Overholdelse av standarder og forskrifter

ISO-sertifiseringer

International Organization for Standardization (ISO) har utviklet en rekke standarder i verdensklasse for informasjon og samfunnssikkerhet, som gjør det lettere for organisasjoner å utvikle pålitelige og innovative produkter og tjenester. Dropbox har sertifisert sine datasentre, systemer, applikasjoner, mennesker og prosesser gjennom en serie revisjoner som blir utført av en uavhengig tredjepart, Nederland-baserte EY CertifyPoint.

ISO 27001 (administrasjon av informasjonssikkerhet)

ISO 27001 er anerkjent verden over som den høyest oppnåelige standarden innen administrasjonssystemer for informasjonssikkerhet (ISMS). Denne standarden benytter også beste praksis for sikkerhet, som beskrevet i ISO 27002. For å være verdig tilliten din, administrerer og forbedrer Dropbox kontinuerlig fysiske, tekniske og juridiske kontroller på en omfattende måte. Revisoren vår, EY CertifyPoint, opprettholder sin ISO 27001-akkreditering fra Raad voor Accreditatie (nederlandsk akkrediteringsråd). Se ISO 27001-sertifikatet for Dropbox Standard, Advanced, Enterprise og Education.

ISO 27017 (nettskysikkerhet)

ISO 27017 er en internasjonal standard for nettskysikkerhet som gir retningslinjer for sikkerhetskontroller som gjelder levering og bruk av nettskytjenester. Vår guide for felles ansvar forklarer flere av kravene til sikkerhet, personvern og samsvar som Dropbox og kundene kan løse sammen. Se Dropbox Standard-, Advanced-, Enterprise- og Education- ISO 27017-sertifikatet.

ISO 27018 (personvern og databeskyttelse i nettskyen)

ISO 27018 er en internasjonal standard for personvern og databeskyttelse som gjelder for nettsky-tjenesteleverandører som Dropbox, som behandler personopplysninger på vegne av kundene og gir et grunnlag for kundene hvis de vil ta opp vanlige forskrifts- og kontraktsmessige krav eller spørsmål. Se ISO 27018-sertifikatet for Dropbox Standard, Advanced, Enterprise og Education.

ISO 22301 (administrasjon av bedriftskontinuitet)

ISO 22301 er en internasjonal standard for bedriftskontinuitet som veileder organisasjoner med hensyn til hvordan de kan redusere påvirkningen av forstyrrende hendelser og reagere korrekt på disse hvis de oppstår, ved å minimere skadepotensialet. Dropbox Business Continuity Management System (BCMS) er en del av vår overordnede risikostyringsstrategi for å beskytte mennesker og operasjoner i krisetider. Se ISO 22301-sertifikatet for Dropbox Standard, Advanced, Enterprise og Education.

ISO 27701 (administrasjon av personverninformasjon)

ISO 27701 er en internasjonal standard for personverninformasjon. Standarden gir et rammeverk for å forbedre og utvide styringssystemet for informasjonssikkerhet under ISO 27001 til et styringssystem for personverninformasjon (PIMS). Dropbox har mottatt denne sertifiseringen som PII-prosessor.

Se ISO 27701-sertifikatet for Dropbox Standard, Advanced, Enterprise og Education.

SOC-rapporter

SOC-rapporten (Service Organization Controls), kjent som SOC 1, SOC 2 eller SOC 3, er rammeverk som er etablert av American Institute of Certified Public Accountants (AICPA) for rapportering om internkontroll som er implementert i en organisasjon. Dropbox har validert sine systemer, applikasjoner, mennesker og prosesser gjennom en serie revisjoner som utføres av en uavhengig tredjepart, Ernst & Young LLP.

SOC 3 for sikkerhet, konfidensialitet, integritet, tilgjengelighet og personvern

SOC 3-attestasjonsrapporten dekker alle fem tillitskriteriene for sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern (TSP avsnitt 100). Dropbox-rapporten for generell bruk er et sammendrag av SOC 2-rapporten og inkluderer den uavhengige tredjepartsrevisorens mening om effektiv utforming og drift av våre kontroller. Se SOC 3-undersøkelsen for Dropbox Standard, Advanced, Enterprise og Education.

