Zgodność z normami i przepisami

Certyfikacje ISO

Międzynarodowa Organizacja Normalizacyjna (ISO) opracowała szereg światowych standardów z zakresu bezpieczeństwa informacji i społeczeństw, aby pomóc organizacjom w opracowywaniu niezawodnych i innowacyjnych produktów oraz usług. Stosowane przez Dropbox centra danych, technologie, systemy, aplikacje, a także personel i procesy firmy, mają certyfikaty, które zostały przyznane po serii audytów przez niezależny holenderski instytut EY CertifyPoint.

ISO 27001 (zarządzanie bezpieczeństwem informacji)

ISO 27001 to uznawany na całym świecie czołowy standard w dziedzinie systemów zarządzania bezpieczeństwem informacji. Uwzględnia on także sprawdzone procedury z zakresu bezpieczeństwa opisane w normie ISO 27002. Aby zasłużyć na zaufanie użytkowników, Dropbox regularnie szczegółowo weryfikuje i usprawnia stosowane narzędzia kontroli fizycznej, technicznej i prawnej. Obsługujący firmę audytor, EY CertifyPoint, ma akredytację ISO 27001 przyznaną przez Raad voor Accreditatie (Holenderską Radę Akredytacyjną). Wyświetl certyfikat ISO 27001 dotyczący taryf Dropbox Standard, Advanced, Enterprise i Education.

ISO 27017 (bezpieczeństwo w chmurze)

ISO 27017 to międzynarodowy standard bezpieczeństwa w chmurze, który zawiera wytyczne co do procedur kontrolnych stosowanych przy świadczeniu i korzystaniu z usług opartych na chmurze. W naszym Przewodniku dotyczącym wspólnej odpowiedzialności omówiono kilka wymagań związanych z bezpieczeństwem, prywatnością i zgodnością, które Dropbox i jego klienci mogą spełnić w drodze współpracy. Wyświetl certyfikat ISO 27017 dotyczący taryf Dropbox Standard, Advanced, Enterprise i Education.

ISO 27018 (ochrona prywatności i danych w chmurze)

ISO 27018 to międzynarodowy standard ochrony prywatności i danych stosowany przez dostawców usług w chmurze, takich jak Dropbox, przetwarzających dane osobowe w imieniu swoich klientów. Standard ten służy też wielu klientom jako podstawa do tworzenia odpowiednich procedur i narzędzi w celu spełnienia wymogów prawnych i umownych oraz wyjaśniania związanych z nimi wątpliwości. Wyświetl certyfikat ISO 27018 dotyczący taryf Dropbox Standard, Advanced, Enterprise i Education.

ISO 22301 (zarządzanie ciągłością działania)

ISO 22301 to międzynarodowy standard ciągłości działania, który pomaga organizacjom w ograniczeniu negatywnego wpływu różnego rodzaju zakłóceń na ich działalność, a w razie ich wystąpienia ułatwia odpowiednie reagowanie i minimalizowanie potencjalnych szkód. Stosowany przez Dropbox system zarządzania ciągłością działania jest elementem naszej szerszej strategii zarządzania ryzykiem, która ma na celu ochronę ludzi i działalności w sytuacjach kryzysowych. Wyświetl certyfikat ISO 22301 dotyczący taryf Dropbox Standard, Advanced, Enterprise i Education.

ISO 27701 (zarządzanie informacjami o prywatności)

ISO 27701 to międzynarodowy standard zarządzania informacjami o prywatności. Standard ten zapewnia ramy służące ulepszeniu i rozszerzeniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 do poziomu systemu zarządzania informacjami o prywatności (PIMS). Dropbox otrzymał ten certyfikat jako Administrator Danych Osobowych. Wyświetl certyfikat ISO 27701 dotyczący taryf Dropbox Standard, Advanced, Enterprise i Education.

Raporty SOC

Raporty Service Organization Controls (SOC), znane pod nazwami SOC 1, SOC 2 i SOC 3, to ramy określone przez American Institute of Certified Public Accountants (AICPA) i dotyczące sprawozdań na temat wewnętrznych mechanizmów kontrolnych wdrożonych w danej organizacji. Systemy, aplikacje, personel i procesy Dropbox zweryfikowano podczas serii audytów przeprowadzonych przez niezależną firmę Ernst & Young LLP.

SOC 3 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport poświadczający zgodność z SOC 3 obejmuje wszystkie pięć zasad Trust Service: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność (TSP sekcja 100). Ten ogólny raport Dropbox jest streszczeniem raportu SOC 2 i zawiera opinię niezależnego audytora zewnętrznego na temat skutecznego tworzenia i wdrażania naszych procedur kontrolnych. Wyświetl wyniki badania SOC 3 dotyczące taryf Dropbox Standard, Advanced, Enterprise i Education.

