Efterlevnad av standarder och föreskrifter

ISO-certifieringar

Internationella standardiseringsorganisationen (ISO) har tagit fram en serie internationella standarder för informations- och samhällssäkerhet som hjälper organisationer att utveckla tillförlitliga och innovativa produkter och tjänster. Dropbox har certifierat sina datacenter, system, program, anställda och processer genom ett antal granskningar av en oberoende tredje part, EY CertifyPoint från Nederländerna.

ISO 27001 (ledningssystem för informationssäkerhet)

ISO 27001 är den mest erkända standarden för ledningssystem för informationssäkerhet i världen. Standarderna införlivar även bästa praxis för säkerhet enligt ISO 27002. För att förtjäna ert förtroende hanterar och förbättrar vi på Dropbox kontinuerligt våra fysiska, tekniska och juridiska kontroller. Vår granskare, EY CertifyPoint, innehar sin ISO 27001-ackreditering från Raad voor Accreditatie (nederländska ackrediteringsrådet). Se ISO 27001-certifikatet för Dropbox Standard, Advanced, Enterprise och Education.

ISO 27017 (molnsäkerhet)

ISO 27017 är en internationell standard för molnsäkerhet med riktlinjer för säkerhetskontroller gällande tillhandahållande och användning av molntjänster. I vår guide om delat ansvar beskrivs flera krav på säkerhet, sekretess och efterlevnad som Dropbox och våra kunder kan samarbeta runt. Se ISO 27017-certifikatet för Dropbox Standard, Advanced, Enterprise och Education.

ISO 27018 (molnsäkerhet och dataskydd)

ISO 27018 är en internationell standard för sekretess och dataskydd som gäller för molntjänstleverantörer som Dropbox, vilka bearbetar personuppgifter å sina kunders vägnar. Standarden utgör en utgångspunkt för våra kunder vad gäller vanliga krav och frågor beträffande föreskrifter och kontrakt. Se ISO 27018-certifikatet för Dropbox Standard, Advanced, Enterprise och Education.

ISO 22301 (ledningssystem för kontinuitet)

ISO 22301 är en internationell standard för ledningssystem för kontinuitet som hjälper organisationer att minska påverkan av störande händelser och agera på rätt sätt när de inträffar genom att minimera eventuella skador. Dropbox ledningssystem för affärskontinuitet (BCMS, business continuity management system) är en del av vår övergripande riskhanteringsstrategi för att skydda personer och verksamheten. Se ISO 22301-certifikatet för Dropbox Standard, Advanced, Enterprise och Education.

ISO 27701 (ledningssystem för hantering av personuppgifter)

ISO 27701 är en internationell standard för hantering av sekretessinformation. Standarden tillhandahåller ett ramverk för att förbättra och utöka systemet för informationssäkerhetshantering under ISO 27001 till ett system för hantering av sekretessinformation (PIMS). Dropbox har certifierats som personuppgiftsbiträde. Se ISO 27701-certifikatet för Dropbox Standard, Advanced, Enterprise och Education.

SOC-rapporter

Service Organization Controls (SOC)-rapporterna, kallade SOC 1, SOC 2 eller SOC 3, är ramverk som etablerats av American Institute of Certified Public Accountants (AICPA) för rapportering om interna kontroller som används inom en organisation. Dropbox har validerat sina system, program, anställda och processer genom ett antal granskningar av en oberoende tredje part, Ernst & Young LLP.

SOC 3 för säkerhet, sekretess, integritet och tillgänglighet

Bestyrkanderapporten SOC 3 omfattar alla fem säkerhetsprinciperna för säkerhet, tillgänglighet, behandlingsintegritet, sekretess och förtroendetjänster (TSP Section 100). Dropbox-rapporten för allmänt bruk är en övergripande sammanfattning av SOC 2-rapporten och inkluderar den oberoende, utomstående revisorns synpunkter på den effektiva utformningen och tillämpningen av våra kontroller. Se SOC 3-undersökningen för Dropbox Standard, Advanced, Enterprise och Education.

