Conforme agli standard e alla normativa

Certificazioni ISO

L'Organizzazione internazionale per la standardizzazione (ISO) ha sviluppato una serie di standard sofisticati per la sicurezza sociale e delle informazioni per aiutare le organizzazioni a sviluppare prodotti e servizi affidabili e innovativi. Dropbox ha ottenuto la certificazione per data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young CertifyPoint con sede nei Paesi Bassi.

ISO 27001 (gestione della sicurezza delle informazioni)

La norma ISO 27001 è riconosciuta a livello mondiale come lo standard principale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Gli standard sfruttano inoltre le best practice sulla sicurezza illustrate nella norma ISO 27002. Per guadagnarci la tua fiducia, in Dropbox gestiamo e miglioriamo continuamente e in modo completo i nostri controlli fisici, tecnici e legali. Il nostro istituto di certificazione Ernst & Young CertifyPoint possiede l'accreditamento ISO 27001 concesso dal Raad voor Accreditatie (consiglio di accreditamento olandese). Visualizza il certificato ISO 27001 di Dropbox Standard, Advanced, Enterprise ed Education.

ISO 27017 (sicurezza del cloud)

ISO 27017 è uno standard internazionale per la sicurezza del cloud che fornisce linee guida per i controlli di sicurezza applicabili alla fornitura e utilizzo di servizi cloud. La nostra Guida alla responsabilità condivisa illustra molti dei requisiti relativi a sicurezza, privacy e conformità per cui Dropbox e i suoi clienti possono trovare una soluzione condivisa. Visualizza il certificato ISO 27017 di Dropbox Standard, Advanced, Enterprise ed Education.

ISO 27018 (privacy nel cloud e protezione dei dati)

ISO 27018 è uno standard internazionale per la privacy e la protezione dei dati che si applica ai fornitori di servizi sul cloud come Dropbox che elaborano dati personali per conto dei loro clienti e fornisce una base su cui i nostri clienti possono affrontare questioni o requisiti normativi e contrattuali più comuni. Visualizza il certificato ISO 27018 di Dropbox Standard, Advanced, Enterprise ed Education.

ISO 22301 (gestione della continuità aziendale)

ISO 22301 è uno standard internazionale per la continuità aziendale che indica alle organizzazioni come ridurre l'impatto di eventi perturbanti e come rispondervi in modo appropriato, minimizzando i potenziali danni. Il sistema di gestione della continuità aziendale (BCMS) fa parte della nostra strategia complessiva di gestione del rischio per la protezione del personale e delle operazioni nei casi di crisi. Visualizza il certificato ISO 22301 di Dropbox Standard, Advanced, Enterprise ed Education.

ISO 27701 (gestione delle informazioni personali)

ISO 27701 è uno standard internazionale per la gestione delle informazioni sulla privacy. Lo standard fornisce un quadro normativo per migliorare ed estendere il sistema di gestione della sicurezza delle informazioni disciplinato da ISO 27001 a un sistema di gestione delle informazioni sulla privacy (PIMS). Dropbox ha ricevuto questa certificazione in qualità di responsabile del trattamento di informazioni PII. Visualizza il certificato ISO 27701 di Dropbox Standard, Advanced, Enterprise ed Education.

Rapporti SOC

I rapporti SOC (Service Organization Controls), noti anche come SOC 1, SOC 2 o SOC 3, sono framework stabiliti dall'American Institute of Certified Public Accountants (AICPA) per fornire resoconti sui controlli implementati all'interno di un'organizzazione. Dropbox ha ottenuto la convalida di data center, sistemi, applicazioni, personale e processi tramite una serie di controlli condotti dall'istituto indipendente Ernst & Young LLP.

SOC 3 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il rapporto SOC 3 riguarda tutti i cinque Trust Criteria (criteri di affidabilità) relativi a sicurezza, disponibilità, integrità dell'elaborazione, riservatezza e privacy (TSP Section 100). Il rapporto Dropbox destinato a un uso generico è una sintesi operativa del rapporto SOC 2 e comprende l'opinione del revisore di società terza indipendente sulla struttura effettiva e sulla modalità di conduzione dei controlli. Visualizza l'esame SOC 3 di Dropbox Standard, Advanced, Enterprise ed Education.

