การปฏิบัติตามข้อกำหนดมาตรฐานและระเบียบบังคับ

การรับรอง ISO

องค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) ได้พัฒนาชุดมาตรฐานระดับโลกสำหรับการรักษาความปลอดภัยข้อมูลและสังคมเพื่อช่วยให้องค์กรต่างๆ พัฒนาผลิตภัณฑ์และบริการที่เชื่อถือได้และมีนวัตกรรม ซึ่ง Dropbox ได้รับรองกลุ่มเซิร์ฟเวอร์ศูนย์ข้อมูล ระบบ แอปพลิเคชัน พนักงาน และกระบวนการผ่านการตรวจสอบโดยบริษัทอิสระภายนอกซึ่งก็คือ EY CertifyPoint จากประเทศเนเธอร์แลนด์

ISO 27001 (การบริหารจัดการด้านการรักษาความปลอดภัยข้อมูล)

ISO 27001 เป็นมาตรฐานระบบบริหารจัดการด้านการรักษาความปลอดภัยของข้อมูล (ISMS) ชั้นนำที่ได้รับการยอมรับทั่วโลก มาตรฐานดังกล่าวยังได้ใช้ประโยชน์จากวิธีปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยที่ระบุไว้ใน ISO 27002 เพื่อให้เราเป็นที่ไว้วางใจของคุณ เรากำลังจัดการและปรับปรุงการควบคุมด้านกายภาพ ด้านเทคนิค และด้านกฎหมายของ Dropbox ให้ดีขึ้นอย่างต่อเนื่องและครอบคลุม EY CertifyPoint ซึ่งเป็นผู้ตรวจสอบของเราได้รักษาคุณภาพของ ISO 27001 ของตนเองจาก Raad voor Accreditatie (คณะกรรมการรับรองแห่งเนเธอร์แลนด์) ดูใบรับรอง ISO 27001 ของ Dropbox Standard, Advanced, Enterprise และ Education

ISO 27017 (การรักษาความปลอดภัยของระบบคลาวด์)

ISO 27017 เป็นมาตรฐานสากลสำหรับการรักษาความปลอดภัยของคลาวด์ที่ให้แนวทางในการควบคุมการรักษาความปลอดภัยที่นำไปใช้กับการจัดสรรและการใช้บริการคลาวด์ แนวทางการมีหน้าที่ความรับผิดชอบร่วมกันของเราอธิบายถึงข้อกำหนดต่างๆ ในด้านการรักษาความปลอดภัย ความเป็นส่วนตัว และการปฏิบัติตามข้อกำหนดที่ Dropbox และลูกค้าสามารถแก้ไขได้ร่วมกัน ดูใบรับรอง ISO 27017 ของ Dropbox Standard, Advanced, Enterprise และ Education

ISO 27018 (ความเป็นส่วนตัวและการคุ้มครองข้อมูลบนระบบคลาวด์)

ISO 27018 เป็นมาตรฐานสากลสำหรับความเป็นส่วนตัวและการปกป้องข้อมูลที่จะใช้กับผู้ให้บริการคลาวด์ เช่น Dropbox ที่ต้องมีการประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้าของบริษัท และให้กฎเกณฑ์เมื่อลูกค้าสอบถามถึงข้อกำหนดเกี่ยวกับกฎระเบียบและสัญญาแบบทั่วไป รวมถึงเมื่อลูกค้ามีคำถาม ดูใบรับรอง ISO 27018 ของ Dropbox Standard, Advanced, Enterprise และ Education

ISO 22301 (การบริหารความต่อเนื่องทางธุรกิจ)

ISO 22301 เป็นมาตรฐานสากลสำหรับความต่อเนื่องทางธุรกิจที่ให้คำแนะนำองค์กรเกี่ยวกับวิธีการลดผลกระทบของเหตุการณ์ที่ทำให้เกิดความยุ่งยาก และให้ตอบสนองได้อย่างเหมาะสมหากเกิดเหตุการณ์ดังกล่าวขึ้นโดยทำให้ความเสียหายที่อาจเกิดขึ้นมีน้อยที่สุด ระบบการบริหารความต่อเนื่องทางธุรกิจ (BCMS) ของ Dropbox เป็นส่วนหนึ่งของกลยุทธ์การบริหารจัดการความเสี่ยงโดยรวมของเราเพื่อปกป้องบุคลากรและการดำเนินงานในช่วงวิกฤต ดูใบรับรอง ISO 22301 ของ Dropbox Standard, Advanced, Enterprise และ Education

