Несоблюдение стандартов информационной безопасности — это риск, который ни одна компания не может себе позволить. В Dropbox Sign понимают серьезные последствия несоблюдения стандартов, поэтому внедрены необходимые процессы для обеспечения соответствия собственных сервисов требованиям стандартов, действие которых может распространяться на ваш бизнес.
Свяжитесь с нами (по электронной почте: compliance-reports@dropbox.com) для получения доступа к нашим аудитам и экспертным заключениям. Или смотрите нашу документацию по информационной безопасности.
Dropbox Sign придерживается следующих рамок, стандартов и нормативных требований:
Отчеты SOC
Отчеты о контроле сервисных организаций (Service Organization Controls, или SOC) — это системы, которые разработаны Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA) и касаются внутренних систем контроля в организациях. Проверку в форме аудита, проводимого независимой сторонней компанией Ernst & Young LLP, проходят системы, приложения, сотрудники и процессы Dropbox Sign.
SOC 3 — безопасность, доступность и конфиденциальность
В отчете о надежности SOC 3 говорится о критериях надежной службы: безопасности, доступности и конфиденциальности (раздел 100 TSP). Отчет Dropbox Sign представляет собой краткую сводку нашего отчета SOC 2 и содержит заключение об эффективном функционировании и структуре средств управления, вынесенное независимым аудитором. Просмотреть оценку SOC 3 для Dropbox Sign.
SOC 2 — безопасность, доступность и конфиденциальность
Отчет SOC 2 предоставляет клиентам подробную информацию о надежности средств контроля, охватывающую критерии надежной службы: безопасность, доступность и конфиденциальность (TSP Section 100). В отчете SOC 2 вы найдете подробные описания процессов Dropbox Sign и более 100 средств контроля, с помощью которых мы защищаем ваши данные. Помимо оценки независимых сторонних аудиторов, касающейся эффективного функционирования и структуры наших средств управления, в этом отчете также содержатся описания методов проверки, используемых аудиторами, и результаты проверки для каждого инструмента. Сертификат SOC 2 можно получить по запросу через наш отдел продаж, написав по электронной почте compliance-reports@dropbox.com.
ISO 27001 (управление информационной безопасностью)
ISO 27001 — это признанный во всем мире ведущий стандарт в области систем по управлению информационной безопасностью (ISMS), использующий рекомендации, прописанные в ISO 27002. Чтобы оправдать ваше доверие, Dropbox Sign постоянно и в полном объеме занимается управлением и совершенствованием физических, технических и юридических средств контроля. Нашим аудитором является компания Schellman Compliance LLC, получившая аккредитацию ISO 27001 от ANSI-ASQ Национального совета по аккредитации (ANAB).
Просмотреть сертификат ISO 27001 для Dropbox Sign, Dropbox Fax и Dropbox Forms.
ISO 27018 (конфиденциальность в облаке и защита данных).
ISO 27018 — это международный сертификат в области конфиденциальности и защиты данных. Он применяется для облачных служб, подобных Dropbox Sign, которые в интересах своих клиентов обрабатывают их личную информацию. В нем содержатся основные принципы, которых следует придерживаться клиентам при соблюдении нормативных требований и контрактных условий и решении возникающих проблем. Наше соответствие требованиям стандарта ISO 27018 подтверждено в рамках сертификации по стандарту ISO 27001.
Просмотреть сертификат ISO 27018 для Dropbox Sign, Dropbox Fax и Dropbox Forms.
Закон об ответственности и переносе данных о страховании здоровья граждан США 1996 года (HIPAA)
Dropbox Sign соблюдает Закон об ответственности и переносе данных о страховании здоровья граждан США (HIPAA) и Закон о медицинских информационных технологиях для экономического и клинического здравоохранения (HITECH).
Эти законы призваны способствовать распространению технологий в сфере здравоохранения, одновременно обеспечивая защиту безопасности и конфиденциальность медицинской информации. Нормы HIPAA и HITECH могут распространяться на такие организации, как больницы, офисы врачей, стоматологические кабинеты, и всех, кто имеет дело с охраняемой законом информацией о состоянии здоровья (PHI). Это может распространяться и на компании, которые работают с этими организациями и контактируют с PHI от их имени.
Dropbox Sign размещает отчет, касающийся Правил безопасности HIPAA и требований к уведомлению о нарушениях HITECH. Клиенты, заинтересованные в получении этих документов, могут обратиться к специалистам отдела продаж, написав по адресу compliance-reports@dropbox.com.
Закон США ESIGN от 2000 г.
Закон об электронных подписях в глобальной и национальной торговле — это федеральный закон, устанавливающий общее правило действительности электронных записей и подписей для сделок. Закон США ESIGN, помимо прочего, требует демонстрации намерения подписывать, раскрытия определенной информации потребителям и хранения записей.
Единообразный закон об электронных транзакциях (UETA) от 1999 года
Принятый в 1999 году Национальной конференцией комиссий по единообразным государственным законам, Единообразный закон об электронных транзакциях разрешает использование электронных коммуникационных сделок, придавая электронным подписям такой же юридический вес, как и подписям, сделанным от руки на бумаге. UETA принят всеми штатами, кроме Нью-Йорка.
