Conformidade com padrões e regulamentações


Certificação ISO 27001 do Dropbox

ISO

A Organização Internacional para Padronização (ISO) desenvolveu uma série de padrões de nível mundial para segurança da informação e segurança societal, ajudando empresas a desenvolver produtos e serviços confiáveis e inovadores. No Dropbox, temos certificações da ISO para nossos bancos de dados, tecnologias, sistemas, aplicativos, processos e pessoas emitidas pela EY CertifyPoint, empresa independente sediada na Holanda, que mantém suas credenciais ISO da Raad voor Accreditatie (Conselho de Credenciamento Holandês).

ISO 27001 (Segurança da informação)

A ISO 27001 é reconhecida como a principal norma de sistema de gerenciamento de informação (ISMS) do mundo, integrando as melhores práticas detalhadas na ISO 27002. Para merecer sua confiança, gerenciamos os controles físicos, técnicos e legais do Dropbox de forma contínua e abrangente. Veja os certificados ISO 27001 do Dropbox Dropbox Business, Enterprise e Education.

ISO 27017 (Segurança na nuvem)

A ISO 27017 é uma nova norma internacional para segurança na nuvem que oferece diretrizes para controles de segurança aplicáveis para o fornecimento e uso de serviços de nuvem. Nosso Guia de responsabilidade compartilhada explica todas as necessidades de segurança, privacidade e conformidade que o Dropbox e seus clientes podem resolver em conjunto. Veja o certificado ISO 27017 do Dropbox Dropbox Business, Enterprise e Education.

ISO 27018 (Privacidade na nuvem e proteção de dados)

A ISO 27018 é uma nova norma internacional para privacidade e proteção de dados que se aplica a prestadores de serviços em nuvem, como o Dropbox, que processam informações pessoais para seus clientes. Essa certificação serve de base para nossos clientes lidarem com requisitos ou questões comuns de natureza regulatória e contratual. Veja o certificado ISO 27018 do Dropbox Dropbox Business, Enterprise e Education.

ISO 22301 (Continuidade dos negócios)

A ISO 22301 é uma norma internacional para continuidade dos negócios que orienta empresas no sentido de como diminuir a probabilidade de eventos disruptivos, respondendo a eles de maneira apropriada, caso ocorram, para minimizar os danos em potencial. O sistema de gerenciamento de continuidade de negócios (BCMS) do Dropbox Business é parte de nossa estratégia geral de gerenciamento de risco para proteger pessoas e operações em tempos de crise. Veja os certificados ISO 22301 do Dropbox Dropbox Business, Enterprise e Education..


Certificação CSA Star do Dropbox

Cloud Security Alliance: Segurança, confiança e garantia de qualidade (CSA STAR)

O registro de Segurança, Confiança e Garantia de Qualidade da CSA (Security, Trust & Assurance Registry, STAR) é gratuito e publicamente acessível, e oferece um programa de garantia de segurança para serviços de nuvem, ajudando os usuários a avaliar a segurança dos provedores que já usam ou estão pensando em contratar.

O Dropbox Dropbox Business, Enterprise e Education receberam a certificação CSA STAR de 2º nível, uma avaliação de terceiros independente de nossos controles de segurança, pela EY CertifyPoint , com base nos requisitos da ISO 27001 e da Matriz de Controle de Nuvem (Cloud Controls Matrix, CCM) da CSA v.3.0.1, um conjunto de critérios que mensura a capacidade dos serviços de nuvem. Dropbox Business também completou a auto-avaliação CSA STAR de 1º nível, um questionário rigoroso com base no Consensus Assessments Initiative Questionnaire (CAIQ) da CSA, que alinha-se com o CCM e fornece respostas para mais de 300 perguntas que um cliente ou um auditor de serviço de nuvem podem querer perguntar.


Conformidade SOC do Dropbox

SOC

Os relatórios de Controles de Organização de Serviço (Service Organization Controls, SOC), conhecidos como SOC 1, SOC 2 ou SOC 3, são estruturas estabelecidas pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para avaliação de controles internos implementados em uma empresa. O Dropbox certificou suas operações, processos e tecnologias por meio de um auditor independente, a Ernst & Young LLP.

SOC 3 para segurança, confidencialidade, integridade, disponibilidade e privacidade

O relatório de garantia SOC 3 cobre os cinco princípios de serviço de segurança, confidencialidade, integridade, disponibilidade e privacidade (TSP seção 100). O relatório do Dropbox de uso geral é um resumo executivo do relatório SOC 2 e inclui a opinião de nosso auditor independente sobre o design efetivo e as operações de nossos controles. Veja o exame SOC 3 do Dropbox Dropbox Business, Entreprise e Education.

