การปฏิบัติตามข้อกำหนดมาตรฐานและกฎระเบียบ

การรับรอง ISO

องค์การมาตรฐานสากล (ISO) ได้พัฒนาชุดมาตรฐานระดับโลกสำหรับการรักษาความปลอดภัยข้อมูลและสังคมเพื่อช่วยให้องค์กรต่างๆ พัฒนาผลิตภัณฑ์และบริการที่เชื่อถือได้และมีนวัตกรรม Dropbox ได้ผ่านการรับรองศูนย์ข้อมูล ระบบ แอพพลิเคชัน พนักงาน และกระบวนการผ่านการตรวจสอบโดยบริษัทอิสระภายนอกจากประเทศเนเธอร์แลนด์ EY CertifyPoint

ISO 27001 (การบริหารการรักษาความปลอดภัยข้อมูล)

ISO 27001 เป็นมาตรฐานที่สำคัญเป็นอันดับหนึ่งด้านระบบบริหารการรักษาความปลอดภัยของข้อมูล (ISMS) ที่ได้รับการยอมรับทั่วโลก มาตรฐานนี้ยังนำวิธีปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยตามที่ระบุใน ISO 27002 มาใช้ด้วย เพื่อให้เราเป็นที่ไว้วางใจของคุณ เราจัดการและปรับปรุงการควบคุมด้านกายภาพ ด้านเทคนิค และด้านกฎหมายของ Dropbox อย่างต่อเนื่องและครอบคลุม EY CertifyPoint ผู้ตรวจสอบของเรามีการรักษาคุณภาพของ ISO 27001 จาก  Raad voor Accreditatie  (Dutch Accreditation Council) ดูใบรับรอง ISO 27001 ของ EDropbox Business และ Dropbox Education

ISO 27001 (การรักษาความปลอดภัยของคลาวด์)

ISO 27017 คือมาตรฐานสากลสำหรับการรักษาความปลอดภัยของคลาวด์ที่ให้แนวทางในการควบคุมการรักษาความปลอดภัยที่นำไปใช้กับการจัดรรและการใช้บริการคลาวด์  แนวทางการมีหน้าที่ความรับผิดชอบร่วมกันของเราจะอธิบายถึงข้อกำหนดด้านการรักษาความปลอดภัย ความเป็นส่วนตัว และการปฏิบัติตามหลายๆ อย่างที่ Dropbox และลูกค้าสามารถแก้ไขได้ร่วมกัน ดูใบรับรอง ISO27017 ของ EDropbox Business และ Dropbox Education

ISO 27018 (ความเป็นส่วนตัวและการปกป้องข้อมูลคลาวด์)

ISO 27018 เป็นมาตรฐานสากลสำหรับความเป็นส่วนตัวและการปกป้องข้อมูลที่จะใช้กับผู้ให้บริการคลาวด์ เช่น Dropbox ที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้าของบริษัท และให้พื้นฐานสำหรับคำถามหรือข้อกำหนดเกี่ยวกับสัญญาและกฎระเบียบทั่วไปสำหรับลูกค้า ดูใบรับรอง ISO 27001 ของ Dropbox Business และ Dropbox Education

ISO 22301 (การบริหารความต่อเนื่องทางธุรกิจ)

ISO 22301 คือมาตรฐานสากลสำหรับความต่อเนื่องทางธุรกิจที่แนะนำองค์กรในวิธีการลดผลกระทบของเกิดเหตุการณ์ที่ทำให้เกิดความยุ่งยาก และตอบสนองได้อย่างเหมาะสมในกรณีที่เกิดขึ้นด้วยการทำให้ความเสียหายที่อาจเกิดขึ้นมีน้อยที่สุด ระบบบริหารความต่อเนื่องของ Dropbox Business (BCMS) เป็นส่วนหนึ่งของกลยุทธ์การบริหารความเสี่ยงโดยรวมของเราเพื่อปกป้องพนักงานและการดำเนินงานในช่วงวิกฤต ดูใบรับรอง ISO 22301 ของ Dropbox Business และ Dropbox Education

 

รายงาน SOC

รายงานการควบคุมองค์กรบริการ (SOC) หรือที่รู้จักกันในชื่อ SOC 1, SOC 2 หรือ SOC 3 คือกรอบการทำงานที่กำหนดขึ้นโดยสถาบันผู้สอบบัญชีรับอนุญาตแห่งอเมริกา (AICPA) เพื่อรายงานการควบคุมภายในที่นำไปใช้ในองค์กร Dropbox ได้ตรวจสอบยืนยันระบบ แอพพลิเคชัน พนักงาน และกระบวนการของบริษัทผ่านการตรวจสอบโดยบริษัทอิสระจากภายนอก Ernst & Young LLP