SOC 2 per la sicurezza, la riservatezza, l'integrità, la disponibilità e la privacy

Il report SOC 2 offre ai clienti una garanzia fondata sul dettagliato livello dei controlli, descrivendo tutti i cinque Trust Service Criteria (criteri di affidabilità del servizio) relativi a sicurezza, disponibilità, integrità dell’elaborazione, riservatezza e privacy (TSP Section 100). Il rapporto SOC 2 comprende una descrizione dettagliata dei processi Dropbox e gli oltre 100 controlli che abbiamo implementato per proteggere i tuoi file. Oltre all’opinione della società terza indipendente sulla struttura effettiva e sulla modalità di conduzione dei controlli, il rapporto comprende le procedure di verifica della società che si occupa dell’audit e i risultati di ciascun controllo. Il nostro rapporto SOC 2 (chiamato a volte rapporto SOC 2+) comprende anche una mappatura verificata dei nostri controlli agli standard ISO menzionati sopra, fornendo ulteriore trasparenza ai nostri clienti. Il report SOC 2 riguarda Dropbox Standard, Advanced, Enterprise ed Education. Il report SOC 2 può essere scaricato nel Trust Center di Dropbox.

SOC 1 / SSAE 18 / ISAE 3402 (precedentemente SSAE 16 or SAS 70)

Il rapporto SOC 1 fornisce garanzie specifiche per i clienti che considerano Dropbox un elemento chiave per i propri controlli interni sui programmi di reportistica finanziaria (ICFR). Queste garanzie specifiche vengono utilizzate principalmente per la conformità dei nostri clienti alla normativa Sarbanes-Oxley (SOX). La revisione da parte di una società indipendente viene condotta in conformità con lo Statement on Standards for Attestation Engagements n. 18 (SSAE 18) e l’International Standard on Assurance Engagements n. 3402 (ISAE 3402), che hanno sostituito gli obsoleti Statement on Standards for Attestation Engagement n. 16 (SSAE 16) e Statement on Auditing Standards n. 70 (SAS 70). Il report SOC 1 riguarda Dropbox Standard, Advanced, Enterprise ed Education. Il report SOC 1 può essere scaricato nel Trust Center di Dropbox.

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

Il CSA Security, Trust, Assurance, Risk (CSA STAR) Registry (STAR) è un registro gratuito e pubblicamente accessibile che offre un programma di garanzie di sicurezza per i servizi cloud, aiutando in tal modo gli utenti a valutare le procedure di sicurezza dei provider di cloud computing attualmente utilizzati o che stanno pensando di adottare.

Dropbox Standard, Advanced, Enterprise e Education hanno ricevuto sia la certificazione CSA STAR Level 2 che l'attestazione Level 2 Attestation. La CSA STAR Level 2 richiede una valutazione da parte di una società terza indipendente dei nostri controlli di sicurezza, effettuata da EY CertifyPoint (Certification) e da Ernst & Young (Attestation) in base ai requisiti ISO 27001, SOC 2 Trust Services Criteria e CSA Cloud Controls Matrix (CCM) v.3.0.1. Visualizza il nostro CSA STAR Level 2 Certification e Attestation sul sito web di CSA.

HIPAA/HITECH

Dropbox firmerà contratti di associazioni in affari (BAA, Business Associate Agreements) con i clienti Standard, Advanced, Enterprise ed Education che li richiedono, al fine di rispettare l'Health Insurance Portability and Accountability Act (HIPAA) e l'Health Information Technology for Economic and Clinical Health Act (HITECH). Consulta la nostra "Guida introduttiva alla legge HIPAA" e l'articolo del centro assistenza per informazioni più dettagliate.

Dropbox mette a disposizione un'analisi SOC 2 che valuta i nostri controlli rispetto alle norme HIPAA/HITECH in materia di sicurezza, privacy e notifiche di violazione, oltre a offrire una mappatura delle nostre pratiche interne e consigli per i clienti che devono soddisfare i requisiti previsti dalla norma sulla protezione e privacy HIPAA/HITECH con Dropbox Standard, Advanced, Enterprise ed Education.

I clienti interessati a questi documenti possono accedervi nel Trust Center di Dropbox. Se attualmente sei un amministratore di team Dropbox, puoi firmare elettronicamente un contratto BAA dalla pagina Account della Console amministratore.

Nota: la firma di un BAA elettronico tramite la Console amministratore è disponibile solo per i clienti con sede negli Stati Uniti.

Rapporto di attestazione NIST SP 800-171 R2

Il National Institute of Standards and Technology (NIST) degli Stati Uniti promuove e gestisce standard e linee guida per supportare e proteggere i sistemi informatici. Il documento NIST Special Publication (SP) 800-171 Revision 2 (R2) fornisce delle linee guida sulla protezione delle informazioni controllate non classificate (CUI, dall'inglese Controlled Unclassified Information) nei sistemi informatici e nelle organizzazioni che non si trovano sul territorio federale. Qualsiasi entità che elabori o memorizzi informazioni controllate non classificate all'interno del territorio statunitense, come istituti di ricerca e appartenenti al settore dell'istruzione, deve essere conforme al regolamento NIST SP 800-171 R2. I sistemi, i processi e i controlli delle informazioni controllate non classificate di Dropbox sono stati approvati da un revisore esterno indipendente, Ernst & Young LLP.

