Efterlevnad av standarder och föreskrifter


Dropbox ISO 27001-certifiering

ISO

Internationella standardiseringsorganisationen (ISO) har utvecklat en serie internationella standarder för informations- och samhällssäkerhet för att hjälpa organisationer att utveckla tillförlitliga och innovativa produkter och tjänster. På Dropbox har vi ISO-certifierat våra datacenter, teknologier, system, program, personal och metoder genom EY CertifyPoint, ett självständigt tredjepartsorgan baserat i Nederländerna, som är ISO-ackrediterat av Raad voor Accreditatie (Nederländska ackrediteringsrådet).

ISO 27001 (informationssäkerhet)

ISO 27001 är den mest erkända standarden för hanteringssystem för informationssäkerhet (ISMS, information security management system) i världen och baserar sig på de bästa metoder som anvisas i ISO 27002. För att förtjäna ditt förtroende hanterar och utvecklar vi kontinuerligt våra fysiska, tekniska och juridiska kontroller på Dropbox. Visa ISO 27001-certifikat för Dropbox Business, Enterprise och Education.

ISO 27017 (molnsäkerhet)

ISO 27017 är en ny internationell standard för molnsäkerhet som ger riktlinjer för säkerhetskontroller gällande tillhandahållande och användning av molntjänster. I vår guide om delat ansvar beskrivs de krav på säkerhet, sekretess och efterlevnad som Dropbox och våra kunder kan samarbeta kring. Visa ISO 27017-certifikat för Dropbox Business, Enterprise och Education.

ISO 27018 (molnsäkerhet och dataskydd)

ISO 27018 är en ny internationell standard för sekretess och dataskydd som gäller för molntjänstleverantörer som Dropbox som bearbetar personuppgifter å sina kunders vägnar. Den kan även bli utgångspunkt för våra kunder vad gäller vanliga krav eller frågor beträffande föreskrifter och kontrakt. Visa ISO 27018-certifikat för Dropbox Business, Enterprise och Education.

ISO 22301 (verksamhetens kontinuitet)

ISO 22301 är en internationell standard för verksamhetens kontinuitet som hjälper organisationer att och agera på rätt sätt i fall de inträffar genom att minimera eventuella skador. Dropbox Business hanteringssystem för kontinuitet (BCMS, business continuity management system) är en del av vår övergripande riskhanteringsstrategi för att skydda personer och drift. Visa ISO 22301-certifikat för Dropbox Business, Enterprise och Education.


Dropbox CSA Star-certifiering

Cloud Security Alliance: Security, Trust, and Assurance Registry (CSA STAR)

CSA Security, Trust & Assurance Registry (STAR) är ett kostnadsfritt, allmänt tillgängligt register som erbjuder ett säkerhetsprogram för molntjänster. Det är ett hjälpmedel där användare kan bedöma säkerheten hos de molnleverantörer de använder just nu eller överväger att teckna avtal med.

Dropbox Business, Enterprise och Education har fått CSA STAR Level 2-certifiering, en självständig tredjeparts undersökning av våra säkerhetskontroller av EY CertifyPoint baserat på kraven i ISO 27001 och matrisen CSA Cloud Controls Matrix (CCM) v.3.0.1, en uppsättning kriterier som mäter kapacitetsnivåer på molntjänster. Dropbox Business har även fullbordat CSA STAR Level 1 Self-Assessment, en rigorös utvärdering baserad på undersökningen CSA’s Consensus Assessments Initiative Questionnaire (CAIQ), som efterlever kraven för CCM och tillhandahåller svar på nästan 300 frågor en molnkund eller molnsäkerhetsgranskare kan ställa.


SOC-efterlevnad i Dropbox

SOC

Service Organization Controls (SOC)-rapporterna, kallade SOC 1, SOC 2 respektive SOC 3, är ramverk som etablerats av American Institute of Certified Public Accountants (AICPA) för rapportering om interna kontroller som används inom en organisation. Dropbox har certifierat drift, teknologier och rutiner via en tredjepartsrevisor, Ernst & Young LLP.

SOC 3 för säkerhet, sekretess, integritet och tillgänglighet

SOC 3-rapporten omfattar förtroendetjänstprinciperna säkerhet, sekretess, integritet och tillgänglighet (TSP Section 100). Dropbox-rapporten för allmänt bruk är en övergripande sammanfattning av SOC 2-rapporten och inkluderar den oberoende, utomstående revisorns synpunkter på den effektiva utformningen och driften av våra kontroller. Visa SOC 3-undersökning för Dropbox Business, Enterprise och Education.

