Respect des normes et des réglementations
Certifications ISO
Pour aider les entreprises à concevoir des produits et services innovants et fiables, l’Organisation internationale de normalisation (ISO) a établi une série de normes exigeantes dans le domaine de la sécurité sociétale et de l’information. Les centres de données, les systèmes, les applications, les employés et les processus de Dropbox sont certifiés par une série d’audits réalisés par EY CertifyPoint (un cabinet d’audit tiers indépendant établi aux Pays-Bas).
ISO 27001 (Gestion de la sécurité de l’information)
ISO 27001 est la norme relative aux systèmes de gestion de la sécurité de l’information (ISMS) la plus reconnue sur le plan international. Elle reprend également les bonnes pratiques de sécurité détaillées dans la norme ISO 27002. Pour mériter votre confiance, Dropbox gère et améliore constamment l’ensemble de ses contrôles physiques, techniques et juridiques. Notre cabinet d’audit, EY CertifyPoint, est accrédité ISO 27001 par le Raad voor Accreditatie (Conseil d’accréditation néerlandais). Consultez le certificat ISO 27001 de nos solutions Dropbox Standard, Advanced, Enterprise et Education.
ISO 27017 (Sécurité infonuagique)
ISO 27017 est une norme internationale relative à la sécurité infonuagique. Elle contient des lignes directrices sur les dispositifs de contrôle de sécurité applicables à la fourniture et à l’utilisation de services en nuage. Notre guide consacré à la responsabilité partagée explique un certain nombre d’exigences en matière de conformité, de confidentialité et de sécurité auxquelles Dropbox et ses clients peuvent se conformer ensemble. Consultez le certificat ISO 27017 de nos solutions Dropbox Standard, Advanced, Enterprise et Education.
ISO 27018 (Confidentialité et protection des données dans le nuage)
ISO 27018 est une norme internationale relative à la protection et à la confidentialité des données. Elle s’applique aux fournisseurs de services infonuagiques comme Dropbox qui gèrent des informations personnelles pour le compte de leurs clients. Elle sert de référence à nos clients pour comprendre les questions ou les exigences contractuelles et réglementaires générales. Consultez le certificat ISO 27018 de nos solutions Dropbox Standard, Advanced, Enterprise et Education.
ISO 22301 (Gestion de la continuité des affaires)
ISO 22301 est une norme internationale relative à la continuité des affaires. Elle aide les entreprises à diminuer l’impact d’incidents perturbateurs et, dans l’éventualité où ils se produisent, à les gérer correctement pour réduire au minimum les dommages éventuels. Notre système de gestion de la continuité des affaires fait partie de la stratégie globale de gestion des risques que nous avons élaborée pour protéger les personnes et les activités en cas de crise. Consultez le certificat ISO 22301 de nos solutions Dropbox Standard, Advanced, Enterprise et Education.
ISO 27701 (Gestion des données confidentielles)
ISO 27701 est une norme internationale relative à la gestion des données confidentielles Cette norme enrichit et étend la norme ISO 27001, qui certifie un système de gestion de la sécurité de l’information, pour inclure le traitement des données confidentielles. Dropbox a reçu cette certification pour le traitement des donnés permettant d’identifier une personne. Consultez le certificat ISO 27701 de nos solutions Dropbox Standard, Advanced, Enterprise et Education.
Rapports SOC
Les rapports SOC (Service Organization Controls), désignés SOC 1, SOC 2 et SOC 3, sont des cadres de référence établis par l’American Institute of Certified Public Accountants (AICPA) pour rendre compte des dispositifs de contrôle internes mis en place dans une entreprise. Les systèmes, les applications, les employés et les processus de Dropbox sont certifiés par une série d’audits réalisés par Ernst & Young LLP (un cabinet d’audit tiers indépendant).
SOC 3 pour la sécurité, la confidentialité, l’intégrité et l’accessibilité
Le rapport d’attestation SOC 3 couvre les grands principes de la sécurité informatique : sécurité, accessibilité, intégrité du traitement et confidentialité (TSP, section 100). Ce rapport Dropbox généraliste est un résumé analytique du rapport SOC 2 qui inclut l’opinion de l’auditeur tiers indépendant concernant l’efficacité de nos dispositifs de contrôle, tant en termes de conception que de fonctionnement. Consultez l’audit SOC 3 des solutions Dropbox Standard, Advanced, Enterprise et Education.
SOC 2 pour la sécurité, la confidentialité, l’intégrité et l’accessibilité
Le rapport SOC 2 atteste de manière détaillée l’efficacité de nos dispositifs de contrôle et couvre les grands principes des services de confiance : sécurité, disponibilité, intégrité des traitements et confidentialité (TSP, section 100). Il offre une description détaillée des processus de Dropbox ainsi que de la centaine de dispositifs de contrôle que nous avons mis en place pour protéger vos fichiers. Outre l’avis de notre auditeur tiers indépendant sur l’efficacité de nos dispositifs de contrôle, tant du point de vue de la conception que du fonctionnement, ce rapport intègre également les procédures de test de cet auditeur et les résultats pour chaque dispositif de contrôle. Le rapport SOC 2 (parfois appelé rapport SOC 2+) comprend également une évaluation de nos dispositifs de contrôle par rapport aux normes ISO mentionnées ci-dessus, afin de renforcer la transparence à l’égard de nos clients. Le rapport SOC 2 couvre les solutions Dropbox Standard, Advanced, Enterprise et Education. Il est possible de le télécharger sur le Trust Center de Dropbox.