Il rapporto NIST SP 800-171 R2 per Dropbox Standard, Advanced, Enterprise ed Education è integrato nel rapporto SOC 2, che può essere scaricato nel Trust Center di Dropbox.

*Dropbox Paper non è incluso nell'ambito del rapporto NIST SP 800-171 R2.

Data Privacy Framework UE-USA, l'estensione del Regno Unito al Data Privacy Framework UE-USA e il Data Privacy Framework Svizzera-USA

Dropbox è conforme al Data Privacy Framework UE-USA, all'estensione del Regno Unito al Data Privacy Framework UE-USA e al Data Privacy Framework Svizzera-USA come stabilito dal Dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l'utilizzo e la conservazione dei dati personali provenienti dall'Unione europea, dal Regno Unito e dalla Svizzera trasferiti agli Stati Uniti. L'adesione ai principi del Data Privacy Framework garantisce che le organizzazioni forniscano un'adeguata tutela della privacy ai sensi del GDPR.

Visualizza la certificazione al Data Privacy Framework e scopri di più sul sito web Data Privacy Framework.

Regolamento generale sulla protezione dei dati dell'UE (GDPR)

Il Regolamento generale sulla protezione dei dati 2016/679 o GDPR è un regolamento dell'Unione europea che segna un cambiamento significativo del quadro normativo esistente per l'elaborazione dei dati personali o individuali nell'UE. Il GDPR ha introdotto una serie di requisiti nuovi o migliorati che si applicano a imprese come Dropbox che gestiscono dati personali. È entrata in vigore il 25 maggio 2018 e ha sostituito la Direttiva attuale 95/46 CE dell'UE, più nota come Direttiva sulla protezione dei dati. Dropbox è conforme con i requisiti del GDPR pertanto i clienti possono utilizzare Dropbox per raggiungere la conformità con il GDPR. Per ulteriori informazioni, consulta questo articolo del centro assistenza.

Codice di condotta UE per il cloud

Il Codice di condotta dell'Unione Europea per i servizi cloud (EU Cloud CoC) è uno strumento volontario che consente ai fornitori di servizi cloud, come Dropbox, di dimostrare il loro impegno nel rispettare il GDPR. In seguito al parere positivo espresso dall'EDPB (Comitato europeo per la protezione dei dati), il Codice di condotta dell'Unione Europea per i servizi cloud è stato approvato ufficialmente dall'autorità per la protezione dei dati belga a maggio 2021 (ID verifica: 2022LVL02SCOPE3114). I piani Standard, Advanced, Enterprise ed Education di Dropbox per team, è stato dichiarato conforme al Codice di condotta dell'Unione Europea per i servizi cloud e ha ricevuto un marchio di conformità di "Livello 2". Questo significa che i servizi offerti includono misure tecniche, organizzative e contrattuali in linea con i requisiti del Codice. Per ulteriori informazioni sul Codice di condotta dell'Unione Europea per i servizi cloud e sulla conformità di Dropbox a tale codice, visitare il sito web ufficiale.

FDA 21 CFR Part 11

Il Titolo 21 del Code of Federal Regulations (CFR) disciplina i prodotti alimentari e farmaceutici negli Stati Uniti per la Food and Drug Administration (FDA), la Drug Enforcement Administration e l'Office of National Drug Control Policy. La Parte 11 del Titolo 21 definisce i criteri in base ai quali l'FDA considera i dati elettronici affidabili, attendibili e generalmente equivalenti ai documenti cartacei e alle firme manoscritte su carta.  

Consultra il nostro whitepaper Dropbox and FDA 21 CFR Part 11 e l'articolo del centro assistenza per ulteriori informazioni su come Dropbox può agevolare le tue iniziative di conformità con la Parte 11 del Titolo 21 del CFR.

PCI DSS

Dropbox è conforme agli standard di settore sulla sicurezza dei pagamenti tramite carta PCI DSS (Payment Card Industry Data Security Standard). L’attestato di conformità (Attestation of Compliance, AoC) PCI relativo al nostro status di commerciante può essere scaricato nel Trust Center di Dropbox.

Ulteriori informazioni sulla compliance di Dropbox

I documenti relativi alla compliance e alle certificazioni sono disponibili nel Trust Center di Dropbox.