Дотримання стандартів і нормативних вимог

Сертифікації ISO

Міжнародна організація зі стандартизації (ISO) розробила ряд стандартів світового класу щодо інформаційної та громадської безпеки, щоб допомогти організаціям розробляти надійні й інноваційні продукти і послуги. Компанія Dropbox провела сертифікацію своїх центрів обробки даних, систем, програм, співробітників і процесів через ряд аудитів від незалежної третьої сторони — організації EY CertifyPoint з Нідерландів.

ISO 27001 (управління інформаційною безпекою)

ISO 27001 — основний сертифікат в області систем управління інформаційною безпекою (ISMS), визнаний у всьому світі. В ньому використані рекомендації з безпеки, описані в ISO 27002. Щоб виправдати вашу довіру, ми в Dropbox постійно та всебічно впроваджуємо та покращуємо засоби фізичного, технічного та юридичного контролю. Нашим аудитором є компанія EY CertifyPoint, яка отримала акредитацію ISO 27001 від Raad voor Accreditatie (Акредитаційної ради Нідерландів). Переглянути сертифікат ISO 27001 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .

ISO 27017 (безпека хмарних обчислень)

ISO 27017 — це новий міжнародний стандарт у галузі хмарної безпеки, який містить рекомендації щодо впровадження засобів контролю під час надання та використання хмарних служб. У нашому Посібнику зі спільної відповідальності наведено деякі вимоги щодо безпеки, захисту даних і нормативно‑правової відповідності, яких мають спільно дотримуватися Dropbox і клієнти компанії. Переглянути сертифікат ISO 27017 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .

ISO 27018 (захист конфіденційності та даних у хмарі)

ISO 27018 — це міжнародний стандарт у галузі конфіденційності та захисту даних, який стосується хмарних служб на зразок Dropbox, які в інтересах своїх клієнтів обробляють їхню особисту інформацію. Стандарт описує основні нормативно-правові вимоги та договірні зобов'язання сторін. Переглянути сертифікат ISO 27018 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .

ISO 22301 (керування безперервністю бізнесу)

ISO 22301 — це міжнародний стандарт у галузі забезпечення безперервної роботи компаній, який надає організаціям рекомендації щодо реагування на руйнівні події, зменшення їхніх наслідків і мінімізації потенційних збитків. Система керування безперервністю (BCMS) Dropbox Business є частиною нашої загальної стратегії управління ризиками для захисту людей і операцій у кризових ситуаціях. Переглянути сертифікат ISO 22301 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .

ISO 27701 (керування інформацією про конфіденційність)

ISO 27701 — це міжнародний стандарт керування інформацією про конфіденційність. Цей стандарт є основою для вдосконалення та розширення системи керування інформаційною безпекою згідно з вимогами ISO 27001 до системи керування інформацією про конфіденційність (PIMS). Dropbox отримав сертифікати як обробники особистих ідентифікаційних даних (PII). Переглянути сертифікат ISO 27701 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .

Звіти SOC

Стандарти звітування про засоби контролю в сервісній організації (SOC 1, SOC 2 або SOC 3) є основними інструментами, запровадженими інститутом AICPA (American Institute of Certified Public Accountants) для звітування про засоби внутрішнього контролю, впроваджені в організації. Компанія Dropbox провела сертифікацію своїх систем, програм, співробітників і процесів, запросивши для перевірки незалежну аудиторську компанію Ernst & Young LLP.

Звіт SOC 3 про безпеку, таємність, цілісність, доступність і конфіденційність

У доповіді про надійність SOC 3 ідеться про всі п'ять критеріїв надійної служби: безпеку, доступність, цілісність оброблення даних, таємність і конфіденційність (TSP, розділ 100). Звіт про загальне використання Dropbox містить короткий огляд звіту SOC 2 і включає висновок незалежного стороннього аудитора щодо ефективності структури та роботи наших функцій керування. Переглянути висновки звіту SOC 3 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .

Звіт SOC 2 про безпеку, таємність, цілісність, доступність і конфіденційність

Звіт SOC 2 надає клієнтам детальну інформацію про надійність засобів контролю, що ґрунтується на п'яти критеріях надійної служби: безпеці, доступності, цілісності оброблення даних, таємності та конфіденційності (TSP, розділ 100). Звіт SOC 2 містить детальний опис запроваджених у Dropbox процесів і понад 100 засобів контролю для захисту ваших даних. Крім оцінки незалежних сторонніх аудиторів щодо ефективного функціонування та структури наших засобів управління, в цьому звіті також містяться описи методів перевірки, що використовуються аудиторами, і результати перевірки для кожного інструмента. Наш звіт SOC 2 (іноді має назву «Звіт SOC 2+») також містить аналіз відповідності засобів контролю Dropbox описаним вище стандартам ISO, що забезпечує додаткову прозорість для наших клієнтів. Висновки звіту SOC 1 щодо тарифних планів Dropbox Standard, Advanced, Enterprise та Education можна отримати, надіславши запит до відділу продажів або (користувачам Dropbox Team) звернувшись до служби підтримки.