SOC 2 for sikkerhet, konfidensialitet, integritet, tilgjengelighet og personvern

SOC 2-rapporten gir kundene kontrollbaserte garantier på et detaljert nivå som dekker alle fem Trust Service-kriteriene for sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern (TSP avsnitt 100). SOC 2-rapporten inneholder en detaljert beskrivelse av prosessene til Dropbox og de over 100 kontrollene som er implementert for å beskytte tingene dine. I tillegg til vurderingen til den uavhengige tredjepartsrevisoren vår av effektiv design og bruk av kontrollene våre, beskriver rapporten revisorens testprosedyrer og resultater for hver kontroll. SOC 2-rapporten (også kalt SOC 2+-rapporten) omfatter også en revidert kartlegging av kontrollene våre i henhold til ISO-standardene nevnt ovenfor, noe som gjør virksomheten vår enda mer transparent overfor kundene våre. SOC 2-rapporten omfatter Dropbox Standard, Advanced, Enterprise og Education. SOC 2-rapporten er tilgjengelig for nedlasting på Dropbox sitt Trust Center.

SOC 1 / SSAE 18 / ISAE 3402 (tidligere SSAE 16 eller SAS 70)

SOC 1-rapporten gir spesifikke garantier til kunder som mener at Dropbox er et nøkkelelement for programmet deres for intern kontroll over finansiell rapportering (ICFR). Disse spesifikke garantiene brukes hovedsakelig av kundene våre for å overholde samsvar med Sarbanes-Oxley (SOX). Den uavhengige tredjepartsrevisjonen utføres i samsvar med Statement on Standards for Attestation Engagements nr. 18 (SSAE 18) og International Standard on Assurance Engagements nr. 3402 (ISAE 3402). Disse standardene har erstattet de frarådede Statement on Standards for Attestation Engagement nr. 16 (SSAE 16) og Statement on Auditing Standards nr. 70 (SAS 70). SOC 1-rapporten omfatter Dropbox Standard, Advanced, Enterprise og Education. SOC 1-rapporten er tilgjengelig for nedlasting på Dropbox sitt Trust Center.

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

CSA-registeret for sikkerhet, tillit, attestasjon og risiko (STAR) er et gratis, offentlig tilgjengelig register som tilbyr et styringsprogram for attestasjon av nettskytjenester, og på den måten hjelper brukere med å vurdere sikkerhetsholdningen til nettskyleverandørene de bruker for øyeblikket eller vurderer å inngå kontrakt med .

Dropbox Standard, Advanced, Enterprise og Education har både CSA-STAR-nivå 2-sertifisering og -nivå 2-attestering. CSA-STAR nivå 2 krever en tredjeparts uavhengig vurdering av sikkerhetskontrollene våre av EY CertifyPoint (for sertifisering) og Ernst & Young LLP (for attestering), basert på kravene i ISO 27001, SOC 2 Trust Service-kriterier og CSA-nettskystyringsmatrise (CCM) v3.0.1. Se vår CSA-STAR-nivå 2-sertifisering og attestasjon på CSA-nettsted.

HIPAA/HITECH

Dropbox vil signere avtaler av typen «Business Associate Agreements» (BAA-er) med Dropbox Standard-, Advanced-, Enterprise- og Education-kunder som krever det for å overholde lovene Health Insurance Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health Act (HITECH). Se veiledningen «Kom i gang med HIPAA» og hjelpesenterartikkelen for å få mer detaljert informasjon.

Dropbox har en SOC 2-undersøkelse som vurderer kontrollene våre for reglene for sikkerhet, personvern og bruddvarsling i henhold til HIPAA/HITECH, samt en kartlegging av interne rutiner og anbefalinger, som er tilgjengelig for kunder som ønsker å innfri kravene om sikkerhet og personvern i henhold til HIPAA/HITECH med Dropbox Standard, Advanced, Enterprise og Education.

Kunder som er interessert i disse dokumentene, vil kunne finne dem på Dropbox sitt Trust Center. Hvis du er en nåværende teamadministrator for Dropbox, kan du signere en BAA elektronisk på Konto-siden i administratorverktøyet.

Merk: Det er kun kunder som er basert i USA som kan signere en elektronisk BAA via administratorverktøyet.

