Дотримання стандартів і нормативних вимог
Сертифікації ISO
Міжнародна організація зі стандартизації (ISO) розробила ряд стандартів світового класу щодо інформаційної та громадської безпеки, щоб допомогти організаціям розробляти надійні й інноваційні продукти і послуги. Компанія Dropbox провела сертифікацію своїх центрів обробки даних, систем, програм, співробітників і процесів через ряд аудитів від незалежної третьої сторони — організації EY CertifyPoint з Нідерландів.
ISO 27001 (управління інформаційною безпекою)
ISO 27001 — основний сертифікат в області систем управління інформаційною безпекою (ISMS), визнаний у всьому світі. В ньому використані рекомендації з безпеки, описані в ISO 27002. Щоб виправдати вашу довіру, ми в Dropbox постійно та всебічно впроваджуємо та покращуємо засоби фізичного, технічного та юридичного контролю. Нашим аудитором є компанія EY CertifyPoint, яка отримала акредитацію ISO 27001 від Raad voor Accreditatie (Акредитаційної ради Нідерландів). Переглянути сертифікат ISO 27001 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .
ISO 27017 (безпека хмарних обчислень)
ISO 27017 — це новий міжнародний стандарт у галузі хмарної безпеки, який містить рекомендації щодо впровадження засобів контролю під час надання та використання хмарних служб. У нашому Посібнику зі спільної відповідальності наведено деякі вимоги щодо безпеки, захисту даних і нормативно‑правової відповідності, яких мають спільно дотримуватися Dropbox і клієнти компанії. Переглянути сертифікат ISO 27017 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .
ISO 27018 (захист конфіденційності та даних у хмарі)
ISO 27018 — це міжнародний стандарт у галузі конфіденційності та захисту даних, який стосується хмарних служб на зразок Dropbox, які в інтересах своїх клієнтів обробляють їхню особисту інформацію. Стандарт описує основні нормативно-правові вимоги та договірні зобов'язання сторін. Переглянути сертифікат ISO 27018 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .
ISO 22301 (керування безперервністю бізнесу)
ISO 22301 — це міжнародний стандарт у галузі забезпечення безперервної роботи компаній, який надає організаціям рекомендації щодо реагування на руйнівні події, зменшення їхніх наслідків і мінімізації потенційних збитків. Система керування безперервністю (BCMS) Dropbox Business є частиною нашої загальної стратегії управління ризиками для захисту людей і операцій у кризових ситуаціях. Переглянути сертифікат ISO 22301 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .
ISO 27701 (керування інформацією про конфіденційність)
ISO 27701 — це міжнародний стандарт керування інформацією про конфіденційність. Цей стандарт є основою для вдосконалення та розширення системи керування інформаційною безпекою згідно з вимогами ISO 27001 до системи керування інформацією про конфіденційність (PIMS). Dropbox отримав сертифікати як обробники особистих ідентифікаційних даних (PII). Переглянути сертифікат ISO 27701 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .
Звіти SOC
Стандарти звітування про засоби контролю в сервісній організації (SOC 1, SOC 2 або SOC 3) є основними інструментами, запровадженими інститутом AICPA (American Institute of Certified Public Accountants) для звітування про засоби внутрішнього контролю, впроваджені в організації. Компанія Dropbox провела сертифікацію своїх систем, програм, співробітників і процесів, запросивши для перевірки незалежну аудиторську компанію Ernst & Young LLP.
Звіт SOC 3 про безпеку, таємність, цілісність, доступність і конфіденційність
У доповіді про надійність SOC 3 ідеться про всі п'ять критеріїв надійної служби: безпеку, доступність, цілісність оброблення даних, таємність і конфіденційність (TSP, розділ 100). Звіт про загальне використання Dropbox містить короткий огляд звіту SOC 2 і включає висновок незалежного стороннього аудитора щодо ефективності структури та роботи наших функцій керування. Переглянути висновки звіту SOC 3 для Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education .
Звіт SOC 2 про безпеку, таємність, цілісність, доступність і конфіденційність
У звіті SOC 2 клієнти можуть отримати докладну інформацію про надійність засобів керування, що ґрунтується на п’яти критеріях надійності служби: безпеці, доступності, цілісності оброблення даних, таємності й конфіденційності (TSP, розділ 100). У звіті SOC 2 міститься докладний опис запроваджених у Dropbox процесів і понад 100 засобів керування для захисту ваших даних. Крім оцінки незалежних сторонніх аудиторів щодо ефективності структури й функціонування наших засобів керування, цей звіт також охоплює методи перевірки, які використовують аудитори, і результати перевірки кожного засобу керування. Наш звіт SOC 2 (іноді має назву «Звіт SOC 2+») також містить аналіз відповідності засобів керування Dropbox описаним вище стандартам ISO, що забезпечує додаткову прозорість для клієнтів. Звіт SOC 2 охоплює Dropbox Standard, Advanced, Enterprise та Education. Його можна завантажити в центрі керування безпекою Dropbox.
