遵循標準及規範


Dropbox 的 ISO 27001 認證

ISO 認證

國際標準組織 (ISO) 發展出一系列世界級的資訊和社會安全標準,協助企業打造可靠又創新的產品和服務。Dropbox 的資料中心、系統、應用程式、人員、和流程皆由位於荷蘭的獨立第三方 EY CertifyPoint 認證。

ISO 27001 (資訊安全管理)

ISO 27001 是受國際認可的首要資安管理系統 (ISMS) 認證標準。這些標準採用了詳述於 ISO 27002 中的最佳做法。為不愧於您對我們的信任,Dropbox 持續並全面妥善管理和增進我們的實體、技術和法律控制。為我們稽核的 Ernst & Young CertifyPoint,其 ISO 27001 認證是由荷蘭認證委員會 (Dutch Accreditation Council) 所頒發。查看 Dropbox Business 和 Dropbox Education 的 ISO 27001 認證

ISO 27017 (雲端安全)

ISO 27017 是針對雲端安全的國際標準,提供適用於部署和使用雲端服務的安全控制指南。我們的共同責任指南詳述了部分 Dropbox 和其客戶可以一起達成的安全、隱私、和法規遵循要求。查看 Dropbox Business 和 Dropbox Education 的 ISO 27017 認證

ISO 27018 (雲端隱私權及資料保護)

ISO 27018 是國際隱私權及資料保護的標準,適用於 Dropbox 這類代客戶處理私人資訊的雲端服務供應商,也讓客戶在面對一般法規及契約要求時有所根據。查看 Dropbox Business 和 Dropbox Education 的 ISO 27018 認證

ISO 22301 (企業延續性管理)

ISO 22301 是企業延續性的國際標準,指導企業如何減輕破壞性事件的影響,以及若發生此類事件,如何適當地應對以將潛在損害降到最低。Dropbox Business 的連續性管理系統 (BCMS) 是我們在危機期間,保護人員和業務的整體風險管理戰略的一部分。查看 Dropbox Business 和 Dropbox Education 的 ISO 22301 認證


Dropbox 的 SOC 認證

SOC 報告

服務組織控制 (SOC) 報告,又稱為 SOC 1、SOC 2 或 SOC 3,是由美國註冊會計師協會 (AICPA) 建立的框架,用於報告組織內所採用的內部控制。Dropbox 的系統、應用程式、人員和流程皆通過獨立第三方 Ernst & Young LLP 一系列的稽核驗證。

代表安全性、機密性、正直性、可用性及隱私性的 SOC 3 報告

SOC 3 確認報告涵蓋了安全性、機密性、處理正直性、可用性和隱私性五項確信服務準則 (TSP 第 100 節)。這份 Dropbox 一般性使用報告從執行層面概述了我們的 SOC 2 報告,並包含獨立第三方稽核人員對 Dropbox 控制設計和執行效力的意見。查看 Dropbox Business 和 Dropbox Education 的 SOC 3 檢驗結果。

代表安全性、機密性、正直性、可用性及隱私性的 SOC 2 報告

SOC 2 報告提供詳盡的控制保障,符合安全性、機密性、處理正直性、可用性和隱私性五項確信服務準則 (TSP 第 100 節)。SOC 2 報告詳細描述 Dropbox 的處理程序,以及超過 100 項用以保全您資訊安全的內部控制。除了獨立第三方針對設計有效性和我們內部控制運作的稽核意見之外,此報告還包括稽核人員的測試程序與每項控制的結果。我們的 SOC 2 報告 (有時稱為 SOC 2+ 報告) 也包含每項控制與上述 ISO 標準對映後的稽核結果,提供客戶更高的資料透明度。客戶可以向銷售團隊帳戶管理團隊索取 Dropbox Business 和 Dropbox Education 的 SOC 2 檢驗結果。

SOC 1 / SSAE 18 / ISAE 3402 (前身為 SSAE 16 或 SAS 70)

