Kepatuhan atas standar dan peraturan

Sertifikasi ISO

Organisasi Internasional untuk Standardisasi (ISO) telah mengembangkan serangkaian standar kelas informasi dan keamanan masyarakat kelas dunia untuk membantu organisasi mengembangkan produk dan layanan yang andal dan inovatif. Dropbox telah melakukan sertifikasi pusat data, sistem, aplikasi, karyawan, dan proses melalui serangkaian audit oleh pihak ketiga independen yaitu EY CertifyPoint yang berbasis di Belanda.

ISO 27001 (Manajemen Keamanan Informasi)

ISO 27001 diakui sebagai standar sistem manajemen keamanan informasi (ISMS) utama di seluruh dunia. Standar ini juga memanfaatkan praktik terbaik keamanan yang dijelaskan secara detail dalam ISO 27002. Untuk meraih kepercayaan Anda, kami terus menerus dan secara komprehensif mengelola dan meningkatkan kontrol fisik, teknis, dan legal di Dropbox. Auditor kami, EY CertifyPoint, mempertahankan akreditasi ISO 27001-nya dari Raad voor Accreditatie (Dewan Akreditasi Belanda). Lihat sertifikat ISO 27001 Dropbox Standard, Advanced, Enterprise, dan Education.

ISO 27017 (Keamanan Awan)

ISO 27017 adalah standar internasional untuk keamanan awan yang memberikan panduan kontrol keamanan yang berlaku untuk penyediaan dan penggunaan layanan awan. Panduan Tanggung Jawab Bersama kami menjelaskan beberapa persyaratan keamanan, privasi, dan kepatuhan yang dapat diatasi bersama oleh Dropbox dan pelanggannya. Lihat sertifikat ISO 27017 Dropbox Standard, Advanced, Enterprise, dan Education.

ISO 27018 (Privasi Awan dan Perlindungan Data)

ISO 27018 adalah standar internasional untuk privasi dan perlindungan data yang berlaku untuk layanan awan seperti Dropbox yang memproses informasi pribadi mewakili pelanggannya dan menyediakan dasar bagi pelanggan untuk dapat menjawab berbagai kewajiban dan pertanyaan terkait regulasi umum dan kontrak. Lihat sertifikat ISO 27018 Dropbox Standard, Advanced, Enterprise, dan Education.

ISO 22301 (Manajemen Keberlanjutan Bisnis)

ISO 22301 adalah standar internasional untuk keberlanjutan bisnis yang memberikan panduan pada organisasi terkait cara mengurangi dampak peristiwa-peristiwa yang mengganggu dan menanggapi dengan tepat jika hal itu terjadi dengan meminimalkan potensi kerugian. Sistem Manajemen Keberlanjutan Bisnis (BCMS) Dropbox adalah bagian dari keseluruhan strategi manajemen risiko untuk melindungi orang-orang dan pengoperasian selama masa krisis. Lihat sertifikat ISO 22301 Dropbox Standard, Advanced, Enterprise, dan Education.

ISO 27701 (Manajemen Informasi Privasi)

ISO 27701 adalah sebuah standar internasional untuk manajemen informasi privasi. Standar tersebut memberikan sebuah kerangka kerja untuk meningkatkan dan mengembangkan sistem manajemen keamanan informasi berdasarkan ISO 27001 menjadi sebuah sistem manajemen informasi privasi (PIMS). Dropbox telah menerima sertifikasi ini sebagai Pemroses PII. Lihat sertifikat ISO 27701 Dropbox Standard, Advanced, Enterprise, dan Education.

Laporan SOC

Laporan Kontrol Organisasi Layanan (SOC), yang dikenal dengan istilah SOC 1, SOC 2, atau SOC 3, adalah kerangka kerja yang didirikan oleh American Institute of Certified Public Accountants (AICPA) untuk pelaporan kontrol internal yang diimplementasikan di dalam organisasi. Dropbox telah memvalidasi sistem, aplikasi, karyawan, dan prosesnya melalui serangkaian audit oleh pihak ketiga independen, Ernst & Young LLP.

SOC 3 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi

Laporan jaminan SOC 3 mencakup kelima Kriteria Keandalan untuk Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, dan Privasi (TSP Bab 100) Laporan penggunaan umum Dropbox ini merupakan ringkasan eksekutif dari laporan SOC 2 kami dan meliputi pendapat auditor independen pihak ketiga tentang desain efektif dan kelangsungan semua kontrol kami. Lihat pemeriksaan SOC 3 Dropbox Standard, Advanced, Enterprise, dan Education.