SOC 3 เพื่อการรักษาความปลอดภัย การรักษาความลับ บูรณภาพ ความพร้อมใช้งาน และความเป็นส่วนตัว

รายงานรับรอง SOC 3 ครอบคลุมหลักการบริการความไว้วางใจทั้งห้าข้อ ได้แก่ การรักษาความปลอดภัย การรักษาความลับ บูรณภาพของกระบวนการ ความพร้อมใช้งาน และความเป็นส่วนตัว (TSP ส่วนที่ 100) รายงานที่ใช้โดยทั่วไปของ Dropbox เป็นข้อมูลสรุปการบริหารของรายงาน SOC 2 ของเรา และมีความคิดเห็นจากผู้ตรวจสอบอิสระจากภายนอกเกี่ยวกับการออกแบบที่มีประสิทธิภาพและการดำเนินการควบคุมของเรา ดูการตรวจสอบ SOC 3 ของ Dropbox Business และ Dropbox Education

SOC 2 เพื่อการรักษาความปลอดภัย การรักษาความลับ บูรณภาพ ความพร้อมใช้งาน และความเป็นส่วนตัว

รายงาน SOC 2 จะให้การรับประกันการควบคุมในระดับละเอียดแก่ลูกค้า โดยครอบคลุมหลักการบริการความไว้วางใจทั้งห้าข้อ ได้แก่ การรักษาความปลอดภัย การรักษาความลับ บูรณภาพของกระบวนการ ความพร้อมใช้งาน และความเป็นส่วนตัว (TSP ส่วนที่ 100) รายงาน SOC 2 ประกอบด้วยคำอธิบายกระบวนการของ Dropbox โดยละเอียด ตลอดจนการควบคุมอีกเกือบ 100 รายการที่มีไว้เพื่อปกป้องข้อมูลของคุณ นอกเหนือจากที่ได้รวมความคิดเห็นของผู้ตรวจสอบอิสระจากภายนอกเกี่ยวกับการออกแบบที่มีประสิทธิภาพและการดำเนินการควบคุมของเราแล้ว รายงานยังอธิบายถึงระเบียบวิธีการทดสอบของผู้ตรวจสอบและผลลัพธ์สำหรับการควบคุมแต่ละรายการอีกด้วย รายงาน SOC 2 ของเรา (บางครั้งเรียกว่ารายงาน SOC 2+) ยังมีแผนผังการควบคุมที่ตรวจสอบแล้วของเราสำหรับมาตรฐาน ISO ที่กล่าวถึงด้านบน ซึ่งให้ความโปร่งใสเพิ่มเติมแก่ลูกค้าของเรา สามารถติดต่อขอรับการตรวจสอบ SOC 2 สำหรับ Dropbox Business และ Dropbox Education ผ่าน ทีมฝ่ายขาย หรือ ฝ่ายสนับสนุน (สำหรับลูกค้าของ Dropbox Business ปัจจุบัน)

SOC 1 / SSAE 18 / ISAE 3402 (อดีตคือ SSAE 16 หรือ SAS 70)

รายงาน SOC 1 จะให้การรับประกันเฉพาะให้แก่ลูกค้าที่พิจารณาว่า Dropbox Business หรือ Dropbox Education เป็นองค์ประกอบหลักของการควบคุมภายในที่ครอบคลุมการควบคุมการรายงานข้อมูลการเงิน (Internal Controls Over Financial Reporting - ICFR) ของตน การรับประกันเฉพาะเหล่านี้จะใช้สำหรับการปฎิบัติตามข้อกำหนด Sarbanes-Oxley (SOX) ของลูกค้าของเราเป็นหลัก การตรวจสอบอิสระจากภายนอกจะจัดทำโดยสอดคล้องกับ Statement on Standards for Attestation Engagements No. 18 (SSAE 18) และ International Standards for Assurance Engagements No. 3402 (ISAE 3402) มาตรฐานเหล่านี้ได้เข้ามาแทนที่ Statement on Standards for Attestation Engagement No.16 (SSAE 16) และ Statement on Auditing Standards No. 70 (SAS 70) ที่ไม่ใช้แล้ว สามารถของรับการตรวจสอบ SOC 1 สำหรับ Dropbox Business และ Dropbox Education ได้ผ่าน ทีมฝ่ายขาย หรือ ฝ่ายสนับสนุน (สำหรับลูกค้าของ Dropbox Business ปัจจุบัน)

