遵从标准与法规


Dropbox 的 ISO 27001 认证

ISO 认证

国际标准化组织 (ISO) 制订了一系列的世界级信息与社会安全标准,以帮助组织开发可靠而创新的产品与服务。Dropbox 已通过一系列由荷兰独立第三方 EY CertifyPoint 开展的审核,对其数据中心、系统、应用、人员和流程进行了认证。

*Dropbox Paper 不包含在 ISO 认证的范围内。

ISO 27001(信息安全管理)

ISO 27001 是全球公认的主要信息安全管理系统 (ISMS) 标准。此标准还采用了 ISO 27002 中详述的安全最佳实践。为了不辜负您的信任,Dropbox 持续而全面地管理并优化物理、技术和法律方面的控制体系。我们的审计机构 EY CertifyPoint 是 Raad voor Accreditatie(荷兰认证委员会)认可的 ISO 27001 认证机构。 查看 Dropbox Business、Enterprise 和 Education 的 ISO 27001 证书

ISO 27017(云安全)

ISO 27017 是全新的国际云安全标准,提供适用于云服务配置和使用的安全控制指南。我们的责任分担指南解释了 Dropbox 及其客户可以协作解决的多项安全、隐私与合规要求。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27017 证书

ISO 27018(云隐私和数据保护)

ISO 27018 是针对隐私和数据保护的新兴国际标准,适用于代替客户处理个人信息的云服务提供商(例如 Dropbox),并为客户提供可解决常见法规和合同要求或问题的基础。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27018 证书

ISO 22301(业务连续性管理)

ISO 22301 是业务连续性国际标准,指导组织如何减少中断事件的影响,以及在发生此类事件时如何恰当应对,最小化潜在损害。Dropbox Business 持续管理系统 (BCMS) 是我们整体风险管理策略的一部分,用于在危机时刻保护人们及其操作。查看 Dropbox Business、Enterprise 和 Education 的 ISO 22301 证书


Dropbox 的 CSA Star 认证

云安全联盟:安全性、信任和鉴证注册 (CSA STAR)

CSA 安全性、信任和鉴证注册(STAR)可公开访问并免费注册,为云服务提供安全保证计划,因此可以帮助用户评估他们当前在使用或考虑签约的云提供商安全性。

Dropbox Business、Enterprise 和 Education 已获得 CSA STAR Level 2 认证,这是一个由独立第三方 EY CertifyPoint 进行的安全控制评估。该评估依据的是 ISO 27001 和 CSA 云控制矩阵 (CCM) 3.0.1 版的一系列云服务功能级别衡量标准。Dropbox Business 也完成了CSA STAR Level 1 自我评估,这是一个根据共识评估初始问卷调查(CAIQ)进行的严格调查。CAIQ 与 CCM 一致,可解答云客户或云安全审计人员可能想要向云提供商提出的大约 300 个问题。

*Dropbox Paper 不包含在 CSA STAR 注册目录的范围内。


Dropbox 的 SOC 合规

SOC 报告

服务组织控制体系 (SOC) 报告(称为 SOC 1、SOC 2 或 SOC 3)是由美国注册会计师协会 (AICPA) 建立的框架,用以报告组织内部实施的内部控制体系。Dropbox 已通过一系列由独立第三方 Ernst & Young LLP 开展的审核,对其系统、应用、人员和流程进行了验证。

*Dropbox Paper 不包含在 SOC 报告的范围内。

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 3 鉴证报告涵盖安全性、机密性、处理完整性、可用性与隐私性等全部五项信托服务原则(TSP 第 100 节)。Dropbox 通用报告是我们的 SOC 2 报告执行摘要,包含独立第三方审计师针对我们控制体系的有效设计和运行所提供的意见。查看 Dropbox Business、Enterprise 和 Education SOC 3 检查

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 2 报告为客户提供基于控制的详细鉴证,涵盖安全性、保密性、处理完整性、可用性与隐私性等全部五项信托服务原则(TSP 第 100 节)。SOC 2 报告详细介绍了 Dropbox 的流程,以及 Dropbox 为了保护您的资料而实施的超过 100 套控制体系。除了独立第三方审计针对控制体系的有效设计和运行所提供的意见之外,报告中还包含审计师针对每套控制体系采取的测试程序以及测试结果。您可以请销售团队帐户管理团队提供 Dropbox Business、Enterprise 和 Education 的 SOC 2 检查。

SOC 1 / SSAE 16 / ISAE 3402(之前称为 SAS 70)

