遵循標準及規範


Dropbox 的 ISO 27001 認證

ISO

國際標準化組織 (ISO) 發展出一系列世界級的資訊和社會安全標準,協助企業打造可靠又創新的產品和服務。Dropbox 的資料中心、科技,系統、應用程式、人員、和流程皆由位於荷蘭的獨立第三方 Ernst & Young CertifyPoint 驗證而獲得 ISO 認證。Ernst & Young CertifyPoint 則是由 Dutch Accreditation Council 所認可的 ISO 認證機構。

ISO 27001 (資訊安全)

ISO 27001 採用詳述於 ISO 27002 中的最佳做法,是受國際認可的首要資安管理系統 (ISMS) 認證標準。為了不愧於您對我們的信任,Dropbox 持續並全面妥善管理我們的實體、技術、和法律控制。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27001 認證

ISO 27017 (雲端安全)

ISO 27018 是針對雲端安全的最新國際標準,提供部署和雲端服務使用適用的安全控制指南。我們的共擔責任指南詳述了 Dropbox 和其客戶可以一起達成的安全,隱私、和法規遵循要求。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27017 認證

ISO 27018 (雲端隱私權及資料保護)

ISO 27018 是國際隱私權及資料保護的新標準,適用於 Dropbox 這類代客戶處理私人資訊的雲端服務供應商,也讓客戶在面對一般法規及契約要求時有所根據。查看 Dropbox Business、Enterprise 和 Education 的 ISO 27018 認證

ISO 22301 (企業延續性)

ISO 22301 是企業延續性的國際標準,指導企業如何降低破壞性事件的發生率,以及若發生此類事件,如何適當地應對以將潛在損害降到最低。Dropbox Business 的連續性管理系統 (BCMS) 是我們在危機期間,保護人員和業務的整體風險管理戰略的一部分。查看 Dropbox Business、Enterprise 和 Education 的 ISO 22301 認證


Dropbox 的 CSA STAR 認證

雲端安全聯盟:CSA STAR 認證 (Security, Trust, and Assurance Registry)

雲端 CSA STAR 認證 (CSA STAR) 免費提供大眾使用者雲端服務專用的安全性確認計畫,協助用戶瞭解他們正在使用或是評估中的雲端供應商所提供的資安防護狀況。

Dropbox Business、Enterprise、和 Education 已獲得 CSA STAR 2 級認證,這是根據 ISO 27001 和衡量雲端服務效能的標準 CSA 雲控制矩陣 (CCM) v.3.0.1 的要求,由 EY CertifyPoint 對我們的安全控制而進行的第三方獨立審查。Dropbox Business 也完成了 CSA STAR 一級自我評估,這是基於 CSA《共識評估倡議調查問卷》(CAIQ) 所建立的一份嚴格調查,與 CCM 一致,並回答雲端服務的用戶或稽核人員可能有的 300 個疑問。


Dropbox 的 SOC 認證

SOC

服務組織控制 (SOC) 報告,又稱為 SOC 1,SOC 2 或 SOC 3,是由美國註冊會計師協會 (AICPA) 建立的框架,用於報告組織內所採用的內部控制。Dropbox 已由獨立的第三方審查機構 Ernst&Young LLP 認證其操作、流程、及技術。

代表安全性、機密性、正直性、可用性及隱私性的 SOC 3 報告

SOC 3 確認報告涵蓋了安全性、機密性、處理正直性、可用性和隱私性五項確信服務準則 (TSP 第 100 節)。這份 Dropbox 一般性使用報告從執行層面概述了我們的 SOC 2 報告,並包含獨立第三方稽核人員對 Dropbox 控制設計和執行效力的意見。查看 Dropbox Business、Enterprise 和 Education 的 SOC 3 檢驗結果

代表安全性、機密性、正直性、可用性及隱私性的 SOC 2 報告

SOC 2 報告提供詳盡的控制保障,符合安全性、機密性、處理正直性、可用性和隱私性五項確信服務準則 (TSP 第 100 節)。SOC 2 報告詳細描述 Dropbox 的處理程序,以及超過 100 項用以保全您資訊安全的內部控制。除了獨立第三方針對設計有效性和我們內部控制運作的稽核意見之外,此報告還包括稽核人員的測試程序與每項控制的結果。如欲索取 Dropbox Business、Enterprise、和 Education 的 SOC 2 驗證報告,請洽銷售團隊帳戶管理團隊