SOC 1 / SSAE 18 / ISAE 3402 (раніше SSAE 16 або SAS 70)
У звіті SOC 1 містяться конкретні запевнення для клієнтів, які визначили Dropbox ключовим елементом внутрішньої системи контролю в межах програми фінансової звітності (ICFR). Ця конкретна інформація передусім дає нашим клієнтам змогу дотримуватися закону Сарбейнса-Окслі (SOX). Для складання звіту проводять незалежний сторонній аудит згідно зі стандартом Statement on Standards for Attestation Engagements № 18 (SSAE 18) і міжнародним стандартом International Standard on Assurance Engagements № 3402 (ISAE 3402). Ці стандарти замінили застарілі Statement on Standards for Attestation Engagement № 16 (SSAE 16) і Statement on Auditing Standards № 70 (SAS 70). Звіт SOC 1 охоплює Dropbox Standard, Advanced, Enterprise та Education. Його можна завантажити в центрі керування безпекою Dropbox.
Федерація інформаційної хмарної безпеки (Cloud Security Alliance): реєстр з безпеки, довіри, надійності та ризиків (Security, Trust, Assurance, Risk, CSA STAR)
Реєстр безпеки, довіри, надійності та ризиків Федерації інформаційної хмарної безпеки(CSA STAR) — це безкоштовний загальнодоступний реєстр, який пропонує програму гарантування безпеки для хмарних служб, тим самим допомагаючи користувачам оцінити рівень безпеки постачальників хмарних послуг, якими вони наразі користуються або планують скористатися.
Продукти Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education пройшли сертифікацію та атестацію за стандартом CSA STAR 2-го рівня. Ця процедура передбачала стороннє незалежне оцінювання наших засобів контролю безпеки, яке здійснювали центр EY CertifyPoint (проводить сертифікацію) та компанія Ernst & Young LLP (проводить атестацію) на основі вимог ISO 27001, критеріїв надійної служби SOC 2 і матриці контролю безпеки (CCM), що її розробила організація CSA (версія 3.0.1). Переглянути наші сертифікати CSA STAR 2-го рівня можна на веб-сайті CSA.
HIPAA/HITECH
Dropbox підпише партнерські угоди (BAA) з користувачами Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education, які від них вимагаються з метою відповідності Закону про безперервність дії та прозорості медичного страхування (HIPAA) та Закону про застосування медичних інформаційних технологій в економічній діяльності та клінічній практиці (HITECH) Докладніше дивіться у нашому посібнику «Початок роботи: корисні поради для відповідності HIPAA» та статті центру довідки.
Dropbox надає доступ до звіту SOC 2, що аналізує наші засоби контролю на відповідність правилам HIPAA/HITECH щодо безпеки, конфіденційності та сповіщень про порушення, а також надає інформацію про внутрішні методи й рекомендації для клієнтів, які прагнуть досягти відповідності вимогам конфіденційності та безпеки HIPAA/HITECH із тарифними планами Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education.
Доступ до цих документів можна отримати в центрі керування безпекою Dropbox. Адміністратори команд Dropbox можуть підписувати Угоду BAA в електронному форматі з консолі адміністрування на сторінці «Обліковка».
Примітка. Підписувати електронну угоду BAA через консоль адміністрування можуть лише клієнти з США.
Звіт про атестацію NIST SP 800-171 R2
Національний інститут стандартів і технологій (NIST) США просуває й підтримує стандарти та правила захисту інформаційних систем. У редакції 2 (R2) спеціальної публікації (SP) 800‑171 NIS наведено правила захисту контрольованої несекретної інформації (CUI) в нефедеральних інформаційних системах і організаціях. Будь-які організації, що обробляють або зберігають CUI уряду США, наприклад дослідницькі інститути й освітні заклади, повинні дотримуватися NIST SP 800‑171 R2. Відповідність систем, процесів та засобів контролю CUI Dropbox засвідчив незалежний сторонній аудитор Ernst & Young LLP.
Звіт NIST SP 800-171 R2 для Dropbox Standard, Advanced, Enterprise та Education додано до звіту SOC 2, який можна знайти в центрі керування безпекою Dropbox.
*Звіт NIST SP 800-171 R2 не поширюється на Dropbox Paper.
Угода щодо конфіденційності даних Data Privacy Framework, укладена між ЄС і США, розширення для Великої Британії до угоди Data Privacy Framework, укладеної між ЄС і США, та угода Data Privacy Framework, укладена між Швейцарією та США
Dropbox дотримується вимог угоди Data Privacy Framework, укладеної між ЄС і США, розширення для Великої Британії до угоди Data Privacy Framework, укладеної між ЄС і США, та угоди Data Privacy Framework, укладеної між Швейцарією та США, і сформульованих Міністерством торгівлі США, щодо збирання, використання та зберігання персональних даних, які передаються з Європейського Союзу, Великої Британії та Швейцарії до США. Дотримання принципів угоди Data Privacy Framework гарантує, що організація забезпечує захист особистої інформації відповідно до вимог Загального регламенту про захист персональних даних (GDPR).
