遵从标准与法规


Dropbox 的 ISO 27001 认证

ISO 认证

国际标准化组织 (ISO) 制订了一系列的世界级信息与社会安全标准,以帮助组织开发可靠而创新的产品与服务。Dropbox 已通过一系列由荷兰独立第三方 EY CertifyPoint 开展的审核,对其数据中心、系统、应用、人员和流程进行了认证。

ISO 27001(信息安全管理)

ISO 27001 是全球公认的主要信息安全管理系统 (ISMS) 标准。此标准还采用了 ISO 27002 中详述的安全最佳实践。为了不辜负您的信任,Dropbox 持续而全面地管理并优化物理、技术和法律方面的控制体系。我们的审计机构 EY CertifyPoint 是 Raad voor Accreditatie(荷兰认证委员会)认可的 ISO 27001 认证机构。查看 Dropbox Business 和 Dropbox Education 的 ISO 27001 证书

ISO 27017(云安全)

ISO 27017 是国际云安全标准,提供适用于调配和使用云服务的安全控制指南。我们的责任分担指南解释了 Dropbox 及其客户可以协作解决的多项安全、隐私与合规要求。查看 Dropbox Business 和 Dropbox Education 的 ISO 27017 证书

ISO 27018(云隐私和数据保护)

ISO 27018 是隐私和数据保护国际标准,适用于代表客户处理个人信息的云服务提供商(例如 Dropbox),并为客户提供可解决常见法规和合同要求或问题的基础。查看 Dropbox Business 和 Dropbox Education 的 ISO 27018 证书

ISO 22301(业务连续性管理)

ISO 22301 是业务连续性国际标准,指导组织如何减少中断事件的影响,以及在发生此类事件时如何恰当应对,最小化潜在损害。Dropbox Business 持续管理系统 (BCMS) 是我们整体风险管理策略的一部分,用于在危机时刻保护人们及其操作。查看 Dropbox Business 和 Dropbox Education 的 ISO 22301 证书


Dropbox 的 SOC 合规

SOC 报告

服务组织控制体系 (SOC) 报告(称为 SOC 1、SOC 2 或 SOC 3)是由美国注册会计师协会 (AICPA) 建立的框架,用以报告组织内部实施的内部控制体系。Dropbox 已通过一系列由独立第三方 Ernst & Young LLP 开展的审核,对其系统、应用、人员和流程进行了验证。

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 3 鉴证报告涵盖安全性、机密性、处理完整性、可用性与隐私性等全部五项信托服务原则(TSP 第 100 节)。Dropbox 通用报告是我们的 SOC 2 报告执行摘要,包含独立第三方审计师针对我们控制体系的有效设计和运行所提供的意见。查看 Dropbox Business 和 Dropbox Education SOC 3 检查

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 2 报告为客户提供基于控制的详细鉴证,涵盖安全性、机密性、处理完整性、可用性与隐私性等全部五项信托服务原则(TSP 第 100 节)。SOC 2 报告详细介绍了 Dropbox 的流程,以及 Dropbox 为了保护您的资料而实施的超过 100 套控制体系。除了独立第三方审计针对控制体系的有效设计和运行所提供的意见之外,报告中还包含审计师针对每套控制体系采取的测试程序以及测试结果。我们的 SOC 2报告(有时也称为 SOC 2+报告)还包含我们的控制措施对上述 ISO 标准的审核映射,为我们的客户提供更高的透明度。您可以通过销售团队帐户管理团队索取 Dropbox Business 和 Dropbox Education 的 SOC 2 检查。

SOC 1 / SSAE 18 / ISAE 3402(之前称为 SSAE 16 或 SAS 70)

如果客户认为 Dropbox Business 或 Dropbox Education 是其财务报告内部监控 (ICFR) 系统的关键要素,SOC 1 报告可提供具体鉴证。这些具体鉴证主要用于证明客户的 Sarbanes-Oxley (SOX) 合规状态。独立第三方审计依据的是第 18 号鉴证业务准则公告(SSAE 18)和第 3402 号鉴证业务国际准则(ISAE 3402)。这些标准取代了已弃用的第 16 号鉴证业务准则公告 (SSAE 16) 和第 70 号审计准则公告 (SAS 70)。您可以通过销售团队帐户管理团队索取 Dropbox Business 和 Dropbox Education 的 SOC 1 检查。


Dropbox 的 CSA Star 认证

云安全联盟:安全性、信任和鉴证注册 (CSA STAR)

CSA 安全性、信任和鉴证注册(STAR)可公开访问并免费注册,为云服务提供安全保证计划,因此可以帮助用户评估他们当前在使用或考虑签约的云提供商安全性。

Dropbox Business 和 Dropbox Education 已获得 CSA STAR Level 2 认证和 Level 2 证明。CSA STAR Level 2 认证要求由独立第三方 EY CertifyPoint(认证)和 Ernst & Young LLP(证明)进行的安全控制评估,其依据是 ISO 27001、SOC 2 托管服务原则和 CSA 云控制矩阵 (CCM) 3.0.1 版的要求。Dropbox 也完成了 Dropbox Business 和 Dropbox Education 的 CSA STAR Level 1 自我评估。自我评估是一个根据共识评估初始问卷调查(CAIQ)进行的严格调查。CAIQ 与 CCM 一致,可解答云客户或云安全审计人员可能想要向云提供商提出的大约 300 个问题。在 CSA 网页上查看我们的 CSA STAR Level 1 和 Level 2 认证和证明