ISO 27701 (การจัดการข้อมูลความเป็นส่วนตัว)

ISO 27701 เป็นมาตรฐานสากลสำหรับการจัดการข้อมูลความเป็นส่วนตัว โดยมีกรอบการทำงานเพื่อเพิ่มประสิทธิภาพและขยายระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศภายใต้ ISO 27001 ไปสู่ระบบการจัดการข้อมูลส่วนตัว (PIMS) ซึ่ง Dropbox ได้รับการรับรองนี้ในฐานะผู้ทำหน้าที่ดำเนินการประมวลผลข้อมูลส่วนบุคคล (PII processors) ดู ใบรับรอง ISO 27701 ของ Dropbox Standard, Advanced, Enterprise และ Education

รายงาน SOC

รายงานการควบคุมองค์กรบริการ (SOC) หรือที่รู้จักกันในชื่อ SOC 1, SOC 2 หรือ SOC 3 คือกรอบการทำงานที่กำหนดขึ้นโดยสถาบันผู้สอบบัญชีรับอนุญาตแห่งอเมริกา (AICPA) เพื่อรายงานการควบคุมภายในที่นำไปใช้ในองค์กร Dropbox ได้ตรวจสอบยืนยันระบบ แอปพลิเคชัน พนักงาน และกระบวนการของบริษัทผ่านการตรวจสอบโดยบริษัทอิสระจากภายนอก Ernst & Young LLP

SOC 3 เพื่อการรักษาความปลอดภัย การรักษาความลับ ความสมบูรณ์ถูกต้อง ความพร้อมใช้งาน และความเป็นส่วนตัว

รายงานรับรอง SOC 3 ครอบคลุมหลักการบริการความไว้วางใจทั้งห้าข้อ ได้แก่ การรักษาความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ถูกต้องของการประมวลผล การรักษาความลับ และความเป็นส่วนตัว (TSP ส่วนที่ 100) รายงานที่ใช้โดยทั่วไปของ Dropbox เป็นข้อมูลสรุปการบริหารจากรายงาน SOC 2 และมีความคิดเห็นจากผู้ตรวจสอบอิสระภายนอกเกี่ยวกับการออกแบบที่มีประสิทธิภาพและการดำเนินการควบคุมของเรา ดูการตรวจสอบ SOC 3 ของ Dropbox Standard, Advanced, Enterprise และ Education

SOC 2 เพื่อการรักษาความปลอดภัย การรักษาความลับ ความสมบูรณ์ถูกต้อง ความพร้อมใช้งาน และความเป็นส่วนตัว

รายงาน SOC 2 จะให้การรับประกันการควบคุมแบบละเอียดแก่ลูกค้า โดยครอบคลุมเกณฑ์ความไว้วางใจในบริการทั้งห้าข้อ ได้แก่ การรักษาความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ถูกต้องของการประมวลผล การรักษาความลับ และความเป็นส่วนตัว (TSP ส่วนที่ 100) รายงาน SOC 2 ประกอบด้วยคำอธิบายกระบวนการของ Dropbox โดยละเอียด ตลอดจนการควบคุมอีกเกือบ 100 รายการที่มีไว้เพื่อปกป้องข้อมูลของคุณ นอกเหนือจากความคิดเห็นของผู้ตรวจสอบอิสระจากภายนอกเกี่ยวกับการออกแบบที่มีประสิทธิภาพและการดำเนินการในส่วนของการควบคุมของเราแล้ว รายงานดังกล่าวยังมีขั้นตอนการทดสอบและผลลัพธ์สำหรับการควบคุมแต่ละรายการของผู้ตรวจสอบอีกด้วย รายงาน SOC 2 ของเรา (บางครั้งเรียกว่ารายงาน SOC 2+) ยังมีแผนผังการควบคุมที่ตรวจสอบแล้วตามมาตรฐาน ISO ที่กล่าวถึงด้านบนเพื่อให้ความโปร่งใสมากขึ้นแก่ลูกค้าของเรา รายงานSOC 2 ครอบคลุม Dropbox Standard, Advanced, Enterprise และ Education รายงาน SOC 2 พร้อมให้ดาวน์โหลดแล้วในศูนย์ความเชื่อถือของ Dropbox

