Overholdelse
Dropbox Sign forstår kundens bekymringer når det gjelder overholdelse og har bygget opp grundige prosesser for at tjenesten vår skal overholde de standardene som styrer din virksomhet, inkludert eIDAS og personvernforordningen.
Å unnlate å overholde standarder for informasjonssikkerhet er en risiko ingen selskaper noensinne vil ta. Dropbox Sign forstår de alvorlige konsekvensene av manglende overholdelse og har bygget opp grundige prosesser for at tjenesten vår skal overholde standardene som styrer din virksomhet.
Ta gjerne kontakt med oss (på e-post: compliance-reports@dropbox.com) for å få tilgang til våre revisjoner og vurderinger. Ellers kan du se vår hvitbok for informasjonssikkerhet.
Dropbox Sign følger følgende rammeverk, standarder og forskrifter:
SOC-rapportene
Service Organization Controls-rapportene er rammeverk som er fastsatt av American Institute of Certified Public Accountants (AICPA) for rapportering om internkontroller i en organisasjon. Dropbox Sign har validert sine systemer, applikasjoner, personer og prosesser gjennom en revisjon av en uavhengig tredjepart, Ernst & Young LLP.
SOC 3 for sikkerhet, tilgjengelighet og konfidensialitet
SOC 3-sikkerhetsrapporten dekker tillitskriteriene for sikkerhet, tilgjengelighet og konfidensialitet (TSP-avsnitt 100). Dropbox Sign-rapporten for generell bruk er et sammendrag av SOC 2-rapporten og inkluderer den uavhengige tredjepartsrevisorens mening om effektiv utforming og drift av våre kontroller. Se Dropbox Sign SOC 3-undersøkelsen.
SOC 2 for sikkerhet, tilgjengelighet og konfidensialitet
SOC 2-rapporten gir kundene et detaljert nivå av kontrollbasert sikkerhet, som dekker tillitstjenestekriteriene for sikkerhet, tilgjengelighet og konfidensialitet (TSP-avsnitt 100). SOC 2-rapporten inneholder en detaljert beskrivelse av prosessene til Dropbox Sign og de over 100 kontrollene som iverksettes for å beskytte tingene dine. I tillegg til vurderingen fra en uavhengig tredjepart om effektiv utforming og gjennomføring av kontroller, beskriver rapporten revisorens testprosedyrer og resultater for hver kontroll. SOC 2-undersøkelsen er tilgjengelig på forespørsel via vårt team ved å sende en e-post til compliance-reports@dropbox.com.
ISO 27001 (administrasjon av informasjonssikkerhet)
ISO 27001 er anerkjent verden over som den høyest oppnåelige standarden innen administrasjonssystemer for informasjonssikkerhet (ISMS). Denne standarden benytter også beste fremgangsmåter for sikkerhet, som beskrevet i ISO 27002. For å være verdig tilliten din administrerer og forbedrer Dropbox Sign kontinuerlig fysiske, tekniske og juridiske kontroller på en omfattende måte. Vår revisor, Schellman Compliance LLC, opprettholder ISO 27001-akkreditering fra ANSI-ASQ National Accreditation Board (ANAB).
Se ISO 27001-sertifikatet for Dropbox Sign, Dropbox Fax og Dropbox Forms.
ISO 27018 (personvern og databeskyttelse i nettskyen)
ISO 27018 er en internasjonal standard for personvern og databeskyttelse som gjelder for nettsky-tjenesteleverandører som Dropbox Sign, som behandler personopplysninger på vegne av kundene og gir et grunnlag for kundene hvis de vil ta opp vanlige forskrifts- og kontraktsmessige krav eller spørsmål. Vår overholdelse av ISO 27018 er validert som en del av vår ISO 27001-sertifisering.
Se ISO 27018-sertifikatet for Dropbox Sign, Dropbox Fax og Dropbox Forms.
Health Insurance Portability and Accountability Act av 1996 (HIPAA)
Dropbox Sign støtter overholdelse av Health Insurance Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health Act (HITECH).