SOC 2 för säkerhet, sekretess, integritet och tillgänglighet

SOC 2-rapporten förser kunder med ett detaljerat kontrollbaserat bestyrkande, som omfattar alla fem säkerhetskriterierna för förtroendetjänster: säkerhet, tillgänglighet, behandlingsintegritet, sekretess och integritet (TSP Section 100). SOC 2-rapporten inkluderar en detaljerad beskrivning av Dropbox processer och de mer än 100 kontroller vi har på plats för att skydda dina saker. I tillägg till vår oberoende tredjepartsgranskares åsikt om den effektiva utformningen och tillämpningen av våra kontroller, inkluderar rapporten även granskarens testprocedurer och resultat för varje kontroll. Vår SOC 2-rapport (ibland kallad SOC 2+-rapport) innehåller även en granskad mappning av våra kontroller enligt ISO-standarderna ovan, vilken ger ytterligare transparens till våra kunder. SOC 2-rapporten omfattar Dropbox Standard, Advanced, Enterprise och Education. SOC 2-rapporten finns tillgänglig för nerladdning på Dropbox Trust Center.

SOC 1/SSAE 18/ISAE 3402 (tidigare SSAE 16 eller SAS 70)

SOC 1-rapporten tillhandahåller specifika garantier för kunder som ser Dropbox som en viktig del av sitt program för interna kontroller vid ekonomisk rapportering. Dessa specifika garantier används huvudsakligen för våra kunders efterlevnad av Sarbanes-Oxley-lagen (SOX). Den oberoende tredjepartsgranskningen genomförs i enlighet med SSAE 18 (Statement on Standards for Attestation Engagements No. 18) och ISAE 3402 (International Standard on Assurance Engagements No. 3402). Dessa standarder har ersatt inaktuella SSAE 16 (Statement on Standards for Attestation Engagement No.16) och SAS 70 (Statement on Auditing Standards No. 70). SOC 1-rapporten omfattar Dropbox Standard, Advanced, Enterprise och Education. SOC 1-rapporten finns tillgänglig för nerladdning på Dropbox Trust Center.

Cloud Security Alliance: Security, Trust, Assurance, Risk (CSA STAR) Registry

CSA Security, Trust, Assurance, and Risk (STAR) Registry är ett kostnadsfritt, allmänt tillgängligt register som erbjuder ett säkerhetsprogram för molntjänster. Det är ett hjälpmedel där användare kan bedöma säkerheten hos de molnleverantörer de använder just nu eller överväger att teckna avtal med.

Dropbox Standard, Advanced, Enterprise och Education har fått både CSA STAR Level 2-certifiering och Level 2-attestering. CSA STAR Level 2 kräver en utvärdering från en oberoende tredje part av våra säkerhetskontroller, som utförs av EY CertifyPoint (för certifiering) och Ernst & Young LLP (för attestering), grundade på kraven i ISO 27001, SOC 2 Trust Service Criteria och CSA Cloud Controls Matrix (CCM) v.3.0.1. Se vår certifiering och attestering för CSA STAR Level 2 på CSA-webbplatsen.

HIPAA/HITECH

Dropbox kommer att teckna affärspartneravtal (BAA) med kunder hos Dropbox Standard, Advanced, Enterprise och Education som begär sådana för att kunna följa HIPAA (Health Insurance Portability and Accountability Act) och HITECH (Health Information Technology for Economic and Clinical Health Act). Läs vår guide ”Kom igång med HIPAA” och hjälpcenterartikeln om du vill ha mer information.

Dropbox tillhandahåller en SOC 2-bestyrkanderapport från tredje part, där våra kontroller utvärderas för regelverket för säkerhet, sekretess och anmälan om överträdelser enligt HIPAA/HITECH. Även vår internpraxis och våra rekommendationer kartläggs för kunder som önskar följa regelkraven för säkerhet och sekretess enligt HIPAA/HITECH med Dropbox Standard, Advanced, Enterprise och Education.

Kunder som vill få dessa dokument kan komma åt dem i Dropbox Trust Center. Om du för närvarande är Dropbox-teamadministratör kan du istället underteckna BAA elektroniskt på sidan Konto i adminkonsolen.

Observera: möjligheten att underteckna ett elektroniskt affärspartneravtal (BAA) via adminkonsolen finns endast för kunder med bas i USA.

