Underlåtenhet att följa informationssäkerhetsstandarder är en risk som inget företag vill behöva ta. På Dropbox Sign förstår vi de allvarliga konsekvenserna som bristande efterlevnad kan få, och vi har noggrant byggt upp processer så att vår tjänst lever upp till många av de standarder som kan gälla hos ditt företag.
Kontakta oss (via e-post: compliance-reports@dropbox.com) för tillgång till våra revisioner och bedömningar. Du kan också ta en titt på vårt faktablad om informationssäkerhet.
Dropbox Sign följer följande ramverk, standarder och förordningar:
SOC-rapporter
SOC-rapporter (Service Organization Controls) är ramverk som tagits fram av American Institute of Certified Public Accountants (AICPA) gällande rapporteringen av de interna kontroller som införts inom en organisation. Dropbox Sign har validerat sina system, applikationer, personer och processer genom en granskning av en oberoende tredje part, Ernst & Young LLP.
SOC 3 för säkerhet, tillgänglighet och sekretess
Bestyrkanderapporten SOC 3 täcker säkerhetsprinciperna för säkerhet, tillgänglighet och sekretess (TSP Section 100). Dropbox Sign-rapporten för allmänt bruk är en övergripande sammanfattning av SOC 2-rapporten och inkluderar den oberoende, utomstående revisorns synpunkter på den effektiva utformningen och tillämpningen av våra kontroller. Visa SOC 3-undersökningen för Dropbox Sign.
SOC 2 för säkerhet, tillgänglighet och sekretess
SOC 2-rapporten förser kunder med ett detaljerat kontrollbaserat bestyrkande, som omfattar säkerhetskriterierna för förtroendetjänster vad gäller säkerhet, tillgänglighet och sekretess (TSP Section 100). SOC 2-rapporten inkluderar en detaljerad beskrivning av Dropbox Signs processer och de fler än 100 kontroller vi har på plats för att skydda dina saker. I tillägg till vår oberoende tredjepartsgranskares åsikt om den effektiva utformningen och tillämpningen av våra kontroller, inkluderar rapporten även granskarens testprocedurer och resultat för varje kontroll. SOC 2-undersökningen finns tillgänglig på begäran. Kontakta vårt säljteam på compliance-reports@dropbox.com.
ISO 27001 (ledningssystem för informationssäkerhet)
ISO 27001 är den mest erkända standarden för ledningssystem för informationssäkerhet i världen. Standarderna införlivar även bästa praxis för säkerhet enligt ISO 27002. För att förtjäna ditt förtroende hanterar och förbättrar vi på Dropbox Sign kontinuerligt våra fysiska, tekniska och juridiska kontroller. Vår granskare, Schellman Compliance LLC, innehar ISO 27001-ackreditering från ANSI-ASQ National Accreditation Board (ANAB).
Se ISO 27001-certifikaten för Dropbox Sign, Dropbox Fax och Dropbox Forms.
ISO 27018 (molnsäkerhet och dataskydd).
ISO 27018 är en internationell standard för integritet och dataskydd som gäller för molntjänstleverantörer som Dropbox Sign, vilka bearbetar personuppgifter för kundernas räkning. Standarden utgör en utgångspunkt för våra kunder vad gäller vanliga krav och frågor beträffande föreskrifter och kontrakt. Vår efterlevnad av ISO 27018 valideras som en del av vår ISO 27001-certifiering.
Se ISO 27018-certifikaten för Dropbox Sign, Dropbox Fax och Dropbox Forms.
HIPAA (Health Insurance Portability and Accountability Act) från 1996
Dropbox Sign stöder efterlevnad av Health Insurance Portability and Accountability Act (HIPAA) och Health Information Technology for Economic and Clinical Health Act (HITECH) .
Dessa lagar är avsedda att främja spridningen av teknik inom hälsovårdsbranschen och samtidigt skapa skyddsmekanismer för skydd och integritet för hälsoinformation. Organisationer som sjukhus, läkar- och tandläkarmottagningar och enskilda personer som använder skyddad hälsoinformation (PHI) kan omfattas av HIPAA/HITECH. Reglerna kan även gälla företag som arbetar med dessa organisationer och som kommer i kontakt med PHI för deras räkning.
Dropbox Sign kan tillhandahålla en rapport om HIPAA-säkerhetsreglerna och meddelandekraven för brott mot HITECH. Kunder som vill få dessa dokument kan kontakta säljteamet via e-post på compliance-reports@dropbox.com.