如果客户认为 Dropbox Business、Enterprise 或 Education 是其财务报告内部监控 (ICFR) 系统的关键要素,SOC 1 报告可提供具体鉴证。这些具体鉴证主要用于证明客户的 Sarbanes-Oxley (SOX) 合规状态。独立第三方审计依据的是第 16 号鉴证业务准则公告(SSAE 16)和第 3402 号鉴证业务国际准则(ISAE 3402)。这些标准取代了已弃用的“第 70 号审计准则公告”(SAS 70)。如果需要,您可以请销售团队或帐户管理团队提供 Dropbox Business、Enterprise 和 Education 的 SOC 1 检查。


学生与儿童(FERPA 和 COPPA)

Dropbox Business、 Enterprise 和 Education 允许客户在履行《美国家庭教育权和隐私权法》(FERPA) 所规定的供应商义务的前提下使用相关服务。学生年龄在 13 岁以下的教育机构也可以在遵守《儿童在线隐私权保护法》(COPPA) 的情况下使用 Dropbox Business、Enterprise 或 Education,前提是他们必须同意具体的合约条例(即要求教育机构就使用我们的服务取得家长同意)。


英国数字市场政府云

Dropbox Business 现已列入英国政府云服务采购数字市场目录。请在此查看我们的信息

*Dropbox Paper 不包含在英国数字市场政府云目录中。


Dropbox HIPAA 认证

HIPAA/HITECH

Dropbox 将与要求遵循《健康保险流通与责任法案》(HIPPA) 和《经济与临床健康信息技术法案》(HITECH) 的 Dropbox Business、Enterprise 或 Education 客户签署业务合作协议 (BAA)。 欲了解详情,请查阅“HIPPA 入门”指南和 帮助中心文章

Dropbox 提供第三方鉴证报告,内容为评估我们针对 HIPAA/HITECH 安全性、隐私和违规通知规则设置的控制体系,并为希望利用 Dropbox Business、Enterprise 和 Education 来达到 HIPPA/HITECH 安全性和隐私规则要求的客户详细解读我们的内部操作和建议。

有意索取这些文档的客户可以联系帐户管理团队销售团队。如果您当前是 Dropbox Business、Enterpris 和 Education 团队管理员,可以在管理员控制台中的“帐户”页面上以电子方式签署 BAA。

注意:只有未使用 Dropbox Paper 的美国客户才可通过管理员控制台签署电子 BAA。Dropbox 不为 Dropbox Paper 提供 HIPAA/HITECH 支持。


PCI DSS

Dropbox 是支付卡行业数据安全标准 (PCI DSS) 合规商家。不过,Dropbox Business、Enterprise、Education 和 Dropbox Paper 并无意处理或存储信用卡交易信息。如果需要,您可以请销售团队客户管理团队提供我们的商家状态 PCI 合规证明 (AoC)。

欧盟-美国隐私保护和瑞士-美国隐私保护

针对从欧盟、欧洲经济区和瑞士向美国传输的个人数据的收集、使用和保留,Dropbox 遵从由美国商务部制定的欧盟-美国和瑞士-美国隐私政策框架。遵守隐私保护原则确保组织在欧盟数据保护指令下提供充足的隐私保护。

浏览 Dropbox 的隐私保护认证,并访问隐私保护网站了解详情。

欧盟一般数据保护条例 (GDPR)

一般数据保护条例 2016/679(简称 GDPR)是欧盟颁布的法规,标志着欧盟地区现有的个人数据处理框架将迎来重大变革。GDPR 推出了一系列全新的或加强版本的要求,适用于 Dropbox 之类处理个人数据的公司。该条例将于 2018 年 5 月 25 日生效,会取代现有的欧盟指令 95/46 EC(更常被称为“数据保护指令”)。与所有负责任的公司一样,Dropbox 正持续制订和执行详细的 GDPR 合规方案,并将在 2018 年 5 月 25 日之前达成完全合规状态。有关详细信息,请参阅此帮助中心条款

我们的子服务提供商

我们的数据中心共用设施和托管服务提供商同样定期接受 SOC 1、SOC 2 和/或 ISO 27001 审计,以验证他们的安全性实践。Dropbox 会在我们的信息安全管理计划中审阅这些审计的结果,至少每年一次。在这些审计中,如果我们发现会给 Dropbox 或客户带来风险的重大问题,我们会与子服务提供商合作分析对客户数据的潜在影响,并跟踪他们的补救措施,直至问题解决为止。

详细了解 Dropbox Business、Enterprise 或 Education 合规状态

您可以请 Dropbox 代表 帐户管理团队提供合规与认证文档。