 

สหพันธ์การรักษาความปลอดภัยบนคลาวด์: Security, Trust และ Assurance Registry (CSA STAR)

Security, Trust & Assurance Registry (STAR) ของ CSA คือระบบทะเบียนออนไลน์ที่ทุกคนสามารถเข้าถึงได้ฟรี ที่ให้โครงการให้การรับรองการรักษาความปลอดภัยสำหรับบริการคลาวด์ต่างๆ ซึ่งช่วยให้ผู้ใช้สามารถประเมินการรักษาความปลอดภัยของผู้ให้บริการคลาวด์ที่กำลังใช้งานอยู่หรือกำลังพิจารณาจะใช้งาน

Dropbox Business และ Dropbox Education ได้รับทั้งการรับรอง CSA STAR ระดับ 2 และใบรับรองระดับ 2 CSA STAR ระดับ 2 กำหนดให้มีการประเมินการควบคุมการรักษาความปลอดภัยของเราแบบอิสระโดยบุคคลภายนอกโดย EY CertifyPoint (สำหรับการรับรอง) และ Ernst & Young LLP (สำหรับใบรับรอง) ตามข้อกำหนดของ ISO 27001, SOC 2 Trust Service Principles และ CSA Cloud Controls Matrix (CCM) v.3.0.1 Dropbox ยังได้ทำการประเมินด้วยตัวเอง CSA STAR ระดับ 1 สำหรับ Dropbox Business และ Dropbox Education การประเมินด้วยตัวเองนี้เป็นการสำรวจอันเข้มงวดตาม Consensus Assessments Initiative Questionnaire (CAIQ) ซึ่งตรงกับ CCM และตอบคำถามกว่า 300 ข้อที่ลูกค้าคลาวด์หรือผู้ตรวจสอบการรักษาความปลอดภัยคลาวด์อาจจะถาม ดูการรับรองและใบรับรอง CSA STAR ระดับ 1 และระดับ 2 ของเราบนเว็บไซต์ CSA

 

HIPAA/HITECH

Dropbox จะลงนามในข้อตกลงภาคีธุรกิจ (BAA) กับลูกค้า Dropbox Business และ Dropbox Education ที่ต้องการข้อตกลงเหล่านั้นเพื่อปฏิบัติตามระเบียบของ Health Insurance Portability and Accountability Act (HIPAA) และ Health Information Technology for Economic และ Clinical Health Act (HITECH) กรุณาดูคู่มือ “การเริ่มต้นใช้ HIPAA”  และ  บทความในศูนย์ความช่วยเหลือ สำหรับรายละเอียดเพิ่มเติม

Dropbox ได้จัดทำรายงานการรับประกันของบริษัทภายนอกที่รายงานการประเมินการควบคุมการรักษาความปลอดภัย ความเป็นส่วนตัว และการแจ้งการละเมิดของ HIPAA/HITECH รวมถึงจับคู่แนวปฏิบัติภายในและคำแนะนำสำหรับลูกค้าที่ต้องปฏิบัติตามระเบียบของ HIPAA/HITECH Security and Privacy Rule กับ Dropbox Business หรือ Dropbox Education

ลูกค้าที่สนใจในการขอรับเอกสารเหล่าสามารถติดต่อทีมฝ่ายขายของเรา หากคุณเป็นผู้ดูแลทีม Dropbox Business หรือ Dropbox Education ในปัจจุบัน คุณสามารถลงนามใน BAA ทางอิเล็กทรอนิกส์จากหน้าบัญชีใน แผงควบคุมของผู้ดูแลระบบ

หมายเหตุ: เฉพาะลูกค้าที่อยู่ในสหรัฐอเมริกาและไม่ได้ใช้ Dropbox Paper เท่านั้นที่สามารถเซ็นชื่อ BAA แบบอิเล็กทรอนิกส์ผ่านแผงควบคุมของผู้ดูแลระบบจะมีให้สำหรับ Dropbox ไม่ได้เสนอการสนับสนุน HIPAA/HITECH สำหรับ Dropbox Paper

