遵从标准与法规

ISO 认证

国际标准化组织 (ISO) 制订了一系列的世界级信息与社会安全标准,以帮助组织开发可靠而创新的产品与服务。Dropbox 已通过一系列由荷兰独立第三方 EY CertifyPoint 开展的审核,对其数据中心、系统、应用、人员和流程进行了认证。

ISO 27001(信息安全管理)

ISO 27001 是全球公认的主要信息安全管理系统 (ISMS) 标准。此标准还采用了 ISO 27002 中详述的安全最佳实践。为了不辜负您的信任,Dropbox 持续而全面地管理并优化物理、技术和法律方面的控制体系。我们的审计机构 EY CertifyPoint 是  Raad voor Accreditatie (荷兰认证委员会)认可的 ISO 27001 认证机构。 查看 Dropbox Business 和 Dropbox Education ISO 27001 证书

ISO 27017(云安全)

ISO 27017 是国际云安全标准,提供适用于调配和使用云服务的安全控制指南。我们的 责任分担指南解释了 Dropbox 及其客户可以协作解决的多项安全、隐私与合规要求。 查看 Dropbox Business 和 Dropbox Education ISO 27017 证书

ISO 27018(云隐私和数据保护)

ISO 27018 是隐私和数据保护国际标准,适用于代表客户处理个人信息的云服务提供商(例如 Dropbox),并为客户提供可解决常见法规和合同要求或问题的基础。 查看 Dropbox Business 和 Dropbox Education ISO 27018 证书

ISO 22301(业务连续性管理)

ISO 22301 是业务连续性国际标准,指导组织如何减少中断事件的影响,以及在发生此类事件时如何恰当应对,最小化潜在损害。Dropbox Business 持续管理系统 (BCMS) 是我们整体风险管理策略的一部分,用于在危机时刻保护人们及其操作。 查看 Dropbox Business 和 Dropbox Education ISO 22301 证书

ISO 27701(隐私信息管理)

ISO 27701 是一项隐私信息管理的国际标准。该标准提供了一个框架,并据此框架对基于 ISO 27001 标准的信息安全管理系统进行了加强,同时将该系统扩大为隐私信息管理系统 (PIMS)。Dropbox Business 和 Dropbox Education 已获得此标准的 PII Processor 认证。查看 Dropbox Business 和 Dropbox Education ISO 27701 证书

 

SOC 报告 

服务组织控制体系 (SOC) 报告(称为 SOC 1、SOC 2 或 SOC 3)是由美国注册会计师协会 (AICPA) 建立的框架,用以报告组织内部实施的内部控制体系。Dropbox 已通过一系列由独立第三方 Ernst & Young LLP 开展的审核,对其系统、应用、人员和流程进行了验证。

SOC 3 安全性、机密性、完整性、可用性与隐私性

SOC 3 鉴证报告涵盖安全性、可用性、处理完整性、机密性与隐私性等全部五项信托服务标准(TSP 第 100 节)。Dropbox 通用报告是我们的 SOC 2 报告执行摘要,包含独立第三方审计师针对我们控制体系的有效设计和运行所提供的意见。 查看 Dropbox Business 和 Dropbox Education 的SOC 3 检查

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 2 报告为客户提供基于控制的详细鉴证,涵盖安全性、可用性、处理完整性、机密性与隐私性等全部五项信托服务标准(TSP 第 100 节)。SOC 2 报告详细介绍了 Dropbox 的流程,以及 Dropbox 为了保护您的资料而实施的超过 100 套控制体系。除了独立第三方审计师针对控制体系的有效设计和运行所提供的意见之外,报告中还包含审计师针对每套控制体系采取的测试程序以及测试结果。我们的 SOC 2 报告(有时也称为 SOC 2+ 报告)还包含我们的控制措施对上述 ISO 标准的审核映射,为我们的客户提供更高的透明度。您可以向我们的销售团队或(适用于 Dropbox Business 现有客户)支持团队索取 Dropbox Business 和 Dropbox Education 的 SOC 2 检查。

SOC 1 / SSAE 18 / ISAE 3402(之前称为 SSAE 16 或 SAS 70)

