Соответствие нормам и стандартам
Сертификации по стандарту ISO
Международная организация по стандартизации (International Organization for Standardization или ISO) выработала ряд мировых стандартов в области информации и общественной безопасности, чтобы помочь организациям создавать надежную и инновационную продукцию и обеспечивать услуги. Dropbox получил сертификаты для своих центров обработки и хранения данных, систем, приложений, сотрудников и процессов, пройдя проверку голландской независимой сторонней организации EY CertifyPoint.
ISO 27001 (управление информационной безопасностью)
ISO 27001 — это признанный во всем мире ведущий стандарт в области систем по управлению информационной безопасностью (ISMS), использующий рекомендации, прописанные в ISO 27002. Чтобы оправдать ваше доверие, наша компания постоянно и в полном объеме занимается управлением и совершенствованием физических, технических и юридических средств контроля. Нашим аудитором является компания EY CertifyPoint, получившая аккредитацию ISO 27001 от Голландского совета по аккредитации (Raad voor Accreditatie). Просмотреть сертификат ISO 27001 для тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education.
ISO 27017 (облачная безопасность)
ISO 27017 — это международный стандарт в сфере облачной безопасности, который формулирует правила и рекомендации для средств безопасности, используемых при развертывании и функционировании облачных служб. В нашем Руководстве по общей ответственности описаны несколько требований к безопасности, конфиденциальности и соответствию стандартам, которые должна соблюдать компания Dropbox вместе со своими клиентами. Просмотреть сертификат ISO 27017 для тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education.
ISO 27018 (конфиденциальность в облаке и защита данных)
ISO 27018 — это международный сертификат в области конфиденциальности и защиты данных. Он применяется для облачных служб наподобие Dropbox, которые в интересах своих клиентов обрабатывают их личную информацию. В нем содержатся основные принципы, которых следует придерживаться клиентам при соблюдении нормативных требований и контрактных условий и решении возникающих проблем. Просмотреть сертификат ISO 27018 для тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education.
ISO 22301 (управление устойчивостью бизнеса)
ISO 22301 — это международный стандарт в области устойчивости бизнеса, который помогает организациям минимизировать влияние разрушительных событий и, если такие события все же случаются, реагировать на них соответствующим образом и минимизировать возможный ущерб. Система устойчивости бизнеса (BCMS) Dropbox Business является частью нашей общей стратегии по управлению рисками и предназначена для защиты людей и бизнеса в кризисных ситуациях. Просмотреть сертификат ISO 22301 для тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education.
ISO 27701 (управление информацией о конфиденциальности)
ISO 27701 — это международный стандарт управления информацией о конфиденциальности. Этот стандарт обеспечивает основу для улучшения и расширения системы управления информационной безопасностью в соответствии с ISO 27001 до системы управления информацией о конфиденциальности (PIMS). Dropbox получил данный сертификат в качестве обработчика данных, идентифицирующих личность (PII). Просмотреть сертификат ISO 27701 для тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education.
Отчеты SOC
Отчеты о контроле сервисных организаций (Service Organization Controls или SOC), которые называются SOC 1, SOC 2 и SOC 3, разработаны Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA) и касаются внутренних систем контроля в организациях. Dropbox получил сертификаты для своих систем, приложений, сотрудников и процессов, пройдя ряд проверок независимой сторонней организации Ernst & Young LLP.
SOC 3 — безопасность, конфиденциальность, целостность, доступность и приватность
В отчете о надежности SOC 3 говорится обо всех пяти критериях надежной службы: безопасности, доступности, целостности обработки данных, конфиденциальности и защите от несанкционированного доступа (TSP Section 100). Отчет Dropbox представляет собой краткую сводку нашего отчета SOC 2 и содержит заключение об эффективном функционировании и структуре средств управления, вынесенное независимым аудитором. Просмотреть оценку SOC 3 для тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education.
SOC 2 — безопасность, конфиденциальность, целостность, доступность и приватность
Отчет SOC 2 предоставляет клиентам подробную информацию о надежности средств контроля, охватывающую все пять критериев надежной службы: безопасность, доступность, целостность обработки данных, конфиденциальность и защита от несанкционированного доступа (TSP Section 100). В отчете SOC 2 вы найдете подробное описание процессов Dropbox и более 100 средств контроля, с помощью которых мы защищаем ваши данные. Помимо оценки независимых сторонних аудиторов, касающейся эффективного функционирования и структуры наших средств управления, в этом отчете также содержатся описания методов проверки, используемых аудиторами, и результаты проверки для каждого инструмента. Наш отчет SOC 2 (который иногда еще называют отчет SOC 2+) также включает проверку средств управления на соответствие упомянутым выше стандартам ISO, что обеспечивает дополнительную прозрачность для наших клиентов. Отчет SOC 2 предназначен для тарифных планов Dropbox Standard, Advanced, Enterprise и Education. Отчет SOC 2 доступен для скачивания в Центре управления безопасностью Dropbox.
