Overholdelse af standarder og regler

Person taster ved et skrivebord med en computerskærm, der viser et stort flueben

ISO-certificeringer

ISO (International Organization for Standardization) har udformet en række globale standarder vedrørende informations- og samfundsmæssig sikkerhed for at hjælpe organisationer med at udvikle nyskabende produkter og tjenester. Dropbox har fået certificeret sine datacentre, systemer, programmer, medarbejdere og processer gennem en række auditeringer foretaget af en uafhængig part, nederlandske EY CertifyPoint.

ISO 27001 (styring af informationssikkerhed)

ISO 27001 anses for at være den bedste standard for styringssystemer til informationssikkerhed (ISMS) i hele verden. Standarderne implementerer desuden den bedste praksis for sikkerhed, der er beskrevet i ISO 27002. Hos Dropbox håndterer og forbedrer vi løbende og bredt vores fysiske, tekniske og juridiske kontrolforanstaltninger for at gøre os fortjent til din tillid. Vores auditør, EY CertifyPoint, har opnået sin ISO 27001-akkreditering hos Raad voor Accreditatie (det nederlandske akkrediteringsråd). Se ISO 27001-certifikatet for Dropbox Standard, Advanced, Enterprise og Education.

ISO 27017 (cloudbaseret sikkerhed)

ISO 27017 er en international standard for cloudsikkerhed, der indeholder retningslinjer for sikkerhedsforanstaltninger i forbindelse med levering og brug af cloudtjenester. I vores vejledning om fælles ansvar, Vejledning til fælles ansvar, beskrives nogle af de krav til sikkerhed, beskyttelse af personlige oplysninger og overholdelse af regler og bestemmelser, som Dropbox og Dropbox' kunder sammen kan opfylde. Se ISO 27017-certifikatet for Dropbox Standard, Advanced, Enterprise og Education.

ISO 27018 (beskyttelse af cloudbaserede personlige oplysninger og andre data)

ISO 27018 er en international standard for beskyttelse af data og personlige oplysninger. Standarden finder anvendelse for udbydere af cloudtjenester som Dropbox, der behandler personlige oplysninger på vegne af deres kunder, og udgør grundlaget for vores kunders almindelige krav og spørgsmål i forbindelse med lovgivningsmæssige eller kontraktmæssige forhold. Se ISO 27018-certifikatet for Dropbox Standard, Advanced, Enterprise og Education.

ISO 22301 (styring af forretningens videreførelse)

ISO 22301 er en international standard for forretningens videreførelse, der vejleder organisationer om, hvordan de kan mindske virkningen af forstyrrende hændelser og reagere på dem, hvis de opstår, ved at begrænse den potentielle skadevirkning. Administrationssystemet til forretningens videreførsel til Dropbox Business (BCMS) indgår i vores samlede risikostyringsstrategi for beskyttelse af personer og drift på kritiske tidspunkter. Se ISO 22301-certifikatet for Dropbox Standard, Advanced, Enterprise og Education.

ISO 27701 (styring af informationssikkerhed)

ISO 27701 er en international standard for administration af persondata. Standarden giver en ramme til forbedring og udvidelse af systemet til sikkerhedsadministration under ISO 27001 til et system til administration af persondata (PIMS). Dropbox har modtaget denne certificering som PII-behandler. Se ISO 27701-certifikatet for Dropbox Standard, Advanced, Enterprise og Education.

SOC-rapporter

SOC-rapporterne (Service Organization Controls), der kaldes SOC 1, SOC 2 og SOC 3, er rammer, som er fastlagt af AICPA (American Institute of Certified Public Accountants) og har til formål at rapportere om de interne kontrolforanstaltninger, der er implementeret i en organisation. Dropbox har valideret sine systemer, programmer, medarbejdere og processer gennem en række auditeringer, foretaget af en uafhængig tredjepart, Ernst & Young LLP.

SOC 3 for sikkerhed, fortrolighed, integritet, tilgængelighed og persondata

SOC 3-sikkerhedsrapporten dækker alle fem kriterier for troværdige tjenester: Sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). Dropbox-rapporten til generel brug er et ledelsesresumé af SOC 2-rapporten og omfatter den uafhængige tredjepartsrevisors udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift. Se SOC 3-undersøgelsen til Dropbox Standard, Advanced, Enterprise og Education.

SOC 2 for sikkerhed, fortrolighed, integritet, tilgængelighed og persondata

SOC 2-rapporten giver kunder et detaljeret niveau af sikkerhed baseret på kontrolforanstaltninger, der dækker alle fem kriterier for troværdige tjenester: Sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og beskyttelse af personlige oplysninger (beskrevet i afsnit 100). SOC 2-rapporten indeholder en detaljeret beskrivelse af Dropbox' processer og de mere end 100 kontrolforanstaltninger, der er indført for at beskytte dine ting. Ud over vores uafhængige tredjepartsauditørs udtalelse om effektiviteten af vores kontrolforanstaltningers design og drift indeholder rapporten auditørens testprocedurer og resultater for samtlige kontrolforanstaltninger. Vores SOC 2-rapport (undertiden benævnt som SOC 2+-rapport) indeholder også en auditeret kortlægning af vores kontrolforanstaltninger for ovennævnte ISO-standarder, så vores kunder oplever yderligere gennemsigtighed. SOC 2-rapporten dækker Dropbox Standard, Advanced, Enterprise og Education. SOC 2-rapporten kan downloades i Dropbox Trust Center.

