Kegagalan untuk mematuhi standard keselamatan maklumat adalah risiko yang tidak mahu ditanggung oleh syarikat. Di Dropbox Sign, kami memahami kesan ketidakpatuhan yang serius dan telah membina proses dengan tekun untuk menjadikan perkhidmatan kami mematuhi kebanyakan standard yang mentadbir urus perniagaan anda.
Sila hubungi kami (melalui e-mel: compliance-reports@dropbox.com) untuk mendapatkan akses kepada audit dan penilaian kami. Atau, lihat kertas putih keselamatan maklumat kami.
Dropbox Sign mematuhi rangka kerja, standard dan peraturan berikut:
Laporan SOC
Laporan Kawalan Organisasi Perkhidmatan (SOC) ialah rangka kerja yang ditubuhkan oleh American Institute of Certified Public Accountants (AICPA) untuk pelaporan kawalan dalaman yang dilaksanakan dalam sesebuah organisasi. Dropbox Sign telah mengesahkan sistem, aplikasi, pekerja dan proses melalui audit oleh pihak ketiga bebas, Ernst & Young LLP.
SOC 3 untuk Keselamatan, Ketersediaan, dan Kerahsiaan
Laporan jaminan SOC 3 meliputi Kriteria Amanah untuk Keselamatan, Ketersediaan, dan Kerahsiaan (TSP Seksyen 100). Laporan penggunaan umum Dropbox Sign merupakan ringkasan eksekutif laporan SOC 2 dan merangkumi pendapat juruaudit pihak ketiga bebas tentang reka bentuk dan pengendalian kawalan kami yang berkesan. Lihat pemeriksaan SOC 3 Dropbox Sign.
SOC 2 untuk Keselamatan, Ketersediaan, dan Kerahsiaan
Laporan SOC 2 memberi pelanggan tahap jaminan berdasarkan kawalan secara terperinci, meliputi Kriteria Perkhidmatan Amanah untuk Keselamatan, Ketersediaan, dan Kerahsiaan (TSP Seksyen 100). Laporan SOC 2 mengandungi penerangan terperinci tentang proses Dropbox Sign dan lebih daripada 100 kawalan yang kami ada untuk melindungi kandungan anda. Selain daripada pendapat juruaudit pihak ketiga bebas kami berkenaan dengan reka bentuk dan pengendalian kawalan kami yang berkesan, laporan tersebut merangkumi prosedur dan keputusan ujian juruaudit untuk setiap kawalan. Pemeriksaan SOC 2 tersedia atas permintaan melalui pasukan jualan kami dengan menghantar e-mel kepada compliance-reports@dropbox.com.
ISO 27001 (Pengurusan Keselamatan Maklumat)
ISO 27001 diiktiraf sebagai standard sistem pengurusan keselamatan maklumat (ISMS) premier di seluruh dunia. Standard ini turut memanfaatkan amalan terbaik keselamatan yang dijelaskan dalam ISO 27002. Untuk layak menerima kepercayaan anda, kami mengurus dan menambah baik kawalan fizikal, teknikal, dan perundangan kami di Dropbox Sign secara berterusan dan menyeluruh. Juruaudit kami, Schellman Compliance LLC, mengekalkan akreditasi ISO 27001 daripada Lembaga Akreditasi Nasional ANSI-ASQ (ANAB).
Lihat Dropbox Sign, Dropbox Fax, dan Dropbox Forms Sijil ISO 27001.
ISO 27018 (Privasi Awan dan Perlindungan Data).
ISO 27018 ialah standard antarabangsa untuk perlindungan privasi dan data yang terpakai kepada penyedia perkhidmatan awan seperti Dropbox Sign yang memproses maklumat peribadi bagi pihak pelanggan mereka dan menyediakan dasar tempat pelanggan boleh mengemukakan keperluan atau pertanyaan lazim berkenaan peraturan dan kontrak. Pematuhan kami kepada ISO 27018 disahkan sebagai sebahagian daripada pensijilan ISO 27001 kami.
Lihat Dropbox Sign, Dropbox Fax, dan Dropbox Forms Sijil ISO 27018.
Akta Mudah Alih dan Akauntabiliti Insurans Kesihatan 1996 (HIPAA)
Dropbox Sign menyokong Akta Mudah Alih dan Akauntabiliti Insurans Kesihatan (HIPAA) dan pematuhan Akta Teknologi Maklumat Kesihatan untuk Kesihatan Ekonomi dan Klinikal (HITECH).
