Conformidad con estándares y normativas

Certificaciones ISO

La Organización Internacional para la Normalización (ISO) ha desarrollado una serie de normas internacionales en materia de información y seguridad social para ayudar a las organizaciones a desarrollar productos y servicios fiables e innovadores. Dropbox ha obtenido la certificación de sus centros de datos, sistemas, aplicaciones, personas y procesos a través de una serie de auditorías realizadas por un auditor externo independiente, EY CertifyPoint, con sede en los Países Bajos.

ISO 27001 (gestión de la seguridad de la información)

La ISO 27001 está reconocida como la principal norma mundial de sistemas de gestión de la seguridad de la información (ISMS). La norma también utiliza las prácticas en materia de seguridad detalladas en la ISO 27002. En Dropbox queremos ser dignos de tu confianza y, por eso, no cesamos de gestionar y mejorar nuestros controles físicos, técnicos y legales a todos los niveles. Nuestro auditor, EY CertifyPoint, conserva su acreditación ISO 27001 por parte de la Raad voor Accreditatie (Consejo de acreditación holandés). Consulta la certificación ISO 27001 de Dropbox Standard, Advanced, Enterprise y Education.

ISO 27017 (seguridad en la nube)

ISO 27017 es una norma internacional en materia de seguridad en la nube que ofrece directrices para controles de seguridad aplicables a la provisión y al uso de servicios en la nube. En nuestra guía de responsabilidad compartida se explican los requisitos de seguridad, privacidad y cumplimiento que Dropbox y sus clientes pueden resolver juntos. Consulta la certificación ISO 27017 de Dropbox Standard, Advanced, Enterprise y Education.

ISO 27018 (protección de datos y privacidad en la nube)

ISO 27018 es una norma internacional relativa a la protección de datos y privacidad que deben cumplir los proveedores de servicios en la nube, como Dropbox, que procesan información personal en nombre de sus clientes. Esta norma ofrece un marco en el cual los clientes abordan sus requisitos comunes reglamentarios y contractuales o sus dudas. Consulta la certificación ISO 27018 de Dropbox Standard, Advanced, Enterprise y Education.

ISO 22301 (gestión de la continuidad de negocio)

ISO 22301 es una norma internacional de continuidad de negocio que ayuda a las organizaciones a reducir el impacto de episodios perjudiciales y a responder a ellos de manera adecuada si estos ocurrieran minimizando daños potenciales. El sistema de gestión de continuidad del negocio de Dropbox Business (BCMS) es parte de nuestra estrategia general de gestión de riesgos para proteger a los usuarios y la actividad durante épocas de crisis. Consulta la certificación ISO 22301 de Dropbox Standard, Advanced, Enterprise y Education.

ISO 27701 (gestión de la privacidad de la información)

ISO 27701 es una norma internacional para la gestión de información privada. Esta norma ofrece un marco de trabajo para mejorar y ampliar el sistema de gestión de la seguridad de la información de conformidad con la ISO 27001 a un sistema de gestión de la información de privacidad (PIMS). Dropbox ha recibido su certificación como procesador de información de identificación personal (PII). Consulta la certificación ISO 27701 de Dropbox Standard, Advanced, Enterprise y Education.

Informes SOC

Los Informes de Control de empresas de servicio (SOC), conocidos como SOC 1, SOC 2 y SOC 3, son marcos definidos por el American Institute of Certified Public Accountants (AICPA) para generar informes sobre los controles internos implementados en una organización. Dropbox ha validado sus sistemas, aplicaciones, personas y procesos a través de una serie de auditorías realizadas por un auditor externo independiente, Ernst & Young LLP.

SOC 3 para seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe de garantía SOC 3 incluye los cinco criterios de confianza en materia de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad (TSP sección 100). El informe de uso general de Dropbox es un resumen ejecutivo del informe SOC 2 e incluye la opinión del auditor independiente sobre el diseño y el funcionamiento eficaces de nuestros controles. Consulta el informe SOC 3 de Dropbox Standard, Advanced, Enterprise y Education.