如果客户认为 Dropbox Business 或 Dropbox Education 是其财务报告内部监控 (ICFR) 系统的关键要素,SOC 1 报告可提供具体鉴证。这些具体鉴证主要用于证明客户的 Sarbanes-Oxley (SOX) 合规状态。独立第三方审计依据的是第 18 号鉴证业务准则公告(SSAE 18)和第 3402 号鉴证业务国际准则(ISAE 3402)。这些标准取代了已弃用的第 16 号鉴证业务准则公告 (SSAE 16) 和第 70 号审计准则公告 (SAS 70)。您可以向我们的 销售团队 或 (适用于  Dropbox Business 现有客户) 支持团队索取 Dropbox Business 和 Dropbox Education 的 SOC 1 检查。

 

云安全联盟:安全、信任、鉴证、风险 (CSA STAR) 注册

CSA 安全、信任、鉴证和风险 (STAR) 注册可公开访问并免费注册,为云服务提供安全保证计划,因此可以帮助用户评估他们当前在使用或考虑签约的云提供商的安全性。

Dropbox Business 和 Dropbox Education 已收到 CSA STAR Level 2 认证和 Level 2 证明。CSA STAR Level 2 要求由独立第三方 EY CertifyPoint(认证)和 Ernst & Young LLP(证明)进行的安全控制评估,其依据是 ISO 27001、SOC 2 信托服务标准和 CSA 云控制矩阵 (CCM) 3.0.1 版的要求。在 CSA 网页上查看我们的 CSA STAR Level 2 认证和证明。

 

HIPAA/HITECH

Dropbox 将与要求遵循《健康保险流通与责任法案》(HIPPA) 和《经济与临床健康信息技术法案》(HITECH) 的 Dropbox Business 或 Dropbox Education 客户签署业务合作协议 (BAA)。欲了解详情,请查阅“HIPPA 入门”指南和 帮助中心文章

Dropbox 提供第三方鉴证报告,内容为评估我们针对 HIPAA/HITECH 安全性、隐私和违规通知规则设置的控制体系,并为希望利用 Dropbox Business 或 Dropbox Education 来达到 HIPPA/HITECH 安全性和隐私规则要求的客户详细解读我们的内部操作和建议。

有意索取这些文档的客户可以联系我们的销售团队。如果您当前是 Dropbox Business 或 Dropbox Education 团队管理员,可以在 管理员控制台中的“帐户”页面上以电子方式签署 BAA。如果您当前是 Dropbox Business 或 Dropbox Education 团队管理员,可以在管理员控制台中的“帐户”页面上以电子方式签署 BAA。

注:通过管理控制台签署电子 BAA 的功能仅适用于美国客户。

 

德国 BSI C5 证明报告

云计算合规控制目录 (C5) 是由德国联邦信息技术安全办公室 (Bundesamt fur Sicherheit in der Informationstechnik - BSI) 建立的框架,用以报告适用于提供云服务的安全控制系统。C5 证明有助于组织展示其信息安全实践符合 BSI 的“云提供商安全建议”。C5 建立在现行国际安全标准 ISO 27001 和 CSA STAR 之上。为了获得 C5 证明报告,Dropbox 的系统、流程和控件由德国独立第三方审计师 Ernst & Young GmbH 进行验证。独立审计的依据是“第 3000 号鉴证业务国际准则”(ISAE 3000 和 IDW PS 860)。

报告详细介绍了 Dropbox 的系统、应用、流程和控制体系,以及我们的独立审计师对每套控制体系采取的测试程序以及测试结果。Dropbox Business 和 Dropbox Education 的 C5 报告可通过我们的销售团队或(适用于现有 Dropbox Business 客户)的支持团队索取。

*Dropbox Paper 不包含在 C5 报告的范围内。

 

NIST SP 800-171 R2 认证报告

美国 国家标准技术局 (NIST) 负责推广和维护有助于为信息系统提供保护的标准和指南。NIST Special Publication (SP) 800-171 Revision 2 (R2) 提供了关于如何保护非联邦信息系统和组织中的受控非机密信息 (CUI) 的指南。任何将处理或存储美国政府 CUI 的实体(例如研究机构和教育部门)都应遵守 NIST SP 800-171 R2 的要求。Dropbox 的系统、流程和控件由独立第三方审计师 Ernst & Young GmbH 进行验证。 