Undang-undang ini bertujuan untuk menggalakkan percambahan teknologi dalam industri penjagaan kesihatan, sambil membina perlindungan untuk keselamatan dan privasi maklumat kesihatan. Organisasi seperti hospital, pejabat doktor dan amalan pergigian, serta individu yang berinteraksi dengan maklumat kesihatan yang dilindungi (PHI) mungkin tertakluk pada HIPAA/HITECH. Ini juga boleh dilanjutkan kepada syarikat yang bekerja dengan perniagaan ini dan berhubung dengan PHI bagi pihak syarikat.
Dropbox Sign menyediakan laporan yang berkaitan dengan Peraturan Keselamatan HIPAA dan Keperluan Pemberitahuan Pelanggaran HITECH. Pelanggan yang berminat untuk meminta dokumen ini boleh menghubungi pasukan jualan kami dengan menghantar e-mel kepada compliance-reports@dropbox.com.
Akta ESIGN A.S. 2000
Akta Tandatangan Elektronik dalam Perdagangan Negara dan Dunia ialah undang-undang persekutuan yang menyediakan peraturan am kesahihan untuk rekod elektronik dan tandatangan untuk urus niaga. Antara lain, Akta ESIGN AS memerlukan demonstrasi niat untuk menandatangani, pendedahan pengguna tertentu dan pengekalan rekod.
Akta Urus Niaga Elektronik Seragam (UETA) 1999
Diluluskan pada tahun 1999 oleh Persidangan Kebangsaan Suruhanjaya Undang-Undang Negeri Seragam, Akta Urus Niaga Elektronik Seragam membenarkan penggunaan urus niaga komunikasi elektronik dengan memberikan tandatangan elektronik yang sah seperti tandatangan tulisan tangan di atas kertas. UETA telah diterima pakai oleh setiap negeri kecuali New York.
Rangka kerja Privasi Data EU-A.S., Sambungan UK ke Rangka kerja Privasi Data EU-A.S., dan Rangka kerja Privasi Data Swiss-A.S.
Dropbox Sign mematuhi Rangka kerja Privasi Data EU-A.S., Sambungan UK ke Rangka kerja Privasi Data EU-A.S., dan Rangka kerja Privasi Data Swiss-A.S. seperti yang ditetapkan oleh Jabatan Perdagangan A.S. mengenai pengumpulan, penggunaan dan penyimpanan data peribadi yang dipindahkan dari Kesatuan Eropah, Kawasan Ekonomi Eropah dan Switzerland ke Amerika Syarikat.
Baca lebih lanjut mengenai rangka kerja privasi data di sini.
eIDAS dan Dropbox Sign
Dropbox Sign ialah penyelesaian tandatangan elektronik yang mematuhi eIDAS dan pilihan yang berdaya maju untuk syarikat menandatangani dokumen dalam talian dengan penandatangan di seluruh negara anggota Kesatuan Eropah.
Peraturan eIDAS (910/2014) ialah peraturan yang membenarkan penggunaan cara pengenalan elektronik dan perkhidmatan amanah oleh rakyat, perniagaan dan pentadbiran awam untuk mengakses perkhidmatan dalam talian dengan selamat dan melaksanakan urus niaga elektronik di seluruh Kesatuan Eropah (EU).Peraturan ini menggantikan Arahan Tandatangan Elektronik 1999/93/EC, arahan Kesatuan Eropah mengenai penggunaan eTandatangan dalam kontrak elektronik dalam Kesatuan Eropah dan berkuat kuasa pada 1 Julai 2016.
Peraturan eIDAS menetapkan rangka kerja undang-undang untuk tandatangan elektronik di Kesatuan Eropah. Peraturan ini mewujudkan rangka kerja undang-undang untuk pekerja, syarikat (terutamanya syarikat bersaiz kecil sehingga sederhana) dan pentadbiran awam untuk mengakses perkhidmatan dengan selamat dan melaksanakan urus niaga secara digital di seluruh negara anggota Kesatuan Eropah. Secara khususnya, peraturan ini mentakrifkan tiga peringkat tandatangan elektronik: tandatangan elektronik ringkas (SES), tandatangan elektronik lanjutan (AES), dan tandatangan elektronik yang layak (QES). Dropbox Sign menyokong tandatangan elektronik SES dan QES.
Tandatangan Elektronik Ringkas
Tandatangan elektronik ringkas (SES) ditakrifkan sebagai "data dalam bentuk elektronik yang dilampirkan atau dikaitkan secara logik dengan data lain dalam bentuk elektronik dan yang digunakan oleh penandatangan untuk menandatangani". Hasilnya, banyak alat elektronik termasuk kata laluan, kod PIN dan tandatangan yang diimbas boleh membentuk SES.