SOC 1/SSAE 18/ISAE 3402 (tidligere SSAE 16 eller SAS 70)

SOC 1-rapporten giver specifikke forsikringer til kunder, der anser Dropbox for at være et hovedelement i deres interne kontrol over økonomisk rapportering (ICFR – Internal Controls over Financial Reporting). Disse specifikke forsikringers primære formål er at sørge for, at vores kunder overholder Sarbanes-Oxley Act (SOX). Den uafhængige tredjepartsaudit udføres i overensstemmelse med Statement on Standards for Attestation Engagements No. 18 (SSAE 18) og International Standard on Assurance Engagements No. 3402 (ISAE 3402). Disse standarder har erstattet de forældede Statement on Standards for Attestation Engagement No.16 (SSAE 16) og Statement on Auditing Standards No. 70 (SAS 70). SOC 1-rapporten dækker Dropbox Standard, Advanced, Enterprise og Education. SOC 1-rapporten kan downloades i Dropbox Trust Center.

CSA STAR-registeret: (Cloud Security Alliance, Security, Trust, Assurance, Risk)

CSA STAR-registeret (Security, Trust, Assurance, and Risk) er en gratis, offentligt tilgængelig registreringsdatabase, der tilbyder et program til sikring af sikkerheden i forbindelse med cloudtjenester, som hjælper brugerne med at vurdere sikkerheden hos de cloududbydere, de benytter eller overvejer at indgå en aftale med.

Dropbox Standard, Advanced, Enterprise og Education har modtaget både CSA STAR Level 2-certificering og Level 2-godkendelse. CSA STAR Level 2 kræver en uafhængig tredjepartsvurdering af vores sikkerhedsforanstaltninger, udført af EY CertifyPoint (certificering) og Ernst & Young LLP (attestering), ud fra kravene i ISO 27001, SOC 2 Trust Service Criteria og CSA Cloud Controls Matrix (CCM) v3.0.1. Se vores CSA STAR Level 2-certificering og -attestering på CSA's website.

HIPAA/HITECH

Dropbox vil underskrive en forretningspartneraftale med de Dropbox Standard-, Advanced-, Enterprise- eller Education-kunder, som skal bruge en aftale for at overholde HIPAA-loven (Health Insurance Portability and Accountability Act) og HITECH-loven (Health Information Technology for Economic and Clinical Health Act). Du finder yderligere oplysninger i vores vejledning “Getting started with HIPAA” og i vores hjælpecenterartikel.

Dropbox stiller en SOC 2-undersøgelse til rådighed, der evaluerer vores kontroller for HIPAA/HITECH-reglerne om sikkerhed, beskyttelse af personlige oplysninger og anmeldelse af brud, samt en kortlægning af vores interne praksis og anbefalinger til kunder, der ønsker at opfylde kravene i HIPAA/HITECH-reglerne om sikkerhed og beskyttelse af personlige oplysninger med Dropbox Standard, Advanced, Enterprise og Education.

De kunder, der er interesseret i de pågældende dokumenter, kan få adgang til dem i Dropbox Trust Center. Hvis du er administrator for et Dropbox-team, kan du underskrive en forretningspartneraftale elektronisk på siden Konto i administratorpanelet.

Bemærk! Muligheden for at signere en elektronisk BAA fra Administratorkonsollen kun er tilgængelige for kunder i USA.

NIST SP 800-171 R2-Attestationsrapport

Det amerikanske National Institute of Standards and Technology (NIST) fremmer og vedligeholder standarder og retningslinjer for at beskytte informationssystemer. NIST Special Publication (SP) 800-171 Revision 2 (R2) indeholder retningslinjer for beskyttelse af kontrolleret uklassificeret information (CUI) i ikke-føderale informationssystemer og organisationer. Enhver enhed, der behandler eller opbevarer amerikansk stats CUI, såsom forskningsinstitutioner og uddannelsessektoren, skal overholde NIST SP 800-171 R2. Dropbox's CUI-systemer, processer og kontroller blev valideret af en uafhængig tredjepartsrevisor, Ernst & Young LLP.

NIST SP 800-171 R2-rapporten for Dropbox Standard, Advanced, Enterprise og Education er integreret i SOC 2-rapporten, som kan fås i Dropbox Trust Center.

* Dropbox Paper er ikke inkluderet i NIST SP 800-171 R2-rapporten.