Dropbox HIPAA 认证

HIPAA/HITECH

Dropbox 将与要求遵循《健康保险流通与责任法案》(HIPPA) 和《经济与临床健康信息技术法案》(HITECH) 的 Dropbox Business 或 Dropbox Education 客户签署业务合作协议 (BAA)。欲了解详情,请查阅“HIPPA 入门”指南和 帮助中心文章

Dropbox 提供第三方鉴证报告,内容为评估我们针对 HIPAA/HITECH 安全性、隐私和违规通知规则设置的控制体系,以及为希望利用 Dropbox Business 或 Dropbox Education 来遵循 HIPPA/HITECH 安全性和隐私规则要求的客户详细解读我们的内部做法和建议。

有意索取这些文档的客户可以联系帐户管理团队销售团队。如果您当前是 Dropbox Business 或 Dropbox Education 团队管理员,则可以到管理员控制台中的“帐户”页面上以电子方式签署 BAA。

注意:只有未使用 Dropbox Paper 的美国客户才可通过管理员控制台签署电子 BAA。Dropbox 不为 Dropbox Paper 提供 HIPAA/HITECH 支持。


Dropbox 德国 BSI C5 报告

德国 BSI C5 证明报告

云计算合规控制目录 (C5) 是由德国联邦信息技术安全办公室(Bundesamt fur Sicherheit in der Informationstechnik - BSI)建立的框架,用以报告适用于提供云服务的安全控制系统。C5 证明有助于组织展示其信息安全实践符合 BSI 的“云提供商安全建议”。C5 建立在现有的国际安全标准如 ISO 27001 和 CSA STAR 之上。为了获得 C5 证明报告,Dropbox 的系统、流程和控件由独立的德国第三方审计师 Ernst & Young GmbH 进行验证。独立审计的依据是“第 3000 号鉴证业务国际准则”(ISAE 3000)。

报告详细介绍了 Dropbox 的系统、应用、流程和控制体系,以及我们的独立审计师对每套控制体系采取的测试程序以及测试结果。您可以向销售团队帐户管理团队索取 Dropbox Business 和 Dropbox Education 的 C5 报告。

*Dropbox Paper 不包含在 C5 报告的范围内。


欧盟-美国隐私保护和瑞士-美国隐私保护

针对从欧盟、欧洲经济区和瑞士向美国传输的个人数据的收集、使用和保留,Dropbox 遵从由美国商务部制定的欧盟-美国和瑞士-美国隐私政策框架。遵守隐私保护原则确保组织在欧盟数据保护指令下提供充足的隐私保护。

浏览 Dropbox 的隐私保护认证,并访问隐私保护网站了解详情。


欧盟一般数据保护条例 (GDPR)

一般数据保护条例 2016/679(简称 GDPR)是欧盟颁布的法规,标志着欧盟地区现有的个人数据处理框架将迎来重大变革。GDPR 推出了一系列全新的或加强的要求,适用于 Dropbox 之类处理个人数据的公司。该条例将于 2018 年 5 月 25 日生效,取代现有的欧盟指令 95/46 EC(更常被称为“数据保护指令”)。与所有负责任的公司一样,Dropbox 正持续制定和执行详细的 GDPR 合规方案,并将在 2018 年 5 月 25 日之前达成合规状态。有关更多信息,请参阅此帮助中心条款


学生与儿童(FERPA 和 COPPA)

Dropbox Business 和 Dropbox Education 允许客户在履行《美国家庭教育权和隐私权法》(FERPA) 所规定的厂商义务的前提下使用相关服务。学生年龄在 13 岁以下的教育机构也可以在遵守《儿童在线隐私权保护法》(COPPA) 的情况下使用 Dropbox Business 或 Dropbox Education,前提是他们必须同意具体的合约条例(要求教育机构就使用我们的服务取得家长同意)。


英国数字市场政府云

Dropbox Business 已列入英国政府云服务采购数字市场目录。在英国数字市场网站上浏览我们的信息:Dropbox Business Standard 套餐Dropbox Business Advanced 套餐Dropbox Enterprise 套餐

*Dropbox Paper 不包含在英国数字市场政府云目录中。


PCI DSS

Dropbox 是支付卡行业数据安全标准 (PCI DSS) 合规商家。不过,Dropbox Business、Dropbox Education 和 Dropbox Paper 并无意处理或存储信用卡交易信息。如果需要,您可以向销售团队客户管理团队索要我们的商家状态 PCI 合规证明 (AoC)。


我们的子服务提供商

我们的数据中心共用设施和托管服务提供商同样定期接受 SOC 1、SOC 2 和/或 ISO 27001 审计,以验证他们的安全性实践。如果审计报告不可用作我们信息安全管理计划的一部分,Dropbox 会至少每年审查一次这些审计结果,或者执行供应商安全审查。在这些审计或审查中,如果我们发现会给 Dropbox 或客户带来风险的重大问题,我们会与服务提供商合作分析对客户数据的潜在影响,并跟踪他们的补救措施,直至问题解决为止。


详细了解 Dropbox Business 或 Dropbox Education 合规状态

您可以请 Dropbox 代表 帐户管理团队提供合规与认证文档。