SOC 2 para segurança, confidencialidade, integridade, disponibilidade e privacidade

O relatório SOC 2 oferece aos clientes uma garantia baseada em controles com alto nível de detalhamento, cobrindo os cinco princípios de serviço de segurança, confidencialidade, integridade de processamento, disponibilidade e privacidade (TSP seção 100). O relatório SOC 2 inclui uma descrição detalhada dos processos do Dropbox e mais de 100 controles que temos para proteger seus dados. Além do parecer do auditor independente a respeito da eficiência do projeto e operação dos nossos controles, o relatório inclui os procedimentos de teste do auditor e os resultados de cada controle. O exame SOC 2 para Dropbox Dropbox Business, Enterprise e Education está disponível sob solicitação por meio da equipe de vendas ou da conta de gerenciamento da equipe.

SOC 1 / SSAE 16 / ISAE 3402 (anteriormente SAS 70)

O relatório SOC 1 fornece garantias específicas para os clientes que usam o Dropbox Dropbox Business, Enterprise ou Education como um elemento-chave dos seus controles internos sobre o programa de relatório financeiro (ICFR). Essas garantias servem primariamente para a conformidade com a lei Sarbanes-Oxley (SOX). A auditoria independente é conduzida conforme a Instrução sobre normas de certificação de atestados n° 16 (Statement on Standards for Attestation Engagements, SSAE 16) e as Normas internacionais para atestado de certificação n° 3402 (International Standard on Assurance Engagements, ISAE 3402), que substituíram a antiga norma Statement on Auditing Standards No. 70 (SAS 70). O exame SOC 1 para Dropbox Dropbox Business, Enterprise e Education está disponível sob solicitação por meio da equipe de vendas ou da conta de gerenciamento da equipe.


Estudantes e crianças (FERPA e COPPA)

Com o Dropbox Business, Enterprise e Education, os clientes podem usar os serviços de acordo com as obrigações de fornecedor dispostas pela Lei de Direitos Educacionais e Privacidade da Família (Family Education Rights and Privacy Act, FERPA) dos Estados Unidos. As instituições de ensino com estudantes que tenham menos de 13 anos também podem usar o Dropbox Dropbox Business, Enterprise e Education em conformidade com a Lei de Proteção da Privacidade On-line das Crianças (Children's Online Privacy Protection Act, COPPA), desde que concordem com as disposições contratuais específicas e obtenham consentimento parental para usar nossos serviços.

Iniciativa G-Cloud de Mercado Digital do Reino Unido

O Dropbox Business agora está entre as empresas aceitas pelo setor de Mercado Digital do Reino Unido para aquisição de serviços de nuvem para o governo. Veja a lista aqui.


Certificação HIPAA do Dropbox

HIPAA/HITECH

O Dropbox assinará acordos de parceria comercial (BAAs) com clientes Dropbox Business, Enterprise ou Education que precisem deles para cumprir com a lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e a lei da Tecnologia de Informação da Economia e da Saúde Clínica (HITECH). Veja o nosso guia “Introdução ao HIPAA” e o artigo da Central de ajuda para obter informações mais detalhadas.

O Dropbox disponibiliza um relatório de garantia emitido por terceiro, avaliando nossos controles sobre as normas de segurança, privacidade e notificação de violação HIPAA/HITECH, bem como um mapeamento das nossas práticas internas e recomendações aos clientes que pretendem cumprir os requerimentos das normas de segurança e privacidade HIPAA/HITECH com o Dropbox Dropbox Business, Enterprise e Education.

Os clientes interessados na solicitação desses documentos podem entrar em contato com sua equipe de administração de contas ou com a nossa equipe de vendas. Se no momento você for administrador de uma equipe do Dropbox Dropbox Business, Enterprise ou Education, pode assinar um BAA eletronicamente pela página Conta na seção de Administração.

Observação : A capacidade de assinar um BAA eletrônico pela seção de Administração só está disponível para clientes nos Estados Unidos que não estejam envolvidos com o Dropbox Paper beta.


PCI DSS

O Dropbox está em conformidade com a Payment Card Industry Data Security Standard (PCI DSS). No entanto, o Dropbox Dropbox Business, Enterprise e Education não pretendem ser usados para processar ou armazenar transações de cartão de crédito. O Atestado de conformidade (AoC) do PCI referente ao nosso status de estabelecimento, está disponível mediante solicitação pela equipe de vendas ou pela equipe de gerenciamento de conta.

Nossos provedores subcontratados

Nossos provedores de colocalização de banco de dados e serviços gerenciados também passam por auditorias SOC 1, SOC 2 e/ou ISO 27001 com regularidade, para verificar suas práticas de segurança. Ao menos uma vez por ano, o Dropbox revisa os resultados dessas auditorias, como parte de nosso programa de gerenciamento de segurança da informação. Caso essas auditorias apresentem conclusões significativas, que determinamos que representam risco ao Dropbox ou aos nossos clientes, trabalharemos com o provedor subcontratado para compreender qualquer impacto potencial aos dados dos clientes e acompanhar esforços de correção até que o problema tenha sido resolvido.

Mais informações sobre a conformidade do Dropbox Dropbox Business, Enterprise ou Education

Você pode solicitar documentos de conformidade e certificações para um representante do Dropbox ou para a equipe de gerenciamento de contas.