SOC 1 報告包括特定擔保,提供決定以 Dropbox Business 或 Dropbox Education 取代財務報告 (ICFR) 方案,作為內部控制主要項目的客戶。這些特定的擔保主要提供給客戶,用以遵循沙賓法案 ( Sarbanes-Oxley,SOX) 之規範。獨立第三方稽核是按照《鑑證業務準則公告第 18 號》(Statement on Standards for Attestation Engagements No. 18,SSAE 18) 以及《鑑證業務國際準則第 3402 號》(International Standard on Assurance Engagements No. 3402,ISAE 3402) 而執行。上述標準取代遭淘汰的《標準審計業務準則第 16 號》(SSAE 16) 和《審計準則公告第 70 號》(SAS 70)。客戶可以向銷售團隊帳戶管理團隊索取 Dropbox Business 和 Dropbox Education 的 SOC 1 檢驗結果。


Dropbox 的 CSA STAR 認證

雲端安全聯盟:CSA STAR 認證 (Security, Trust, and Assurance Registry)

雲端 CSA STAR 認證 (CSA STAR) 免費提供大眾使用者雲端服務專用的安全性確認計畫,協助用戶瞭解他們正在使用或是評估中的雲端供應商所提供的資安防護狀況。

Dropbox Business 和 Dropbox Education 已獲得 CSA STAR 二級認證以及二級鑑證。這是根據 ISO 27001、SOC 2 信任服務原則、和衡量雲端服務效能的標準 CSA 雲端安全控制矩陣 (CCM) v.3.0.1 的要求,由 EY CertifyPoint 對我們的安全控制而進行的第三方獨立審查及認證,並由 Ernst & Young LLP 鑑證。Dropbox 也針對 Dropbox Business 和 Dropbox Education 完成了 CSA STAR 一級自我評估。自我評估是基於 CSA《共識評估倡議調查問卷》(CAIQ) 所建立的一份嚴格調查,與 CCM 一致,並回答雲端服務的用戶或稽核人員可能有的 300 個疑問在 CSA 網站上查看我們的 CSA STAR 一級和二級認證及鑑證


Dropbox HIPAA 認證

HIPAA/HITECH

Dropbox 會與提出要求的客戶簽署業務合作協議 (BAA),以利 Dropbox Business 或 Dropbox Education 客戶遵循醫療保險流通與責任法案 (HIPAA) 和經濟與臨床健康資訊科技法案 (HITECH)。請查閱我們的「HIPAA 新手指南」說明中心文章,進一步瞭解詳情。

Dropbox 為想要在使用 Dropbox Business 或 Dropbox Education 時符合 HIPPA/HITECH 安全及隱私規則的客戶,提供第三方評估我們對 HIPPA/HITECH 安全性的控制、隱私、和資訊外洩通知規則後所產生的確認報告,以及詳細的 Dropbox 內部作業和建議說明。

客戶若想索取這些說明文件,請聯絡我們的帳戶管理團隊銷售團隊。如果您是 Dropbox Business 或 Dropbox Education 團隊的管理員,您可以到 [管理員主控台] 中的 [帳戶] 頁面電子簽署業務合作協議。

請注意:只有居住在美國,且未使用 Dropbox Paper 的使用者,可以透過管理員主控台簽署電子 BAA。Dropbox 不會協助 Dropbox Paper 使用者符合 HIPAA/HITECH 的法規需求。


Dropbox 德國聯邦資訊安全局 (BSI) C5 報告

德國聯邦資訊安全局 (BSI) C5 鑑證報告

Cloud Computing Compliance Controls Catalog (C5) 是由聯邦資訊安全局 (Bundesamt fur Sicherheit in der Informationstechnik,BSI) 建立的架構,用於報告適用於雲端服務的安全控制。C5 鑑證有助於公司組織證明自己符合德國聯邦資訊安全局的「雲端供應商安全建議」。C5 建立在如 ISO 27001 和 CSA STAR 等現有的國際安全標準之上。為獲得 C5 鑑證報告,Dropbox 的系統、流程、和控制皆由獨立的德國第三方稽核單位 Ernst & Young 有限責任公司進行驗證。獨立第三方稽核是按照《鑑證業務國際準則第 3000 號》(International Standard on Assurance Engagements No. 3000,ISAE 3000) 執行。