SOC 1 / SSAE 18 / ISAE 3402 (ก่อนหน้านี้คือ SSAE 16 หรือ SAS 70)

รายงาน SOC 1 จะให้การรับประกันโดยเฉพาะแก่ลูกค้าที่มองว่า Dropbox เป็นองค์ประกอบหลักของโครงการการควบคุมภายในในการจัดทำรายงานทางการเงิน (Internal Controls Over Financial Reporting - ICFR) ของตน การรับประกันโดยเฉพาะเหล่านี้จะใช้ในการปฎิบัติตามข้อกำหนด Sarbanes-Oxley (SOX) ของลูกค้าของเราเป็นหลัก การตรวจสอบอิสระจากภายนอกจะดำเนินการสอดคล้องกับ Statement on Standards for Attestation Engagements เลขที่ 18 (SSAE 18) และ International Standards for Assurance Engagements เลขที่3402 (ISAE 3402) มาตรฐานเหล่านี้ได้เข้ามาแทนที่ Statement on Standards for Attestation Engagement เลขที่ 16 (SSAE 16) และ Statement on Auditing Standards เลขที่ 70 (SAS 70) ที่ไม่ใช้แล้ว รายงาน SOC 1 ครอบคลุม Dropbox Standard, Advanced, Enterprise และ Education รายงาน SOC 1 พร้อมให้ดาวน์โหลดแล้วในศูนย์ความเชื่อถือของ Dropbox

สหพันธ์การรักษาความปลอดภัยบนคลาวด์: Security, Trust, Assurance, Risk (CSA STAR) Registry

Security, Trust, Assurance และ Risk (STAR) Registry ของ CSA คือระบบทะเบียนออนไลน์ที่ทุกคนสามารถเข้าถึงได้ฟรี ที่ให้โครงการให้การรับรองการรักษาความปลอดภัยสำหรับบริการคลาวด์ต่างๆ ซึ่งช่วยให้ผู้ใช้สามารถประเมินการรักษาความปลอดภัยของผู้ให้บริการคลาวด์ที่กำลังใช้งานอยู่หรือกำลังพิจารณาจะใช้งาน

Dropbox Standard, Advanced, Enterprise และ Education ได้รับทั้งการรับรองระดับ 2 และใบรับรองระดับ 2 จาก CSA STAR CSA STAR ระดับ 2 กำหนดให้มีการประเมินการควบคุมการรักษาความปลอดภัยของเราแบบอิสระจากบุคคลภายนอกโดย EY CertifyPoint (สำหรับการรับรอง) และ Ernst & Young LLP (สำหรับใบรับรอง) ตามข้อกำหนดของ ISO 27001, เกณฑ์ความไว้วางใจในบริการ SOC 2 และ CSA Cloud Controls Matrix (CCM) v3.0.1 ดูการรับรองและใบรับรอง CSA STAR ระดับ 2 ของเราบนเว็บไซต์ CSA

HIPAA/HITECH

Dropbox จะลงนามในข้อตกลงภาคีธุรกิจ (BAA) กับลูกค้า Dropbox Standard, Advanced, Enterprise และ Education ที่ต้องการข้อตกลงดังกล่าวเพื่อปฏิบัติตามกฎหมายว่าด้วยการควบคุมและการส่งผ่านข้อมูลทางด้านการประกันสุขภาพ (HIPAA) และกฎหมายว่าด้วยเทคโนโลยีสารสนเทศด้านสุขภาพเพื่อเศรษฐกิจและคลินิกสุขภาพ (HITECH) โปรดดูรายละเอียดเพิ่มเติมในคู่มือ “การเริ่มต้นใช้งาน HIPAA” และบทความในศูนย์ความช่วยเหลือ

Dropbox ได้จัดเตรียมการตรวจสอบ SOC 2 ให้พร้อมใช้งานได้ ซึ่งจะประเมินการควบคุมของเราในด้านกฎการรักษาความปลอดภัย ความเป็นส่วนตัว และการแจ้งการละเมิดของ HIPAA/HITECH รวมถึงสร้างแผนผังแนวทางปฏิบัติภายในและคำแนะนำสำหรับลูกค้าที่ต้องการปฏิบัติตามกฎระเบียบด้านการรักษาความปลอดภัยและความเป็นส่วนตัวของ HIPAA/HITECH จากการใช้ Dropbox Standard, Advanced, Enterprise และ Education