Amerikanska ESIGN Act från 2000
Electronic Signatures in Global and National Commerce Act är en federal lag som utgör allmänna regler för giltigheten för elektroniska poster och signaturer vid transaktioner. Bland annat kräver amerikanska ESIGN Act att det går att påvisa en avsikt om underskrift, vissa konsumentupplysningar samt registerhållning.
Uniform Electronic Transactions Act (UETA) från 1999
Denna lag antogs 1999 av National Conference of Commissions on Uniform State Laws. Uniform Electronic Transaction Act tillåter användningen av transaktioner via elektronisk kommunikation genom att ge elektroniska signaturer samma juridiska vikt som handskrivna papperssignaturer. UETA har införts av varje stat förutom staten New York.
Ramverket för dataskydd mellan EU och USA, det brittiska tillägget till ramverket för dataskydd mellan EU och USA och ramverket för dataskydd mellan Schweiz och USA
Dropbox Sign följer ramverken för dataskydd mellan EU och USA och Schweiz och USA, samt det brittiska tillägget till ramverket för dataskydd mellan EU och USA enligt vad som fastställts av amerikanska Department of Commerce gällande insamling, användning och lagring av personuppgifter som överförs från Europeiska unionen, Europeiska ekonomiska samarbetsområdet och Schweiz till USA.
Läs mer om ramverken för dataskydd här.
eIDAS och Dropbox Sign
Dropbox Sign är en lösning för elektroniska signaturer som uppfyller eIDAS och är ett gångbart alternativ för företag som behöver skriva under dokument online med undertecknare från alla EU-medlemsstater.
eIDAS-förordningen (910/2014) är en förordning som gör det möjligt för medborgare, företag och offentlig förvaltning att använda elektroniska identifieringsmetoder och betrodda tjänster för säker åtkomst till onlinetjänster och för att utföra elektroniska transaktioner inom Europeiska unionen (EU). Den ersatte direktivet om elektroniska signaturer 1999/93/EG, ett EU-direktiv om användning av elektroniska signaturer i elektroniska kontrakt inom EU, och trädde i kraft 1 juli 2016.
eIDAS-förordningen utgör det juridiska ramverket för elektroniska signaturer i EU. Den fastställer ett regelverk som ger personer, bolag (i synnerhet små och medelstora företag) och offentlig förvaltning trygg åtkomst till tjänster och möjlighet att kunna utföra transaktioner digitalt i alla EU:s medlemsländer. Framförallt definierar den tre nivåer av elektroniska signaturer: enkla elektroniska signaturer (SES), avancerade elektroniska signaturer (AES) och kvalificerade elektroniska signaturer (QES). Dropbox Sign har stöd för elektroniska signaturer av SES- och QES-klass.
Enkel elektronisk signatur
En enkel elektronisk signatur (SES) definieras som ”data i elektronisk form som bifogas till eller logiskt kan kopplas till andra data i elektronisk form och som en undertecknare kan använda för underskrift”. Detta innebär att många elektronisk verktyg, bland annat lösenord, PIN-koder och skannade signaturer, kan räknas som SES.
Avancerad elektronisk signatur
En avancerad elektronisk signatur (AES) är en elektronisk signatur som:
- är unikt kopplad till och kan användas för att identifiera undertecknaren
- skapas med hjälp av elektroniska signaturuppgifter som undertecknaren, med en hög grad av tillförlitlighet, kan ha under sin kontroll
- kopplas till dokumentet på ett sätt som gör det möjligt att detektera alla framtida ändringar av dokumentets data.
Kvalificerad elektronisk signatur
En kvalificerade elektroniska signaturer (QES) är en striktare form av AES och är den enda klassen av elektronisk signatur som har samma juridiska värde som en handskriven signatur. En QES har ett kvalificerat digitalt certifikat som skapas med en kvalificerad signaturskapande enhet (QSCD). En QSCD måste utfärdas av en kvalificerad EU-leverantör av betrodda tjänster (Trust Service Provider, TSP) på listan European Union Trust List (EUTL.)
Friskrivningsklausul: Denna information är endast avsedd för allmänna informationsändamål. Den är avsedd att hjälpa företag att förstå den rättsliga ram som används för elektriska signaturers rättsgiltighet. Den är inte avsedd som juridisk rådgivning och bör inte ersätta professionell juridisk rådgivning. Kontakta en auktoriserad advokat för juridisk rådgivning eller företrädande.