Disse lovene tar sikte på å oppmuntre til spredning av teknologi i helsevesenet, samtidig som de bygger beskyttelse for sikkerhet og personvern for helseinformasjon. Organisasjoner som sykehus, legekontorer og tannlegepraksis, samt enkeltpersoner som samhandler med beskyttet helseinformasjon (protected health information, PHI) kan være underlagt HIPAA/HITECH. Dette kan også gjelde selskaper som jobber med disse virksomhetene, og som kommer i kontakt med PHI på deres vegne.
Dropbox Sign gjør tilgjengelig en rapport relatert til kravene for HIPAA-sikkerhetsregler og HITECH-bruddvarslinger. Kunder som er interessert i å be om disse dokumentene kan ta kontakt med salgsteamet ved å sende en e-post til compliance-reports@dropbox.com.
USAs ESIGN Act av 2000
Loven om elektroniske underskrifter i global og nasjonal handel er en føderal lov som gir en generell gyldighetsregel for elektroniske poster og underskrifter for transaksjoner. USAs ESIGN Act krever blant annet demonstrasjon av en intensjon om å skrive under, visse forbrukeropplysninger og oppbevaring av poster.
Uniform Electronic Transactions Act (UETA) av 1999
Uniform Electronic Transaction Act ble vedtatt i 1999 av National Conference of Commissions on Uniform State Laws, og tillater bruken av elektroniske kommunikasjonstransaksjoner ved å gi elektroniske underskrifter samme juridiske gyldighet som håndskrevne underskrifter. UETA har blitt vedtatt av alle stater med unntak av New York.
Rammeverk for datapersonvern mellom EU og USA, Storbritannias utvidelse til rammeverket for datapersonvern mellom EU og USA, og rammeverk for datapersonvern mellom Sveits og USA
Dropbox Sign overholder rammeverk for datapersonvern mellom EU og USA, Storbritannias utvidelse til rammeverket for datapersonvern mellom EU og USA, og rammeverk for datapersonvern mellom Sveits og USA som er publisert av det amerikanske handelsdepartementet angående innsamling, bruk og oppbevaring av personopplysninger overført fra EU, EØS og Sveits til USA.
Les mer om rammeverkene for datapersonvern her.
eIDAS og Dropbox Sign
Dropbox Sign er en eIDAS-kompatibel elektronisk underskriftsløsning, og et levedyktig alternativ for virksomheter som ønsker å skrive under dokumenter elektronisk med underskrivere i alle EUs medlemsland.
eIDAS-forordningen (910/2014) er en forskrift som tillater bruk av elektroniske identifikasjonsmidler og pålitelige tjenester av innbyggere, virksomheter og offentlige administrasjoner for å trygt få tilgang til nettbaserte tjenester og utføre elektroniske transaksjoner over hele EU. Det erstattet direktivet om elektroniske signaturer 1999/93/EF, et EU-direktiv om bruk av e-underskrifter i elektroniske kontrakter i EU, og trådte i kraft 1. juli 2016.
eIDAS-forordningen fastsetter det juridiske rammeverket for elektroniske signaturer i EU. Den etablerer en juridisk ramme for personer, selskaper (særlig små til mellomstore bedrifter) og offentlige administrasjoner, for trygt å få tilgang til tjenester og utføre transaksjoner digitalt i alle medlemslandene i EU. Spesielt definerer den tre nivåer av elektronisk signatur: enkle elektroniske underskrifter (SES), avanserte elektroniske underskrifter (AES) og kvalifiserte elektroniske underskrifter (QES). Dropbox Sign støtter SES og QES elektroniske underskrifter.
Enkel elektronisk underskrift
En enkel elektronisk underskrift (SES) er definert som «data i elektronisk form som er knyttet til eller logisk assosiert med andre data i elektronisk form og som brukes av underskriveren til å skrive under». Dette gjør at mange elektroniske verktøy, inkludert passord, PIN-koder og skannede underskrifter, kan betraktes som en SES.
