The standards and regulations that Dropbox Business and Education comply with

ISO

CSA STAR

SOC

FERPA 和 COPPA

英国数字市场政府云

HIPAA / HITECH

PCI DSS

欧盟-美国隐私保护和瑞士-美国隐私保护

欧盟一般数据保护条例

国际标准化组织 (ISO) 制订了一系列的世界级信息与社会安全标准,以帮助组织开发可靠而创新的产品与服务。Dropbox 已通过一系列由荷兰独立第三方 EY CertifyPoint 开展的审核,对其数据中心、系统、应用、人员和流程进行了认证。

  • 注意:Dropbox Paper 不包含在 ISO 认证的范围内。

ISO 27001(信息安全管理)

ISO 27001 是全球公认的主要信息安全管理系统 (ISMS) 标准。此标准还采用了 ISO 27002 中详述的安全最佳实践。为了不辜负您的信任,Dropbox 持续而全面地管理并优化物理、技术和法律方面的控制体系。我们的审计机构 EY CertifyPoint 是 Raad voor Accreditatie(荷兰认证委员会)认可的 ISO 27001 认证机构。

查看 Dropbox Business 和 Dropbox Education 的 ISO 27001 证书。

ISO 27017(云安全)

ISO 27017 是全新的国际云安全标准,提供适用于调配和使用云服务的安全控制指南。我们的责任分担指南解释了 Dropbox 及其客户可以协作解决的多项安全、隐私与合规要求。

查看 Dropbox Business 和 Dropbox Education 的 ISO 27017 证书。

ISO 27018(云隐私和数据保护)

ISO 27018 是新兴的隐私和数据保护国际标准,适用于代表客户处理个人信息的云服务提供商(例如 Dropbox),并为客户提供可解决常见法规和合同要求或问题的基础。

查看 Dropbox Business 和 Dropbox Education 的 ISO 27018 证书。

ISO 22301(业务连续性管理)

ISO 22301 是业务连续性国际标准,指导组织如何减少中断事件的影响,以及在发生此类事件时如何恰当应对,最小化潜在损害。Dropbox 业务连续性管理系统 (BCMS) 是我们在危机时刻保护人员及运营的总体风险管理策略的一部分。

查看 Dropbox Business 和 Dropbox Education 的 ISO 22301 证书。

云安全联盟:安全性、信任和鉴证注册 (CSA STAR)

CSA 安全性、信任和鉴证注册 (STAR) 可公开访问并免费注册,为云服务提供安全保证计划,因此可以帮助用户评估他们当前在使用或考虑签约的云提供商安全性。

Dropbox Business 和 Dropbox Education 已获得 CSA STAR Level 2 认证,这是一个由独立第三方 EY CertifyPoint 进行的安全控制评估。该评估依据的是 ISO 27001 和 CSA 云控制矩阵 (CCM) 3.0.1 版的一系列云服务功能级别衡量标准。Dropbox Business 也完成了 CSA STAR Level 1 自我评估,这是根据 CSA 共识评估倡议调查问卷 (CAIQ) 进行的严格调查。CAIQ 与 CCM 一致,可解答云客户或云安全审计机构可能会提出的大约 300 个问题。

在 CSA 网站上查看我们的 CSA STAR Level 1 自我评估和 Level 2 认证 。

  • 注意:Dropbox Paper 不包含在 CSA STAR 注册目录的范围内。

SOC 报告

服务组织控制体系 (SOC) 报告(称为 SOC 1、SOC 2 或 SOC 3)是由美国注册会计师协会 (AICPA) 建立的框架,用以报告组织内部实施的内部控制体系。Dropbox 已让独立第三方审计机构 Ernst & Young LLP 认证其运营、流程和技术。

  • 注意:Dropbox Paper 不包含在 SOC 报告的范围内。

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 3 鉴证报告涵盖安全性、机密性、完整性、可用性与隐私性等全部五项信托服务原则(TSP 第 100 节)。Dropbox 通用报告是 SOC 2 报告执行摘要,包含独立第三方审计机构针对我们控制体系的有效设计和运行所提供的意见。

查看 Dropbox Business 和 Dropbox Education 的 SOC 3 检查结果。

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 2 报告为客户提供基于控制的详细鉴证,涵盖安全性、机密性、处理完整性、可用性与隐私性等全部五项信托服务原则(TSP 第 100 节)。SOC 2 报告详细介绍了 Dropbox 的流程,以及 Dropbox 为了保护您的资料而实施的超过 100 套控制体系。除了独立第三方审计机构针对控制体系的有效设计和运行所提供的意见之外,报告中还包含审计机构针对每套控制体系采取的测试程序以及测试结果。您可以通过销售团队客户管理团队获取 Dropbox Business 和 Dropbox Education 的 SOC 2 检查结果。