Tandatangan Elektronik Lanjutan
Tandatangan elektronik lanjutan (AES) ialah tandatangan elektronik yang:
- dihubungkan secara unik dan mampu mengenal pasti penandatangan;
- dihasilkan dengan menggunakan data penghasilan tandatangan elektronik yang boleh digunakan oleh penandatangan di bawah kawalan mutlak mereka dengan tahap keyakinan yang tinggi.
- dihubungkan ke dokumen dengan cara yang mana-mana perubahan data berikutnya dapat dikesan.
Tandatangan Elektronik Layak
Tandatangan elektronik yang layak (QES) ialah bentuk AES yang lebih ketat dan satu-satunya jenis tandatangan elektronik yang setara secara sah dengan tandatangan tulisan tangan.QES mempunyai sijil digital yang layak dan telah dibuat oleh peranti penciptaan tandatangan yang layak (QSCD). QSCD perlu dikeluarkan oleh Penyedia Perkhidmatan Amanah (TSP) Kesatuan Eropah yang berkelayakan pada Senarai Amanah Kesatuan Eropah (EUTL).
Penafian: Maklumat ini adalah bagi tujuan maklumat umum sahaja. Ia bertujuan untuk membantu syarikat memahami kerangka undang-undang yang digunakan untuk kesahihan e-Tandatangan. Maklumat ini tidak bertujuan menjadi nasihat guaman dan tidak sepatutnya menggantikan nasihat guaman profesional. Rujuk peguam berlesen untuk nasihat atau perwakilan guaman.
Peraturan Perlindungan Data Umum (GDPR) Kesatuan Eropah dan Dropbox Sign
Peraturan Perlindungan Data Umum 2016/679 atau GDPR merupakan peraturan Kesatuan Eropah yang melambangkan perubahan besar terhadap rangka kerja yang sedia ada untuk memproses data peribadi subjek data Kesatuan Eropah. GDPR memperkenalkan satu siri syarat baru atau dipertingkat yang akan terpakai kepada syarikat seperti Dropbox Sign yang mengendalikan data peribadi. Dropbox Sign mematuhi GDPR supaya pelanggan boleh menggunakan Dropbox Sign untuk memudahkan pematuhan GDPR mereka. Untuk mendapatkan maklumat lanjut, sila lihat artikel ini tentang pematuhan GDPR dan Dropbox Sign.
Komitmen kami kepada anda dan perlindungan data anda
Kami komited untuk melindungi data peribadi anda. Sebagai pelanggan Dropbox Sign, organisasi anda bertindak sebagai pengawal data untuk mana-mana data peribadi yang diberikan kepada Dropbox berkaitan dengan penggunaan perkhidmatan Dropbox Sign oleh anda. Dropbox bertindak sebagai pemproses data, memproses data bagi pihak organisasi anda apabila anda menggunakan perkhidmatan Dropbox Sign. Dasar Privasi kami menerangkan komitmen privasi kami kepada pengguna dan menjelaskan cara kami mengumpul, menggunakan dan menangani data peribadi anda apabila anda menggunakan perkhidmatan kami, dan Terma Perkhidmatan kami termasuk komitmen yang berkaitan dengan pemprosesan data dan pemindahan data antarabangsa.
Latihan dan kesedaran privasi
Semua pekerja Dropbox dikehendaki untuk melengkapkan latihan keselamatan dan privasi apabila diambil bekerja dan setiap tahun selepas itu. Selain itu, pekerja menerima maklumat keselamatan dan kesedaran privasi melalui e-mel, ceramah dan pembentangan serta sumber yang tersedia di intranet kami.
Pemetaan data dan penilaian kesan privasi
Untuk mengesahkan bahawa amalan privasi kami sesuai, Dropbox menyimpan rekod aktiviti pemprosesan untuk perkhidmatan Sign. Kami juga telah menyelesaikan Penilaian Kesan Perlindungan Data (DPIA) untuk menilai cara kami mengumpul, memproses dan menyimpan data peribadi dan menentukan potensi kesan privasi.
Dasar keselamatan maklumat
Dropbox mempunyai dasar keselamatan maklumat dan perlindungan data yang mentadbir urus cara dan masa pekerja dan kontraktor boleh mengakses data anda. Dasar ini adalah berdasarkan standard antarabangsa dan amalan terbaik dan disemak setiap tahun untuk memastikan dasar itu kekal selaras dengan amalan perniagaan semasa dan mengambil kira perubahan dalam undang-undang/peraturan. Perubahan ad hoc juga boleh dibuat pada dasar ini jika perlu. Dasar ini diberikan kepada pekerja baru dan perubahan dimaklumkan kepada pekerja melalui intranet syarikat.