可以向我们的销售团队或(适用于现有 Dropbox Business 客户)支持团队索取对应于 Dropbox Business 和 Dropbox Education 的 NIST SP 800-171 R2 报告。

*Dropbox Paper 不包括在 NIST SP 800-171 R2 报告范围内。

 

欧盟-美国隐私护盾和瑞士-美国隐私护盾

对于从欧盟、欧洲经济区、英国和瑞士向美国传输的个人数据之收集、使用和保留,Dropbox 遵守美国商务部制定的欧盟 - 美国与瑞士 - 美国隐私盾框架。遵守隐私盾原则可确保组织根据 GDPR 提供充足的隐私保护。

浏览 Dropbox 的 隐私保护认证 ,并访问 隐私保护网站了解详情。

 

欧盟-美国隐私护盾和瑞士-美国隐私护盾

一般数据保护条例 2016/679(简称 GDPR)是欧盟颁布的法规,标志着现有的欧盟数据主体个人数据处理的框架将迎来重大变革。GDPR 推出了一系列新的要求或提高了原有要求,适用于 Dropbox 这类处理个人数据的公司。GDPR 于 2018 年 5 月 25 日生效,取代了欧盟指令 95/46 EC(更常被称为“数据保护指令”)。Dropbox 符合 GDPR 标准,因此客户可以使用 Dropbox 来推动其 GDPR 合规。如需了解详情,请参阅这篇帮助中心文章

 

云安全联盟:《GDPR 合规行为准则》

CSA 的《GDPR 合规行为准则》是一款自愿问责工具,也是一种全面的透明行使机制,旨在使 Dropbox 等云服务提供商能够向云客户展示其如何遵守欧盟《通用数据保护条例》(GDPR) 的关键要素。Dropbox Business 已完成 CSA《GDPR 合规行为准则》自我评估,包括由第三方评估员进行的全面审计,并获得 “Declared” 合规标志。如需详细了解有关 CSA《GDPR 合规行为准则》以及 Dropbox 对准则遵守情况的详细信息,请访问 CSA website

 

学生与儿童(FERPA 和 COPPA)

Dropbox Business 和 Dropbox Education 允许客户按照美国《家庭教育权利及隐私法》(FERPA) 规定的供应商义务使用这些服务。教育机构只能使用符合《儿童在线隐私权保护法》(COPPA) 的 Dropbox Business 或 Dropbox Education 服务。

 

美国食品药品监督管理局联邦法规第 21 章第 11 款

美国联邦法规 (CFR) 第 21 章适合食品药品监督管理局 (FDA)、禁毒署和全国毒品管制政策办公室对美国境内的食品药品进行监管。第 21 章第 11 款规定了标准,在此标准之下 FDA 认为电子记录和电子签名可信、可靠并且通常等同于纸质记录和手写纸质签名。 

请参阅我们的 Dropbox 和 FDA 联邦法规第 21 章第 11 款白皮书帮助中心文章,详细了解 Dropbox 如何帮助您更好地遵守美国联邦法规第 21 章第 11 款的规定。

 

PCI DSS

Dropbox 是支付卡行业数据安全标准 (PCI DSS) 合规商家。不过,Dropbox Business、Dropbox Education 和 Dropbox Paper 并无意处理或存储信用卡交易信息。如果需要,您可以向销售团队 或(适用于  Dropbox Business 现有客户)支持团队索取我们的商家状态 PCI 合规证明 (AoC)。

 

我们的子服务提供商

我们的数据中心共用设施和托管服务提供商同样定期接受 SOC 1、SOC 2 和/或 ISO 27001 审计,以验证他们的安全性实践。如果审计报告不可用作我们信息安全管理计划的一部分,Dropbox 会至少每年审查一次这些审计结果,或者执行供应商安全审查。在这些审计或审查中,如果我们发现会给 Dropbox 或客户带来风险的重大问题,我们会与服务提供商合作分析对客户数据的潜在影响,并跟踪他们的补救措施,直至问题解决为止。

 

详细了解 Dropbox Business 或 Dropbox Education 合规状态

您可以向 Dropbox   销售代表  (适用于  Dropbox Business 现有客户) 或者支持团队索要合规与认证文档。