SOC 1 / SSAE 18 / ISAE 3402 (раніше SSAE 16 або SAS 70)

Звіт SOC 1 містить конкретні запевнення для клієнтів, які визначили, що Dropbox є ключовим елементом внутрішньої системи контролю в рамках програми фінансової звітності (ICFR). Ця конкретна інформація передусім потрібна для того, щоб підтвердити нашим клієнтам дотримання вимог закону Сарбейнса-Окслі (SOX). Для складання звіту проводиться незалежний сторонній аудит згідно зі стандартом Statement on Standards for Attestation Engagements № 18 (SSAE 18) і міжнародним стандартом International Standard on Assurance Engagements № 3402 (ISAE 3402). Ці стандарти замінили застарілі стандарти SSAE 16 і SAS 70 (Statement on Auditing Standards). Висновки звіту SOC 1 щодо тарифних планів Dropbox Standard, Advanced, Enterprise та Education можна отримати, надіславши запит до відділу продажів або (користувачам Dropbox Team) звернувшись до служби підтримки.

Федерація інформаційної хмарної безпеки (Cloud Security Alliance): реєстр з безпеки, довіри, надійності та ризиків (Security, Trust, Assurance, Risk, CSA STAR)

Реєстр безпеки, довіри, надійності та ризиків Федерації інформаційної хмарної безпеки(CSA STAR) — це безкоштовний загальнодоступний реєстр, який пропонує програму гарантування безпеки для хмарних служб, тим самим допомагаючи користувачам оцінити рівень безпеки постачальників хмарних послуг, якими вони наразі користуються або планують скористатися.

Продукти Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education пройшли сертифікацію та атестацію за стандартом CSA STAR 2-го рівня. Ця процедура передбачала стороннє незалежне оцінювання наших засобів контролю безпеки, яке здійснювали центр EY CertifyPoint (проводить сертифікацію) та компанія Ernst & Young LLP (проводить атестацію) на основі вимог ISO 27001, критеріїв надійної служби SOC 2 і матриці контролю безпеки (CCM), що її розробила організація CSA (версія 3.0.1). Переглянути наші сертифікати CSA STAR 2-го рівня можна на веб-сайті CSA.

HIPAA/HITECH

Dropbox підпише партнерські угоди (BAA) з користувачами Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education, які від них вимагаються з метою відповідності Закону про безперервність дії та прозорості медичного страхування (HIPAA) та Закону про застосування медичних інформаційних технологій в економічній діяльності та клінічній практиці (HITECH) Докладніше дивіться у нашому посібнику «Початок роботи: корисні поради для відповідності HIPAA» та статті центру довідки.

Dropbox надає доступ до звіту SOC 2, що аналізує наші засоби контролю на відповідність правилам HIPAA/HITECH щодо безпеки, конфіденційності та сповіщень про порушення, а також надає інформацію про внутрішні методи й рекомендації для клієнтів, які прагнуть досягти відповідності вимогам конфіденційності та безпеки HIPAA/HITECH із тарифними планами Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education.

Клієнти, зацікавлені в цих документах, можуть зв’язатися з нашим відділом продажів. Якщо ви є адміністратором команди Dropbox ви можете підписати Угоду BAA на сторінці «Обліковка» у консолі адміністрування.

Примітка. Підписувати електронну угоду BAA через консоль адміністрування можуть лише клієнти з США.

Звіт про атестацію NIST SP 800-171 R2

Національний інститут стандартів і технологій (NIST) США просуває й підтримує стандарти та правила захисту інформаційних систем. У редакції 2 (R2) спеціальної публікації (SP) 800‑171 NIS наведено правила захисту контрольованої несекретної інформації (CUI) в нефедеральних інформаційних системах і організаціях. Будь-які організації, що обробляють або зберігають CUI уряду США, наприклад дослідницькі інститути й освітні заклади, повинні дотримуватися NIST SP 800‑171 R2. Відповідність систем, процесів та засобів контролю CUI Dropbox засвідчив незалежний сторонній аудитор Ernst & Young LLP.

