Dropbox Business 和 Education 遵循的標準及規範

ISO

CSA STAR

SOC

FERPA 和 COPPA

英國數位市場 G-Cloud

HIPAA / HITECH

支付卡產業資料安全標準 (PCI DSS)

歐美隱私屏盾和瑞士與美國的隱私屏盾

歐盟通用資料保護規範

國際標準組織 (ISO) 發展出一系列世界級的資訊和社會安全標準,協助企業打造可靠又創新的產品和服務。Dropbox 的資料中心、系統、應用程式、人員、和流程皆由位於荷蘭的獨立第三方 EY CertifyPoint 認證。

  • 請注意:Dropbox Paper 不包含在 ISO 認證的範圍內。

ISO 27001 (資訊安全管理)

ISO 27001 是受國際認可的首要資安管理系統 (ISMS) 認證標準。這項標準採用了詳述於 ISO 27002 中的最佳做法。為不愧於您對我們的信任,Dropbox 持續並全面妥善管理和增進我們的實體、技術和法律控制。為我們稽核的 Ernst & Young CertifyPoint,其 ISO 27001 認證是由 荷蘭認證委員會 (Dutch Accreditation Council) 所頒發。

查看 Dropbox Business 和 Education 的 ISO 27001 認證。

ISO 27017 (雲端安全)

ISO 27017 是針對雲端安全的最新國際標準,提供適用於部署和使用雲端服務的安全控制指南。我們的共同責任指南詳述了部分 Dropbox 和其客戶可以一起達成的安全,隱私、和法規遵循要求。

查看 Dropbox Business 和 Education 的 ISO 27017 認證。

ISO 27018 (雲端隱私權及資料保護)

ISO 27018 是國際隱私權及資料保護的新標準,適用於 Dropbox 這類代客戶處理私人資訊的雲端服務供應商,也讓客戶在面對一般法規及契約要求時有所根據。

查看 Dropbox Business 和 Education 的 ISO 27018 認證。

ISO 22301 (企業延續性管理)

ISO 22301 是企業延續性的國際標準,指導企業如何減輕破壞性事件的影響,以及若發生此類事件,如何適當地應對以將潛在損害降到最低。Dropbox 企業連續性管理系統 (BCMS) 是我們在危機期間,保護人員和業務的整體風險管理戰略之一。

查看 Dropbox Business 和 Education 的 ISO 22301 認證。

雲端安全聯盟 (Cloud Security Alliance):CSA STAR 認證 (Security, Trust, and Assurance Registry)

雲端 CSA STAR 認證 (CSA STAR) 免費提供大眾使用者雲端服務專用的安全性確認計畫,協助用戶瞭解他們正在使用或是評估中的雲端供應商所提供的資安防護狀況。

Dropbox Business 和 Education 已獲得 CSA STAR 2 級認證,這是根據 ISO 27001 和衡量雲端服務效能的標準 CSA 雲端控制矩陣 (CCM) v.3.0.1 的要求,由 EY CertifyPoint 針對我們的安全控制而進行的第三方獨立審查。Dropbox Business 也完成了 CSA STAR 一級自我評估,這是基於 CSA《共識評估倡議調查問卷》(CAIQ) 所建立的一份嚴格調查,與 CCM 一致,並回答雲端服務的用戶或稽核人員可能有的 300 個疑問。

在 CSA 網站上查看我們的 CSA STAR 1 級自我評估和 2 級認證 。

  • 請注意:Dropbox Paper 不包含在 CSA STAR 認證的範圍內。

SOC 報告

服務組織控制 (SOC) 報告,又稱為 SOC 1,SOC 2 或 SOC 3,是由美國註冊會計師協會 (AICPA) 建立的框架,用於報告組織內所採用的內部控制。Dropbox 已由獨立的第三方審查機構 Ernst&Young LLP 認證其操作、流程、及技術。

  • 請注意:Dropbox Paper 不包含在 SOC 報告的範圍內。

代表安全性、機密性、正直性、可用性及隱私性的 SOC 3 報告

SOC 3 確認報告涵蓋了安全性、機密性、處理正直性、可用性和隱私性五項確信服務準則 (TSP 第 100 節)。這份 Dropbox 一般性使用報告從執行層面概述了我們的 SOC 2 報告,並包含獨立第三方稽核人員對 Dropbox 控制設計和執行效力的意見。

查看 Dropbox Business 和 Education 的 SOC 3 檢驗結果。

代表安全性、機密性、正直性、可用性及隱私性的 SOC 2 報告

SOC 2 報告提供詳盡的控制保障,符合安全性、機密性、處理正直性、可用性和隱私性五項確信服務準則 (TSP 第 100 節)。SOC 2 報告詳細描述 Dropbox 的處理程序,以及超過 100 項用以保全您資訊安全的內部控制。除了獨立第三方針對設計有效性和我們內部控制運作的稽核意見之外,此報告還包括稽核人員的測試程序與每項控制的結果。如欲索取 Dropbox Business 和 Education 的 SOC 2 驗證報告,請洽銷售團隊帳戶管理團隊

SOC 1 / SSAE 16 / ISAE 3402 (前身為 SAS 70)

