A Organização Internacional de Normalização (ISO) desenvolveu uma série de normas de nível mundial para segurança da informação e segurança societal, ajudando empresas a desenvolver produtos e serviços confiáveis e inovadores. O Dropbox tem certificação para seus centros de dados, sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa Ernst & Young CertifyPoint independente sediada na Holanda.
A certificação ISO 27001 é reconhecida como um padrão de sistema de gestão de segurança de informações (ISMS) de primeira linha em todo o mundo. O padrão também adota as melhores práticas de segurança detalhadas na ISO 27002. Para merecer sua confiança, estamos continuamente e de modo abrangente gerenciando e melhorando os controles físicos, técnicos e legais do Dropbox. Nosso auditor, a Ernst & Young CertifyPoint, mantém o seu credenciamento ISO 27001 pelo Raad voor Accreditatie (Conselho de credenciamento holandês). Veja os certificados ISO 27001 do Dropbox Business e do Dropbox Education.
A ISO 27017 é uma norma internacional para segurança na nuvem que oferece diretrizes para controles de segurança aplicáveis para o fornecimento e o uso de serviços de nuvem. Nosso Guia de responsabilidade compartilhada explica diversas necessidades de segurança, privacidade e conformidade que o Dropbox e seus clientes podem resolver em conjunto. Veja os certificados ISO 27017 do Dropbox Business e do Dropbox Education.
A ISO 27018 é uma norma internacional para privacidade e proteção de dados que se aplica a prestadores de serviços em nuvem, como o Dropbox, que processam informações pessoais para seus clientes. Essa certificação serve de base para nossos clientes lidarem com requisitos ou questões comuns de natureza regulatória e contratual. Veja os certificados ISO 27018 do Dropbox Business e do Dropbox Education.
A ISO 22301 é uma norma internacional para continuidade dos negócios que orienta empresas no sentido de como diminuir o impacto de eventos disruptivos, respondendo a eles de maneira apropriada, caso ocorram, para minimizar os danos em potencial. O sistema de gerenciamento de continuidade de negócios (BCMS) do Dropbox Business é parte de nossa estratégia geral de gerenciamento de risco para proteger pessoas e operações em tempos de crise. Veja os certificados ISO 22301 do Dropbox Business e do Dropbox Education.
O ISO 27701 é um padrão internacional de gestão de informações de privacidade. A norma fornece uma estrutura para melhorar e ampliar o sistema de gerenciamento de informações de acordo com o ISO 27001 para um sistema de gerenciamento de informações de privacidade (PIMS). Tanto o Dropbox Business como o Dropbox Education receberam o certificado de processador PII. Veja o certificado ISO 27701 do Dropbox Business e do Dropbox Education.
Os relatórios de Controles de Organização de Serviço (Service Organization Controls, SOC), conhecidos como SOC 1, SOC 2 ou SOC 3, são estruturas estabelecidas pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para avaliação de controles internos implementados em uma empresa. O Dropbox validou seus sistemas, aplicativos, funcionários e processos por meio de uma série de auditorias realizadas por uma empresa independente, a Ernst & Young LLP.
O relatório de garantia SOC 3 cobre todos os cinco princípios de serviço de segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade (TSP seção 100). O relatório do Dropbox de uso geral é um resumo executivo do relatório SOC 2 e inclui a opinião do auditor independente sobre o design efetivo e as operações de nossos controles. Veja o exame SOC 3 do Dropbox Business e do Dropbox Education.
O relatório SOC 2 oferece aos clientes uma garantia baseada em controles com alto nível de detalhamento, cobrindo todos os cinco princípios de serviço de segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade (TSP seção 100). O relatório SOC 2 inclui uma descrição detalhada dos processos do Dropbox e mais de 100 controles adotados para proteger seus dados. Além do parecer do auditor independente a respeito da eficiência do projeto e operação dos nossos controles, o relatório inclui os procedimentos de teste do auditor e os resultados de cada controle. Nosso relatório SOC 2 (por vezes também chamado de relatório SOC 2+) inclui ainda um mapeamento auditado de nossos controles para os padrões ISO mencionados acima, fornecendo transparência adicional aos nossos clientes. O exame SOC 2 do Dropbox Business e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
O relatório SOC 1 fornece garantias específicas para os clientes que determinam que o Dropbox Business ou o Dropbox Education é um elemento-chave dos seus controles internos sobre o programa de relatório financeiro (ICFR). Essas garantias servem primariamente para a conformidade com a lei Sarbanes-Oxley (SOX). A auditoria independente é conduzida conforme a Instrução sobre normas de certificação de atestados n° 18 (Statement on Standards for Attestation Engagements, SSAE 18) e as Normas internacionais para atestado de certificação n° 3402 (International Standard on Assurance Engagements, ISAE 3402). Esses padrões substituíram a antiga Declaração sobre padrões de auditoria No. 16 (SSAE 16) e a Declaração sobre padrões de auditoria No. 70 (SAS 70). O exame SOC 1 do Dropbox Business e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
O registro de Segurança, Confiança, Garantia e Risco da CSA (Security, Trust & Assurance Registry, STAR) é gratuito e publicamente acessível, e oferece um programa de garantia de segurança para serviços de nuvem, ajudando os usuários a avaliar a segurança dos provedores que já usam ou estão pensando em contratar.
