遵循標準及規範

人在辦公桌前打字,電腦螢幕上顯示著很大的勾號

ISO 認證

國際標準組織 (ISO) 發展出一系列世界級的資訊和社會安全標準,協助企業打造可靠又創新的產品和服務。Dropbox 的資料中心、系統、應用程式、人員和流程皆由位於荷蘭的獨立第三方 EY CertifyPoint 認證。

ISO 27001 (資訊安全管理)

ISO 27001 是受國際認可的首要資安管理系統 (ISMS) 認證標準。這項標準採用了詳述於 ISO 27002 中的最佳做法。Dropbox 不想辜負您對我們的信任,因此我們持續並全面妥善管理和增進我們的實體、技術和法律控制。Ernst & Young CertifyPoint 負責我們的稽核工作,他們的 ISO 27001 認證是由荷蘭認證委員會 (Dutch Accreditation Council) 所頒發。查看 Dropbox Standard、Advanced、Enterprise 和 Education 的 ISO 27001 認證

ISO 27017 (雲端安全)

ISO 27017 是針對雲端安全的國際標準,提供適用於部署和使用雲端服務的安全控制指南。我們的共同責任指南詳述了部分 Dropbox 和其客戶可以一起達成的安全、隱私和法規遵循要求。查看 Dropbox Standard、Advanced、Enterprise 和 Education 的 ISO 27017 認證

ISO 27018 (雲端隱私權及資料保護)

ISO 27018 是國際隱私權及資料保護的標準,適用於 Dropbox 這類代客戶處理私人資訊的雲端服務供應商,也讓客戶在面對一般法規及契約要求時有所根據。查看 Dropbox Standard、Advanced、Enterprise 和 Education 的 ISO 27018 認證

ISO 22301 (企業延續性管理)

ISO 22301 是業務延續性的國際標準,指導組織減輕破壞性活動的影響,以及若發生此類事件,如何適當地應對以將潛在損害降到最低。Dropbox Business 的業務連續性管理系統 (BCMS) 是我們在危機期間,保護人員和業務的整體風險管理戰略的一部分。查看 Dropbox Standard、Advanced、Enterprise 和 Education 的 ISO 22301 認證

ISO 27701 (隱私權資訊管理)

ISO 27701 是隱私權資訊管理的國際標準。該標準提供架構,將 ISO 27001 下的資訊安全管理系統提升及延伸至隱私權資訊管理系統 (PIMS)。Dropbox 已獲得 PII 處理器認證。查看 Dropbox Standard、Advanced、Enterprise 和 Education 的 ISO 27701 認證

SOC 報告

服務組織控制 (SOC) 報告,又稱為 SOC 1、SOC 2 或 SOC 3,是由美國註冊會計師協會 (AICPA) 建立的框架,用於報告組織內所採用的內部控制。Dropbox 的系統、應用程式、人員和流程皆通過獨立第三方 Ernst & Young LLP 一系列的稽核驗證。

代表安全性、機密性、正直性、可用性及隱私性的 SOC 3 報告

SOC 3 確認報告涵蓋了安全性、可用性、處理完整性、機密性和隱私性五項確信服務準則 (TSP 第 100 節)。這份 Dropbox 一般性使用報告從執行層面概述了我們的 SOC 2 報告,並包含獨立第三方稽核人員對 Dropbox 控制設計和執行效力的意見。查看 Dropbox Standard、Advanced、Enterprise 和 Education 的 SOC 3 檢驗結果

代表安全性、機密性、正直性、可用性及隱私性的 SOC 2 報告

SOC 2 報告提供客戶詳盡的控制保障,符合安全性、可用性、處理完整性、機密性和隱私性五項確信服務標準 (TSP 第 100 節)。SOC 2 報告詳細描述 Dropbox 的處理程序,以及超過 100 項用以保全您檔案安全的內部控制。除了獨立第三方針對設計有效性和我們內部控制運作的稽核意見之外,此報告還包括稽核人員的測試程序與每項控制的結果。我們的 SOC 2 報告 (有時稱為 SOC 2+ 報告) 也包含每項控制與上述 ISO 標準對映後的稽核結果,提供客戶更高的資料透明度。如欲索取 Dropbox Standard、Advanced、Enterprise 和 Education 的 SOC 2 驗證報告,請洽銷售團隊支援服務 (僅供現有的 Dropbox 工作團隊方案客戶)。