SOC 2 untuk Keamanan, Kerahasiaan, Integritas, Ketersediaan, dan Privasi

Laporan SOC 2 menyajikan detail jaminan berdasarkan kontrol, yang mencakup kelima Kriteria Keandalan Layanan untuk Keamanan, Ketersediaan, Integritas Pemrosesan, Kerahasiaan, dan Privasi (TSP Bab 100). Laporan SOC 2 mencakup keterangan mendetail mengenai proses Dropbox dan lebih dari 100 kontrol yang kami miliki untuk melindungi file-file Anda. Selain pendapat auditor pihak ketiga independen mengenai desain yang efektif dan operasi kontrol kami, laporan ini berisi prosedur dan hasil tes auditor untuk masing-masing kontrol. Laporan SOC 2 kami (terkadang juga disebut sebagai laporan SOC 2+) juga menyertakan pemetaan teraudit atas kontrol kami terhadap standar ISO yang dicantumkan di atas, dan menyediakan transparansi tambahan kepada pelanggan kami. Laporan SOC 2 mencakup Dropbox Standard, Advanced, Enterprise, dan Education. Laporan SOC 2 tersedia untuk diunduh di Pusat Kepercayaan Dropbox.

SOC 1 / SSAE 18 / ISAE 3402 (sebelumnya SSAE 16 atau SAS 70)

Laporan SOC 1 memberikan jaminan spesifik bagi pelanggan yang menetapkan bahwa Dropbox merupakan elemen kunci bagi program pengendalian internal mereka atas pelaporan keuangan (ICFR). Jaminan spesifik ini utamanya digunakan untuk kepatuhan Sarbanes-Oxley (SOX) pelanggan kami. Audit pihak ketiga independen dilakukan sesuai dengan Statement on Standards for Attestation Engagements No. 18 (SSAE 18) dan International Standard on Assurance Engagements No. 3402 (ISAE 3402). Standar-standar ini telah menggantikan Statement on Standards for Attestation Engagement No. 16 (SSAE 16) dan Statement on Auditing Standards No. 70 (SAS 70) yang sudah tidak berlaku. Laporan SOC 1 mencakup Dropbox Standard, Advanced, Enterprise, dan Education. Laporan SOC 1 tersedia untuk diunduh di Pusat Kepercayaan Dropbox.

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

CSA Security, Trust, Assurance, and Risk (STAR) Registry merupakan daftar yang bisa diakses oleh publik secara gratis yang menawarkan program jaminan keamanan untuk layanan cloud, sehingga membantu pengguna menilai bentuk keamanan dari penyedia layanan cloud yang saat ini mereka gunakan atau yang sedang dipertimbangkan untuk dikontrak.

Dropbox Standard, Advanced, Enterprise, dan Education telah menerima Sertifikasi CSA STAR Level 2 dan Pengesahan Level 2. CSA STAR Level 2 membutuhkan penilaian independen pihak ketiga atas kontrol keamanan kami oleh EY CertifyPoint (untuk Sertifikasi) dan Ernst & Young LLP (untuk Pengesahan), berdasarkan persyaratan ISO 27001, SOC 2 Trust Service Criteria, dan CSA Cloud Controls Matrix (CCM) v3.0.1. Lihat Sertifikasi dan Pengesahan CSA STAR Level 2 kami di situs web CSA.

HIPAA/HITECH

Dropbox akan menandatangani perjanjian rekanan bisnis (BAA) dengan pelanggan Dropbox Standard, Advanced, Enterprise, dan Education yang mewajibkan mereka untuk mematuhi Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Technology for Economic and Clinical Health Act (HITECH). Lihat panduan “Memulai dengan HIPAA” dan artikel pusat bantuan untuk mendapatkan informasi yang lebih detail.

Dropbox menyediakan pemeriksaan SOC 2 yang mengevaluasi kontrol kami untuk aturan Keamanan, Privasi, dan Pemberitahuan Pelanggaran HIPAA/HITECH, serta pemetaan praktik internal dan rekomendasi kami untuk pelanggan yang ingin memenuhi aturan Keamanan dan Privasi HIPAA/HITECH persyaratan dengan Dropbox Standard, Advanced, Enterprise, dan Education.

Pelanggan yang tertarik untuk meminta dokumen ini dapat mengaksesnya di Pusat Kepercayaan Dropbox. Jika saat ini Anda adalah admin tim Dropbox, Anda dapat menandatangani BAA secara elektronik dari halaman Akun di Konsol Admin.

Catatan: Penandatanganan BAA elektronik melalui Konsol Admin hanya tersedia untuk pelanggan di AS.

Laporan Pengesahan NIST SP 800-171 R2

Badan Nasional Standar dan Teknologi (National Institute of Standards and Technology - NIST) AS mendorong dan menjalankan standar dan pedoman untuk membantu melindungi sistem informasi. Publikasi Khusus NIST (NIST Special Publication (SP)) 800-171 Revisi 2 (R2) memberikan panduan untuk melindungi Informasi Nonrahasia Terkendali (CUI) di dalam sistem informasi dan organisasi nonfederal. Setiap entitas yang memproses atau menyimpan CUI milik pemerintah AS, seperti lembaga penelitian dan sektor pendidikan, harus mematuhi NIST SP 800-171 R2. Sistem, proses, dan kontrol CUI Dropbox divalidasi oleh auditor pihak ketiga independen, yaitu Ernst & Young LLP.

