遵从标准与法规

一个人坐在办公桌前打字,其电脑屏幕上显示着巨大的勾号

ISO 认证

国际标准化组织 (ISO) 制订了一系列的世界级信息与社会安全标准,以帮助组织开发可靠而创新的产品与服务。Dropbox 已通过一系列由荷兰独立第三方 EY CertifyPoint 开展的审核,对其数据中心、系统、应用、人员和流程进行了认证。

ISO 27001(信息安全管理)

ISO 27001 是全球公认的主要信息安全管理系统 (ISMS) 标准。此标准还采用了 ISO 27002 中详述的安全最佳实践。为了不辜负您的信任,Dropbox 持续而全面地管理并优化物理、技术和法律方面的控制体系。我们的审计机构 EY CertifyPoint 是Raad voor Accreditatie(荷兰认证委员会)认可的 ISO 27001 认证机构。查看 Dropbox Standard、Advanced、Enterprise 和 Education ISO 27001 证书

ISO 27017(云安全)

ISO 27017 是国际云安全标准,提供适用于调配和使用云服务的安全控制指南。我们的责任分担指南解释了 Dropbox 及其客户可以协作解决的多项安全、隐私与合规要求。查看 Dropbox Standard、Advanced、Enterprise 和 Education ISO 27017 证书

ISO 27018(云隐私和数据保护)

ISO 27018 是隐私和数据保护国际标准,适用于代表客户处理个人信息的云服务提供商(例如 Dropbox),并为客户提供可解决常见法规和合同要求或问题的基础。查看 Dropbox Standard、Advanced、Enterprise 和 Education ISO 27018 证书

ISO 22301(业务连续性管理)

ISO 22301 是业务连续性国际标准,指导组织如何减少中断事件的影响,以及在发生此类事件时如何恰当应对,最小化潜在损害。Dropbox Business 持续管理系统 (BCMS) 是我们整体风险管理策略的一部分,用于在危机时刻保护人们及其操作。查看 Dropbox Standard、Advanced、Enterprise 和 Education ISO 22301 证书

ISO 27701(隐私信息管理)

ISO 27701 是一项隐私信息管理的国际标准。该标准提供了一个框架,并据此框架对基于 ISO 27001 标准的信息安全管理系统进行了加强,同时将该系统扩大为隐私信息管理系统 (PIMS)。Dropbox 已获得此标准的 PII Processor 认证。查看 Dropbox Standard、Advanced、Enterprise 和 Education ISO 27701 证书

SOC 报告

服务组织控制体系 (SOC) 报告(称为 SOC 1、SOC 2 或 SOC 3)是由美国注册会计师协会 (AICPA) 建立的框架,用以报告组织内部实施的内部控制体系。Dropbox 已通过一系列由独立第三方 Ernst & Young LLP 开展的审核,对其系统、应用、人员和流程进行了验证。

SOC 3 安全性、机密性、完整性、可用性与隐私性

SOC 3 鉴证报告涵盖安全性、可用性、处理完整性、机密性与隐私性等全部五项信托服务标准(TSP 第 100 条)。Dropbox 通用报告是我们的 SOC 2 报告执行摘要,包含独立第三方审计师针对我们控制体系的有效设计和运行所提供的意见。查看 Dropbox Standard、Advanced、Enterprise 和 Education SOC 3 检查

SOC 2 安全性、机密性、完整性、可用性与隐私性

SOC 2 报告为客户提供基于控制的详细鉴证,涵盖安全性、可用性、处理完整性、机密性与隐私性等全部五项信托服务标准(TSP 第 100 条)。SOC 2 报告详细介绍了 Dropbox 的流程,以及 Dropbox 为了保护您的资料而实施的超过 100 套控制体系。除了独立第三方审计师针对控制体系的有效设计和运行所提供的意见之外,报告中还包含审计师针对每套控制体系采取的测试程序以及测试结果。我们的 SOC 2 报告(有时也称为 SOC 2+报告)还包含我们的控制体系对上述 ISO 标准的审核映射,为我们的客户提供更高的透明度。SOC 2 报告涵盖 Dropbox Standard、Advanced、Enterprise 和 Education。可以在 Dropbox 信任中心下载 SOC 2 报告。

SOC 1 / SSAE 18 / ISAE 3402(之前称为 SSAE 16 或 SAS 70)

如果客户认为 Dropbox 是其财务报告内部监控 (ICFR) 系统的关键要素,SOC 1 报告可提供具体鉴证。这些具体鉴证主要用于证明客户的 Sarbanes-Oxley (SOX) 合规状态。独立第三方审计依据的是第 18 号鉴证业务准则公告 (SSAE 18) 和第 3402 号鉴证业务国际准则 (ISAE 3402)。这些标准取代了已弃用的第 16 号鉴证业务准则公告 (SSAE 16) 和第 70 号审计准则公告 (SAS 70)。SOC 1 报告涵盖 Dropbox Standard、Advanced、Enterprise 和 Education。可以在 Dropbox 信任中心下载 SOC 1 报告。

云安全联盟:安全、信任、鉴证、风险 (CSA STAR) 注册

CSA 安全、信任、鉴证和风险 (STAR) 注册可公开访问并免费注册,为云服务提供安全保证计划,因此可以帮助用户评估他们当前在使用或考虑签约的云提供商的安全性。

Dropbox Standard、Advanced、Enterprise 和 Education 均已获得 CSA STAR Level 2 和 Level 2 认证和证明。CSA STAR Level 2 要求由独立第三方 EY CertifyPoint(认证)和 Ernst & Young LLP(证明)进行的安全控制评估,其依据是 ISO 27001、SOC 2 信托服务标准和 CSA 云控制矩阵 (CCM) 3.0.1 版的要求。在 CSA 网页上查看我们的 CSA STAR Level 2 认证和证明。