Структура конфиденциальности данных ЕС-США, расширение Великобритании для ЕС-США. Рамочная программа конфиденциальности данных и соглашение между Швейцарией и США
Структура конфиденциальности данных Dropbox соответствует требованиям Соглашения о конфиденциальности данных ЕС-США, британского расширения Соглашения о конфиденциальности данных ЕС-США и Соглашения о конфиденциальности данных между Швейцарией и США, установленного Министерством торговли США в отношении сбора, использования и хранения личных данных. Данные передаются из Европейского Союза, Европейской экономической зоны и Швейцарии в США.
Подробнее о структурах конфиденциальности данных.
eIDAS и Dropbox Sign
Dropbox Sign соответствует требованиям eIDAS и предоставляет компаниям эффективное решение для подписания документов в электронной форме во всех государствах-членах ЕС.
Регламент eIDAS (910/2014) — это нормативный акт, который позволяет гражданам, предприятиям и государственным администрациям использовать средства электронной идентификации и трастовые услуги для безопасного доступа к онлайн-сервисам и выполнения электронных транзакций на всей территории Европейского Союза (ЕС). Он заменяет Директиву Европейского Союза об использовании электронных подписей 1999/93/ЕС, которая регулирует использование электронных подписей в электронных контрактах на территории ЕС, и вступил в силу 1 июля 2016 года.
Регламент eIDAS устанавливает правовые рамки для электронных подписей в ЕС. Он создает правовую основу для физических и юридических лиц (в частности, малых и средних предприятий), а также государственных органов, целью которой является обеспечение безопасного использования сервисов и заключения электронных сделок во всех государствах — членах ЕС. В частности, в нем определены три уровня электронной подписи: простая электронная подпись (ПЭП), усовершенствованная электронная подпись (УЭП) и квалифицированная электронная подпись (КЭП). Dropbox Sign поддерживает электронные подписи ПЭП и КЭП.
Простая электронная подпись
Простая электронная подпись (ПЭП) определяется как «данные в электронной форме, которые прикреплены или логически связаны с другими данными в электронной форме и которые используются подписавшим лицом для подписи». Различные электронные средства, включая пароли, PIN-коды и сканы подписей, могут считаться ПЭП.
Усовершенствованная электронная подпись
Усовершенствованная электронная подпись (УЭС) — это электронная подпись, которая:
- имеет уникальную связь с подписавшим лицом и возможность его идентификации;
- создана с использованием данных, над которыми подписант, с высокой степенью уверенности, должен иметь единоличный контроль.
- связанная с документом таким образом, что любое последующее изменение данных может быть обнаружено.
Квалифицированная электронная подпись
Квалифицированная электронная подпись (QES) представляет собой более строгую форму усовершенствованной электронной подписи и является единственным типом подписи, который юридически эквивалентен рукописным подписям. КЭП имеет квалифицированный цифровой сертификат, созданный квалифицированным устройством для создания электронной подписи (QSCD). Квалифицированное устройство для создания электронной подписи выдается европейским аккредитованным удостоверяющим центром (TSP), включенным в доверенный список Европейского союза (EUTL).
Отказ от ответственности. Данная информация предназначена исключительно для общего информирования. Она предназначена для разъяснения компаниям правовых основ законности электронной подписи. Она не предназначена для использования в качестве юридической консультации и не заменяет профессиональной юридической консультации. Для получения юридической консультации или законного представительства в суде необходимо обратиться к лицензированному адвокату.
Генеральный регламент о защите данных ЕС (EU General Data Protection Regulation) и Dropbox Sign
Генеральный регламент ЕС о защите данных (EU General Data Protection Regulation, GDPR) 2016/679 — это регламент ЕС, свидетельствующий о значительном изменении в существующей системе обработки личных данных пользователей в ЕС. В этом регламенте был представлен ряд новых доработанных требований, которые будут применяться в отношении компаний, обрабатывающих личные данные (в том числе и Dropbox Sign). Dropbox Sign соответствует GDPR, поэтому клиенты могут использовать Dropbox Sign для обеспечения соблюдения GDPR. Более подробную информацию можно найти в этой статье о соответствии требованиям GDPR и Dropbox Sign.
Наши обязательства в отношении вас и защиты ваших данных
Наша основная цель — защитить ваши личные данные. Если вы являетесь пользователем Dropbox Sign, ваша организация выступает в качестве контролера любых персональных данных, предоставляемых Dropbox в связи с использованием вами сервисов Dropbox Sign. Dropbox выступает в качестве обработчика данных, обрабатывая данные от имени вашей организации, когда вы используете услуги Dropbox Sign. Наша Политика конфиденциальности описывает наши обязательства по конфиденциальности перед пользователями и объясняет, как мы собираем, используем и обрабатываем ваши персональные данные, когда вы пользуетесь нашими услугами, а наши Условия обслуживания включают обязательства, связанные с обработкой и международной передачей данных.