SOC 1 / SSAE 16 / ISAE 3402(之前称为 SAS 70)

如果客户认为 Dropbox Business 或 Education 是其财务报告内部监控 (ICFR) 系统的关键要素,SOC 1 报告可提供具体鉴证。这些具体鉴证主要用于证明客户的 Sarbanes-Oxley (SOX) 合规状态。独立第三方审计依据的是“第 16 号鉴证业务准则公告”(SSAE 16) 和“第 3402 号鉴证业务国际准则”(ISAE 3402)。这些标准取代了已弃用的“第 70 号审计准则公告”(SAS 70)。您可以通过销售团队客户管理团队索取 Dropbox Business 和 Education 的 SOC 1 审计报告。

学生与儿童(FERPA 和 COPPA)

Dropbox Business 和 Dropbox Education 允许客户在履行《美国家庭教育权和隐私权法》(FERPA) 所规定的厂商义务的前提下使用相关服务。学生年龄在 13 岁以下的教育机构也可以在遵守《儿童在线隐私权保护法》(COPPA) 的情况下使用 Dropbox Business 或 Dropbox Education,前提是他们必须同意具体的合约条例(要求教育机构就使用我们的服务取得家长同意)。

英国数字市场政府云

Dropbox Business 现已列入英国数字市场目录,以供政府云服务采购所用。

在英国数字市场网站上浏览我们的信息。

  • 注意:Dropbox Paper 不包含在英国数字市场政府云目录中。

HIPAA / HITECH

Dropbox 将与要求遵循《健康保险流通与责任法案》(HIPAA) 和《经济与临床健康信息技术法案》(HITECH) 的 Dropbox Business、Enterprise 和 Education 客户签署业务合作协议 (BAA)。

如需了解详情,请参阅我们的 HIPAA 入门指南和我们的帮助中心文章

Dropbox 提供第三方鉴证报告,内容为评估我们针对 HIPAA/HITECH 安全性、隐私和违规通知规则设置的控制体系,并为希望利用 Dropbox Business、Enterprise 和 Education 来遵循 HIPAA/HITECH 安全性和隐私规则要求的客户详细解读我们的内部做法和建议。

有意索取这些文档的客户可以联系销售团队帐户管理团队。如果您当前是 Dropbox Business、Enterprise 或 Education 团队管理员,可以到管理员控制台中的帐户页面上以电子方式签署 BAA。

针对受 HIPAA/HITECH 约束的客户,请务必在将 PHI 传输到 Dropbox 帐户之前签署业务合作协议。如需详细了解如何购买 Dropbox Business,请联系我们的销售团队。如果您当前是 Dropbox Business、Enterprise 或 Education 团队管理员,可以到管理员控制台中的帐户页面上以电子方式签署 BAA。

注意:只有未使用 Dropbox Paper 的美国客户才可通过管理员控制台签署电子 BAA。Dropbox 不为 Dropbox Paper 提供 HIPAA/HITECH 支持。

PCI DSS

Dropbox 是支付卡行业数据安全标准 (PCI DSS) 合规商家。不过,Dropbox Business、Education 和 Dropbox Paper 并无意处理或存储信用卡交易信息。如果需要,您可以请销售团队客户管理团队提供商家状态 PCI 合规证明 (AoC)。

欧盟-美国隐私保护和瑞士-美国隐私保护

针对从欧盟、欧洲经济区和瑞士向美国传输的个人数据的收集、使用和保留,Dropbox 遵从由美国商务部制定的欧盟-美国和瑞士-美国隐私政策框架。遵守隐私保护原则确保组织在欧盟数据保护指令下提供充足的隐私保护。

浏览 Dropbox 隐私保护认证,或者访问隐私保护网站了解详情。

欧盟一般数据保护条例 (GDPR)

一般数据保护条例 2016/679(简称 GDPR)是欧盟颁布的法规,标志着欧盟地区现有的个人数据处理框架将迎来重大变革。GDPR 推出了一系列全新的或加强版本的要求,适用于 Dropbox 之类处理个人数据的公司。该条例将于 2018 年 5 月 25 日生效,取代现有的欧盟指令 95/46 EC(更常被称为“数据保护指令”)。与所有负责任的公司一样,Dropbox 正持续制订和执行详细的 GDPR 合规方案,并将在 2018 年 5 月 25 日之前达成完全合规状态。详细了解 Dropbox 与欧盟一般数据保护条例。

这篇文章是否回答了您的问题?

很抱歉听到这个消息。请告诉我们应该如何改进:

谢谢您的意见!

社区答案
    社区答案

      获取帮助的其他方式

      社区

      Twitter 支持

      指导帮助