SOC 1 / SSAE 18 / ISAE 3402 (ранее SSAE 16 или SAS 70)
В отчете SOC 1 содержатся подробные гарантии для клиентов, которые используют Dropbox в качестве ключевого элемента своей программы внутреннего контроля финансовой отчетности (ICFR). Эти гарантии в основном свидетельствуют о соответствии закону Сарбейнса-Оксли (Sarbanes-Oxley, SOX). Независимый сторонний аудит осуществляется в соответствии с Положением о стандартах проведения аудита на соответствие № 18 (Statement on Standards for Attestation Engagements No. 18 или SSAE 18) и Международным стандартом выполнения заданий по подтверждению достоверности информации № 3402 (International Standard on Assurance Engagements No. 3402 или ISAE 3402). Эти стандарты пришли на смену устаревшим Положению о стандартах проведения аудита на соответствие № 16 (SSAE 16) и Положению о стандартах аудита № 70 (SAS 70). Отчет SOC 1 предназначен для тарифных планов Dropbox Standard, Advanced, Enterprise и Education. Отчет SOC 1 доступен для скачивания в Центре управления безопасностью Dropbox.
Федерация информационной облачной безопасности (Cloud Security Alliance): реестр по безопасности, доверию, надежности и рискам (Security, Trust, Assurance, Risk, CSA STAR)
Реестр по безопасности, доверию, надежности и рискам Федерации информационной облачной безопасности (CSA STAR) — это бесплатный общедоступный реестр, предлагающий программу гарантирования безопасности для облачных служб. Тем самым он помогает пользователям оценить уровень обеспечения безопасности облачных служб, которыми они пользуются или собираются воспользоваться.
Тарифные планы Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education получили сертификат CSA STAR Level 2 и прошли аттестацию CSA STAR Level 2. Стандарт CSA STAR Level 2 подразумевает независимую оценку наших средств управления безопасностью третьей стороной — компаниями EY CertifyPoint (проводит сертификацию) и Ernst & Young LLP (проводит аттестацию). Оценка выполняется на основе требований ISO 27001, критериев надежной службы SOC 2 Trust Service Criteria и матрицы облачных средств контроля CSA Cloud Controls Matrix (CCM) v.3.0.1. Просмотреть наш сертификат и аттестацию CSA STAR Level 2 можно на сайте CSA.
HIPAA/HITECH
Dropbox подписывает соглашения о деловом партнерстве (Business Associate Agreements или BAA) с пользователями тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education, которым они необходимы для соответствия требованиям Закона об ответственности и переносе данных о страховании здоровья граждан США (Health Insurance Portability and Accountability Act, HIPAA) и Закона о применении медицинских информационных технологий в экономической деятельности и клинической практике США (Health Information Technology for Economic and Clinical Health Act, HITECH). Чтобы получить более подробную информацию, ознакомьтесь с нашим руководством «HIPAA — с чего начать» и статьей справочного центра.
Dropbox предоставляет доступ к проверкам SOC 2, в которых проводится оценка соответствия наших средств контроля требованиям HIPAA/HITECH в отношении безопасности, конфиденциальности и уведомлений в случае нарушений, а также к методикам и рекомендациям для клиентов относительно соответствия требованиям правил конфиденциальности и безопасности HIPAA/HITECH при использовании тарифных планов Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education.
Клиенты, заинтересованные в получении этих документов, могут получить к ним доступ в Центре управления безопасностью Dropbox. Кроме того, если вы администратор рабочей группы Dropbox, вы можете подписать соглашение о деловом партнерстве в электронной форме на странице «Аккаунт» в консоли администрирования.
Обратите внимание: подписать электронную версию соглашения BAA через консоль администрирования могут только клиенты, находящиеся в США.
Отчет об аттестации NIST SP 800-171 R2
Национальный институт стандартов и технологий США (NIST) продвигает и поддерживает стандарты и нормы защиты информационных систем. В редакции 2 (R2) специального издания (SP) NIST 800-171 приведены нормы защиты контролируемой несекретной информации (CUI) в нефедеральных информационных системах и организациях. Любые организации, которые обрабатывают или хранят CUI правительства США, например исследовательские институты и образовательные учреждения, должны выполнять NIST SP 800-171 R2. Соответствие систем, процессов и средств управления CUI Dropbox подтвердил независимый сторонний аудитор — компания Ernst & Young GmbH.
Отчет NIST SP 800-171 R2 для тарифных планов Dropbox Standard, Advanced, Enterprise и Education интегрирован в отчет SOC 2, который доступен в Центре управления безопасностью Dropbox.
Отчет NIST SP 800-171 R2 не распространяется на Dropbox Paper.