Звіт NIST SP 800‑171 R2 щодо тарифних планів Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education включено до складу звіту SOC 2, який можна отримати за запитом до відділу продажів або (для користувачів Dropbox Team) служби підтримки.

*Звіт NIST SP 800-171 R2 не поширюється на Dropbox Paper.

Угода щодо конфіденційності даних Data Privacy Framework, укладена між ЄС і США, розширення для Великої Британії до угоди Data Privacy Framework, укладеної між ЄС і США, та угода Data Privacy Framework, укладена між Швейцарією та США

Dropbox дотримується вимог угоди Data Privacy Framework, укладеної між ЄС і США, розширення для Великої Британії до угоди Data Privacy Framework, укладеної між ЄС і США, та угоди Data Privacy Framework, укладеної між Швейцарією та США, і сформульованих Міністерством торгівлі США, щодо збирання, використання та зберігання персональних даних, які передаються з Європейського Союзу, Великої Британії та Швейцарії до США. Дотримання принципів угоди Data Privacy Framework гарантує, що організація забезпечує захист особистої інформації відповідно до вимог Загального регламенту про захист персональних даних (GDPR).

Перегляньте отриманий компанією Dropbox сертифікат Data Privacy Framework. Докладніше на вебсайті Data Privacy Framework.

Загальний регламент ЄС про захист персональних даних (EU General Data Protection Regulation, GDPR)

Загальний регламент ЄС про захист персональних даних 2016/679 (GDPR) — це регламент Європейського Союзу, в якому наведені суттєві зміни наявного порядку оброблення персональних даних суб'єктів ЄС. GDPR містить ряд нових або змінених вимог щодо компаній на кшталт Dropbox, які працюють із персональними даними. GDPR набрав чинності 25 травня 2018 р. і замінив поточну Директиву 95/46/ЄС, також відому як Директива про захист даних. Dropbox виконує вимоги Генерального регламенту про захист даних, тому наші клієнти, що використовують Dropbox, можуть бути впевнені в дотриманні вимог даного регламенту. Більш детальну інформацію ви знайдете в цій статті центру довідки.

Кодекс поведінки у сфері хмарних послуг ЄС

Кодекс поведінки у сфері хмарних послуг ЄС це документ, виконання умов якого є цілком добровільним, однак він дозволяє постачальнику хмарних послуг, як-от Dropbox, продемонструвати своє прагнення до неухильного дотримання ЗРЗД. Після позитивного висновку, виданого Європейською радою із захисту даних (EDPB), Кодекс поведінки у сфері хмарних послуг ЄС було офіційно затверджено Бельгійським наглядовим органом з питань дотриманням законодавства про захист персональних даних у травні 2021 року (перевірковий ідентифікатор: 2022LVL02SCOPE3114). Тарифні плани Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education для команд, був оголошений сервісом, що дотримується Кодексу поведінки у сфері хмарних послуг ЄС, та отримав знак відповідності «Рівень 2», що означає, що ці служби впровадили технічні, організаційні та договірні заходи відповідно до вимог Кодексу. Більш детальну інформацію про Кодекс поведінки у сфері хмарних послуг ЄС та дотримання кодексу компанією Dropbox можна знайти на офіційному вебсайті Кодексу. Більш детальну інформацію про Кодекс поведінки у сфері хмарних послуг ЄС та дотримання кодексу компанією Dropbox можна знайти на офіційному вебсайті Кодексу.

FDA 21 CFR, частина 11

Розділ 21 Зведення федеральних правил (CFR) регулює продукти харчування та лікарські препарати у США для Управління з контролю за харчовими продуктами та лікарськими засобами (FDA), Управління боротьби з наркотиками та Управління національної політики контролю за наркотиками. Частина 11 розділу 21 визначає критерії, згідно з якими FDA вважає електронні записи та підписи надійними, безпечними й зазвичай еквівалентними документам у паперовій формі та рукописним підписами, виконаним на папері.

У нашому технічному документі про Dropbox і FDA 21 CFR, частина 11, і статті центру довідки можна знайти додаткову інформацію про те, як Dropbox може допомогти досягти відповідності критеріям 21 CFR, частина 11.

PCI DSS

Компанія Dropbox є торговцем, який дотримується стандартів безпеки даних індустрії платіжних карт (PCI DSS). Наш атестат про дотримання вимог PCI (AoC) як торговця доступний за запитом. Зверніться до відділу продажів або (для користувачів Dropbox Team) до служби підтримки.

Детальніше про відповідність стандартам продукту Dropbox

Документи про дотримання вимог і сертифікації можна отримати за запитом у відділі продажів або (для користувачів Dropbox Team) у службі підтримки.