Einhaltung von Normen und Vorschriften

ISO-Zertifizierungen

Die Internationale Organisation für Normung (ISO) hat eine Reihe von weltweit anerkannten Standards für die Sicherheit von Informationen und Gesellschaft ausgearbeitet, die Unternehmen dabei helfen sollen, zuverlässige und innovative Produkte und Dienstleistungen zu entwickeln. Dropbox hat seine Rechenzentren, Systeme, Anwendungen, Mitarbeiter und Prozesse im Rahmen einer Reihe von Audits durch eine unabhängige Drittpartei, das in den Niederlanden ansässige Unternehmen EY CertifyPoint, zertifizieren lassen.

ISO 27001 (Informationssicherheitsmanagement)

ISO 27001 ist weltweit als wichtigste Norm für Managementsysteme für Informationssicherheit (ISMS) anerkannt. Darüber hinaus umfasst diese Norm die Best Practices für Sicherheit, die bereits in der Norm ISO 27002 ausgeführt sind. Wir halten unsere umfassenden physischen, technischen und rechtlichen Bestimmungen und Maßnahmen bei Dropbox immer auf dem neuesten Stand und verbessern sie immer weiter, damit wir uns des Vertrauens, das Sie uns entgegenbringen, auch wirklich würdig erweisen. EY CertifyPoint, unser Auditor, ist durch den Raad voor Accreditatie (den niederländischen Zertifizierungsrat) nach ISO 27001 zertifiziert. Sehen Sie sich das ISO 27001-Zertifikat für Dropbox Standard, Advanced, Enterprise und Education an.

ISO 27017 (Cloud-Sicherheit)

ISO 27017 ist ein internationaler Standard für Cloudsicherheit, der einen Leitfaden für die Sicherheitsaspekte bietet, die bei der Bereitstellung und Nutzung von Cloud-Diensten zu berücksichtigen sind. In unserem Leitfaden zur gemeinsamen Verantwortung (Shared Responsibility Guide) erklären wir verschiedene Einzelheiten der Sicherheits-, Datenschutz- und Compliance-Anforderungen, denen Dropbox gemeinsam mit seinen Kunden Folge leisten kann. Sehen Sie sich das ISO 27017-Zertifikat für Dropbox Standard, Advanced, Enterprise und Education an.

ISO 27018 (Datenschutz und Datensicherheit in der Cloud)

ISO 27018 ist ein internationaler Standard für Datenschutz und Datensicherheit, der sich speziell an Serviceanbieter wie Dropbox richtet, die in der Cloud arbeiten und im Auftrag ihrer Kunden vertrauliche Daten verarbeiten. Dieser Standard bietet Kunden eine Grundlage hinsichtlich grundsätzlicher Richtlinien- und Vertragsanforderungen oder Fragen zu diesem Thema. Sehen Sie sich das ISO 27018-Zertifikat für Dropbox Standard, Advanced, Enterprise und Education an.

ISO 22301 (Betriebliche Kontinuität)

ISO 22301 ist ein internationaler Standard für betriebliche Kontinuität. Er dient Unternehmen als Leitfaden zur Frage, wie sie die Auswirkungen von Störfällen verringern und angemessen darauf reagieren können, um den potenziellen Schaden auf ein Minimum zu begrenzen. Das Business Continuity Management System (BCMS) von Dropbox ist Teil unserer allgemeinen Risikomanagementstrategie zum Schutz von Personen und Betriebsabläufen in Krisenfällen. Sehen Sie sich das ISO 22301-Zertifikat für Dropbox Standard, Advanced, Enterprise und Education an.

ISO 27701 (Datenschutz-Informationsmanagement)

ISO 27701 ist eine internationale Norm für Datenschutz-Informationsmanagement. Sie bietet einen Rahmen zur Erweiterung von Information Security Management Systems unter ISO 27001 auf ein Privacy Information Management System (PIMS). Dropbox hat diese Zertifizierung als Verarbeiter personenbezogener Daten erhalten. Sehen Sie sich das ISO 27701-Zertifikat für Dropbox Standard, Advanced, Enterprise und Education an.

SOC-Berichte

Die vom amerikanischen Wirtschaftsprüferverband AICPA (American Institute of Certified Public Accountants) entwickelten Service Organization Controls (SOC)-Berichte, bekannt als SOC 1, SOC 2 und SOC 3, liefern Vorgaben für die Dokumentation von internen Kontrollmechanismen eines Unternehmens. Dropbox hat seine Systeme, Anwendungen, Mitarbeiter und Prozesse im Rahmen einer Reihe von Audits durch eine unabhängige Drittpartei, Ernst & Young LLP, prüfen lassen.

SOC 3 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 3-Prüfbericht umfasst die fünf Trust Criteria: Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz (TSP-Abschnitt 100). Der Dropbox-Bericht zur allgemeinen Verwendung ist eine Kurzfassung unseres SOC 2-Berichts und enthält eine Bewertung durch unseren externen Auditor hinsichtlich der effektiven Entwicklung und Umsetzung unserer Kontrollmechanismen. Sehen Sie sich die SOC 3-Prüfung für Dropbox Standard, Advanced, Enterprise und Education an.