NIST SP 800-171 R2-bekräftelserapport

Amerikanska National Institute of Standards and Technology (NIST) främjar och upprätthåller standarder och riktlinjer för att skydda informationssystem. NIST Special Publication (SP) 800-171 Revision 2 (R2) innehåller riktlinjer för att skydda kontrollerad ej hemligstämplad information (Controlled Unclassified Information, CUI) i icke-federala informationssystem och organisationer. Varje enhet som hanterar eller lagrar amerikansk statlig CUI, såsom forskningsinstitutioner och utbildningssektor, bör efterleva NIST SP 800-171 R2. Dropbox-system, -processer och -kontroller för CUI har validerats av en oberoende tredjepartsgranskare, Ernst & Young LLP.

NIST SP 800-171 R2-rapporten för Dropbox Standard, Advanced, Enterprise och Education är integrerad i SOC 2-rapporten, som finns tillgänglig i Dropbox Trust Center.

*Dropbox Paper omfattas inte av NIST SP 800-171 R2-rapporten.

Ramverket för dataskydd mellan EU och USA, det brittiska tillägget till ramverket för dataskydd mellan EU och USA, ramverket för dataskydd mellan Schweiz och USA

Dropbox följer ramverket för dataskydd mellan EU och USA, det brittiska tillägget till ramverket för dataskydd mellan EU och USA och ramverket för dataskydd mellan Schweiz och USA som fastställts av amerikanska Department of Commerce angående inhämtning, användning och lagring av personuppgifter som överförs från Europeiska unionen, Storbritannien och Schweiz till USA. Genom att följa principerna i ramverket för dataskydd kan organisationer säkerställa att de erbjuder tillräckligt integritetsskydd enligt GDPR.

Se Dropbox certifiering för ramverket för dataskydd och läs mer på Data Privacy Framework-webbplatsen.

EU:s Allmänna dataskyddsförordning (GDPR)

Allmänna dataskyddsförordningen 2016/679, även kallad GDPR, är en förordning i Europeiska unionen som innebär en betydande förändring i det befintliga ramverket för behandling av enskilda personers personliga data inom EU. GDPR introducerade en rad nya eller utökade krav som gäller för företag som Dropbox som behandlar personuppgifter. GDPR trädde i kraft den 25 maj 2018 och ersatte EU:s direktiv 95/46 EG, även känt som Dataskyddsdirektivet. Dropbox uppfyller GDPR vilket innebär att kunder kan använda Dropbox till att möjliggöra deras GDPR-efterlevnad. Läs den här hjälpcenterartikeln för mer information.

EU:s uppförandekod för molntjänster

EU:s uppförandekod för molntjänster är ett frivilligt instrument som gör det möjligt för en molntjänstleverantör, som Dropbox, att visa vårt åtagande att följa GDPR. Efter det positiva yttrandet från Europeiska dataskyddsstyrelsen (EDPB) godkändes EU:s uppförandekod för molntjänster officiellt av den belgiska dataskyddsmyndigheten i maj 2021 (Verifierings-ID: 2022LVL02SCOPE3114). Dropbox Standard-, Advanced-, Enterprise- och Education-planer för team har förklarats följa EU:s uppförandekod för molntjänster och tilldelats efterlevnadsmärket på nivå 2, vilket innebär att dessa tjänster har implementerat tekniska, organisatoriska och avtalsrelaterade åtgärder i enlighet med kraven i koden. Mer information om EU:s uppförandekod för molntjänster och Dropbox efterlevnad av koden finns på kodens officiella webbplats.

FDA 21 CFR Part 11

Title 21 i Code of Federal Regulations (CFR) styr livsmedel och läkemedel i USA för Food and Drug Administration (FDA), Drug Enforcement Administration (DEA) och Office of National Drug Control Policy. Del 11 i Title 21 fastställer de kriterier under vilka FDA fastställer elektroniska dokumentationer och signaturer som trovärdiga, pålitliga och i allmänhet jämförbara med pappersdokumentation och handskrivna signaturer på papper.  

Se vår Vitbok om Dropbox och FDA 21 CFR del 11 och vår hjälpcenterartikel för ytterligare information om hur Dropbox kan hjälpa er nå efterlevnad med 21 CFR del 11.

PCI DSS

Dropbox följer betalkortbranschens datasäkerhetsstandard (Card Industry Data Security Standard, PCI DSS). Efterlevnadsintyget (PCI Attestation of Compliance) angående vår status som försäljare finns tillgängligt i Dropbox Trust Center.

Mer information om Dropbox efterlevnad

Efterlevnads- och certifieringsdokument kan nås i Dropbox Trust Center.