ลูกค้าที่สนใจจะขอเอกสารเหล่านี้สามารถเข้าถึงได้ในศูนย์ความเชื่อถือของ Dropbox หากขณะนี้คุณเป็นผู้ดูแลทีม Dropbox คุณสามารถลงนามใน BAA ทางอิเล็กทรอนิกส์จากหน้าบัญชีในแผงควบคุมของผู้ดูแลทีม

หมายเหตุ: ความสามารถในการลงนาม BAA แบบอิเล็กทรอนิกส์ผ่านแผงควบคุมของผู้ดูแลทีมจะมีให้สำหรับลูกค้าที่อยู่ในสหรัฐอเมริกาเท่านั้น

รายงานใบรับรอง NIST SP 800-171 R2

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)ของสหรัฐอเมริกาทำหน้าที่ส่งเสริมและดูแลรักษามาตรฐานและแนวทางต่างๆ เพื่อช่วยปกป้องระบบข้อมูล โดยเอกสารพิเศษ (SP) 800-171 ฉบับที่ 2 (R2) ของ NIST มีแนวทางเกี่ยวกับการปกป้องข้อมูลที่ไม่ได้จัดประเภทซึ่งอยู่ภายใต้การควบคุม (CUI) ในระบบข้อมูลที่ไม่ใช่ของทางรัฐบาลกลางและองค์กร หน่วยงานใดๆ ที่ประมวลผลหรือจัดเก็บ CUI ของรัฐบาลสหรัฐฯ เช่น สถาบันวิจัยและภาคการศึกษา ควรปฏิบัติตาม NIST SP 800-171 R2 ระบบ CUI, ขั้นตอน และการควบคุมของ Dropbox ได้รับการตรวจสอบโดยผู้ตรวจสอบอิสระจากภายนอก ซึ่งก็คือ Ernst & Young LLP

รายงาน NIST SP 800-171 R2 สำหรับ Dropbox Standard, Advanced, Enterprise และ Education ได้รวมเข้ากับรายงาน SOC 2 ซึ่งมีอยู่ในศูนย์ความเชื่อถือของ Dropbox

*Dropbox Paper ไม่รวมอยู่ในขอบเขตของรายงาน NIST SP 800-171 R2

กรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลแห่งสหภาพยุโรปและสหรัฐอเมริกา ส่วนขยายของสหราชอาณาจักรต่อกรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลแห่งสหภาพยุโรปและสหรัฐอเมริกา และกรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลแห่งสวิตเซอร์แลนด์และสหรัฐอเมริกา

Dropbox ปฏิบัติตามกรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลแห่งสหภาพยุโรปและสหรัฐอเมริกา ส่วนขยายของสหราชอาณาจักรต่อกรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลแห่งสหภาพยุโรปและสหรัฐอเมริกา และกรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลแห่งสวิตเซอร์แลนด์และสหรัฐอเมริกาตามที่กระทรวงพาณิชย์ของสหรัฐอเมริกากำหนดไว้เกี่ยวกับการรวบรวม การใช้งาน และการเก็บรักษาข้อมูลส่วนบุคคลที่โอนย้ายมาจากสหภาพยุโรป สหราชอาณาจักร และสวิตเซอร์แลนด์มายังสหรัฐอเมริกาโดยการปฏิบัติตามหลักการของกรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลจะทำให้แน่ใจได้ว่าองค์กรจะให้การปกป้องความเป็นส่วนตัวที่เพียงพอภายใต้กฎระเบียบ GDPR

ดูใบรับรองกรอบการทำงานด้านความเป็นส่วนตัวของข้อมูลของ Dropbox และเรียนรู้เพิ่มเติมที่เว็บไซต์กรอบการทำงานด้านความเป็นส่วนตัวของข้อมูล

กฎระเบียบความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป

กฎระเบียบความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค 2016/679 หรือ GDPR เป็นกฎระเบียบของสหภาพยุโรปที่สร้างการเปลี่ยนแปลงอย่างมีนัยสำคัญกับขอบข่ายงานที่มีอยู่แล้วสำหรับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในสหภาพยุโรป โดย GDPR ได้เสนอข้อกำหนดชุดใหม่หรือที่ผ่านการเพิ่มศักยภาพให้สูงขึ้นที่จะนำไปใช้กับบริษัทต่างๆ เช่น Dropbox ซึ่งจัดการข้อมูลส่วนบุคคล กฎระเบียบ GDPR มีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 และได้แทนที่ EU Directive 95/46 EC ซึ่งเป็นที่รู้จักกันในชื่อ Data Protection Directive (กฎหมายคุ้มครองข้อมูลส่วนบุคคล) Dropbox ปฏิบัติตาม GDPR เพื่อให้ลูกค้าสามารถใช้ Dropbox เพื่อสนับสนุนการปฏิบัติตาม GDPR ของลูกค้าเอง โปรดดูข้อมูลเพิ่มเติมที่บทความในศูนย์ความช่วยเหลือนี้