SOC 1 / SSAE 16 / ISAE 3402 (舊稱 SAS 70)

SOC 1 報告包括特定擔保,提供給決定以 Dropbox Business、Enterprise 或 Education 作為財務報告 (ICFR) 方案內部控制關鍵元素的客戶。這些特定的擔保主要提供給客戶,用以遵循沙賓法案 ( Sarbanes-Oxley,SOX) 之規範。獨立第三方稽核是按照《鑑證業務準則公告第 16 號》(Statement on Standards for Attestation Engagements No. 16,SSAE 16) 以及《鑑證業務國際準則第 3402 號》(International Standard on Assurance Engagements No. 3402,ISAE 3402) 而執行。上述標準取代遭淘汰的《審計準則公告第 70 號》(SAS 70)。如欲索取 Dropbox Business、Enterprise、和 Education 的 SOC 1 驗證報告,請洽銷售團隊或帳戶管理團隊。


學生及兒童 (美國家庭教育權利與隱私法和兒童在線隱私權保護法)

在遵循美國家庭教育權利與隱私法 (FERPA) 所規範的供應商義務範圍之內,Dropbox 得以提供 Dropbox Business、Enterprise 和 Education 給消費者使用。學生年齡低於 13 歲的教育機構也可以使用 Dropbox Business、Enterprise 和 Education,但必須遵循兒童在線隱私權保護法 (COPPA),且必須遵從特定合約條款並取得家長事先同意,才得以使用 Dropbox 服務。

英國數位市場 G-Cloud

Dropbox Business 現列於英國數位市場 (UK Digital Marketplace) 之中,屬於政府雲端服務採購的服務之一。在此查看列表


Dropbox HIPAA 認證

HIPAA/HITECH

Dropbox 會與提出要求的 Dropbox Business、Enterprise 或 Education 客戶簽署業務合作協議 (BAA),以利客戶遵循醫療保險流通與責任法案 (HIPAA) 與經濟與臨床健康資訊科技法案 (HITECH)。請查閱我們的 「HIPAA 新手指南」說明中心的文章 ,進一步瞭解詳情。

Dropbox 為想要在使用 Dropbox Business、Enterprise 和 Education 時符合 HIPPA/HITECH 安全及隱私規則的客戶,提供第三方針對我們的 HIPPA/HITECH 安全性控制、隱私、和資訊外洩通知規則評估後所產生的確認報告,以及詳細的 Dropbox 內部作業和建議說明。

客戶若想索取這些說明文件,請聯絡我們的帳戶管理銷售團隊。如果您是 Dropbox Business、Enterprise 和 Education 的工作團隊管理員,可以前往 [管理員主控台] 中的 [帳戶] 頁面,電子簽署業務合作協議。

請注意:只有居住在美國,且未參加 Dropbox Paper 試用計劃的使用者,可以透過管理員主控台簽署電子 BAA。


PCI DSS

Dropbox 遵從支付卡產業資料安全標準 (Payment Card Industry Data Security Standard,PCI DSS)。然而,Dropbox Business、Enterprise 和 Education 並不經手或儲存信用卡交易內容。如欲索取我們的商家狀態 PCI 合規聲明書 (PCI Attestation of Compliance,AoC),請洽銷售團隊帳戶管理團隊

我們的子業務供應商

我們的資料中心共置和管理服務供應商,也都會定期接受 SOC 1、SOC 2 和/或 ISO 27001 稽核,驗證其安全機制。根據 Dropbox 資訊安全管理計畫規定,我們每年至少會審核一次上述稽核結果。如果我們根據稽核結果判斷,有證據顯示存在對 Dropbox 或客戶的威脅,我們會與子服務供應商共同商討,瞭解是否有可能影響客戶資料,並追蹤供應商的補救措施,直到問題完全解決。

進一步瞭解 Dropbox Business、Enterprise、或 Education 遵從原則

您可向 Dropbox 的銷售代表要求查看認證和遵從原則等文件,或是向 帳戶管理團隊洽詢