na solicitação desses documentos podem entrar em contato com nossa equipe de vendas. Se você é administrador de uma equipe do Dropbox, pode assinar um BAA eletronicamente pela página Conta na seção de Administração.

Aviso: A capacidade de assinar um BAA eletrônico pela seção de Administração só está disponível para clientes nos Estados Unidos.

Relatório de certificação NIST SP 800-171 R2

O National Institute of Standards and Technology (NIST) dos EUA promove e mantém padrões e diretrizes para ajudar a proteger os sistemas de informação. A publicação NIST Special Publication (SP) 800-171 Revisão 2 (R2) fornece diretrizes sobre como proteger informação não classificada controlada (CUI, em inglês) em sistemas de informação não federais e organizações. Qualquer entidade que processe ou armazene CUIs do governo dos EUA, como instituições de pesquisa e do setor de educação, devem cumprir com o NIST SP 800-171 R2. Os sistemas, processos e controles CUI do Dropbox foram validados por um auditor terceirizado independente: a Ernst & Young LLP.

O relatório NIST SP 800-171 R2 do Dropbox Standard, Advanced, Enterprise e Education está integrado ao relatório SOC 2 que está disponível mediante solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox para equipes) por meio do atendimento.

*O Dropbox Paper não está incluído no escopo dos relatórios NIST SP 800-171 R2.

Data Privacy Framework UE-EUA, a extensão do Reino Unido ao Data Privacy Framework UE-EUA e o Data Privacy Framework Suíça-EUA

O Dropbox está em conformidade com o Data Privacy Framework UE-EUA, a Extensão do Reino Unido ao Data Privacy Framework UE-EUA e o Data Privacy Framework Suíça-EUA, conforme estabelecido pelo Departamento de Comércio dos EUA, referentes à coleta, ao uso e à retenção de dados pessoais transferidos da União Europeia, do Reino Unido e da Suíça para os Estados Unidos. A adesão aos princípios do Data Privacy Framework UE-EUA garante que uma empresa forneça proteção à privacidade adequada ao abrigo do GDPR.

Confira a a certificação Data Privacy Framework do Dropbox e saiba mais no site do Data Privacy Framework.

Regulamento Geral de Proteção de Dados (GDPR) da União Europeia

O Regulamento Geral de Proteção de Dados 2016/679, ou GDPR, é um regulamento da União Europeia que marca uma mudança significativa na estrutura existente de processamento de dados pessoais de indivíduos na UE. O GDPR introduziu uma série de regulamentos novos ou aprimorados que se aplicam a empresas como o Dropbox, que lidam com dados pessoais. Ele entrou em vigor no dia 25 de maio de 2018 e substituiu a Diretiva 95/46 EC da UE, mais conhecida como Diretiva de Proteção de Dados. O Dropbox tem conformidade com o GDPR para que os clientes possam usá-lo para facilitar sua própria conformidade com o GDPR. Para mais informações, consulte este artigo da Central de ajuda.

Código de conduta da nuvem UE

O Código de conduta para nuvem da UE é um instrumento voluntário que permite que um provedor de serviços em nuvem, como o Dropbox, demonstre o compromisso com a conformidade com o GDPR. Seguindo o parecer positivo emitido pelo EDPB (Conselho Europeu de Proteção de Dados), o Código de conduta para nuvem da UE foi aprovado oficialmente pela Autoridade Belga de Proteção de Dados em maio de 2021 (ID de verificação: 2022LVL02SCOPE3114). Foi declarado que os planos para equipes Standard, Advanced, Enterprise e Education do Dropbox aderem ao Código de conduta para nuvem da UE e receberam uma Marca de conformidade de "Nível 2", que significa que esses serviços implementaram medidas técnicas, organizacionais e contratuais alinhadas às exigências do Código. Para obter mais informações sobre o Código de conduta para nuvem da UE e a conformidade do Dropbox com o Código, acesse o site oficial do Código.

Logo do código de conduta de proteção de dados na nuvem nível 2

Estudantes e crianças (FERPA e COPPA)

O Dropbox permite aos clientes de equipes usar os serviços de acordo com as obrigações de fornecedor dispostas pela Lei de Privacidade e Direitos Educacionais da Família (Family Education Rights and Privacy Act, FERPA) dos Estados Unidos. As instituições de ensino só podem usar o Dropbox Standard, Advanced, Enterprise e Education em conformidade com a Lei de Proteção da Privacidade On-line das Crianças (Children's Online Privacy Protection Act, COPPA).

FDA 21 CFR Parte 11

O Título 21 do CFR (Code of Federal Regulations, Código de Regulamentos Federais) rege alimentos e medicamentos nos Estados Unidos para o FDA (Food and Drug Administration), o DEA (Drug Enforcement Administration) e o Office of National Drug Control Policy. A Parte 11 do Título 21 estabelece os critérios segundo os quais o FDA considera que registros eletrônicos e assinaturas são confiáveis e geralmente equivalentes a registros em papel e assinaturas manuscritas empregadas em papel.

Consulte nosso whitepaper Dropbox e FDA 21 CFR Part 11 e o artigo da Central de ajuda para obter mais informações sobre como o Dropbox pode ajudá-lo em seus esforços de conformidade com o 21 CFR Part 11.

PCI DSS

O Dropbox está em conformidade com a Norma de segurança de dados de cartões de pagamento (Payment Card Industry Standard Data Security, PCI DSS). O Atestado de conformidade (AoC) do PCI para nosso status de comerciante está disponível mediante solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox para empresas) por meio do atendimento.

Nossos provedores subcontratados

Nossos provedores de colocalização de banco de dados e serviços gerenciados também passam por auditorias SOC 1, SOC 2 e/ou ISO 27001 com regularidade, para verificar suas práticas de segurança. Ao menos uma vez por ano, o Dropbox revisa os resultados dessas auditorias ou realiza a revisão da segurança do fornecedor caso um relatório de auditoria não esteja disponível como parte de nosso programa de gerenciamento de segurança da informação. Caso essas auditorias ou revisões apresentem conclusões significativas, que determinamos que representam risco ao Dropbox ou aos nossos clientes, trabalharemos com o provedor contratado para compreender qualquer impacto potencial aos dados dos clientes e acompanhar esforços de correção até que o problema tenha sido resolvido.

Mais informações sobre a conformidade do Dropbox

Documentos de conformidade e certificação podem ser solicitados por meio de um representante de vendas do Dropbox ou (para clientes existentes do Dropbox Equipes) por meio do atendimento.