遵循標準及規範

ISO 認證

國際標準組織 (ISO) 發展出一系列世界級的資訊和社會安全標準,協助企業打造可靠又創新的產品和服務。Dropbox 的資料中心、系統、應用程式、人員、和流程皆由位於荷蘭的獨立第三方 EY CertifyPoint 認證。

ISO 27001 (資訊安全管理)

ISO 27001 是受國際認可的首要資安管理系統 (ISMS) 認證標準。這項標準採用了詳述於 ISO 27002 中的最佳做法。Dropbox 不想辜負您對我們的信任,因此我們持續並全面妥善管理和增進我們的實體、技術和法律控制。Ernst & Young CertifyPoint 為我們進行稽核工作,他們的 ISO 27001 認證是由荷蘭認證委員會 (Dutch Accreditation Council) 所頒發。查看 Dropbox Business 和 Dropbox Education 的 ISO 27001 認證

ISO 27017 (雲端安全)

ISO 27017 是針對雲端安全的國際標準,提供適用於部署和使用雲端服務的安全控制指南。我們的共同責任指南詳述了部分 Dropbox 和其客戶可以一起達成的安全,隱私、和法規遵循要求。查看 Dropbox Business 和 Dropbox Education 的 ISO 27017 認證

ISO 27018 (雲端隱私權及資料保護)

ISO 27018 是國際隱私權及資料保護的標準,適用於 Dropbox 這類代客戶處理私人資訊的雲端服務供應商,也讓客戶在面對一般法規及契約要求時有所根據。查看 Dropbox Business 和 Dropbox Education 的 ISO 27018 認證

ISO 22301 (企業延續性管理)

ISO 22301 是業務延續性的國際標準,指導企業減輕破壞性事件的影響,以及若發生此類事件,如何適當地應對以將潛在損害降到最低。Dropbox Business 的業務連續性管理系統 (BCMS) 是我們在危機期間,保護人員和業務的整體風險管理戰略的一部分。查看 Dropbox Business 和 Dropbox Education 的 ISO 22301 認證

ISO 27701 (隱私權資訊管理)

ISO 27701是隱私權資訊管理的國際標準。該標準提供架構,將 ISO 2700``1 下的資訊安全管理系統提升與延伸至隱私權資訊管理系統 (PIMS)。Dropbox Business 和 Dropbox Education 已獲得 PII 處理器認證。查看 Dropbox Business 和 Dropbox Education 的 ISO 27701 認證

 

SOC 報告 

服務組織控制 (SOC) 報告,又稱為 SOC 1、SOC 2 或 SOC 3,是由美國註冊會計師協會 (AICPA) 建立的框架,用於報告組織內所採用的內部控制。Dropbox 的系統、應用程式、人員和流程皆通過獨立第三方 Ernst & Young LLP 一系列的稽核驗證。

代表安全性、機密性、完整性、可用性及隱私性的 SOC 3 報告

SOC 3 確認報告涵蓋了安全性、可用性、處理完整性、機密性和隱私性五項確信服務準則 (TSP 第 100 節)。這份 Dropbox 一般性使用報告從執行層面概述了我們的 SOC 2 報告,並包含獨立第三方稽核人員對 Dropbox 控制設計和執行效力的意見。查看 Dropbox Business 和 Dropbox Education 的 SOC 3 檢驗結果

代表安全性、機密性、完整性、可用性及隱私性的 SOC 2 報告

SOC 2 報告提供詳盡的控制保障,符合安全性、可用性、處理完整性、機密性和隱私性五項確信服務準則 (TSP 第 100 節)。SOC 2 報告詳細描述 Dropbox 的處理程序,以及超過 100 項用以保全您資訊安全的內部控制。除了獨立第三方針對設計有效性和我們內部控制運作的稽核意見之外,此報告還包括稽核人員的測試程序與每項控制的結果。我們的 SOC 2 報告 (有時稱為 SOC 2+ 報告) 也包含每項控制與上述 ISO 標準對映後的稽核結果,提供客戶更高的資料透明度。如欲索取 Dropbox Business 和 Dropbox Education 的 SOC 2 驗證報告,請洽銷售團隊支援服務 (僅供現有的 Dropbox Business 客戶)。

SOC 1 / SSAE 18 / ISAE 3402 (前身為 SSAE 16 或 SAS 70)