SOC 2 für Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz

Der SOC 2-Bericht bietet unseren Kunden einen detaillierten Sicherheitsnachweis unserer Kontrollmechanismen und umfasst die fünf Trust Service Criteria: Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz (TSP-Abschnitt 100). Der SOC 2-Bericht enthält eine detaillierte Beschreibung der Prozesse von Dropbox und der mehr als 100 Kontrollmechanismen, die wir zum Schutz Ihrer Dateien einsetzen. Neben der unabhängigen Bewertung durch unseren externen Auditor hinsichtlich der effektiven Entwicklung und Umsetzung unserer Kontrollmechanismen befasst sich dieser Bericht auch mit den Prüfvorgängen und Ergebnissen des Auditors hinsichtlich der einzelnen Kontrollmechanismen. Zusätzliche Transparenz bietet der SOC 2-Bericht (manchmal auch SOC 2+ genannt) außerdem durch eine Audit-geprüfte Gegenüberstellung unserer Kontrollmechanismen mit den zuvor erwähnten ISO-Normen. Der SOC 2-Bericht umfasst Dropbox Standard, Advanced, Enterprise und Education. Der SOC 2-Bericht kann im Trust Center von Dropbox heruntergeladen werden.

SOC 1/SSAE 18/ISAE 3402 (ehemals SSAE 16 bzw. SAS 70)

Der SOC 1-Bericht bietet spezifische Zusicherungen für Kunden, die feststellen, dass Dropbox ein Schlüsselelement ihres ICFR-Programms (Internal Controls Over Financial Reporting) ist. Diese spezifischen Sicherheitsnachweise dienen vornehmlich der Konformität unserer Kunden mit dem US-amerikanischen Sarbanes-Oxley Act (SOX). Die Prüfung erfolgt durch eine unabhängige Organisation und in Übereinstimmung mit den Prüfungsgrundlagen der Normen SSAE 18 (Statement on Standards for Attestation Engagements No. 18) und ISAE 3402 (International Standard on Assurance Engagements No. 3402). Diese Normen ersetzen die veralteten Statement on Standards for Attestation Engagement No. 16 (SSAE 16) und Statement on Auditing Standards No. 70 (SAS 70). Der SOC 1-Bericht deckt Dropbox Standard, Advanced, Enterprise und Education ab.  Der SOC 1-Bericht kann im Trust Center von Dropbox heruntergeladen werden.

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

CSA Security, Trust, Assurance und Risk (STAR) Registry ist ein kostenloses und öffentlich zugängliches Verzeichnis, das ein Sicherheitsnachweis-Programm für Cloud-Dienste anbietet. Dies soll Nutzern dabei helfen, die Sicherheitsstandards der Anbieter besser einzuschätzen, die sie aktuell verwenden oder deren Dienste sie in Zukunft eventuell nutzen möchten.

Dropbox Standard, Advanced, Enterprise und Education haben sowohl die CSA STAR Level 2-Zertifizierung als auch die Level 2-Bescheinigung erhalten. CSA STAR Level 2 umfasst eine von unabhängigen Dritten ausgeführte Überprüfung unserer Sicherheitsmechanismen von EY CertifyPoint (zur Zertifizierung) und Ernst & Young LLP (als Nachweis) auf die Einhaltung der ISO 27001-Standards, der SOC 2 Trust Service Criteria und der CSA Cloud Controls Matrix (CCM) Version 3.0.1. Unsere Zertifizierung und STAR Attestation nach CSA STAR Level 2 finden Sie auf der CSA-Website.

HIPAA/HITECH

Dropbox unterzeichnet Business Associate Agreements (BAAs) mit Dropbox Standard-, Advanced-, Enterprise- und Education-Kunden, die diese benötigen, um den Health Insurance Portability and Accountability Act (HIPAA) und den Health Information Technology for Economic and Clinical Health Act (HITECH) einzuhalten. Lesen Sie hierzu unseren Leitfaden „Erste Schritte mit HIPAA“ und unseren Artikel im Hilfecenter.

Dropbox stellt eine SOC 2-Prüfung zur Verfügung, die unsere Kontrollen für die HIPAA/HITECH-Regeln für Sicherheit, Datenschutz und Benachrichtigung bei Verstößen bewertet, sowie eine Abbildung unserer internen Praktiken und Empfehlungen für Kunden, die die HIPAA/HITECH-Regeln und Anforderungen für Sicherheit und Datenschutz mit Dropbox Standard, Advanced, Enterprise und Education erfüllen möchten.

Bei Interesse an diesen Dokument können unsere Kunden sie im Trust Center von Dropbox herunterladen. Wenn Sie derzeit ein Team-Admin für Dropbox sind, können Sie eine BAA elektronisch über die Kontoseite in der Verwaltungskonsole unterzeichnen.

Hinweis: Nur Kunden mit Wohnsitz in den USA können über die Verwaltungskonsole einen elektronischen Geschäftspartnervertrag (BAA) unterzeichnen.