Attestasjonsrapport for NIST SP 800-171 R2

US National Institute of Standards and Technology (NIST) fremmer og vedlikeholder standarder og retningslinjer for å beskytte informasjonssystemer. NIST Special Publication (SP) 800-171 Revision 2 (R2), gir retningslinjer for beskyttelse av kontrollert, uklassifisert informasjon (CUI) i ikke-føderale informasjonssystemer og organisasjoner. Enhver enhet som behandler eller lagrer kontrollert, uklassifisert informasjon (CUI) fra amerikanske myndigheter, som forskningsinstitusjoner og utdanningssektoren, skal overholde NIST SP 800-171 R2. Dropbox sine CUI-systemer, prosesser og kontroller er godkjent av en uavhengig, ekstern revisor, Ernst & Young LLP.

NIST SP 800-171 R2-rapporten for Dropbox Standard, Advanced, Enterprise og Education er integrert i SOC 2-rapporten som er tilgjengelig på Dropbox sitt Trust Center.

*Dropbox Paper er ikke inkludert i omfanget av NIST SP 800-171 R2-rapporten.

Rammeverk for datapersonvern mellom EU og USA, Storbritannias utvidelse til rammeverket for datapersonvern mellom EU og USA, og rammeverk for datapersonvern mellom Sveits og USA.

Dropbox overholder rammeverk for datapersonvern mellom EU og USA, Storbritannias utvidelse til rammeverket for datapersonvern mellom EU og USA, og rammeverk for datapersonvern mellom sveits og USA som er publisert av det amerikanske Handelsdepartementet angående innsamling, bruk og oppbevaring av personopplysninger overført fra EU, Storbritannia og Sveits til USA. Overholdelse av prinsipper for rammeverket for datapersonvern sikrer at en organisasjon gir tilstrekkelig personvern under GDPR.

Se Dropbox' sertifisering for rammeverk for datapersonvern, og finn ut mer på nettsiden for rammeverk for datapersonvern.

Personvernforordningen for EU (General Data Protection Regulation – GDPR)

Den generelle personvernforordningen 2016/679, eller GDPR, er en EU-forordning som innebar en betydelig endring av det eksisterende rammeverket for behandling av personopplysninger for EU-borgere. Personvernforordningen introduserte en serie nye eller utvidede krav som gjelder for bedrifter som Dropbox, som håndterer personopplysninger. Personvernforordningen trådte i kraft 25. mai 2018 og erstattet EU-direktiv 95/46 EC, bedre kjent som personverndirektivet. Dropbox er i samsvar med personvernforordningen, så kunder kan bruke Dropbox til å forenkle egen samsvarsprosess med personvernforordningen. Les denne hjelpesenterartikkelen hvis du vil ha mer informasjon.

EU-retningslinjer for skyløsninger

EU Cloud Code of Conduct er et frivillig instrument som gjør det mulig for nettskyleverandører, som Dropbox, å vise at de forplikter seg til samsvar med personvernforordningen. Etter at European Data Protection Board (EDPB) kom med en positiv uttalelse, ble EU Cloud Code of Conduct offisielt godkjent av det belgiske datatilsynet i mai 2021 (verifikasjons-ID: 2022LVL02SCOPE3114). Dropbox Standard-, Advanced-, Enterprise- og Education-abonnementer for team følger offisielt EU Cloud Code of Conduct og har mottatt et samsvarsmerke på "nivå 2", som betyr at tjenestene har innført tekniske, organisatoriske og kontraktsmessige tiltak i henhold til kravene i disse etiske retningslinjene. For mer informasjon om EU Cloud Code of Conduct og Dropbox' samsvar med den, kan du gå til det offisielle nettstedet.

FDA 21 CFR del 11

Avsnitt 21 i Code of Federal Regulations (CFR) regulerer mat og medisiner i USA for Food and Drug Administration (FDA), Drug Enforcement Administration og Office of National Drug Control Policy. Del 11 i avsnitt 21 fremlegger kriteriene for at FDA skal anse elektroniske opptegnelser og underskrifter som pålitelige og generelt likeverdige med papiropptegnelser og håndskrevne underskrifter på papir.  

Se vår hvitebok Dropbox og FDA 21 CFR, del 11 oghjelpesenterartikkelen for mer informasjon om hvordan Dropbox kan hjelpe deg med overholdelse av 21 CFR, del 11.

PCI DSS

Dropbox er et selskap som overholder standarden Payment Card Industry Data Security Standard (PCI DSS). PCI Attestation of Compliance (AoC) for selskapsstatusen vår er tilgjengelig på Dropbox sitt Trust Center.

Mer informasjon om Dropbox-overholdelse

Samsvars- og sertifiseringsdokumenter er tilgjengelig på Dropbox sitt Trust Center.