Avansert elektronisk underskrift
En avansert elektronisk underskrift (AES) er en elektronisk underskrift som er:
- unikt knyttet til og i stand til å identifisere underskriveren
- lages ved hjelp av elektroniske opprettelsesdata for underskriften, som underskriveren, med en høy grad av sikkerhet, kan bruke under egen kontroll.
- knyttet til dokumentet på en måte som gjør at enhver senere endring av data kan oppdages.
Kvalifisert elektronisk underskrift
En kvalifisert elektronisk underskrift (QES) er en strengere form for AES og den eneste typen elektronisk underskrift som juridisk sett tilsvarer håndskrevne underskrifter. En QES har et kvalifisert digitalt sertifikat som er opprettet av en kvalifisert enhet for oppretting av underskrifter (QSCD). QSCD må utstedes av en EU-kvalifisert tillitstjenesteleverandør (TSP) på European Union Trust List (EUTL).
Ansvarsfraskrivelse: Denne informasjonen er kun ment for generelle informasjonsformål. Den er ment å hjelpe selskaper med å forstå det juridiske rammeverket som brukes for lovligheten ved e-underskrifter. Dette er ikke ment som juridisk rådgivning, og bør ikke erstatte profesjonell juridisk rådgivning. Rådfør deg med en lisensiert advokat for juridisk rådgivning eller representasjon.
Personvernforordningen for EU (General Data Protection Regulation – GDPR) og Dropbox Sign
Den generelle personvernforordningen 2016/679, eller GDPR, er en EU-forordning som innebar en betydelig endring av det eksisterende rammeverket for behandling av personopplysninger for EU-borgere. Personvernforordningen introduserte en serie nye eller utvidede krav som gjelder for bedrifter som Dropbox Sign, som håndterer personopplysninger. Dropbox Sign er i samsvar med personvernforordningen, så kunder kan bruke Dropbox Sign til å forenkle egen samsvarsprosess med personvernforordningen. For mer informasjon, se denne artikkelen om personvernforordningen og Dropbox Signs samsvar.
Vår forpliktelse overfor deg og beskyttelsen av dine data
Vi er forpliktet til å beskytte dine personlige data. Som Dropbox Sign-kunde fungerer din organisasjon som datakontrollør for alle personlige data som gis til Dropbox i forbindelse med din bruk av Dropbox Sign-tjenester. Dropbox fungerer som databehandler og behandler data på vegne av din organisasjon når du bruker Dropbox Sign-tjenester. Vår personvernerklæring beskriver våre personvernforpliktelser overfor brukere og forklarer hvordan vi samler inn, bruker og håndterer dataene dine når du bruker tjenesten vår, og tjenestevilkårene våre inkluderer forpliktelser knyttet til data og internasjonale data.
Opplæring og personvernbevissthet
Alle Dropbox-ansatte er pålagt å gjennomføre sikkerhets- og personvernopplæring når de ansettes og deretter årlig. I tillegg mottar ansatte informasjon om sikkerhet og personvern via e-post, foredrag og presentasjoner, og ressurser tilgjengelig på intranettet vårt.
Datakartlegging og vurdering av påvirkning for personvern
For å bekrefte at vår personvernpraksis er passende, opprettholder Dropbox en logg over behandlingsaktiviteter for Sign-tjenestene. Vi fullførte også Data Privacy Impact Assessment (DPIA), for å vurdere hvordan vi samler inn, behandler og lagrer personopplysninger og bestemmer potensiell påvirkning for personvern.
Retningslinjer for informasjonssikkerhet
Dropbox har retningslinjer for informasjonssikkerhet og databeskyttelse som regulerer hvordan og når ansatte og entreprenører kan få tilgang til dataene dine. Disse retningslinjene er basert på internasjonale standarder og beste fremgangsmåter, og gjennomgås på årlig basis for å holde dem oppdatert med gjeldende virksomhetspraksis og i henhold til endringer i lover/forskrifter. Ad hoc-endringer kan også gjøres i disse retningslinjene etter behov. Disse retningslinjene gis til nyansatte, og endringer kommuniseres til ansatte via selskapets intranett.