SOC 1 報告為客戶提供特定擔保,以決定透過 Dropbox Business 或 Dropbox Education 作為財務報告 (ICFR) 方案的內部控制關鍵元素。這些特定的擔保主要提供給客戶,用以遵循沙賓法案 ( Sarbanes-Oxley,SOX) 之規範。獨立第三方稽核是按照《鑑證業務準則公告第 18 號》(Statement on Standards for Attestation Engagements No. 18,SSAE 18) 以及《鑑證業務國際準則第 3402 號》(International Standard on Assurance Engagements No. 3402,ISAE 3402) 而執行。上述標準取代遭淘汰的《標準審計業務準則第 16 號》(SSAE 16) 和《審計準則公告第 70 號》(SAS 70)。如欲索取 Dropbox Business 和 Education 的 SOC 2 驗證報告,請洽銷售團隊支援服務 (僅供現有的 Dropbox Business 客戶)。

 

雲端安全聯盟:CSA STAR 認證 (Security, Trust, Assurance, Risk)

雲端 CSA 安全、信任、確信與風險認證 (CSA STAR) 免費提供大眾使用者雲端服務專用的安全性確認計畫,協助使用者瞭解他們正在使用或是評估中的雲端供應商所提供的資安防護狀況。

Dropbox Business 和 Dropbox Education 已獲得 CSA STAR 二級認證以及二級鑑證。這是根據 ISO 27001、SOC 2 信任服務標準和 CSA 雲端安全控制矩陣 (CCM) v3.0.1 的要求,由 EY CertifyPoint 對我們的安全控制而進行的第三方獨立審查及認證,並由 Ernst & Young LLP 鑑證。在 CSA 網站上查看我們的 CSA STAR 二級認證及鑑證。

 

HIPAA/HITECH

Dropbox 會針對提出要求的 Dropbox Business 或 Dropbox Education 客戶簽署業務合作協議 (BAA),以利客戶遵循醫療保險流通與責任法案 (HIPAA) 與經濟與臨床健康資訊科技法案 (HITECH)。請查閱我們的「HIPAA 新手指南」說明中心文章,進一步瞭解詳情。

若客戶想在使用 Dropbox Business 或 Dropbox Education 時符合 HIPPA/HITECH 安全及隱私規則,Dropbox 可提供第三方針對我們的 HIPPA/HITECH 安全性控制、隱私、和資訊外洩通知規則評估後所產生的確認報告,以及詳細的 Dropbox 內部作業和建議說明。

客戶若想索取這些說明文件,請聯絡我們的銷售團隊。如果您是 Dropbox Business 和 Dropbox Education 的工作團隊管理員,可以前往 [管理員主控台] 中的 [帳戶] 頁面,電子簽署業務合作協議。

請注意:只有居住在美國的使用者,可以透過管理員主控台簽署電子 BAA。

 

德國聯邦資訊安全局 (BSI) C5 鑑證報告

雲端運算合規控制目錄 (Cloud Computing Compliance Controls Catalog,C5) 是由德國聯邦資訊安全局 (Bundesamt fur Sicherheit in der Informationstechnik,BSI) 建立的架構,用於報告適用於雲端服務的安全控制。C5 鑑證有助於組織證明自己符合德國聯邦資訊安全局的「雲端供應商安全建議」。C5 建立在現有的國際安全標準如 ISO 27001 和 CSA STAR 之上。為獲得 C5 鑑證報告,Dropbox 的系統、流程和控制皆由獨立的德國第三方稽核單位 Ernst & Young 有限責任公司進行驗證。獨立第三方稽核是按照《鑑證業務國際準則第 3000 號》(International Standard on Assurance Engagements No. 3000,ISAE 3000 與 IDW PS 860) 執行。

這份報告包括針對 Dropbox 系統、應用程式、流程、和控制的詳細描述,以及我們獨立稽核單位對每個控制的測試程序和結果。如欲索取 Dropbox Business 和 Education 的 SOC 2 驗證報告,請洽銷售團隊支援服務 (僅供現有的 Dropbox Business 客戶)。

*Dropbox Paper 不包含在 C5 報告的範圍內。

 

美國國家標準暨技術研究院 (NIST) SP 800-171 R2 鑑證報告

美國國家標準暨技術研究院 (NIST) 致力於促進並維護標準和準則,以幫助保護資訊系統。NIST Special Publication (SP) 800-171 Revision 2 (R2) 為保護非聯邦資訊系統和組織中的受控制未分類資訊 (CUI) 提供了相關準則。任何處理或儲存美國政府 CUI 之實體,如研究機構或教育部門,皆須遵守 NIST SP 800-171 R2 之規範。Dropbox 的 CUI 系統、流程和控制皆由獨立的德國第三方稽核單位 Ernst & Young 有限責任公司進行驗證。