NIST SP 800-171 R2-Anforderungskatalog

Das U.S. National Institute of Standards and Technology (NIST) fördert und pflegt Standards und Richtlinien zum Schutz von Informationssystemen. Die NIST Special Publication (SP) 800-171 Revision 2 (R2), enthält Richtlinien zum Schutz von Controlled Unclassified Information (eingeschränkt zugängliche Informationen, CUI) in nicht behördlichen Informationssystemen und Unternehmen. Jede Einrichtung, die CUI der U.S.-Regierung verarbeitet oder speichert, wie Forschungseinrichtungen und der Bildungssektor, müssen die NIST SP 800-171 R2 einhalten. Die CUI-Systeme, -Prozesse und -Kontrollmechanismen von Dropbox wurden von der unabhängigen Wirtschaftsprüfungsgesellschaft Ernst & Young LLP auditiert.

Der NIST SP 800-171 R2-Bericht für Dropbox Standard, Advanced, Enterprise und Education ist in den SOC 2-Bericht integriert und kann im Trust Center von Dropbox heruntergeladen werden.

* Dropbox Paper ist nicht Teil des NIST SP 800-171 R2-Berichts.

Der Datenschutzrahmen EU-USA, die Erweiterung des Datenschutzrahmens EU-USA für das Vereinigte Königreich und der Datenschutzrahmen Schweiz-USA

In Bezug auf die Erfassung, Verwendung und Speicherung personenbezogener Daten, die aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz in die USA übertragen werden, folgt Dropbox den Bestimmungen des Datenschutzrahmens EU-USA, der Erweiterung des Datenschutzrahmens EU-USA für das Vereinigte Königreich und dem Datenschutzrahmen Schweiz-USA. Durch die Einhaltung der Grundsätze des Datenschutzrahmens kann ein Unternehmen einen angemessenen Schutz der Privatsphäre gemäß DSGVO gewährleisten.

Die Datenschutzrahmen-Zertifizierung von Dropbox finden Sie hier. Mehr Informationen erhalten Sie auf der Website zum Datenschutzrahmen.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung 2016/679 oder EU-DSGVO ist eine Verordnung der Europäischen Union, mit der wichtige Änderungen an der bislang geltenden EU-Richtlinie für die Verarbeitung personenbezogener Daten von EU-Bürgern umgesetzt wurden. Die EU-DSGVO hat eine Reihe neuer oder nachgebesserter Bestimmungen für Unternehmen eingeführt, die wie Dropbox personenbezogene Daten ihrer Kunden handhaben. Die EU-DSGVO ist am 25. Mai 2018 in Kraft getreten und ersetzt die aktuelle EU-Datenschutzrichtlinie 95/46/EG. Dropbox ist DSGVO-konform und erleichtert seinen Kunden somit die Einhaltung der DSGVO. Weitere Informationen dazu finden Sie in diesem Artikel im Hilfecenter.

EU Cloud Verhaltenskodex

Der EU Cloud-Verhaltenskodex ist ein freiwilliges Mittel, mit dem ein Cloud-Dienstanbieter wie Dropbox sein Engagement für die Einhaltung der DSGVO unter Beweis stellen kann. Nach der positiven Stellungnahme des Europäischen Datenschutzausschusses (EDSA) wurde der EU Cloud-Verhaltenskodex im Mai 2021 offiziell von der belgischen Datenschutzbehörde genehmigt (Verifizierungs-ID: 2022LVL02SCOPE3114). Die Dropbox-Abos „Standard“, „Advanced“, „Enterprise“ und „Education“ für Teams wurden als konform mit dem EU-Cloud-Verhaltenskodex erklärt und erhielten das Compliance-Zeichen „Level 2“, was bedeutet, dass diese Dienste technische, organisatorische und vertragliche Maßnahmen implementiert haben und den Anforderungen des Kodex entsprechen. Mehr über die Compliance von Dropbox hinsichtlich des EU Cloud-Verhaltenskodex erfahren Sie auf der offiziellen Webseite des Kodex.

FDA 21 CFR Part 11

Title 21 des Code of Federal Regulations (CFR) regelt Lebensmittel und Arzneimittel innerhalb der USA für die Food and Drug Administration (FDA), die Drug Enforcement Administration und die Office of National Drug Control Policy. Teil 11 von Titel 21 legt die Kriterien fest, nach denen die FDA elektronische Dokumente und Signaturen als vertrauenswürdig, zuverlässig und im Allgemeinen gleichwertig zu Papierdokumenten und handschriftlichen Unterschriften auf Papier betrachtet.  

In unserem Whitepaper Dropbox und FDA 21 CFR Teil 11 und diesem Hilfecenter-Artikel erfahren Sie mehr darüber, wie Dropbox Sie bei der Einhaltung der Vorgaben aus 21 CFR Teil 11 unterstützt.

PCI DSS

Dropbox hält als Händler den Payment Card Industry Data Security Standard (PCI DSS) ein. Die PCI Attestation of Compliance (AoC) für unseren Händlerstatus kann im Trust Center von Dropbox heruntergeladen werden.

Weiterführende Informationen zur Compliance bei Dropbox

Auf die Compliance- und Zertifizierungsdokumente kann im Trust Center von Dropbox von zugegriffen werden.