SOC 1/SSAE 18/ISAE 3402 (anciennement SSAE 16 ou SAS 70)
Le rapport SOC 1 offre des garanties particulières aux clients qui considèrent Dropbox comme un élément indispensable de leurs contrôles internes sur l’établissement de rapports financiers. Ces garanties sont principalement utilisées par nos clients pour se conformer à la loi Sarbanes-Oxley (SOX). L’audit réalisé par l’organisme tiers indépendant est mené en accord avec les normes SSAE 18 (Statement on Standards for Attestation Engagements n° 18) et ISAE 3402 (International Standard on Assurance Engagements n° 3402). Ces normes ont remplacé les normes SAS 70 (Statement on Auditing Standards n° 70) et SSAE 16 (Standards for Attestation Engagement n° 16) devenues obsolètes. Le rapport SOC 1 couvre les solutions Dropbox Standard, Advanced, Enterprise et Education. Il est possible de le télécharger sur le Trust Center de Dropbox.
Cloud Security Alliance : Security, Trust, Assurance, Risk (CSA STAR) Registry
Le registre STAR (Security, Trust, Assurance & Risk Registry) de CSA est un registre gratuit et accessible en libre accès qui propose un programme de contrôle de la sécurité pour les services infonuagiques dans le but d’aider les utilisateurs à évaluer la sécurité des fournisseurs d’hébergement en nuage qu’ils utilisent ou qu’ils envisagent d’utiliser.
Dropbox Standard, Advanced, Enterprise et Education ont reçu à la fois la certification CSA STAR de niveau 2 et l’attestation CSA STAR de niveau 2. Il s’agit d’une évaluation de nos dispositifs de contrôle de sécurité réalisée par un organisme tiers indépendant, à savoir EY CertifyPoint (pour la certification) et Ernst & Young LLP (pour l’attestation), et établie à partir des exigences de la norme ISO 27001, des grands principes des services de confiance SOC 2 et de la matrice CCM (Cloud Controls Matrix) v3.0.1 de CSA. Consultez notre certification et notre attestation CSA STAR de niveau 2 (en anglais) sur le site Web de CSA.
HIPAA/HITECH
Dropbox signera un accord de partenariat avec les clients des forfaits Dropbox Standard, Advanced, Enterprise et Education devant respecter les dispositions des lois américaines HIPAA (Health Insurance Portability and Accountability Act) et HITECH (Health Information Technology for Economic and Clinical Health Act). Pour obtenir des informations plus détaillées, veuillez vous reporter à notre guide de présentation de la loi HIPAA et à l’article de notre centre d’assistance.
Dropbox met à disposition un audit SOC 2 qui évalue nos contrôles et garantit le respect des règles HIPAA/HITECH relatives à la sécurité, à la confidentialité et à la notification en cas de violation. Nous proposons également une mise en correspondance de nos pratiques internes et des recommandations à l’attention des clients désireux d’assurer leur conformité avec la règle HIPAA/HITECH relative à la sécurité et à la confidentialité avec les solutions Dropbox Standard, Advanced, Enterprise et Education.
Si vous voulez consulter ces documents, allez sur le Trust Center de Dropbox. Si vous administrez une équipe Dropbox, vous pouvez signer un accord de partenariat BAA électroniquement à partir de la page Compte de l’interface d’administration.
Remarque : Seuls les clients installés aux États-Unis peuvent signer un accord de partenariat BAA électronique par le biais de la console d’administration.
Rapport d’attestation NIST SP 800-171 R2
Le National Institute of Standards and Technology, ou NIST, a pour but de promouvoir et de tenir à jour les normes et les directives en matière de protection des systèmes d’information aux États-Unis. La publication spéciale NIST SP 800-171 R2 fournit des directives concernant la protection des informations contrôlées non classées secrètes dans les organisations et les systèmes d’information non fédéraux. Toute entité traitant ou stockant des informations contrôlées non classées secrètes du gouvernement des États-Unis, comme les établissements d’enseignement et de recherche, doit respecter la publication NIST SP 800-171 R2. Les systèmes, processus et contrôles de Dropbox en matière d’informations contrôlées non classées secrètes ont été validés par le cabinet d’audit tiers indépendant Ernst & Young LLP.
Le rapport NIST SP 800-171 R2 sur les solutions Dropbox Standard, Advanced, Enterprise et Education est inclus dans le rapport SOC 2, qui est disponible sur le Trust Center Dropbox.
* Dropbox Paper n’est pas couvert par le rapport NIST SP 800-171 R2.