 
รายงานใบรับรอง Germany BSI C5

Cloud Computing Compliance Controls Catalog (C5)  คือโครงงานที่สร้างโดย German Federal Office for Security in Information Technology (Bundesamt fur Sicherheit in der Informationstechnik  - BSI) เพื่อรายงานการควบคุมการรักษาความปลอดภัยที่มีผลบังคับใชักับการจัดหาบริการคลาวด์ การรับรอง C5 ช่วยองค์กรแสดงว่าการดำเนินการด้านการรักษาความปลอดภัยของข้อมูลของพวกเขาเป็นไปตาม “คำแนะนำด้านการรักษาความปลอดภัยสำหรับผู้จัดหาบริการคลาวด์” ของ BSI C5 สร้างบนมาตรฐานสากลที่มีอยู่ เช่น ISO 27001 และ CSA STAR ระบบ กระบวนการ และการควบคุมของ Dropbox ได้รับการรับรองโดยผู้ตรวจสอบภายนอกอิสระในเยอรมนี Ernst & Young GmbH เพื่อขอรับ รายงานการรับรอง C5 และการตรวจสอบอิสระได้ดำเนินการตาม International Standard on Assurance Engagements No. 3000 (ISAE 3000)

รายงานมีคำบรรยายละเอียดเกี่ยวกับระบบ แอปพลิเคชัน ขั้นตอน และการควบคุมของ Dropbox รวมถึงกระบวนการและผลการทดสอบของผู้ตรวจสอบอิสระของเราสำหรับการควบคุมแต่ละครั้ง สามารถขอรับรายงาน C5 สำหรับ Dropbox Business และ Dropbox Education ได้ผ่านทีมฝ่ายขาย หรือฝ่ายสนับสนุน (สำหรับลูกค้า Dropbox Business ปัจจุบัน)

*Dropbox Paper ไม่รวมอยู่ในขอบเขตของรายงาน C5

 

การคุ้มครองความเป็นส่วนตัวในสหภาพยุโรปและสหรัฐอเมริกา และการคุ้มครองความเป็นส่วนตัวในสวิตเซอร์แลนด์และสหรัฐอเมริกา

Dropbox ปฏิบัติตามการคุ้มครองความเป็นส่วนตัวของสหภาพยุโรป-สหรัฐอเมริกาและสวิตเซอร์แลนด์-สหรัฐอเมริกาตามที่กระทรวงพาณิชย์ของสหรัฐอเมริกากำหนดไว้เกี่ยวกับการรวบรวม ใช้งาน และเก็บรักษาข้อมูลส่วนบุคคลที่ถ่ายโอนมาจากสหภาพยุโรป เขตเศรษฐกิจยุโรป และสวิตเซอร์แลนด์มายังสหรัฐอเมริกา การปฏิบัติตามหลักการการคุ้มครองความเป็นส่วนตัวจะทำให้แน่ใจได้ว่าองค์กรจะให้การปกป้องความเป็นส่วนตัวที่เพียงพอภายใต้คำสั่งการปกป้องข้อมูลของสหภาพยุโรป

ดู ใบรับรองการคุ้มครองความเป็นส่วนตัว ของ Dropbox และเรียนรู้เพิ่มเติมที่ เว็บไซต์การคุ้มครองความเป็นส่วนตัว

กฎระเบียบความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป

กฎระเบียบความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค 2016/679 หรือ GDPR เป็นกฎระเบียบของสหภาพยุโรปที่ทำการเปลี่ยนแปลงอย่างมีนัยสำคัญกับโครงงานที่มีอยู่เดิมสำหรับการประมวลผลข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรป GDPR ได้เสนอข้อกำหนดชุดใหม่หรือที่เพิ่มศักยภาพให้สูงขึ้นที่จะนำไปบังคับใช้กับบริษัทต่างๆ เช่น Dropbox ที่จัดการข้อมูลส่วนบุคคล กฎระเบียบมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 และได้แทนที่ EU Directive 95/46 EC ที่เป็นที่รู้จักกันในชื่อ Data Protection Directive (กฎหมายคุ้มครองข้อมูลส่วนบุคคล) Dropbox ปฏิบัติตาม GDPR เพื่อให้ลูกค้าสามารถใช้ Dropbox เพื่อสนับสนุนการปฏิบัติตาม GDPR ของลูกค้าเอง สำหรับข้อมูลเพิ่มเติม กรุณาอ่าน บทความศูนย์ช่วยเหลือนี้