SOC 2 – bezpieczeństwo, poufność, integralność, dostępność i prywatność

Raport SOC 2 daje klientom gwarancję wynikającą ze stosowania szczegółowych procedur kontrolnych i obejmuje wszystkie pięć zasad Trust Service: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność (TSP sekcja 100). Raport SOC 2 zawiera szczegółowy opis procesów i ponad 100 procedur kontrolnych, jakie Dropbox wdrożył w celu ochrony Twoich materiałów. Oprócz opinii naszego niezależnego audytora zewnętrznego na temat skutecznego tworzenia i wdrażania naszych procedur kontrolnych raport zawiera także opis testów stosowanych przez audytora oraz wyniki dotyczące poszczególnych procedur kontrolnych. Raport SOC 2 (czasem nazywany także raportem SOC 2+) zawiera również zweryfikowany w drodze audytu schemat naszych procedur kontrolnych w odniesieniu do powyższych standardów ISO, zwiększający przejrzystość naszych działań z perspektywy klientów. Raport SOC 2 obejmuje wersje Dropbox Standard, Advanced, Enterprise i Education. Raport SOC 2 można pobrać w Centrum zaufania Dropbox.

SOC 1 / SSAE 18 / ISAE 3402 (dawniej SSAE 16 lub SAS 70)

Raport SOC 1 zawiera konkretne gwarancje dla klientów, dla których Dropbox stanowi jeden z kluczowych elementów wewnętrznych procedur kontroli nad sprawozdawczością finansową (ICFR). Gwarancje te służą głównie klientom wymagającym zgodności z amerykańską ustawą Sarbanesa-Oxleya (SOX). Niezależny audyt zewnętrzny jest przeprowadzany zgodnie z deklaracją Statement on Standards for Attestation Engagements No. 18 (SSAE 18) i standardem International Standard for Assurance Engagements No. 3402 (ISAE 3402). Standardy te zastąpiły wcześniejsze, nieaktualne wersje o nazwach Statement on Standards for Attestation Engagement No. 16 (SSAE 16) i Statement on Auditing Standards No. 70 (SAS 70). Raport SOC 1 obejmuje wersje Dropbox Standard, Advanced, Enterprise i Education. Raport SOC 1 można pobrać w Centrum zaufania Dropbox.

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

CSA Security, Trust, Assurance and Risk (STAR) Registry to darmowy, ogólnodostępny rejestr oferujący program zapewnienia bezpieczeństwa usług chmurowych, który pomaga użytkownikom w ocenie zabezpieczeń stosowanych przez obecnych lub potencjalnych dostawców tych usług.

Taryfy Dropbox Standard, Advanced, Enterprise i Education otrzymały certyfikat oraz atest CSA STAR (poziom 2). Spełnienie wymagań poziomu 2 CSA STAR wymaga niezależnej zewnętrznej oceny dokonywanej przez EY CertifyPoint (certyfikacja) i Ernst & Young LLP (atest) na podstawie wymagań standardu ISO 27001, zasad Trust Service określonych w SOC 2 i specyfikacji CSA Cloud Controls Matrix (CCM) v.3.0.1. Nasz certyfikat i atest CSA STAR (poziom 2) znajduje się w witrynie CSA.

HIPAA/HITECH

Dropbox podpisuje umowy o partnerstwie biznesowym (Business Associate Agreement – BAA) z klientami korzystającymi z taryf Dropbox Standard, Advanced, Enterprise i Education, którzy potrzebują ich w celu spełnienia wymagań wynikających z ustaw Health Insurance Portability and Accountability Act (HIPAA) oraz Health Information Technology for Economic and Clinical Health Act (HITECH). Więcej szczegółowych informacji podano w naszym przewodniku „Wprowadzenie do HIPAA” i artykule w centrum pomocy.

Dropbox udostępnia swoim klientom wyniki badania SOC 2 poświadczające zgodność naszych procedur kontrolnych z określonymi w ustawach HIPAA/HITECH zasadami bezpieczeństwa, prywatności i powiadamiania o naruszeniach, a także zestawienie wewnętrznych praktyk firmy i zaleceń dla klientów, którzy w ramach taryf Dropbox Standard, Advanced, Enterprise i Education chcą spełnić wymogi w zakresie bezpieczeństwa i prywatności wynikające z ustaw HIPAA/HITECH.

Klienci zainteresowani otrzymaniem tych dokumentów mogą uzyskać do nich dostęp w Centrum zaufania Dropbox. Jeśli obecnie jesteś administratorem zespołu Dropbox, możesz podpisać umowę o partnerstwie biznesowym elektronicznie na stronie Konto w Konsoli administratora.

Uwaga: Możliwość podpisania elektronicznej umowy o partnerstwie biznesowym za pośrednictwem Konsoli administratora mają tylko klienci z siedzibą w USA.

Raport Atestacyjny NIST SP 800-171 R2

Amerykański Narodowy Instytut Standaryzacji i Technologii (National Institute of Standards and Technology – NIST) stoi na straży standardów i wytycznych pomocnych w ochronie systemów informatycznych i propaguje je. Specjalna Publikacja NIST – (SP) 800-171, wersja 2 (R2) zawiera wytyczne dotyczące ochrony informacji nieobjętych klauzulą tajności, ale podlegających rygorom ochrony (Controlled Unclassified Information – CUI) w pozarządowych systemach i organizacjach informacyjnych. Wszystkie podmioty przechowujące informacje typu CUI rządu Stanów Zjednoczonych, np. instytucje badawcze lub sektor oświaty, muszą przestrzegać przepisów Specjalnej Publikacji NIST 800-171 R2. Systemy, procesy i procedury kontrolne Dropbox dotyczące informacji typu CUI zostały poddane weryfikacji przez niezależnego audytora zewnętrznego, Ernst & Young LLP.