Cadres de protection des données UE–É.-U. et Suisse–États-Unis, et extension du cadre de protection des données UE–É.-U. pour le Royaume-Uni
Dropbox respecte les cadres de protection des données UE–É.-U. et Suisse–États-Unis, ainsi que l’extension du cadre de protection des données UE–É.-U. pour le Royaume-Uni, tels qu’ils ont été établis par le Department of Commerce des États-Unis en ce qui concerne la collecte, l’utilisation et la conservation des données personnelles transférées de l’Union européenne, du Royaume-Uni et de la Suisse vers les États-Unis. En respectant les principes du cadre de protection des données, les entreprises garantissent une protection satisfaisante des données conformément au RGPD.
Consultez la certification de conformité au cadre de protection des données de Dropbox. Pour plus d’informations, rendez-vous sur le site Web du cadre de protection des données.
Règlement général sur la protection des données (RGPD) de l’UE
Le Règlement général sur la protection des données 2016/679 (ou RGPD) est un règlement de l’Union européenne qui a marqué un changement significatif par rapport au cadre existant relatif au traitement des données personnelles au sein de l’UE. Le RGPD contient une série d’exigences (nouvelles ou améliorées) qui s’appliquent aux entreprises exploitant des données à caractère personnel (telles que Dropbox). Il est entré en vigueur le 25 mai 2018 et a remplacé la Directive 95/46/CE de l’UE sur la protection des données personnelles. Nous nous conformons aux exigences du RGPD afin de permettre également à nos clients de se conformer aux exigences du RGPD. Pour en savoir plus, consultez cet article du centre d’assistance.
Code de conduite de l’UE pour le stockage en nuage
Le code de conduite de l’UE pour le stockage en nuage est un outil dont l’utilisation est basée sur le volontariat. Il permet aux fournisseurs de services infonuagiques tels que Dropbox de démontrer qu’ils s’engagent à assurer leur conformité avec le RGPD. Suite à l’avis positif formulé par le comité européen de la protection des données (CEPD), le code de conduite de l’UE pour le stockage en nuage a été officiellement approuvé par l’autorité belge de protection des données en mai 2021 (ID de vérification : 2022LVL02SCOPE3114). Les forfaits Dropbox Standard, Advanced, Enterprise et Education pour les équipes ont été déclarés conformes au code de conduite de l’UE pour le stockage en nuage et ont reçu une note de conformité de niveau 2, ce qui signifie que ces services ont mis en œuvre des mesures techniques, organisationnelles et contractuelles conformes aux exigences du code. Pour en savoir plus sur le code de conduite de l’UE pour le stockage en nuage et le niveau de conformité de Dropbox, veuillez consulter le site officiel du code.
Étudiants et enfants (FERPA et COPRA)
Dropbox permet à ses clients Dropbox pour les équipes d’utiliser ses services en respectant les obligations de fournisseur imposées par la loi américaine FERPA (Family Education Rights and Privacy Act) relative à l’éducation et à la confidentialité. Les établissements d’enseignement peuvent uniquement utiliser Dropbox Standard, Advanced, Enterprise et Education dans le respect de la loi américaine COPPA (Children’s Online Privacy Protection Act) relative à la protection des enfants sur Internet.
FDA 21 CFR partie 11
Le titre 21 Code of Federal Regulations régit les aliments et les médicaments aux États-Unis pour la Food and Drug Administration, la Drug Enforcement Administration et l’Office of National Drug Control Policy. La partie 11 du titre 21 énonce les critères en vertu desquels la FDA considère les documents et les signatures électroniques comme fiables et généralement équivalents aux documents papier et aux signatures manuscrites réalisées sur support papier.
Consultez notre livre blanc Dropbox et la partie 11 du titre 21 de la FDA (en anglais) et cet article du centre d’assistance pour en savoir plus sur la façon dont Dropbox peut vous aider à vous conformer à la Partie 11 du Titre 21 du CFR.
Normes de sécurité de l’industrie des cartes de paiement
En tant que prestataire, Dropbox respecte la norme PCI DSS (Payment Card Industry Data Security Standard). L’attestation de conformité de Dropbox, en tant que prestataire de services, à la norme PCI est disponible sur le Trust Center de Dropbox,
Nos fournisseurs de sous-services
Nos fournisseurs de services de colocalisation des centres de données et nos prestataires de services gérés font également l’objet d’audits réguliers SOC 1, SOC 2 et ISO 27001, qui permettent de vérifier leurs pratiques en matière de sécurité. Dans le cadre de notre programme de gestion de la sécurité des données, nous examinons au moins une fois par an les résultats de ces audits (ou les dispositifs de sécurité des fournisseurs si un rapport d’audit n’est pas disponible). Ces examens nous permettent, en cas de risque détecté pour Dropbox et ses clients, de travailler en collaboration avec le fournisseur de services afin d’analyser l’impact potentiel sur les données des clients, et d’assurer le suivi des solutions mises en œuvre jusqu’à ce que le problème soit résolu.
En savoir plus sur la conformité de Dropbox
Vous pouvez accéder aux documents sur la conformité et les certifications sur le Trust Center Dropbox.