這份報告包括針對 Dropbox 系統、應用程式、流程、和控制的詳細描述,以及我們獨立稽核單位對每個控制的測試程序和結果。客戶可以向銷售團隊帳戶管理團隊索取 Dropbox Business 和 Dropbox Education 的 C5 報告。

*Dropbox Paper 不包含在 C5 報告的範圍內。


歐美隱私屏盾和瑞士與美國的隱私屏盾

Dropbox 遵循美國商務部就使用者蒐集、利用和保留由歐盟、歐洲經濟區、及瑞士移轉至美國的個人資訊而列明的歐美和瑞士與美國的隱私屏盾架構。遵守隱私屏盾準則確保公司對隱私權提供的防護,符合歐盟資料保護指令。

查看 Dropbox 的隱私屏盾認證,並前往隱私屏盾網站瞭解詳情。


歐盟通用資料保護規範 (GDPR)

通用資料保護規範 2016/679 (簡稱 GDPR) 是歐盟制定的法規,為歐盟境內個人資料處理的現行架構帶來重大變革。GDPR 訂立一系列新版或加強版規定,用以規範 Dropbox 這類處理個人資料的公司。規範將於 2018 年 5 月 25 日生效,取代現行的歐盟指令 95/46 EC (一般稱為「資料保護指令」)。就像所有負責的企業一樣,Dropbox 正持續制定、執行內部詳細的 GDPR 遵循方案,並將於 2018 年 5 月 25 日前達成完全符合規範的狀態。如需更多資訊,請參閱說明中心文章


學生及兒童 (美國家庭教育權利與隱私法和兒童在線隱私權保護法)

在遵循美國家庭教育權利與隱私法 (FERPA) 所規範的供應商義務範圍之內,Dropbox 得以提供 Dropbox Business 和 Dropbox Education 給消費者使用。學生年齡低於 13 歲的教育機構也可以使用 Dropbox Business 或 Dropbox Education,但必須遵循兒童在線隱私權保護法 (COPPA),且必須遵從特定合約條款,並取得家長事先同意才得以使用 Dropbox 服務。


英國數位市場 G-Cloud

Dropbox Business 列於英國數位市場 (UK Digital Marketplace) 之中,屬於政府雲端服務採購的服務之一。查看英國數位市場網站上所列的 Dropbox Business Standard 方案Dropbox Business Advanced 方案、和 Dropbox Enterprise 方案

*Dropbox Paper 並不包含在英國數位市場 G-Cloud 中。


PCI DSS

Dropbox 遵從支付卡產業資料安全標準 (Payment Card Industry Data Security Standard,PCI DSS)。然而,Dropbox Business、Dropbox Education、和 Dropbox Paper 並不經手或儲存信用卡交易內容。如欲索取我們的商家狀態 PCI 合規聲明書 (PCI Attestation of Compliance,AoC),請洽銷售團隊帳戶管理團隊


我們的子業務供應商

我們的資料中心共置和管理服務供應商,也都會定期接受 SOC 1、SOC 2 和/或 ISO 27001 稽核,驗證其安全機制。根據 Dropbox 資訊安全管理計畫規定,我們每年至少會審核一次上述稽核結果,若無法提供稽核報告,則會執行廠商安全性審核。如果我們根據稽核或審核結果判斷,有證據顯示存在對 Dropbox 或客戶的威脅,我們會與服務供應商共同商討,瞭解是否有可能影響客戶資料,並追蹤供應商的補救措施,直到問題完全解決。


進一步瞭解 Dropbox Business 和 Dropbox Education 遵從原則

您可向 Dropbox 的銷售代表要求查看認證和遵從原則等文件,或是向帳戶管理團隊洽詢