Перегляньте отриманий компанією Dropbox сертифікат Data Privacy Framework. Докладніше на вебсайті Data Privacy Framework.
Загальний регламент ЄС про захист персональних даних (EU General Data Protection Regulation, GDPR)
Загальний регламент ЄС про захист персональних даних 2016/679 (GDPR) — це регламент Європейського Союзу, в якому наведені суттєві зміни наявного порядку оброблення персональних даних суб'єктів ЄС. GDPR містить ряд нових або змінених вимог щодо компаній на кшталт Dropbox, які працюють із персональними даними. GDPR набрав чинності 25 травня 2018 р. і замінив поточну Директиву 95/46/ЄС, також відому як Директива про захист даних. Dropbox виконує вимоги Генерального регламенту про захист даних, тому наші клієнти, що використовують Dropbox, можуть бути впевнені в дотриманні вимог даного регламенту. Більш детальну інформацію ви знайдете в цій статті центру довідки.
Кодекс поведінки у сфері хмарних послуг ЄС
Кодекс поведінки у сфері хмарних послуг ЄС це документ, виконання умов якого є цілком добровільним, однак він дозволяє постачальнику хмарних послуг, як-от Dropbox, продемонструвати своє прагнення до неухильного дотримання ЗРЗД. Після позитивного висновку, виданого Європейською радою із захисту даних (EDPB), Кодекс поведінки у сфері хмарних послуг ЄС було офіційно затверджено Бельгійським наглядовим органом з питань дотриманням законодавства про захист персональних даних у травні 2021 року (перевірковий ідентифікатор: 2022LVL02SCOPE3114). Тарифні плани Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education для команд, був оголошений сервісом, що дотримується Кодексу поведінки у сфері хмарних послуг ЄС, та отримав знак відповідності «Рівень 2», що означає, що ці служби впровадили технічні, організаційні та договірні заходи відповідно до вимог Кодексу. Більш детальну інформацію про Кодекс поведінки у сфері хмарних послуг ЄС та дотримання кодексу компанією Dropbox можна знайти на офіційному вебсайті Кодексу. Більш детальну інформацію про Кодекс поведінки у сфері хмарних послуг ЄС та дотримання кодексу компанією Dropbox можна знайти на офіційному вебсайті Кодексу.
Студенти та діти (FERPA і COPPA)
Клієнтам з обліковками Team ми надаємо свої послуги, дотримуючись зобов'язань, які мають постачальники послуг згідно із законом FERPA (Family Education Rights and Privacy Act — Про права сім'ї на освіту та недоторканість особистого життя). Навчальні заклади можуть використовувати Dropbox Standard, Dropbox Advanced, Dropbox Enterprise та Dropbox Education, лише отримуючись вимог Закону про захист конфіденційних даних дітей в Інтернеті (Children's Online Privacy Protection Act, COPPA).
FDA 21 CFR, частина 11
Розділ 21 Зведення федеральних правил (CFR) регулює продукти харчування та лікарські препарати у США для Управління з контролю за харчовими продуктами та лікарськими засобами (FDA), Управління боротьби з наркотиками та Управління національної політики контролю за наркотиками. Частина 11 розділу 21 визначає критерії, згідно з якими FDA вважає електронні записи та підписи надійними, безпечними й зазвичай еквівалентними документам у паперовій формі та рукописним підписами, виконаним на папері.
У нашому технічному документі про Dropbox і FDA 21 CFR, частина 11, і статті центру довідки можна знайти додаткову інформацію про те, як Dropbox може допомогти досягти відповідності критеріям 21 CFR, частина 11.
PCI DSS
У своїй торговельній діяльності Dropbox дотримується стандарту безпеки даних індустрії платіжних карток (PCI DSS). Атестат про дотримання вимог PCI (AoC) у статусі продавця можна переглянути в центрі керування безпекою Dropbox.
Наші постачальники послуг
Наші центри обробки даних і постачальники керованих послуг також регулярно проходять аудити SOC 1, SOC 2 та/або ISO 27001 для підтвердження належних заходів безпеки. Принаймні раз на рік компанія Dropbox аналізує результати цих перевірок або у разі відсутності аудиторських звітів проводить власні дослідження питань безпеки у рамках своєї програми управління інформаційною безпекою. У разі виявлення суттєвих недоліків, які, на думку Dropbox, становлять серйозні ризики для нашої компанії або її клієнтів, ми зв'язуємося із відповідним постачальником послуг, визначаємо потенційні наслідки для даних наших користувачів і відстежуємо коригувальні заходи, які вживають постачальники для усунення проблеми.
Детальніше про відповідність стандартам продукту Dropbox
Документи про дотримання вимог і сертифікати можна знайти в центрі керування безпекою Dropbox.