Tanto o Dropbox Business como o Dropbox Education receberam a certificação CSA STAR de nível 2 e a conformidade de nível 2. A CSA STAR de nível 2 exige uma avaliação de terceiro independente de nossos controles de segurança pela Ernst & Young CertifyPoint (para certificação) e pela Ernst & Young LLP (para conformidade), com base nos requisitos da ISO 27001, nos Princípios de serviço de segurança (Trust Service Criteria) SOC 2 e na Matriz de controle de nuvem CSA (Cloud Controls Matrix - CCM) v3.0.1. Veja nossa certificação CSA STAR de nível 2 de conformidade no site da CSA.
O Dropbox assinará acordos de parceria comercial (BAAs) com clientes do Dropbox Business ou o Dropbox Education, que precisem deles para cumprir com a Health Insurance Portability and Accountability Act (HIPAA - lei de Portabilidade e Responsabilidade de Seguros de Saúde) e a Health Information Technology for Economic and Clinical Health Act (HITECH - lei da Tecnologia de Informação da Economia e da Saúde Clínica). Veja o nosso guia “Introdução ao HIPAA” e o artigo da Central de ajuda para obter informações mais detalhadas.
O Dropbox disponibiliza um relatório de garantia emitido por terceiro, avaliando nossos controles sobre as normas de segurança, privacidade e notificação de violação HIPAA/HITECH, bem como um mapeamento das nossas práticas internas e recomendações aos clientes que pretendem cumprir os requerimentos das normas de segurança e privacidade HIPAA/HITECH com o Dropbox Business ou Dropbox Education.
Os clientes interessados na solicitação desses documentos podem entrar em contato com nossa equipe de vendas. Se no momento você for administrador de uma equipe do Dropbox Business ou Dropbox Education, pode assinar um BAA eletronicamente pela página Conta na Administração.
Aviso: a capacidade de assinar um BAA eletrônico pela seção de Administração só está disponível para clientes nos Estados Unidos.
O Catálogo de controles de conformidade de computação em nuvem (Cloud Computing Compliance Controls Catalog - C5) é uma estrutura estabelecida pelo Departamento federal alemão para tecnologia de segurança da informação (Bundesamt für Sicherheit in der Informationstechnik - BSI) para relatar controles de segurança aplicáveis para o fornecimento dos serviços em nuvem. A conformidade com o C5 ajuda as organizações a demonstrarem suas práticas de segurança de informação de acordo com as "Recomendações de segurança para provedores em nuvem" do BSI. O C5 foi desenvolvido com base em padrões de segurança internacionais já existentes, como a ISO 27001 e a CSA STAR. Para receber a conformidade com o relatório C5, os sistemas, processos e controles do Dropbox foram validados por um auditor terceiro independente, com sede na Alemanha, a Ernst & Young GmbH. A auditoria independente é conduzida conforme as Normais internacionais para atestados de certificação n.º 3000 (ISAE 3000 e IDW PS 860).
O relatório inclui uma descrição detalhada do sistema, aplicativos, processos e controles do Dropbox, bem como nossos procedimentos e resultados de testes feitos por um auditor independente para cada controle. O relatório C5 do Dropbox Business e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
*O Dropbox Paper não está incluído no escopo dos relatórios C5.
O National Institute of Standards and Technology (NIST) dos EUA promove e mantém padrões e diretrizes para ajudar a proteger os sistemas de informação. A publicação NIST Special Publication (SP) 800-171 Revisão 2 (R2) fornece diretrizes sobre como proteger informação não classificada controlada (CUI, em inglês) em sistemas de informação não federais e organizações. Qualquer entidade que processe ou armazene CUIs do governo dos EUA, como instituições de pesquisa e do setor de educação, devem cumprir com o NIST SP 800-171 R2. Os sistemas, processos e controles CUI do Dropbox foram validados por um auditor terceirizado independente: a Ernst & Young LLP.
O relatório NIST SP 800-171 R2 do Dropbox Business e do Dropbox Education está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
*O Dropbox Paper não está incluído no escopo dos relatórios NIST SP 800-171 R2.