SOC 1 / SSAE 18 / ISAE 3402 (前身為 SSAE 16 或 SAS 70)

SOC 1 報告為客戶提供特定擔保,以決定透過 Dropbox 作為財務報告 (ICFR) 方案的內部控制關鍵元素。這些特定的擔保主要提供給客戶,用以遵循沙賓法案 (Sarbanes-Oxley,SOX) 之規範。獨立第三方稽核是按照《鑑證業務準則公告第 18 號》(Statement on Standards for Attestation Engagements No. 18,SSAE 18) 以及《鑑證業務國際準則第 3402 號》(International Standard on Assurance Engagements No. 3402,ISAE 3402) 而執行。上述標準取代遭淘汰的《鑑證業務準則公告第 16 號》(SSAE 16) 和《審計準則公告第 70 號》(SAS 70)。如欲索取 Dropbox Standard、Advanced、Enterprise 和 Education 的 SOC 1 驗證報告,請洽銷售團隊支援服務 (僅供現有的 Dropbox 工作團隊方案客戶)。

雲端安全聯盟:CSA STAR 認證 (Security, Trust, Assurance, Risk)

雲端 CSA 安全、信任、確信與風險認證 (CSA STAR) 免費提供大眾使用者雲端服務專用的安全性確認計畫,協助使用者瞭解他們正在使用或是評估中的雲端供應商所提供的資安防護狀況。

Dropbox Standard、Advanced、Enterprise 和 Education 均已獲得 CSA STAR 二級認證以及二級鑑證。這是根據 ISO 27001、SOC 2 信任服務標準和 CSA 雲端安全控制矩陣 (CCM) v3.0.1 的要求,由 EY CertifyPoint 對我們的安全控制而進行的第三方獨立審查及認證,並由 Ernst & Young LLP 鑑證。在 CSA 網站上查看我們的 CSA STAR 二級認證及鑑證。

HIPAA/HITECH

Dropbox 會針對提出要求的 Dropbox Standard、Advanced、Enterprise 和 Education 客戶簽署業務合作協議 (BAA),以利客戶遵循醫療保險流通與責任法案 (HIPAA) 與經濟與臨床健康資訊科技法案 (HITECH)。請查閱我們的「HIPAA 新手指南」和說明中心文章,進一步瞭解詳情。

若客戶想在使用 Dropbox Standard、Advanced、Enterprise 和 Education 時符合 HIPPA/HITECH 安全及隱私規則,Dropbox 可提供 SOC 2 檢驗報告。此報告是針對我們 HIPPA/HITECH 安全性控制、隱私和資訊外洩通知規則評估後所產生的。此外,我們也能提供詳細的 Dropbox 內部作業和建議說明。

客戶若想索取這些說明文件,請聯絡我們的銷售團隊。如果您是 Dropbox 工作團隊的管理員,您可以到 [管理員主控台] 中的 [帳戶] 頁面電子簽署業務合作協議。

請注意:只有居住在美國的使用者,可以透過管理員主控台簽署電子 BAA。

美國國家標準暨技術研究院 (NIST) SP 800-171 R2 鑑證報告

美國國家標準暨技術研究院 (NIST) 致力於促進並維護標準和準則,以幫助保護資訊系統。NIST Special Publication (SP) 800-171 Revision 2 (R2) 為保護非聯邦資訊系統和組織中的受控制未分類資訊 (CUI) 提供了相關準則。任何處理或儲存美國政府 CUI 之實體,如研究機構或教育部門,皆須遵守 NIST SP 800-171 R2 之規範。Dropbox 的 CUI 系統、流程和控制皆由獨立的第三方稽核單位 Ernst & Young 有限責任公司負責驗證。

Dropbox Standard、Advanced、Enterprise 和 Education 的 NIST SP 800-171 R2 驗證報告現已與 SOC 2 檢驗報告整合。如欲索取此報告,請洽銷售團隊支援服務 (僅供現有的 Dropbox 工作團隊方案客戶)。