SOC 1 報告包括特定擔保,提供給決定以 Dropbox Business 或 Education 作為財務報告 (ICFR) 方案內部控制關鍵元素的客戶。這些特定的擔保主要提供給客戶,用以遵循沙賓法案 ( Sarbanes-Oxley,SOX) 之規範。獨立第三方稽核是按照《鑑證業務準則公告第 16 號》(Statement on Standards for Attestation Engagements No. 16,SSAE 16) 以及《鑑證業務國際準則第 3402 號》(International Standard on Assurance Engagements No. 3402,ISAE 3402) 而執行。這些標準已取代飽受批評的《審計準則公告第 70 號》(Statement on Auditing Standards No. 70,SAS 70)。如欲索取 Dropbox Business 和 Education 的 SOC 1 驗證報告,請洽銷售團隊帳戶管理團隊

學生及兒童 (美國家庭教育權利與隱私法和兒童在線隱私權保護法)

在遵循美國家庭教育權利與隱私法 (FERPA) 所規範的供應商義務範圍之下,Dropbox 得以將 Dropbox Business 和 Education 提供給消費者使用。學生年齡低於 13 歲的教育機構也可以使用 Dropbox Business 或 Education,但必須遵循兒童在線隱私權保護法 (COPPA),且必須遵從特定合約條款,並取得家長事先同意才得以使用 Dropbox 服務。

英國數位市場 G-Cloud

Dropbox Business 列於英國數位市場 (UK Digital Marketplace) 之中,屬於政府雲端服務採購的服務之一。

瀏覽我們在英國數位市場網站的刊登內容。

  • 請注意:Dropbox Paper 不包含在英國數位市場 G-Cloud 的範圍內。

HIPAA / HITECH

Dropbox 會與提出要求的 Dropbox Business、Enterprise 和 Education 客戶簽署業務合作協議 (BAA),以利客戶遵循醫療保險流通與責任法案 (HIPAA) 與經濟與臨床健康資訊科技法案 (HITECH)。

如要進一步瞭解,請參閱我們的 HIPAA 新手指南說明中心文章

Dropbox 為想要在使用 Dropbox Business、Enterprise 和 Education 時符合 HIPPA/HITECH 安全及隱私規則的客戶,提供第三方評估我們對 HIPPA/HITECH 安全性的控制、隱私、和資訊外洩通知規則後所產生的確認報告,以及詳細的 Dropbox 內部作業和建議說明。

客戶若想索取這些說明文件,請聯絡我們的銷售團隊帳戶管理團隊。如果您是 Dropbox Business、Enterprise 或 Education 的工作團隊管理員,可以前往 [管理員主控台] 中的 [帳戶] 頁面,電子簽署業務合作協議。

提醒必須遵守 HIPAA/HITECH 的客戶:在您將 PHI 移轉到您的 Dropbox 帳戶前,請務必簽署業務合作協議。如要進一步瞭解購買 Dropbox Business 的相關資訊,請聯絡我們的銷售團隊。或者,若您目前是 Dropbox Business、Enterprise 或 Education 的工作團隊管理員,可以前往 [管理員主控台] 中的 [帳戶] 頁面,電子簽署業務合作協議。

請注意:只有居住在美國,且未使用 Dropbox Paper 的使用者,可以透過管理員主控台簽署電子 BAA。Dropbox 不會協助 Dropbox Paper 使用者符合 HIPAA/HITECH 的法規需求。

支付卡產業資料安全標準 (PCI DSS)

Dropbox 是符合支付卡產業資料安全標準 (PCI DSS) 的商業單位。然而,Dropbox Business、Education 和 Dropbox Paper 並不經手或儲存信用卡交易內容。如欲索取我們的商家狀態 PCI 合規聲明書 (PCI Attestation of Compliance,AoC),請洽銷售團隊帳戶管理團隊

歐美隱私屏盾和瑞士與美國的隱私屏盾

Dropbox 遵循美國商務部就使用者蒐集、利用和保留由歐盟、歐洲經濟區、及瑞士移轉至美國的個人資訊而列明的歐美和瑞士與美國的隱私屏盾架構。遵守隱私屏盾準則確保公司對隱私權提供的防護,符合歐盟資料保護指令。

查看 Dropbox 的隱私屏盾認證,或前往隱私屏盾網站瞭解詳情。

歐盟通用資料保護規範 (GDPR)

通用資料保護規範 2016/679 (簡稱 GDPR) 是歐盟制定的法規,為歐盟境內個人資料處理的現行架構帶來重大變革。GDPR 訂立一系列新版或加強版規定,用以規範 Dropbox 這類處理個人資料的公司。規範將於 2018 年 5 月 25 日生效,取代現行的歐盟指令 95/46 EC (一般稱為「資料保護指令」)。就像所有負責的企業一樣,Dropbox 正持續制定、執行內部詳細的 GDPR 遵循方案,並將於 2018 年 5 月 25 日前達成完全符合規範的狀態。進一步瞭解 Dropbox 和歐盟通用資料保護規範。

這篇文章有回答您的問題嗎?

我們覺得很遺憾。若有什麼可以改善的地方,請告訴我們:

感謝您的意見。

社群答案
    社群答案

      Other ways to get help

      社群

      Twitter 支援服務

      指引協助