Dataoverføring
Når data overføres fra EU, EØS, Storbritannia og Sveits, er Dropbox avhengig av en rekke juridiske mekanismer, som kontrakter med kundene og partnerne våre, standard kontraktklausuler og EU-kommisjonens beslutninger om tilstrekkelighet for visse land, etter behov.
Dropbox Sign overholder rammeverk for datapersonvern mellom EU og USA, Storbritannias utvidelse til rammeverket for datapersonvern mellom EU og USA, og rammeverk for datapersonvern mellom Sveits og USA som er publisert av det amerikanske Handelsdepartementet angående innsamling, bruk og oppbevaring av personopplysninger overført fra EU, EØS og Sveits til USA.
Tilfellerespons
Våre prosedyrer for tilfellerespons er utformet og testet for å sikre at potensielle sikkerhetshendelser blir identifisert og rapportert til rett personale for løsning. Personalet følger definerte protokoller for å løse sikkerhetshendelser, og løsningstrinnene dokumenteres og gjennomgås av sikkerhetsteamet regelmessig. I tillegg inkluderer retningslinjene og prosedyrene våre varsel om brudd hvis og når en sikkerhetshendelse innebærer tap av eller uautorisert bruk av personlig informasjon.
Produktgjennomgang
Vår livssyklus for programvareutvikling ("SDLC") sikrer at systemendringer utføres i overholdelse med GDPR-krav, inkludert hensyn til personvern på følgende områder:
- Planlegging
- Endringsdokumentasjon
- Utvikling av testplaner
- Endringstesting og dokumentasjon av resultater,
- Gjennomgang og godkjenning av kvalitetssikring («QA»)
- Gjennomgang og attestering fra tredjepart, og
- Periodisk gjennomgang og oppdatering.
Leverandørvurdering
Leverandører som behandler eller lagrer personopplysninger blir vurdert som en del av Dropbox' tredjeparts risikovurderingsprosess for å sikre at de har passende sikkerhets- og personvernkontroller på plass for å beskytte data. Alle nåværende underbehandlere blir vurdert årlig for å sikre at de oppfyller krav til sikkerhet og personvern.
Kontraktsmessige beskyttelser
Dropbox har implementert ny behandler for å behandle SCC-er mellom Dropbox International Unlimited Company og Dropbox, Inc. for å dekke overføring av våre kunders personopplysninger til USA. Vi har oppdatert databehandlingsavtalen vår for å gjenspeile dette https://assets.dropbox.com/ documents/en/legal/hs-data-processing-agreement.pdf
Avtalen om databehandling er allerede del av tjenestevilkårene til Dropbox Sign.
Sertifiseringer
Hos Dropbox Sign forstår vi de alvorlige konsekvensene av overholdelse, og har flittig bygget prosesser for at tjenesten vår skal overholde standardene som styrer din virksomhet.
For mer informasjon om standarder og sertifiseringer Dropbox Sign er i samsvar med og overholder, se vår samsvarsside.
Produktsikkerhet
Kryptering
Som standard bruker kommunikasjon med tjenestene våre Transport Layer Security (TLS), som regelmessig oppdateres for å bruke de nyeste chiffreringssamlingene og TLS-konfigurasjonene. Vi krypterer i tillegg kundens inaktive data ved hjelp av AES 256-T.
Datasletting og tilgang
Hvis du ønsker å sende inn en forespørsel om datatilgang eller be om at dine personlige data slettes, send oss en e-post på privacy@dropbox.com. For mer informasjon, se personvernerklæringen til Dropbox Sign.
Overholdelse av informasjonskapsler
Når du bruker Dropbox Sign-tjenesten, kan du velge hvilke informasjonskapsler du samtykker til at Dropbox skal brukes i ved å klikke på preferanser for informasjonskapsler og CCPA i bunnteksten på denne siden under kundestøtte.