Соответствие нормам и стандартам


Сертификация по стандарту ISO 27001 в Dropbox

ISO

Международная организация по стандартизации (International Organization for Standardization или ISO) выработала ряд мировых стандартов в области информации и общественной безопасности, чтобы помочь организациям создавать надежную и инновационную продукцию и обеспечивать услуги. Dropbox получил сертификаты ISO для своих центров обработки и хранения данных, технологий, систем, приложений, сотрудников и процессов, проверку этих сертификатов осуществляет голландская независимая сторонняя организация EY CertifyPoint, которая проводит аккредитацию ISO Raad voor Accreditatie (Голландского совета по аккредитации).

ISO 27001 (информационная безопасность)

ISO 27001 — это признанный во всем мире ведущий стандарт в области систем по управлению информационной безопасностью (ISMS), использующий рекомендации, прописанные в ISO 27002. Чтобы оправдать ваше доверие, мы в Dropbox постоянно и в полном объеме занимаемся своими физическими, техническими и юридическими средствами. Просмотреть сертификат ISO 27001 для Dropbox Business, Dropbox Enterprise и Dropbox Education.

ISO 27017 (облачная безопасность)

ISO 27017 — это новый международный стандарт в сфере облачной безопасности, который формулирует правила и рекомендации для инструментов безопасности, используемых при развертывании и функционировании облачных служб. В нашем Руководстве по общей ответственности описаны все требования о безопасности, конфиденциальности и соответствии, о которых должны вместе заботиться Dropbox со своими клиентами. Просмотреть сертификат ISO 27017 для Dropbox Business, Dropbox Enterprise и Dropbox Education.

ISO 27018 (конфиденциальность в облаке и защита данных)

ISO 27018 — получающий все более широкое распространение международный сертификат в области конфиденциальности и защиты данных. Он применяется для облачных служб наподобие Dropbox, которые в интересах своих клиентов обрабатывают их личную информацию. В нем наши клиенты найдут основные принципы, обуславливающие вопросы и требования, касающиеся общих проблем урегулирования в данной сфере и контрактных условий. Просмотрите сертификат ISO 27018 для Dropbox Business, Dropbox Enterprise и Dropbox Education.

ISO 22301 (устойчивость бизнеса)

ISO 22301 — это международный стандарт в области устойчивости бизнеса, который помогает организациям снизить вероятность разрушительных событий и, если такие события все же случаются, реагировать на них соответствующим образом и минимизировать возможный ущерб. Система устойчивости бизнеса Dropbox Business (BCMS) является частью нашей общей стратегии по управлению рисками, предназначенной для защиты людей и бизнеса в кризисных ситуациях. Просмотрите сертификат ISO 22301 для Dropbox Business, Dropbox Enterprise и Dropbox Education.


Сертификация CSA Star в Dropbox

Федерация информационной облачной безопасности (Cloud Security Alliance, CSA): реестр по безопасности, доверию и предоставлению гарантий (Security, Trust, and Assurance Registry, CSA STAR)

Реестр по безопасности, доверию и предоставлению гарантий Федерации информационной облачной безопасности (Security, Trust, and Assurance Registry, CSA STAR) — это бесплатный, общедоступный реестр, осуществляющий программу гарантий для облачных служб. Он помогает пользователям оценить силы и средства обеспечения безопасности облачных служб, которыми они пользуются или собираются воспользоваться.

Dropbox Business, Dropbox Enterprise и Dropbox Education получили сертификат CSA STAR Level 2 Certification, независимую оценку наших систем безопасности осуществляла сторонняя организация EY CertifyPoint в соответствии с требованиями ISO 27001 и CSA Cloud Controls Matrix (CCM) v.3.0.1 (набор критериев, измеряющих возможности облачных служб). Dropbox Business также прошел проверку CSA STAR Level 1 Self-Assessment — это весьма строгая проверка, основывающаяся на опроснике CSA под названием Consensus Assessments Initiative Questionnaire или CAIQ (он соответствует системе CCM и включает почти 300 вопросов, которые могли бы быть интересны клиенту облачных служб или контролеру в сфере облачной безопасности).


Соответствие SOC в Dropbox

SOC

Отчеты о контроле сервисных организаций (Service Organization Controls или SOC), которые называются SOC 1, SOC 2 и SOC 3, разработаны Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants или AICPA) и касаются внутренних систем контроля в организациях. Деятельность, процессы и технологии Dropbox сертифицирует независимая сторонняя организация-контролер Ernst & Young LLP.

SOC 3 — безопасность, конфиденциальность, целостность, доступность и приватность

Отчет о гарантии SOC 3 охватывает пять принципов безопасности, конфиденциальности, обработки, целостности и доступности (Trust Service Principles of Security, Confidentiality, Integrity, Availability, and Privacy или TSP Section 100). Отчет Dropbox представляет собой краткую сводку нашего отчета SOC 2 и включает заключение о структуре и работе системы управления, вынесенное независимым аудитором. Просмотреть оценку SOC 3 для Dropbox Business, Dropbox Enterprise и Dropbox Education.