Структура конфиденциальности данных ЕС-США, расширение Великобритании для ЕС-США. Рамочная программа конфиденциальности данных и соглашение между Швейцарией и США. Структура конфиденциальности данных
Dropbox соответствует требованиям Соглашения о конфиденциальности данных ЕС-США, британского расширения Соглашения о конфиденциальности данных ЕС-США и Соглашения о конфиденциальности данных между Швейцарией и США, установленного Министерством торговли США в отношении сбора, использования и хранения личных данных. Данные передаются из Европейского Союза, Великобритании и Швейцарии в США. Если организация соблюдает принципы конфиденциальности данных, это значит, что она обеспечивает адекватную защиту личной информации согласно Генеральному регламенту о защите данных (GDPR).
Ознакомьтесь с информацией о сертификации структуры конфиденциальности данныхDropbox и узнайте больше о структуре конфиденциальности данных на сайте.
Генеральный регламент о защите данных ЕС (EU General Data Protection Regulation)
Генеральный регламент ЕС о защите данных (EU General Data Protection Regulation, GDPR) 2016/679 — это регламент ЕС, свидетельствующий о значительном изменении в существующей системе обработки личных данных пользователей в ЕС. В этом регламенте был представлен ряд новых доработанных требований, которые будут применяться в отношении компаний, обрабатывающих личные данные (в том числе и Dropbox). Генеральный регламент о защите данных вступил в силу 25 мая 2018 года и заменил Директиву 95/46 EC, более известную как Директива ЕС о защите данных. Dropbox соответствует требованиям Генерального регламента о защите данных, поэтому наши клиенты, использующие Dropbox, могут быть уверены в соблюдении требований данного регламента. Более подробную информацию вы найдете в этой статье Справочного центра.
Кодекс поведения ЕС в облачной среде
Кодекс поведения ЕС в облачной среде — это нормативный документ, соблюдение условий которого является совершенно добровольным, позволяющий поставщику облачных услуг, такому как Dropbox, продемонстрировать свою приверженность положениям Генерального регламента о защите данных (GDPR). После положительного заключения Европейского совета по защите данных (EDPB) Кодекс поведения ЕС в облачной среде был официально утвержден Бельгийским агентством по защите данных в мае 2021 года (проверочный идентификатор: 2022LVL02SCOPE3114). Тарифные планы Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education для рабочих групп признаны соответствующими требованиям Кодекса поведения ЕС в облачной среде и получили отметку «Уровень 2». Это означает, что данные сервисы удовлетворяют техническим, организационным и договорным условиям Кодекса. Более подробную информацию о Кодексе поведения ЕС в облачной среде и его соблюдении компанией Dropbox можно найти на официальном сайте Кодекса.
Законы, касающиеся учащихся и детей
Dropbox предоставляет в пользование клиентам Team свои службы в соответствии с обязательствами разработчика, обусловленными американским законом о семейных правах на образование и неприкосновенность личной жизни (US Family Education Rights and Privacy Act (FERPA)). Образовательные учреждения могут использовать тарифные планы Dropbox Standard, Dropbox Advanced, Dropbox Enterprise и Dropbox Education исключительно в соответствии с требованиями Закона о защите личных сведений детей в Интернете (Children's Online Privacy Protection Act, COPPA).
FDA 21 CFR, часть 11
Раздел 21 Свода федеральных нормативных актов (CFR) регулирует вопросы продуктов питания и лекарственных препаратов в Соединенных Штатах для Управления по контролю за качеством пищевых продуктов и лекарственных средств (FDA), Управления по обеспечению соблюдения законов о наркотиках и Управления национальной политики контроля над наркотиками. В части 11 раздела 21 устанавливаются критерии, в соответствии с которыми FDA считает электронные записи и подписи надежными, безопасными и, в целом, эквивалентными бумажным записям и рукописным подписям, выполненным на бумаге.
В нашей технической документации, касающейся Dropbox и FDA 21 CFR, часть 11, и в статье справочного центра можно найти более подробную информацию о том, как Dropbox может помочь вам соответствовать разделу 21 CFR, часть 11.
PCI DSS
Dropbox как продавец удовлетворяет стандарту безопасности данных в отрасли платежных карт (Payment Card Industry Data Security Standard, PCI DSS). Свидетельство соответствия PCI о нашем статусе продавца доступно в Центре управления безопасностью Dropbox.
Сторонние организации
Системы безопасности компаний, обеспечивающих размещение и обслуживание нашего оборудования, регулярно проходят проверки на соответствие стандартам SOC 1, SOC 2 и/или ISO 27001. В рамках своей программы информационной безопасности Dropbox по крайней мере раз в год проверяет результаты этих проверок или выполняет обзоры безопасности подрядчиков, если отчет о проверке недоступен. Если во время таких проверок или обзоров мы находим подтверждение тому, что данные Dropbox или наших пользователей подвергаются риску, мы работаем вместе с предоставляющей услуги компанией — разбираемся, каков может быть потенциальный ущерб для данных клиентов, и отслеживаем действия, которые компания предприняла для разрешения проблемы, до тех пор пока угроза не будет устранена.
Подробнее о соответствии стандартам Dropbox
Доступ к документам о соответствии и сертификации можно получить в Центре управления безопасностью Dropbox.