 

นักเรียนและเด็ก (FERPA และ COPPA)

Dropbox Business และ Dropbox Education ช่วยให้ลูกค้าใช้บริการที่ปฏิบัติตามข้อบังคับของผู้ค้าตามที่บัญญัติสิทธิและความเป็นส่วนตัวด้านการศึกษาครอบครัว (Family Education Rights and Privacy Act หรือ FERPA) ของสหรัฐอเมริกากำหนดไว้ สถานศึกษาที่มีนักเรียนอายุต่ำกว่า 13 ปี ยังสามารถใช้ Dropbox Business หรือ Dropbox Education โดยเป็นไปตามบัญญัติการปกป้องความเป็นส่วนตัวออนไลน์ของเยาวชน (Children's Online Privacy Protection Act หรือ COPPA) หากยินยอมปฏิบัติตามข้อกำหนดที่เจาะจงให้สถานศึกษาขออนุญาตจากผู้ปกครองในการใช้บริการของเรา

 

ตลาดซื้อขายดิจิตอลของสหราชอาณาจักร (UK Digital Marketplace) G-Cloud

Dropbox Business ได้ลงทะเบียนอยู่ในตลาดซื้อขายดิจิทัล (Digital Maketplace) ของสหราชอาณาจักรในรายชื่อผู้ให้บริการคลาวด์ของรัฐแล้ว ดูบริการของเราที่ลงประกาศบนตลาดซื้อขายดิจิทัล (Digital Maketplace) ของสหราชอาณาจักรสำหรับ แผนบริการ Dropbox Business Standardแผนบริการ Dropbox Business Advanced และ แผนบริการ Dropbox Enterprise

*Dropbox Paper ไม่รวมอยู่ในขอบเขตของรายการ UK Digital Marketplace G-Cloud

 

PCI DSS

Dropbox เป็นผู้ค้าที่ปฎิบัติตามข้อกำหนดของมาตรฐานด้านการรักษาความปลอดภัยของข้อมูลในอุตสาหกรรมบัตรชำระเงิน (Payment Card Industry Data Security Standard - PCI DSS) อย่างไรก็ตาม Dropbox Business, Dropbox Education และ Dropbox Paper ไม่ได้มีไว้เพื่อดำเนินการหรือจัดเก็บข้อมูลธุรกรรมบัตรเครดิต สามารถขอรับการปฏิบัติตามข้อกำหนด (Attestation of Compliance - AoC) ของ PCI สำหรับสถานะผู้ค้าของเราผ่านทางทีมฝ่ายขาย หรือ ฝ่ายสนับสนุน (สำหรับลูกค้า Dropbox Business ปัจจุบัน)

 

ผู้ให้บริการแยกย่อยของเรา

สถานที่ตั้งร่วมของศูนย์ข้อมูลและผู้ให้บริการที่จัดการบริการของเรายังได้รับการตรวจสอบ SOC 1, SOC 2 และ/หรือ ISO 27001 เป็นประจำเช่นกันเพื่อยืนยันการปฏิบัติงานที่มีการรักษาความปลอดภัย Dropbox จะทบทวนผลลัพธ์การตรวจสอบเหล่านี้อย่างน้อยปีละครั้ง หรือทำการทบทวนการรักษาความปลอดภัยของผู้จัดหาหากไม่มีรายงานการตรวจ โดยเป็นส่วนหนึ่งของโปรแกรมจัดการการรักษาความปลอดภัยของข้อมูลของเรา ในกรณีที่การตรวจสอบหรือการทบทวนเหล่านี้มีการตรวจพบข้อผิดพลาดซึ่งเราพิจารณาว่ามีความเสี่ยงต่อ Dropbox หรือลูกค้าของเรา เราจะร่วมมือกับผู้ให้บริการเพื่อทำความเข้าใจกับผลกระทบที่อาจมีต่อข้อมูลลูกค้า และติดตามความพยายามในการแก้ไขจนกว่าปัญหานั้นจะหมดไป

 

ข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ Dropbox Business หรือ Dropbox Education

คุณสามารถยื่นขอเอกสารการปฏิบัติตามข้อกำหนดและใบรับรองต่างๆ ผ่านทาง ตัวแทนฝ่ายขาย ของ Dropbox) หรือ ฝ่ายสนับสนุน (สำหรับลูกค้า Dropbox Business ปัจจุบัน)