SOC 2 — безопасность, конфиденциальность, целостность, доступность и приватность

Отчет SOC 2 предоставляет клиентам подробные гарантии, охватывающие пять принципов безопасности, конфиденциальности, обработки, целостности и доступности (Trust Service Principles of Security, Confidentiality, Integrity, Availability, and Privacy или TSP Section 100). В отчете SOC 2 вы найдете подробные описания процессов Dropbox и более 100 инструментов контроля, с помощью которых мы защищаем ваши данные. Помимо оценки независимых сторонних аудиторов, касающейся эффективности функциональности и структуры наших средств управления, в этом отчете также содержатся описания методов проверки аудиторов и результаты проверок для каждого инструмента. Оценка SOC 2 для Dropbox Business, Dropbox Enterprise и Dropbox Education предоставляется по запросу отделом продаж или командой поддержки аккаунтов.

SOC 1 / SSAE 16 / ISAE 3402 (бывший SAS 70)

В нашем отчете SOC 1 содержатся подробные гарантии для клиентов, которые используют Dropbox Business, Dropbox Enterprise или Dropbox Education в качестве ключевого элемента своей программы внутреннего контроля финансовой отчетности (ICFR). Эти гарантии в основном обеспечивают соответствие закону Сарбейнса-Оксли (Sarbanes-Oxley или SOX). Независимый сторонний аудит осуществляется в соответствии с положениями о стандартах соответствия аудиту No. 16 (Statement on Standards for Attestation Engagements No. 16 или SSAE 16) и международными стандартами по аудиторским заданиям No. 3402 (International Standard on Assurance Engagements No. 3402 или ISAE 3402). Эти стандарты теперь используются вместо устаревших положений по стандартам аудита No. 70 (Statement on Auditing Standards No. 70 или SAS 70). Оценку SOC 1 для Dropbox Business, Dropbox Enterprise и Dropbox Education предоставляет по запросу отдел продаж или команда поддержки аккаунтов.


Законы, касающиеся учащихся и детей

Аккаунты Dropbox Business, Dropbox Enterprise и Dropbox Education предоставляют в пользование клиентам свои службы в соответствии с обязательствами разработчика, обусловленными американским законом о семейных правах на образование и неприкосновенность личной жизни (US Family Education Rights and Privacy Act (FERPA)). Образовательные учреждения, в которых обучаются дети младше 13 лет, также могут использовать Dropbox Business, Dropbox Enterprise и Dropbox Education в соответствии с законом о защите личных сведений детей в Интернете (Children's Online Privacy Protection Act (COPPA)), при условии, что они соглашаются с определенными пунктами договора, обязывающими образовательное учреждение получить родительское разрешение на использование наших услуг.

Британская цифровая торговая площадка G-Cloud (UK Digital Marketplace G-Cloud)

Теперь аккаунты Dropbox Business внесены в списки британской цифровой торговой площадки правительственных закупок облачных услуг (United Kingdom Digital Marketplace for government cloud services procurement). Посмотреть соответствующую информацию можно здесь.


Dropbox: сертификация HIPAA

HIPAA/HITECH

Dropbox подписывает соглашения о деловом партнерстве (Business Associate Agreements или BAA) с клиентами Dropbox Business, Dropbox Enterprise и Dropbox Education, которым они необходимы для соответствия требованиям Закона об ответственности и переносе данных о страховании здоровья граждан США (Health Insurance Portability and Accountability Act, HIPAA) и Закона о применении медицинских информационных технологий в экономической деятельности и клинической практике США (Health Information Technology for Economic and Clinical Health Act, HITECH). Чтобы получить более подробную информацию, ознакомьтесь с нашим руководством «HIPAA — С чего начать» и соответствующей статьей Справочного центра.

Dropbox предоставляет доступ к сторонним отчетам, в которых проводится оценка нашего контроля правил HIPAA/HITECH в отношении безопасности, конфиденциальности и уведомления в случае нарушений, а также к схемам внутренних методик и рекомендаций клиентам, которые желают соответствовать требованиям правил конфиденциальности и безопасности HIPAA/HITECH с помощью Dropbox Business, Dropbox Enterprise и Dropbox Education.

Клиенты, заинтересованные в получении этих документов, могут обратиться к специалистам по управлению аккаунтом или связаться с отделом продаж. Администраторы аккаунтов Dropbox Business, Dropbox Enterprise и Dropbox Education могут подписать соглашение о деловом партнерстве на странице Аккаунт в консоли администрирования.

Обратите внимание: подписать электронную версию соглашения BAA через Консоль администрирования могут только клиенты, находящиеся в США и не принимающие участие в бета-тестировании Dropbox Paper.


PCI DSS

Dropbox удовлетворяет стандартам безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS). Однако аккаунты Dropbox Business, Dropbox Enterprise и Dropbox Education не предназначены для обработки и хранения информации о транзакциях по платежным картам. Свидетельства соответствия (Attestation of Compliance, AoC) PCI о статусе продавца предоставляет по запросу отдел продаж или команда поддержки аккаунтов .

Сторонние организации

Системы безопасности компаний, обеспечивающих размещение и обслуживание нашего оборудования, регулярно проходят проверки на соответствие стандартам SOC 1, SOC 2 и/или ISO 27001. В рамках своей программы информационной безопасности Dropbox не реже раза в год проверяет результаты этих проверок. Если во время таких проверок мы находим подтверждение тому, что данные Dropbox или наших пользователей подвергаются риску, мы работаем вместе с предоставляющей услуги компанией — разбираемся, каков может быть потенциальный ущерб для данных клиентов, и отслеживаем действия, которые компания предприняла для разрешения проблемы, до тех пор пока угроза не будет устранена.

Подробнее о соответствии стандартам Dropbox Business, Dropbox Enterprise и Dropbox Education

Сертификаты и соответствующие документы можно запросить у представителя Dropbox или у команды поддержки аккаунтов.