*Dropbox Paper 並未包含在 NIST SP 800-171 R2 報告的範圍內。

歐盟-美國資料隱私框架、歐盟-美國資料隱私框架的英國補充條款,以及瑞士-美國資料隱私框架

Dropbox 遵循美國商務部所訂定之歐盟-美國資料隱私框架、歐盟-美國資料隱私框架的英國補充條款,以及瑞士-美國資料隱私框架,據此搜集、使用並留存各種從歐盟、英國和瑞士傳輸至美國的個人資料。遵守資料隱私框架準則能確保組織對隱私權提供的防護,符合歐盟一般資料保護規則 (GDPR)。

查看 Dropbox 的資料隱私框架認證,並前往資料隱私框架網站瞭解詳情。

歐盟通用資料保護規範 (GDPR)

一般資料保護規則 2016/679 (簡稱 GDPR) 是歐盟制定的法規,為處理歐盟資料主體個人資料的現行架構帶來重大變革。GDPR 訂立了一系列新版或加強版規定,用以規範 Dropbox 這類處理個人資料的公司。此規則已於 2018 年 5 月 25 日生效,取代現行的歐盟指令 95/46 EC (一般稱為「資料保護指令」)。Dropbox 已全面符合 GDPR 規範,以便客戶透過使用 Dropbox 達成 GDPR 訂定的標準。如需更多資訊,請參閱說明中心文章

歐盟雲端行為準則

歐盟雲端行為準則為自願性做法,讓雲端服務供應商如 Dropbox 展現對遵守 GDPR 的承諾。歐盟雲端行為準則遵循由歐洲資料保護委員會 (EDPB) 發布的正面意見,已於 2021 年 5 月正式通過比利時資料保護主管機構核准 (驗證 ID:2022LVL02SCOPE3114)。Dropbox 的 Standard、Advanced、Enterprise 與 Education 工作團隊方案已宣示遵守歐盟雲端行為準則,且獲得「第 2 級」法規遵循標章,也就是說這些服務皆已採納符合準則要求的技術、組織與結構性措施。如需更多關於歐盟雲端行為準則以及 Dropbox 遵守準則方式的資訊,請造訪準則的官方網站。如需更多關於歐盟雲端行為準則以及 Dropbox 遵守準則方式的資訊,請造訪準則的官方網站

雲端資料保護行為準則「第 2 級」標誌

學生及兒童 (美國家庭教育權利與隱私法和兒童在線隱私權保護法)

Dropbox 得以在遵循美國家庭教育權利與隱私法 (FERPA) 所規範的供應商義務範圍之內,提供工作團隊方案給消費者使用。教育機構也可以使用 Dropbox Standard、Advanced、Enterprise 和 Education,但必須遵循兒童線上隱私權保護法 (COPPA)。

聯邦規則彙編第 21 章第 11 條

聯邦規則彙編 (CFR) 第 21 章為食品藥物管理局 (FDA)、緝毒局與國家藥品管制政策辦公室,管制美國境內的食品與藥物。第 21 章第 11 條說明 FDA 認定電子記錄與簽章可信賴、可靠,以及基本上效力等同紙本記錄和紙本上手寫簽名所需的條件。

如欲深入瞭解 Dropbox 如何協助您符合聯邦規則彙編第 21 章第 11 條的規定,請參閱 Dropbox 與聯邦規則彙編第 21 章第 11 條白皮書說明中心文章

PCI DSS

Dropbox 遵從支付卡產業資料安全標準 (Payment Card Industry Data Security Standard,PCI DSS)。如欲索取我們的商家狀態 PCI 法規遵循聲明書 (PCI Attestation of Compliance,AoC),請洽銷售團隊支援服務 (僅供現有的 Dropbox 工作團隊方案客戶)。

我們的子業務供應商

我們的資料中心共置和管理服務供應商,也都會定期接受 SOC 1、SOC 2 和/或 ISO 27001 稽核,驗證其安全機制。根據 Dropbox 資訊安全管理計畫規定,我們每年至少會審核一次上述稽核結果,若無法提供稽核報告,則會執行廠商安全性審核。如果我們根據稽核或審核結果判斷,有證據顯示存在對 Dropbox 或客戶的威脅,我們會與服務供應商共同商討,瞭解是否有可能影響客戶資料,並追蹤供應商的補救措施,直到問題完全解決。

進一步瞭解 Dropbox 的法規遵循

您可向 Dropbox 的銷售代表支援服務 (僅供現有的 Dropbox 工作團隊方案客戶) 要求查看認證和法規遵循文件。