Raport NIST SP 800-171 R2 dla Dropbox Standard, Advanced, Enterprise i Education jest zintegrowany z raportem SOC 2, który jest dostępny w Centrum zaufania Dropbox.

*Raport NIST SP 800-171 R2 nie obejmuje usługi Dropbox Paper.

Program Ramy Ochrony Danych UE-USA, brytyjskie rozszerzenie do programu Ramy Ochrony Danych UE-USA oraz program Ramy Ochrony Danych Szwajcaria-USA

Dropbox zachowuje zgodność z programami Ramy Ochrony Danych UE-USA i Szwajcaria-USA oraz z brytyjskim rozszerzeniem do programu Ramy Ochrony Danych UE-USA stworzonymi przez Departament Handlu Stanów Zjednoczonych dotyczącymi zbierania, wykorzystywania i przechowywania danych osobowych przesyłanych z Unii Europejskiej, Zjednoczonego Królestwa i Szwajcarii do USA. Przestrzeganie zasad programu Ramy Ochrony Danych daje gwarancję, że organizacja zapewnia wystarczającą ochronę prywatności w świetle unijnej dyrektywy o ochronie danych (RODO).

Wyświetl certyfikat Ram Ochrony Danych Dropbox i dowiedz się więcej na stronie Ram Ochrony Danych.

Ogólne rozporządzenie UE o ochronie danych

Ogólne rozporządzenie o ochronie danych 2016/679 (RODO) to rozporządzenie Unii Europejskiej, które wprowadza istotne zmiany w dotychczasowych przepisach dotyczących przetwarzania danych osobowych w UE. W rozporządzeniu określono szereg nowych lub zmienionych wymagań, które dotyczą firm takich jak Dropbox, mających do czynienia z danymi osobowymi. Rozporządzenie weszło w życie 25 maja 2018 r. i zastąpiło unijną dyrektywę 95/46 WE, lepiej znaną jako dyrektywa o ochronie danych. Działania Dropbox są zgodne z RODO, co ułatwia zapewnienie zgodności z wymaganiami RODO również naszym klientom. Więcej informacji znajdziesz w tym artykule w centrum pomocyDropbox.

Unijny Kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze

Unijny Kodeks postępowania w zakresie przetwarzania danych osobowych w chmurze pozwala dostawcom usług w chmurze, takim jak Dropbox, na okazanie zaangażowania w działania związane z zachowaniem zgodności z rozporządzeniem RODO. Przyjęcie tego kodeksu jest dobrowolne. Po otrzymaniu pozytywnej opinii Europejskiej Rady Ochrony Danych kodeks został oficjalnie zatwierdzony przez belgijski organ ochrony danych w maju 2021 roku (identyfikator weryfikacji: 2022LVL02SCOPE3114). Usługa Dropbox obejmująca taryfy dla zespołów Standard, Advanced, Enterprise i Education, została uznana za spełniającą wymagania kodeksu i otrzymała oznaczenie zgodności poziomu 2. Oznacza to, że wdrożono w niej środki techniczne, organizacyjne i umowne zgodnie z wymaganiami kodeksu. Więcej informacji o unijnym kodeksie postępowania w zakresie przetwarzania danych osobowych w chmurze można znaleźć w oficjalnej witrynie kodeksu.

Norma FDA 21 CFR Część 11

Tytuł 21 Kodeksu Przepisów Federalnych (CFR – od ang. Code of Federal Regulations) reguluje kwestie związane z żywnością i lekami w granicach Stanów Zjednoczonych dla Agencji Żywności i Leków (FDA – od ang. Food and Drug Administration), Rządowej Agencji ds. Wdrażania Obrotu Lekarstw (ang. Drug Enforcement Administration) oraz rządowej instytucji Office of National Drug Control Policy. Część 11 Tytułu 21 określa kryteria, według których FDA uznaje zapisy i podpisy elektroniczne za wiarygodne, rzetelne i ogólnie rzecz biorąc równoważne z zapisami w wersji papierowej i odręcznymi podpisami.  

Zapoznaj się z naszym Przewodnikiem Dropbox i FDA 21 CFR Część 11 oraz z artykułem w centrum pomocy, aby uzyskać więcej informacji o tym, jak Dropbox może pomóc w przestrzeganiu przepisów 21 CFR Część 11.

PCI DSS

Dropbox jest firmą przestrzegającą standardu Payment Card Industry Data Security Standard (PCI DSS). Poświadczenie zgodności PCI (AoC) naszego statusu handlowego jest dostępne w Centrum zaufania Dropbox.

Więcej informacji na temat zgodności usług Dropbox

Dostęp do dokumentów dotyczących zgodności i certyfikacji można uzyskać w Centrum zaufania Dropbox.