SOC 2 för säkerhet, sekretess, integritet och tillgänglighet

SOC 2-rapporten förser kunder med en detaljerad nivå av kontrollbaserat bestyrkande, som omfattar principerna för betrodda tjänster för säkerhet, sekretess, bearbetningsintegritet och tillgänglighet (TSP Section 100). SOC 2-rapporten inkluderar en detaljerad beskrivning av Dropbox processer och de mer än 100 kontroller vi har på plats för att skydda era saker. I tillägg till vår oberoende tredjepartgranskares åsikt om den effektiva utformningen av och driften för våra kontroller, inkluderar rapporten även granskarens testprocedurer och resultat för varje kontroll. SOC 2-undersökningen för Dropbox Business, Enterprise och Education finns tillgänglig på begäran via försäljningsteamet eller det kontoansvariga teamet.

SOC 1/SSAE 16/ISAE 3402 (tidigare SAS 70)

SOC 1-rapporten tillhandahåller specifika garantier för kunder som ser Dropbox Business, Enterprise eller Education som en viktig del av sitt program för interna kontroller vid ekonomisk rapportering. Dessa specifika garantier används huvudsakligen för våra kunders efterlevnad av Sarbanes-Oxley-lagen (SOX). Den oberoende tredjepartsgranskningen genomförs i enlighet med SSAE 16 (Statement on Standards for Attestation Engagements No. 16) och ISAE 3402 (International Standard on Assurance Engagements No. 3402). Dessa standarder har ersatt den tidigare Statement on Auditing Standards No. 70 (SAS 70). SOC 1-undersökningen för Dropbox Business, Enterprise och Education finns tillgänglig på begäran via försäljningsteamet eller det kontoansvariga teamet.


Studenter och barn (FERPA och COPPA)

Med Dropbox Business, Enterprise och Education kan kunderna använda tjänster i överensstämmelse med de skyldigheter leverantören har enligt den amerikanska Family Education Rights and Privacy Act (FERPA). Även skolor med elever under 13 år kan använda Dropbox Business, Enterprise eller Education i överensstämmelse med Children's Online Privacy Protection Act (COPPA), under förutsättning att de godkänner vissa avtalsbestämmelser som kräver att skolan skaffar föräldrarnas samtycke beträffande användningen av våra tjänster.

UK Digital Marketplace G-Cloud

Dropbox Business finns nu med på Digital Marketplace i Storbritannien för statliga upphandlingar av molntjänster. Här finns förteckningen.


Dropbox HIPAA-certifiering

HIPAA/HITECH

Dropbox kommer att teckna affärspartneravtal (BAA) med kunder hos Dropbox Business, Enterprise eller Education som begär sådana för att kunna följa HIPAA (Health Insurance Portability and Accountability Act) och HITECH (Health Information Technology for Economic and Clinical Health Act). Läs vår guide Kom igång med HIPAA och hjälpcenterartikeln om du vill ha mer information.

Dropbox tillhandahåller en bestyrkanderapport från tredje part, där våra kontroller utvärderas för regelverket för säkerhet, sekretess och anmälan om överträdelser enligt HIPAA/HITECH. Även vår internpraxis och rekommendationer kartläggs för kunder som önskar följa regelkraven för säkerhet och sekretess enligt HIPAA/HITECH med Dropbox Business, Enterprise och Education.

Kunder som vill få dessa dokument ombeds kontakta kontohanteringsteamet eller försäljningsteamet. Om du för närvarande är teamadministratör för Dropbox Business, Enterprise och Education kan du underteckna BAA elektroniskt på sidan Konto i adminkonsolen.

Obs! Möjligheten att underteckna ett elektroniskt affärspartneravtal (BAA) via adminkonsolen är tillgänglig endast för kunder med bas i USA som inte använder Dropbox Paper beta-versionen.


PCI DSS

Dropbox följer betalkortbranschens datasäkerhetsstandard (Card Industry Data Security Standard, PCI DSS). Dropbox Business, Enterprise och Education är dock inte avsett för att bearbeta eller lagra kontokortstransaktioner. Efterlevnadsintyget (PCI Attestation of Compliance) angående vår status som försäljare finns tillgängligt på begäran via försäljningsteamet eller det kontoansvariga teamet.

Våra undertjänstleverantörer

Samlokaliseringen av våra datacenter och tjänstleverantörer genomgår regelbundna SOC 1-, SOC 2- och/eller ISO 27001-granskningar för att verifiera underleverantörernas säkerhetsrutiner. Dropbox går igenom resultaten av dessa granskningar minst en gång om året som del av vårt program för informationssäkerhet. Om dessa granskningar leder till att vi upptäcker risker för Dropbox eller våra kunder kommer vi att arbeta med undertjänstleverantören för att förstå hur detta eventuellt kan påverka våra kunddata. Vi kommer sedan att spåra tjänsteleverantörens åtgärder tills problemet är löst.

Mer information om efterlevnad för Dropbox Business, Enterprise eller Education

Efterlevnads- och certifieringsdokument kan beställas genom en representant eller det kontoansvariga teamet på Dropbox.