SOC 2 para seguridad, confidencialidad, integridad, disponibilidad y privacidad

El informe SOC 2 ofrece a los clientes un nivel detallado de garantía basada en controles, que incluye los cinco criterios de servicios de confianza en materia de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad (TSP, sección 100). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox y los más de 100 controles establecidos para proteger tus datos. Además de la opinión de nuestro auditor independiente sobre el diseño eficaz y el funcionamiento de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. Nuestro informe SOC 2 (al que a veces nos referimos como informe SOC 2+) también incluye una asignación auditada de nuestros controles a las normas ISO mencionadas previamente, lo que proporciona transparencia adicional a nuestros clientes. El informe SOC 2 abarca Dropbox Standard, Advanced, Enterprise y Education. El informe SOC 2 se puede descargar desde el centro de confianza de Dropbox.

SOC 1 / SSAE 18 / ISAE 3402 (antes SSAE 16 o SAS 70)

El informe SOC 1 proporciona garantías específicas a los clientes que determinan que Dropbox es un elemento clave de sus controles internos sobre el programa de información financiera (ICFR). Estas garantías específicas se usan esencialmente para el cumplimiento de la ley Sarbanes-Oxley (SOX) por parte de nuestros clientes. La auditoría independiente se lleva a cabo de acuerdo con las normas Statement on Standards for Attestation Engagements N.º 18 (SSAE 18) e International Standard on Assurance Engagements N.º 3402 (ISAE 3402). Estas normas sustituyen a la norma anterior Statement on Standards for Attestation Engagement No. 16 (SSAE 16) y Statement on Auditing Standards No. 70 (SAS 70). El informe SOC 1 abarca Dropbox Standard, Advanced, Enterprise y Education. El informe SOC 1 se puede descargar desde el centro de confianza de Dropbox.

Registro de Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR)

El Registro de seguridad, confianza y riesgo (STAR) de la CSA es un registro gratuito de acceso público que ofrece un programa de garantía de seguridad para servicios en la nube, lo que ayuda a los usuarios a evaluar la seguridad de los proveedores de servicios en la nube que utilizan actualmente o que se están planteando contratar.

Dropbox Standard, Advanced, Enterprise y Education han recibido la Certificación CSA STAR Nivel 2 y la Evaluación a Nivel 2. CSA STAR Nivel 2 requiere una evaluación independiente de terceros de nuestros controles de seguridad por EY CertifyPoint (para la Certificación) y Ernst & Young LLP (para la Atestación), basada en los requisitos de ISO 27001, SOC 2 Trust Service Criteria y CSA Cloud Controls Matrix (CCM) v.3.0.1. Consulta nuestra certificación y atestación CSA STAR Nivel 2 en el sitio web de CSA.

HIPAA/HITECH

Dropbox firmará acuerdos de asociación comercial con aquellos clientes de Dropbox Standard, Advanced, Enterprise y Education que los requieran a fin de cumplir con la HIPAA (Ley de portabilidad y responsabilidad de seguros médicos) y la HITECH (Ley de tecnología de la información de salud para la salud económica y clínica). Consulta nuestra guía “Introducción a la HIPAA” y este artículo del Centro de ayuda para obtener más información.

Dropbox ofrece un informe SOC 2 que evalúa nuestros controles en cuanto a las normas de seguridad, privacidad y notificación de infracciones de la HIPAA/HITECH, además de un esquema de nuestras prácticas internas y recomendaciones para los clientes que desean ajustarse a los requisitos de la norma de seguridad y privacidad de la HIPAA/HITECH con Dropbox Standard, Advanced, Enterprise y Education.

Los clientes interesados en solicitar estos documentos pueden acceder a ellos mediante el centro de confianza de Dropbox. Si actualmente eres administrador de un equipo de Dropbox, puedes firmar un acuerdo de asociación comercial de manera electrónica en la página Cuenta de la Consola de administración.

Nota: La posibilidad de firmar un acuerdo de asociación comercial electrónico a través de la Consola de administración solo se ofrece a los clientes ubicados en los Estados Unidos.

Informe de certificación NIST SP 800-171 R2

El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (en inglés "National Institute of Standards and Technology" o "NIST") promueve y mantiene normas y directrices para ayudar a proteger los sistemas de información. La publicación especial del NIST (SP) 800-171 Revisión 2 (R2) proporciona directrices sobre la protección de la información no clasificada controlada (o CUI, por sus siglas en inglés) en los sistemas y organizaciones de información no federales. Cualquier entidad que procese o almacene información no clasificada controlada del gobierno de los Estados Unidos, como las instituciones de investigación y el sector de la educación, debe cumplir con el informe NIST SP 800-171 R2. Los sistemas, procesos y controles de información no clasificada controlada de Dropbox pasan por la validación de un auditor externo independiente, Ernst & Young LLP.