Обучение и осведомленность о конфиденциальности
Все сотрудники Dropbox обязаны проходить обучение по безопасности и конфиденциальности при приеме на работу и в дальнейшем ежегодно. Кроме того, сотрудники получают информацию о безопасности и конфиденциальности через электронную почту, беседы и презентации, а также ресурсы, размещенные в нашей интрасети.
Структурирование данных и оценка воздействия на конфиденциальность
Чтобы убедиться в том, что наши правила конфиденциальности соответствуют требованиям, Dropbox ведет учет действий по обработке для услуг Sign. Мы также провели оценку воздействия на защиту данных (PIA) для оценки наших методов сбора, обработки и хранения персональных данных, а также определения потенциального воздействия на неприкосновенность частной жизни.
Политики информационной безопасности
Dropbox имеет политики информационной безопасности и защиты данных, которые определяют, когда и в каких случаях сотрудникам и подрядчикам может предоставляться доступ к вашим данным. Эти политики основаны на международных стандартах и передовом опыте и ежегодно пересматриваются, чтобы соответствовать текущей деловой практике и учитывать изменения в законах/постановлениях. По мере необходимости в эти правила могут вноситься и специальные изменения. Эти политики предоставляются новым сотрудникам, а изменения доводятся до их сведения через интрасеть компании.
Передача данных
При передаче данных из Европейского союза, Европейской экономической зоны, Великобритании и Швейцарии, Dropbox использует различные юридические механизмы, включая договоры, заключенные с нашими клиентами и аффилированными лицами, Стандартные договорные условия, решения Европейской комиссии о достаточности мер в отношении конкретных стран, если это применимо
Dropbox Sign соответствует требованиям рамочных соглашений о обеспечении конфиденциальности данных ЕС-США, британского расширения Соглашения о конфиденциальности данных ЕС-США и Соглашения о конфиденциальности данных между Швейцарией и США, установленного Министерством торговли США в отношении сбора, использования и хранения личных данных. Данные передаются из Европейского Союза, Европейской экономической зоны и Швейцарии в США.
Реагирование на инциденты
Наши процедуры реагирования на инциденты были разработаны и протестированы, чтобы потенциальные события безопасности идентифицировались и сообщались соответствующему персоналу для их решения, чтобы персонал следовал определенным протоколам для решения событий безопасности, а шаги по урегулированию документировались и регулярно проверялись Службой безопасности. Помимо этого, наши политики и регламенты требуют уведомления о нарушении в случаях, когда инцидент безопасности связан с утратой персональных данных или их неправомерным использованием.
Аудит продуктов
Наш жизненный цикл разработки программного обеспечения (SDLC) гарантирует, что изменения в системе выполняются в соответствии с требованиями GDPR, включая вопросы конфиденциальности в следующих направлениях:
- планирование;
- изменение документации;
- разработка планов тестирования;
- тестирование изменений и документирование результатов;
- анализ и утверждение результатов контроля;
- независимый аудит и аттестация;
- периодический аудит и обновления.
Проверки поставщиков
Поставщики, которые обрабатывают или хранят персональные данные, проверяются в рамках стороннего процесса оценки рисков Dropbox, чтобы убедиться в наличии у них соответствующих мер безопасности и конфиденциальности для защиты данных. Мы ежегодно проводим аудит наших действующих сторонних обработчиков данных с целью контроля их соответствия требованиям в области безопасности и конфиденциальности.
Договорные меры защиты
Компания Dropbox внедрила новые соглашения о сотрудничестве между обработчиками данных Dropbox International Unlimited Company и Dropbox, Inc. для защиты передачи персональных данных наших клиентов в США. Мы обновили наше Соглашение об обработке данных, чтобы отразить это https:// assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
Соглашение об обработке данных уже является частью Условий обслуживания Dropbox Sign.
Сертификаты
Понимая значение соответствия стандартам, Dropbox Sign внедрила необходимые процессы для обеспечения соответствия собственных сервисов требованиям стандартов, которые регламентируют ваш бизнес.
Более подробную информацию о стандартах и сертификатах, которым соответствует и которые соблюдает Dropbox Sign, можно найти на нашей Странице соответствия.
Безопасность продуктов
Шифрование
По умолчанию для обмена данными с нашими сервисами используется протокол Transport Layer Security (TLS), который регулярно обновляется для использования самых последних комплектов шифров и конфигураций TLS. Помимо этого, мы шифруем все данные клиента при хранении, используя AES 256-T.
Удаление данных и доступ
Если вы хотите отправить запрос на доступ к данным или запросить удаление ваших личных данных, отправьте электронное сообщение на адрес privacy@dropbox.com. Для получения дополнительной информации см. Политику конфиденциальности Dropbox Sign
Соответствие файлов cookie
Когда вы используете Услуги Dropbox Sign, вы можете выбрать, какие файлы cookie вы разрешаете использовать Dropbox, нажав Параметры CCPA и файлов cookie в нижнем колонтитуле этой страницы в разделе «Поддержка».