Pemindahan data
Semasa memindahkan data dari Kesatuan Eropah, Kawasan Ekonomi Eropah, United Kingdom dan Switzerland, Dropbox bergantung pada pelbagai mekanisme undang-undang, seperti kontrak dengan pelanggan dan sekutu kami, Klausa Kontrak Standard, dan keputusan kecukupan Suruhanjaya Eropah mengenai negara-negara tertentu, sebagaimana yang dikehendaki.
Dropbox Sign mematuhi Rangka Kerja Privasi Data EU-A.S., Sambungan UK kepada Rangka Kerja Privasi Data EU-A.S., dan Rangka Kerja Privasi Data Switzerland-A.S. seperti yang ditetapkan oleh Jabatan Perdagangan A.S. berkenaan dengan pengumpulan, penggunaan dan penyimpanan data peribadi yang dipindahkan dari Kesatuan Eropah, Kawasan Ekonomi Eropah dan Switzerland ke Amerika Syarikat.
Tindak balas kejadian
Prosedur Tindak Balas Kejadian kami telah direka bentuk dan diuji untuk memastikan potensi peristiwa keselamatan dikenal pasti dan dilaporkan kepada kakitangan yang sesuai untuk diselesaikan, kakitangan mengikuti protokol yang ditentukan untuk menyelesaikan peristiwa keselamatan, dan langkah-langkah penyelesaian didokumentasikan dan disemak oleh Pasukan Keselamatan secara berkala. Selain itu, dasar dan prosedur kami termasuk pemberitahuan pelanggaran jika dan apabila insiden keselamatan melibatkan kehilangan atau penggunaan tanpa kebenaran data peribadi.
Ulasan produk
Kitaran Hidup Pembangunan Perisian (“SDLC”) kami memastikan bahawa perubahan sistem dilakukan mengikut keperluan GDPR, termasuk pertimbangan untuk privasi dalam bidang berikut:
- Perancangan;
- Tukar Dokumentasi;
- Pembangunan Rancangan Ujian;
- Tukar Ujian dan Dokumentasi Hasil;
- Semakan dan Kelulusan Jaminan Kualiti ("QA");
- Semakan dan pengakusaksian pihak ketiga; dan
- Semakan dan kemas kini berkala.
Ulasan vendor
Vendor yang memproses atau menyimpan data peribadi disemak sebagai sebahagian daripada proses penilaian risiko pihak ketiga Dropbox untuk memastikan bahawa mereka mempunyai kawalan keselamatan dan privasi yang sesuai untuk melindungi data. Semua subpemproses semasa kami disemak setiap tahun untuk memastikan subpemproses tersebut memenuhi syarat keselamatan dan privasi.
Perlindungan kontrak
Dropbox telah melaksanakan pemproses baru kepada pemproses SCC antara Dropbox International Unlimited Company dengan Dropbox, Inc. untuk menampung pemindahan data peribadi pelanggan kami ke A.S. Kami telah mengemas kini Perjanjian Pemprosesan Data kami untuk mencerminkan perkara ini https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
Perjanjian Pemprosesan Data telah menjadi sebahagian daripada Terma Perkhidmatan Dropbox Sign.
Perakuan
Di Dropbox Sign, kami memahami kesan pematuhan yang serius dan telah membina proses dengan tekun untuk menjadikan perkhidmatan kami mematuhi standard yang mentadbir urus perniagaan anda.
Untuk mendapatkan maklumat lanjut tentang standard dan pensijilan yang dipatuhi oleh Dropbox Sign, sila rujuk Halaman Pematuhan kami.
Keselamatan Produk
Penyulitan
Secara lalai, komunikasi dengan perkhidmatan kami menggunakan Keselamatan Lapisan Pengangkutan (TLS), yang dikemas kini secara berkala untuk menggunakan konfigurasi ciphersuite dan TLS terkini. Selain itu, kami menyulitkan semua data pelanggan dalam keadaan tidak bergerak dengan menggunakan AES 256-T.
Pemadaman dan akses data
Jika anda ingin menyerahkan permintaan akses data atau meminta data peribadi anda dipadamkan, sila hantar e-mel kepada kami di privacy@dropbox.com. Untuk mendapatkan maklumat lanjut, sila rujuk dasar privasi Dropbox Sign.
Pematuhan kuki
Apabila anda menggunakan Perkhidmatan Dropbox Sign, anda boleh memilih kuki yang anda izinkan untuk Dropbox gunakan dengan mengklik Kuki & Pilihan CCPA di pengaki halaman ini di bawah Sokongan.