如欲索取 Dropbox Business 和 Education 的 NIST SP 800-171 R2 驗證報告,請洽銷售團隊支援服務(僅供現有的 Dropbox Business 客戶)。

*Dropbox Paper 並未包含在 NIST SP 800-171 R2 報告的範圍內。

 

歐美隱私屏盾和瑞士與美國的隱私屏盾

Dropbox 遵循美國商務部所訂定之歐美和瑞士與美國的隱私屏盾架構,據此搜集、使用並留存各種從歐盟、歐洲經濟區、英國和瑞士傳輸至美國的個人資料。遵守隱私屏盾準則確保公司對隱私權提供的防護,符合歐盟一般資料保護規則 (GDPR)。

查看Dropbox 的隱私屏盾認證,並前往隱私屏盾網站瞭解詳情。

 

歐盟通用資料保護規範 (GDPR)

一般資料保護規則 2016/679 (簡稱 GDPR) 是歐盟制定的法規,為處理歐盟資料主體個人資料的現行架構帶來重大變革。GDPR 訂立了一系列新版或加強版規定,用以規範 Dropbox 這類處理個人資料的公司。此規則已於 2018 年 5 月 25 日生效,取代現行的歐盟指令 95/46 EC (一般稱為「資料保護指令」)。Dropbox 已全面符合 GDPR 規範,以便客戶透過使用 Dropbox 達成 GDPR 訂定的標準。如需更多資訊,請參閱說明中心文章

 

雲端安全聯盟:GDPR 合規行為準則

CSA GDPR 合規行為準則是一套自願性的當責工具以及完整的透明度實行辦法,設立宗旨是為了讓雲端服務供應商(如 Dropbox)能向雲端客戶展示如何符合歐盟通用資料保護規範 (GDPR) 中的關鍵要素。Dropbox Business 已經完成 CSA GDPR 合規行為準則的自我評估,包括來自第三方評定者的完整稽核,以及獲得「已宣告」的合規性標記。若需要了解關於 CSA GDPR 合規行為準則及 Dropbox 如何符合此行為準則的相關內容,請造訪 CSA 網站

 

學生及兒童 (美國家庭教育權利與隱私法和兒童在線隱私權保護法)

在遵循美國家庭教育權利與隱私法 (FERPA) 所規範的供應商義務範圍之內,Dropbox 得以提供 Dropbox Business 和 Dropbox Education 給客戶使用。教育機構也可以使用 Dropbox Business 或 Dropbox Education,但必須遵循兒童線上隱私權保護法 (COPPA)。 

 

聯邦規則彙編第 21 章第 11 條

聯邦規則彙編 (CFR) 第 21 章為食品藥物管理局 (FDA)、緝毒局與國家藥品管制政策辦公室,管制美國境內的食品與藥物。第 21 章第 11 條說明 FDA 認定電子記錄與簽章可信賴、可靠,以及基本上效力等同紙本記錄和紙本上手寫簽名所需的條件。

如欲深入瞭解 Dropbox 如何協助您符合聯邦規則彙編第 21 章第 11 條的規定,請參閱 Dropbox 與聯邦規則彙編第 21 章第 11 條白皮書說明中心文章

 

PCI DSS

Dropbox 遵從支付卡產業資料安全標準 (Payment Card Industry Data Security Standard,PCI DSS)。不過,Dropbox Business、Dropbox Education、和 Dropbox Paper 並不經手或儲存信用卡交易內容。如欲索取我們的商家狀態 PCI 合規聲明書 (PCI Attestation of Compliance,AoC),請洽銷售團隊支援服務 (僅供現有的 Dropbox Business 客戶)。

 

我們的子業務供應商

我們的資料中心共置和管理服務供應商,也都會定期接受 SOC 1、SOC 2 和/或 ISO 27001 稽核,驗證其安全機制。根據 Dropbox 資訊安全管理計畫規定,我們每年至少會審核一次上述稽核結果,若無法提供稽核報告,則會執行廠商安全性審核。如果我們根據稽核或審核結果判斷,有證據顯示存在對 Dropbox 或客戶的威脅,我們會與服務供應商共同商討,瞭解是否有可能影響客戶資料,並追蹤供應商的補救措施,直到問題完全解決。

 

進一步瞭解 Dropbox Business 或 Dropbox Education 合規

您可向 Dropbox 的銷售代表支援服務 (僅供現有的 Dropbox Business 客戶) 要求查看認證和合規文件。