Laporan NIST SP 800-171 R2 untuk Dropbox Standard, Advanced, Enterprise, dan Education diintegrasikan ke dalam laporan SOC 2 yang tersedia di Pusat Kepercayaan Dropbox.

*Dropbox Paper tidak termasuk dalam cakupan laporan NIST SP 800-171 R2.

Kerangka Kerja Privasi Data UE-AS, Perpanjangan Kerangka Kerja Privasi Data UE-AS untuk Inggris, Kerangka Kerja Privasi Data Swiss-AS

Dropbox mematuhi Kerangka Kerja Privasi Data EU-AS, Perpanjangan Kerangka Kerja Privasi Data UE-AS untuk Inggris, Kerangka Kerja Privasi Data Swiss-AS sebagaimana yang ditetapkan oleh Departemen Perdagangan AS mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi yang ditransfer dari negara-negara Uni Eropa, Kerajaan Inggris, dan Swiss ke Amerika Serikat. Menaati Prinsip-Prinsip Kerangka Kerja Data Privasi akan memastikan bahwa suatu organisasi menyediakan perlindungan privasi yang memadai berdasarkan GDPR.

Lihat sertifikasi Kerangka Kerja Privasi Data Dropbox dan ketahui selanjutnya di situs web Kerangka Kerja Privasi Data.

Peraturan Perlindungan Data Umum Uni Eropa (GDPR)

General Data Protection Regulation 2016/679, atau GDPR, adalah peraturan Uni Eropa yang menandai perubahan besar terhadap kerangka kerja yang ada untuk pemrosesan data pribadi milik subjek data di UE. GDPR memperkenalkan serangkaian persyaratan baru atau lebih lengkap yang akan diterapkan pada perusahaan seperti Dropbox, yang menangani data pribadi. GDPR berlaku mulai 25 Mei 2018 dan menggantikan EU Directive 95/46 EC, atau yang lebih dikenal sebagai Petunjuk Perlindungan Data. Dropbox mematuhi GDPR sehingga pelanggan dapat menggunakan Dropbox untuk memfasilitasi kepatuhan mereka terhadap GDPR. Untuk informasi lebih lanjut, lihat artikel pusat bantuan ini.

Kode Etik Awan UE

Kode Etik Awan UE adalah instrumen opsional yang memungkinkan penyedia layanan awan, seperti Dropbox, untuk menunjukkan komitmen kami terhadap kepatuhan GDPR. Menyusul opini positif yang dikeluarkan oleh Dewan Perlindungan Data Eropa (EDPB), Kode Etik Awan UE secara resmi disetujui oleh Otoritas Perlindungan Data Belgia pada Mei 2021 (ID Verifikasi: 2022LVL02SCOPE3114). Paket Standard, Advanced, Enterprise, dan Education Dropbox untuk tim telah dinyatakan mematuhi Kode Etik Awan UE dan menerima Tanda Kepatuhan "Level 2", yang berarti bahwa layanan ini telah menerapkan langkah-langkah teknis, organisasi, dan kontrak yang sesuai dengan persyaratan Kode. Untuk informasi selengkapnya tentang Kode Etik Awan UE dan kepatuhan Dropbox terhadap kode tersebut, kunjungi situs web resmi Kode.

FDA 21 CFR Bagian 11

Bab 21 dari Code of Federal Regulations (CFR) mengatur tentang makanan dan obat-obatan di Amerika Serikat untuk Badan Pengawas Makanan dan Obat-obatan Amerika (FDA), Badan Narkotika Amerika (Drug Enforcement Administration), dan Kantor Kebijakan Pengendalian Obat Amerika (Office of National Drug Control Policy). Bagian 11 dari Bab 21 menentukan kriteria yang digunakan oleh FDA untuk mempertimbangkan apakah suatu catatan elektronik dan tanda tangan elektronik tepercaya, andal, secara umum setara dengan catatan dalam bentuk kertas dan tanda tangan tertulis yang diberikan pada dokumen kertas.  

Lihat Laporan Resmi Dropbox dan FDA 21 CFR Bagian 11 dan artikel pusat bantuan untuk informasi selengkapnya tentang bagaimana Dropbox bisa membantu upaya kepatuhan Anda terhadap 21 CFR Bagian 11.

PCI DSS

Dropbox adalah usaha yang tunduk pada Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Pengesahan Kepatuhan (AoC) PCI untuk status usaha kami tersedia di Pusat Kepercayaan Dropbox.

Informasi selengkapnya tentang kepatuhan Dropbox

Dokumen kepatuhan dan sertifikasi dapat diakses di Pusat Kepercayaan Dropbox.