Rammen for databeskyttelse for EU og USA, den britiske udvidelse af rammen for databeskyttelse for EU og USA samt rammen for databeskyttelse for Schweiz og USA

Dropbox overholder rammen for databeskyttelse for EU og USA, den britiske udvidelse af rammen for databeskyttelse for EU og USA samt rammen for databeskyttelse for Schweiz og USA som fastsat af det amerikanske handelsministerium vedrørende indsamling, brug og opbevaring af persondata, der overføres fra EU, Storbritannien og Schweiz til USA. Når en organisation overholder principperne i rammen for databeskyttelse, sikres det, at organisationen giver tilstrækkelig beskyttelse af personoplysninger i henhold til GDPR.

Du kan se Dropbox' certificering inden for programmet til værn om privatlivets fred og få mere at vide på webstedet for programmet til værn om privatlivets fred.

EU's generelle forordning om databeskyttelse (GDPR)

EU's generelle forordning om databeskyttelse 2016/679 (GDPR, General Data Protection Regulation) ændrede de tidligere regler for behandling af personligoplysninger om fysiske personer i EU markant. GDPR introducerede en række nye og udvidede krav, der gælder for virksomheder som Dropbox, der behandler personoplysninger. GDPR trådte i kraft den 25. maj 2018 som erstatning for EU-direktiv 95/46/EF, bedre kendt som databeskyttelsesdirektivet. Dropbox har implementeret GDPR, så kunder kan benytte Dropbox til at facilitere deres egen efterlevelse af GDPR. Du finder flere oplysninger i denne artikel i vores Hjælpecenter.

EU Cloud Code of Conduct

EU Cloud Code of Conduct er en frivillig ordning, der giver udbydere af cloudtjenester, som f.eks. som Dropbox, mulighed for at vise vores vilje til at overholde Databeskyttelsesforordningen. Efter den positive udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB) blev EU's Sky Code of Conduct officielt godkendt af den belgiske databeskyttelsesmyndighed i maj 2021 (Verifikations-id: 2022LVL02SCOPE3114). Dropbox' Standard-, Advanced-, Enterprise- og Education-planer for teams er blevet erklæret i overensstemmelse med EU Cloud Code of Conduct og fik overholdelsesvurderingen “Niveau 2,” hvilket betyder, at disse tjenester har tekniske, organisatoriske og kontraktmæssige foranstaltninger implementeret i overensstemmelse med kravene i EU Cloud Code of Conduct. Du kan finde flere oplysninger om EU Cloud Code of Conduct og Dropbox' overholdelse af dette adfærdskodeks på EU Cloud Code of Conducts officielle website.

Logo for Code of Conduct-beskyttelsesniveau 2 for data i skyen

Studerende og børn (FERPA og COPPA)

Dropbox tillader kunder at benytte tjenesterne i overensstemmelse med de udbyderforpligtelser, der er pålagt af US Family Education Rights and Privacy Act (FERPA). Uddannelsesinstitutioner må kun bruge Dropbox Standard, Advanced, Enterprise og Education i overensstemmelse med Children's Online Privacy Protection Act (COPPA). 

FDA 21 CFR Del 11

Afsnit 21 i Code of Federal Regulations (CFR) regulerer mad og medicin i USA for Food and Drug Administration (FDA), Drug Enforcement Administration og Office of National Drug Control Policy. Del 11 i sektion 21 angiver kriterierne, hvormed FDA anser elektroniske poster og underskrifter for at være troværdige, pålidelige og svarende til papirposter og håndskrevne underskrifter på papir.  

Se vores hvidbog Dropbox og FDA 21 CFR del 11 samt vores artikel i hjælpecenteret, som indeholder flere oplysninger om, hvordan Dropbox kan hjælpe med at overholde standarderne i 21 CFR del 11.

PCI DSS

Dropbox overholder Payment Card Industry Data Security Standard (PCI DSS). Beviset for vores overholdelse af PCI som forhandler kan fås i Dropbox Trust Center.

Vores underleverandører

Vores leverandører af datacenter og administreret service undergår også regelmæssige SOC 1-, SOC 2- og/eller ISO 27001-audits for at verificere deres sikkerhedspraksis. Dropbox gennemgår resultaterne af disse audits mindst én gang årligt som en del af vores program for informationssikkerhedsstyring. Hvis der ikke foreligger en auditrapport for en specifik leverandør, evaluerer Dropbox leverandørens sikkerhed. Hvis de aktuelle audits og evalueringer afslører væsentlige problemer, som vi vurderer udgør en risiko for Dropbox eller vores kunder, fastslår vi den potentielle betydning for kundedata i fællesskab med underleverandøren og følger bestræbelserne på at finde en løsning, indtil problemet er løst.

Flere oplysninger om compliance for Dropbox

Man kan få adgang til compliance- og certificeringsdokumenter i Dropbox Trust Center.