遵从标准与法规


Dropbox 的 ISO 27001 认证

ISO

国际标准化组织(ISO)制订了一系列的世界级信息与社会安全标准,以帮助组织开发可靠且具有创新性的产品与服务。在 Dropbox,我们拥有 ISO 认证的数据中心、技术、系统、应用、人员和流程,认证由 Raad voor Accreditatie(荷兰认证委员会)认可的 ISO 认证机构 EY CertifyPoint 进行。

ISO 27001(信息安全)

ISO 27001 是全球公认的主要信息安全管理系统 (ISMS) 标准,它包括 ISO 27002 中最佳实践的详细信息。在 Dropbox,为了不负您的信任,我们持续全面管理物理、技术和法律控制措施。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27001 证书

ISO 27017(云安全)

ISO 27017 是全新的国际云安全标准,为配置安全控制和云服务的使用提供指南。我们的责任分担指南解释了 Dropbox 及其客户可以协作解决的安全、隐私与合规要求。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27017 证书

ISO 27018(云隐私和数据保护)

ISO 27018 是针对隐私和数据保护的新兴国际标准,适用于代替客户处理个人信息的云服务提供商(例如 Dropbox)。此认证表明,我们承诺采取隐私和数据保护措施,为客户提供可解决常见法规和合同要求或问题的基础。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27018 证书

ISO 22301(业务连续性)

ISO 22301 是针对业务连续性的全新国际标准,指导组织如何减少中断事件的可能性,以及发生中断时如何恰应对,最小化潜在损害。Dropbox Business 持续管理系统 (BCMS) 是我们整体风险管理策略的一部分,用于在危机时刻保护人们及其操作。查看 Dropbox Business、Enterprise 和 Education 的 ISO 22301 证书


Dropbox 的 CSA Star 认证

云安全联盟:安全性、信任和鉴证注册 (CSA STAR)

CSA 安全性、信任和鉴证注册(STAR)可公开访问并免费注册,为云服务提供安全保证计划,因此可以帮助用户评估他们当前在使用或考虑签约的云提供商安全性。

Dropbox Business、Enterprise 和 Education 已获得 CSA STAR Level 2 认证,这是一个由独立第三方 EY CertifyPoint 进行的安全控制评估。该评估依据的是 ISO 27001 和 CSA 云控制矩阵 (CCM) 3.0.1 版的一系列云服务功能级别衡量标准。Dropbox Business 也完成了CSA STAR Level 1 自我评估,这是一个根据共识评估初始问卷调查(CAIQ)进行的严格调查。CAIQ 与 CCM 一致,可解答云客户或云安全审计人员可能想要向云提供商提出的大约 300 个问题。


Dropbox 的 SOC 合规

SOC

Service Organization Controls (SOC) 报告,或称为 SOC 1、SOC 2 或 SOC 3,是由美国注册会计师协会 (AICPA) 建立的用以在组织内报告内部控制的框架。Dropbox 的操作、流程和技术已通过独立的第三方审计 Ernst & Young LLP 认证。

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 3 鉴证报告涵盖五个可信赖服务原则,即安全性、机密性、完整性、可用性与隐私性(TSP 章节 100)。Dropbox 通用报告是我们的 SOC 2 报告执行摘要,包含独立第三方审计师针对我们控制体系的有效设计和运行所提供的意见。查看 Dropbox Business、Enterprise 和 Education SOC 3 检查

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 2 报告为客户提供基于控制的具体鉴证,涵盖五个可信赖服务原则,即安全性、机密性、完整性、可用性与隐私性(TSP 章节 100)。SOC 2 报告详细介绍了我们的流程,以及 Dropbox 为了保护您的资料而实施的超过 100 套控制体系。除了独立第三方审计针对控制体系的有效设计和运行所提供的意见之外,报告中还包含审计师针对每套控制体系采取的测试程序以及测试结果。您可以通过销售团队帐户管理团队索取 Dropbox Business、Enterprise 和 Education 的 SOC 2 检查。

SOC 1 / SSAE 16 / ISAE 3402(之前称为 SAS 70)

如果客户认为 Dropbox Business、Enterprise 或 Education 是其财务报告内部监控 (ICFR) 系统的关键要素,SOC 1 报告可提供具体鉴证。这些具体鉴证主要用于证明客户的 Sarbanes-Oxley (SOX) 合规状态。独立第三方审计依据的是第 16 号鉴证业务准则公告(SSAE 16)和第 3402 号鉴证业务国际准则(ISAE 3402)。这些标准取代了已弃用的“第 70 号审计准则公告”(SAS 70)。如果需要,您可以请销售团队或帐户管理团队提供 Dropbox Business、Enterprise 和 Education 的 SOC 1 检查。


学生与儿童(FERPA 和 COPPA)

Dropbox Business、 Enterprise 和 Education 允许客户在履行《美国家庭教育权和隐私权法》(FERPA) 所规定的供应商义务的前提下使用相关服务。学生年龄在 13 岁以下的教育机构也可以在遵守《儿童在线隐私权保护法》(COPPA) 的情况下使用 Dropbox Business、Enterprise 或 Education,前提是他们必须同意具体的合约条例(即要求教育机构就使用我们的服务取得家长同意)。

英国数字市场政府云

Dropbox Business 现已列入英国政府云服务采购数字市场目录。请在此查看我们的信息


Dropbox HIPAA 认证

HIPAA/HITECH

Dropbox 将与要求遵循《健康保险流通与责任法案》(HIPPA) 和《经济与临床健康信息技术法案》(HITECH) 的 Dropbox Business、Enterprise 或 Education 客户签署业务合作协议 (BAA)。 欲了解详情,请查阅“HIPPA 入门”指南和 帮助中心文章

Dropbox 提供第三方鉴证报告,内容为评估我们针对 HIPAA/HITECH 安全性、隐私和违规通知规则设置的控制体系,并为希望利用 Dropbox Business、Enterprise 和 Education 来达到 HIPPA/HITECH 安全性和隐私规则要求的客户详细解读我们的内部操作和建议。

有意索取这些文档的客户可以联系帐户管理团队销售团队。如果您当前是 Dropbox Business、Enterpris 和 Education 团队管理员,可以在管理员控制台中的帐户页面上以电子方式签署 BAA。

注意:只有未参与 Dropbox Paper 测试的美国客户才可通过管理员控制台签署电子 BAA。


PCI DSS

Dropbox 是支付卡行业数据安全标准 (PCI DSS) 合规商家。不过,Dropbox Business、Enterprise 和 Education 并无意处理或存储信用卡交易信息。如果需要,您可以请销售团队帐户管理团队提供商家状态 PCI 合规证明 (AoC)。

我们的子服务提供商

我们的数据中心共用设施和托管服务提供商同样定期接受 SOC 1、SOC 2 和/或 ISO 27001 审计,以验证他们的安全性实践。Dropbox 会在我们的信息安全管理计划中审阅这些审计的结果,至少每年一次。在这些审计中,如果我们发现会给 Dropbox 或客户带来风险的重大问题,我们会与子服务提供商合作分析对客户数据的潜在影响,并跟踪他们的补救措施,直至问题解决为止。

详细了解 Dropbox Business、Enterprise 或 Education 合规状态

您可以请 Dropbox 代表 帐户管理团队提供合规与认证文档。