HIPAA/HITECH

Dropbox 将与要求遵循《健康保险流通与责任法案》(HIPPA) 和《经济与临床健康信息技术法案》(HITECH) 的 Dropbox Standard、Advanced、Enterprise 或 Education 客户签署业务伙伴协议 (BAA)。欲了解详情,请查阅“HIPPA 入门”指南和帮助中心文章

Dropbox 提供 SOC 2 检查,内容为评估我们针对 HIPAA/HITECH 安全性、隐私和违规通知规则设置的控制体系,并为希望利用 Dropbox Standard、Advanced、Enterprise 和 Education 来达到 HIPPA/HITECH 安全性和隐私规则要求的客户详细解读我们的内部操作和建议。

有意索取这些文档的客户可以在 Dropbox 信任中心进行访问。如果您当前是 Dropbox 团队管理员,可以在管理员控制台中的“帐户”页面上以电子方式签署 BAA。

注:通过管理控制台签署电子 BAA 的功能仅适用于美国客户。

NIST SP 800-171 R2 认证报告

美国国家标准技术局 (NIST)负责推广和维护有助于保护信息系统的标准和指南。NIST Special Publication (SP) 800-171 Revision 2 (R2) 提供了关于如何保护非联邦信息系统和组织中的受控非机密信息 (CUI) 的指南。任何将处理或存储美国政府 CUI 的实体(例如研究机构和教育部门)都应遵守 NIST SP 800-171 R2 的要求。Dropbox 的 CUI 系统、流程和控件由独立第三方审计师 Ernst & Young LLP 进行验证。

可以在 Dropbox 信任中心找到集成到 SOC 2 报告中的 Dropbox Standard、Advanced、Enterprise 和 Education 的 NIST SP 800-171 R2 报告。

*Dropbox Paper 不包括在 NIST SP 800-171 R2 报告范围内。

《欧盟-美国数据隐私框架》、《英国对欧盟-美国数据隐私框架的扩展》以及《瑞士-美国数据隐私框架》

Dropbox 在收集、使用和保留从欧盟、英国和瑞士传输到美国的个人数据方面,遵守美国商务部制定的《欧盟-美国数据隐私框架》、《英国对欧盟-美国数据隐私框架的扩展》以及《瑞士-美国数据隐私框架》。遵守数据隐私框架原则可确保组织根据 GDPR 提供充足的隐私保护。

查看 Dropbox 的数据隐私框架认证并访问数据隐私框架网站了解详情。

欧盟一般数据保护条例 (GDPR)

一般数据保护条例 2016/679(简称 GDPR)是欧盟颁布的法规,标志着现有的欧盟数据主体个人数据处理的框架将迎来重大变革。GDPR 推出了一系列新的要求或提高了原有要求,适用于 Dropbox 这类处理个人数据的公司。GDPR 于 2018 年 5 月 25 日生效,取代了欧盟指令 95/46 EC(更常被称为“数据保护指令”)。Dropbox 符合 GDPR 标准,因此客户可以使用 Dropbox 来遵从 GDPR。有关详情,请参阅这篇帮助中心文章

欧盟云行为准则

《欧盟云行为准则》是自愿性文书,让 Dropbox 等云服务提供商能够证明我们对符合 GDPR 规定的承诺。在欧洲数据保护委员会 (EDPB) 提出积极的意见之后,《欧盟云行为准则》于 2021 年 5 月获得比利时数据保护局的正式批准(验证 ID:2022LVL02SCOPE3114)。Dropbox 面向团队用户的 Standard、Advanced、Enterprise 和 Education 套餐,经宣布其符合《欧盟云行为准则》并获得二级合规性标志,意味着这些服务实施了符合准则要求的技术、组织和合同措施。如需详细了解《欧盟云行为准则》以及 Dropbox 对准则的遵守情况,请访问该准则的官网

行为准则云数据保护 2 级标志

学生与儿童(FERPA 和 COPPA)

Dropbox 允许团队客户在履行《美国家庭教育权和隐私权法》(FERPA) 所规定的厂商义务的前提下使用相关服务。教育机构只能使用符合《儿童在线隐私权保护法》(COPPA) 的 Dropbox Standard、Advanced、Enterprise 和 Education 服务。

美国食品药品监督管理局联邦法规第 21 章第 11 款

美国联邦法规 (CFR) 第 21 章适合食品药品监督管理局 (FDA)、禁毒署和全国毒品管制政策办公室对美国境内的食品药品进行监管。第 21 章第 11 款规定了标准,在此标准之下 FDA 认为电子记录和电子签名可信、可靠并且通常等同于纸质记录和手写纸质签名。

请参阅我们的 Dropbox 和 FDA 联邦法规第 21 章第 11 款白皮书帮助中心文章,详细了解 Dropbox 如何帮助您更好地遵守美国联邦法规第 21 章第 11 款的规定。

PCI DSS

Dropbox 是支付卡行业数据安全标准 (PCI DSS) 合规商家。可以在 Dropbox 信任中心查看我们的商家状态 PCI 合规证明 (AoC)。

我们的子服务提供商

我们的数据中心共用设施和托管服务提供商同样定期接受 SOC 1、SOC 2 和/或 ISO 27001 审计,以验证他们的安全性实践。如果审计报告不可用作我们信息安全管理计划的一部分,Dropbox 会至少每年审查一次这些审计结果,或者执行供应商安全审查。在这些审计或审查中,如果我们发现会给 Dropbox 或客户带来风险的重大问题,我们会与服务提供商合作分析对客户数据的潜在影响,并跟踪他们的补救措施,直至问题解决为止。

详细了解 Dropbox 合规状态

可以在 Dropbox 信任中心访问合规与认证文档。