O Dropbox está em conformidade com a certificação de Privacy Shield entre União Europeia-Estados Unidos e Suíça-Estados Unidos, conforme estabelecido pelo Departamento de Comércio dos EUA, referente à coleta, ao uso e à retenção de dados pessoais transferidos da União Europeia, da Área Econômica Europeia, do Reino Unido e da Suíça para os Estados Unidos. A adesão aos princípios de Privacy Shield garante que uma empresa forneça proteção adequada da privacidade ao abrigo do GDPR.
Veja a certificação de Privacy Shield do Dropbox e saiba mais sobre ela no site da Privacy Shield.
O Regulamento Geral de Proteção de Dados 2016/679, ou GDPR, é um regulamento da União Europeia que marca uma mudança significativa na estrutura existente de processamento de dados pessoais de indivíduos na UE. O GDPR introduziu uma série de regulamentos novos ou aprimorados que se aplicam a empresas como o Dropbox, que lidam com dados pessoais. Ele entrou em vigor no dia 25 de maio de 2018 e substituiu a Diretiva 95/46 EC da UE, mais conhecida como Diretiva de Proteção de Dados. O Dropbox está em conformidade com o GDPR, assim, os clientes podem usar o Dropbox para facilitar a própria conformidade com o GDPR. Para mais informações, consulte este artigo da Central de ajuda.
O Código de Conduta para Conformidade com GDPR CSA é uma ferramenta voluntária de responsabilidade e um exercício abrangente de transparência projetado para permitir que um provedor de serviços em nuvem, como o Dropbox, demonstre aos clientes da nuvem como está em conformidade com os elementos-chave do Regulamento Geral de Proteção de Dados (GDPR) da UE. O Dropbox Business concluiu o Código de Conduta CSA para autoavaliação da conformidade com o GDPR, que inclui uma auditoria completa por um avaliador terceirizado, e recebeu uma Marca de Conformidade de “Declarada”. Para obter mais informações sobre o Código de Conduta CSA para Conformidade com o GDPR e a conformidade do Dropbox com o Código, acesse o site CSA.
O Dropbox Business e o Dropbox Education permitem aos clientes usar os serviços de acordo com as obrigações de fornecedor dispostas pela Lei de Direitos Educacionais e Privacidade da Família (Family Education Rights and Privacy Act, FERPA) dos Estados Unidos. As instituições de ensino só podem usar o Dropbox Business ou o Dropbox Education em conformidade com a Lei de Proteção da Privacidade On-line das Crianças (Children's Online Privacy Protection Act, COPPA).
O Título 21 do CFR (Code of Federal Regulations, Código de Regulamentos Federais) rege alimentos e medicamentos nos Estados Unidos para o FDA (Food and Drug Administration, Administração de Alimentos e Medicamentos), da Drug Enforcement Administration (Administração de Fiscalização de Drogas) e do Office of National Drug Control Policy (Escritório de Política Nacional de Controle de Drogas). A Parte 11 do Título 21 estabelece os critérios segundo os quais o FDA considera que registros eletrônicos e assinaturas são confiáveis e geralmente equivalentes a registros em papel e assinaturas manuscritas empregadas em papel.
Consulte nosso whitepaper Dropbox e FDA 21 CFR Part 11 e o artigo da Central de ajuda para obter mais informações sobre como o Dropbox pode ajudá-lo em seus esforços de conformidade com o 21 CFR Part 11.
O Dropbox está em conformidade com o Padrão de segurança de dados de cartões de pagamento (Payment Card Industry Standard Data Security, PCI DSS). No entanto, o Dropbox Business, o Dropbox Education e o Dropbox Paper não são destinados a processar nem armazenar transações de cartão de crédito. O Atestado de Conformidade (AoC) do PCI para nosso status de comerciante está disponível sob solicitação por meio de nossa equipe de vendas ou (para clientes existentes do Dropbox Business) de atendimento.
Nossos provedores de colocalização de banco de dados e serviços gerenciados também passam por auditorias SOC 1, SOC 2 e/ou ISO 27001 com regularidade, para verificar suas práticas de segurança. Ao menos uma vez por ano, o Dropbox revisa os resultados dessas auditorias ou realiza a revisão da segurança do fornecedor caso um relatório de auditoria não esteja disponível como parte de nosso programa de gerenciamento de segurança da informação. Caso essas auditorias ou revisões apresentem conclusões significativas, que determinamos que representam risco ao Dropbox ou aos nossos clientes, trabalharemos com o provedor contratado para compreender qualquer impacto potencial aos dados dos clientes e acompanhar esforços de correção até que o problema tenha sido resolvido.
Documentos de conformidade e certificação podem ser solicitados por meio de um representante de vendas ou (para clientes existentes do Dropbox Business) do atendimento do Dropbox.