El informe NIST SP 800-171 R2 para Dropbox Standard, Advanced, Enterprise y Education está incluido a su vez en el informe SOC 2, disponible en el centro de confianza de Dropbox.

* Dropbox Paper no se incluye en el marco del informe NIST SP 800-171 R2.

Marco de Privacidad de Datos UE-EE. UU., la extensión del Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU.

Dropbox cumple con el Marco de Privacidad de Datos UE-EE. UU., la extensión del Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU., tal como establece el Departamento de Comercio de Estados Unidos respecto a la recopilación, el uso y la conservación de datos personales que se transfieran desde la Unión Europea, el Reino Unido y Suiza a Estados Unidos. El cumplimiento de los principios del Marco de Privacidad de Datos garantiza que una organización pueda proporcionar una protección adecuada de la privacidad en virtud del RGPD.

Consulta la certificación del Marco de Privacidad de Datos de Dropbox y obtén más información en el sitio web del Marco de Privacidad de Datos.

Reglamento general de protección de datos de la UE (RGPD)

El Reglamento general de protección de datos 2016/679, o RGPD, es un reglamento de la Unión Europea que supone un cambio significativo respecto al marco actual para el tratamiento de datos personales de las personas físicas en la UE. El RGPD ha introducido una serie de requisitos nuevos o mejorados que se aplican a empresas como Dropbox que gestionan datos personales. El RGPD entró en vigor el 25 de mayo de 2018 y ha reemplazado la actual directiva 95/46 CE de la UE, conocida como la directiva de protección de datos. Dropbox cumple con los requisitos del RGPD para que los clientes puedan usar Dropbox de conformidad con el reglamento. Para obtener más información, consulta este artículo del Centro de ayuda.

Código de conducta en la nube de la UE

El código de conducta de la nube de la UE es un instrumento voluntario que permite a los proveedores de servicios en la nube, como Dropbox, demostrar su compromiso con el cumplimiento del RGPD. Tras el dictamen positivo emitido por el Consejo Europeo de Protección de Datos (CEPD), la Autoridad de Protección de Datos de Bélgica aprobó oficialmente el código de conducta de la nube de la UE en mayo de 2021 (ID de verificación: 2022LVL02SCOPE3114). Se ha determinado que los planes de Dropbox Standard, Advanced, Enterprise y Education para equipos cumplen el código de conducta de la nube de la UE. La solución también ha recibido el reconocimiento de cumplimiento de nivel 2, lo que significa que los servicios que incorpora han implementado medidas técnicas, organizativas y contractuales que cumplen los requisitos del código. Para obtener más información sobre el código de conducta de la nube de la UE y el nivel de cumplimiento del código por parte de Dropbox, visita la página web oficial del código.

FDA 21 CFR Parte 11

El título 21 del Código de regulaciones federales (CFR, por sus siglas en inglés) legisla con respecto a la alimentación y los medicamentos dentro de los Estados Unidos para la Food and Drug Administration (FDA), la Drug Enforcement Administration y la Office of National Drug Control Policy. En la sección 11 del título 21, se exponen los criterios bajo los cuales la FDA considera que los registros y las firmas electrónicas son fiables, de confianza y generalmente equivalentes a los registros de papel y firmas escritas a mano también en papel.  

Consulta nuestro Libro técnico de Dropbox y la FDA 21 CFR Parte 11 y este artículo del centro de ayuda para obtener información sobre cómo podemos ayudarte a cumplir con la 21 CFR Parte 11.

PCI DSS

Dropbox cumple con la norma de seguridad de datos para la industria de tarjetas de pago (PCI DSS, Payment Card Industry Data Security Standard). El documento que atestigua el cumplimiento del estándar PCI (AoC) relativo a nuestro estado de comerciante está disponible en el centro de confianza de Dropbox.

Más información sobre el cumplimiento de Dropbox

Se puede acceder a los documentos de certificación y conformidad mediante el centro de confianza de Dropbox.