หลักจรรยาบรรณสำหรับระบบคลาวด์ของสหภาพยุโรป

หลักจรรยาบรรณสำหรับระบบคลาวด์ของสหภาพยุโรปเป็นนิติกรรมที่ไม่มีการผูกมัดอันเอื้อให้ผู้ให้บริการคลาวด์อย่าง Dropbox ได้แสดงถึงความมุ่งมั่นที่จะปฏิบัติตาม GDPR หลักจรรยาบรรณสำหรับระบบคลาวด์ของสหภาพยุโรปนี้ได้รับการอนุมัติอย่างเป็นทางการจากหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของเบลเยียมในเดือนพฤษภาคม 2021 (ID การยืนยัน: 2022LVL02SCOPE3114) ภายหลังจากที่ได้รับความคิดเห็นเชิงบวกจากคณะกรรมการคุ้มครองข้อมูลสหภาพยุโรป (EDPB) แผนบริการของ Dropbox ซึ่งประกอบไปด้วยแบบ Standard, Advanced, Enterprise และ Education สำหรับทีมได้รับการประกาศว่าเป็นบริการที่ปฏิบัติตามหลักจรรยาบรรณสำหรับระบบคลาวด์ของสหภาพยุโรป และได้รับเครื่องหมายรับรองการปฏิบัติตาม “ระดับ 2” ซึ่งหมายความว่าบริการเหล่านี้ได้นำมาตรการทางเทคนิค ทางองค์กร และทางสัญญาที่เป็นไปตามข้อกำหนดของหลักจรรยาบรรณดังกล่าวมาใช้ หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับหลักจรรยาบรรณสำหรับระบบคลาวด์ของสหภาพยุโรปและการปฏิตามหลักจรรยาบรรณของ Dropbox โปรดไปที่เว็บไซต์ทางการของหลักจรรยาบรรณ

ข้อกำหนด 21 CFR ส่วนที่ 11 ของ FDA

หัวข้อที่ 21 ภายใต้ประมวลกฎหมายว่าด้วยข้อบัญญัติแห่งรัฐบาลกลางสหรัฐอเมริกา (CFR) จะควบคุมดูแลในเรื่องของอาหารและยาสำหรับสำนักงานคณะกรรมการอาหารและยา (FDA), สำนักงานปราบปรามยาเสพติด และสำนักงานนโยบายควบคุมยาเสพติดแห่งชาติ ส่วนที่ 11 ในหัวข้อที่ 21 ได้กำหนดเกณฑ์ที่ FDA พิจารณาว่าบันทึกและลายเซ็นอิเล็กทรอนิกส์นั้นเชื่อถือได้ รับประกันความถูกต้อง และมีผลผูกพันตามกฎหมายเทียบเท่ากับบันทึกเอกสารจริงและลายเซ็นที่เขียนด้วยมือบนกระดาษ  

โปรดดูเอกสารรายงานของ Dropbox ว่าด้วยข้อกำหนด 21 CFR ส่วนที่ 11 ของ FDA และบทความในศูนย์ช่วยเหลือสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ Dropbox ช่วยเหลือในการปฏิบัติตามข้อกำหนด 21 CFR ส่วนที่ 11

PCI DSS

Dropbox เป็นผู้ค้าที่ปฎิบัติตามข้อกำหนดของมาตรฐานด้านการรักษาความปลอดภัยของข้อมูลในอุตสาหกรรมบัตรชำระเงิน (PCI DSS) เอกสารการปฏิบัติตามข้อกำหนด (AoC) ของ PCI สำหรับสถานะผู้ขายของเรามีอยู่ในศูนย์ความเชื่อถือของ Dropbox

ข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ Dropbox

คุณสามารถเข้าถึงเอกสารการรับรองและการปฏิบัติตามกฎได้ในศูนย์ความเชื่อถือของ Dropbox