EU:s Allmänna dataskyddsförordning (GDPR) och Dropbox Sign
Allmänna dataskyddsförordningen 2016/679, även kallad GDPR, är en EU-förordning som innebär en betydande förändring i det befintliga ramverket för behandling av enskilda personers personuppgifter inom EU. GDPR införde en rad nya eller utökade krav som gäller för företag som Dropbox Sign som behandlar personuppgifter. Dropbox Sign uppfyller GDPR-kraven så att våra kunder kan använda Dropbox Sign för att underlätta sin egen GDPR-efterlevnad. Se denna artikel för mer information om GDPR och Dropbox Signs efterlevnad.
Vårt åtagande gentemot dig och skyddet av dina uppgifter
Vi har som åtagande att skydda dina personuppgifter. Som Dropbox-kund fungerar din organisation som personuppgiftsansvarig för eventuella personuppgifter som tillhandahålls till Dropbox i samband med din användning av Dropbox Sign-tjänsterna. Dropbox fungerar som personuppgiftsbiträde för din organisations räkning när du använder Dropbox Sign-tjänsterna. Vår integritetspolicy beskriver vårt integritetsåtagande gentemot våra kunder och förklarar hur vi samlar in, använder och hanterar dina personuppgifter när du använder våra tjänster och våra tjänstevillkor omfattar åtaganden om databehandling och internationella dataöverföringar.
Utbildning och medvetenhet om integritet
Alla anställda på Dropbox behöver utföra en säkerhets- och integritetsutbildning när de anställs och varje år efter det. Dessutom får anställda information för ökat medvetande om säkerhet och integritet via e-post, tal och presentationer och de har även tillgång till resurser via intranätet.
Kartläggning av data och bedömning av integritetspåverkan
För att säkerställa att våra integritetsrutiner ger tillräckligt skydd för Dropbox register över alla behandlingsaktiviteter som utförs för Sign-tjänsten. Vi har också utfört en bedömning av dataskyddet (Data Protection Impact Assessment, DPIA) för att bedöma hur vi samlar in, behandlar och lagrar personuppgifter och fastställa eventuell integritetspåverkan.
Policyer för informationssäkerhet
Dropbox har informationssäkerhets- och dataskyddspolicyer som styr hur och när anställda och leverantörer kan komma åt dina uppgifter. Dessa policyer baseras på internationella standarder och bästa praxis och granskas varje år för att hållas uppdaterade med rådande affärsmetoder och för att svara på ändrade lagar/förordningar. Ad hoc-ändringar kan göras i dessa policyer vid behov. Dessa policyer tillhandahålls till nyanställda och alla anställda informeras om eventuella ändringar via företagets intranät.
Dataöverföringar
Vid överföringen av data från Europeiska unionen, Europeiska ekonomiska samarbetsområdet, Storbritannien och Schweiz använder sig Dropbox av flera olika juridiska mekanismer, inklusive kontrakt med våra kunder och dotterbolag, standardavtalsklausuler och EU-kommissionens beslut om lämplighet om vissa länder, i tillämpliga fall.
Dropbox Sign följer ramverket för dataskydd mellan EU och USA, det brittiska tillägget till ramverket för dataskydd mellan EU och USA och ramverket för dataskydd mellan Schweiz och USA som fastställts av amerikanska Department of Commerce angående inhämtning, användning och lagring av personuppgifter som överförs från Europeiska unionen, Europeiska ekonomiska samarbetsområdet och Schweiz till USA.
Incidenthantering
Våra procedurer för incidenthantering har utformats och testats för att säkerställa att potentiella säkerhetsincidenter identifieras och rapporteras till lämplig personal för lösning, att personal följer definierade protokoll för att hantera säkerhetsincidenter och att steg för lösning regelbundet dokumenteras och granskas av säkerhetsteamet. Dessutom omfattar våra policyer och rutiner intrångsunderrättelser för om och när en säkerhetsincident innebär förlust av eller obehörig åtkomst till personuppgifter.
Produktgranskningar
Vår programvaruutvecklingslivscykel (”SDLC”) säkerställer att systemändringar utförs i enlighet med GDPR-krav, inklusive integritetshänsyn inom följande områden:
- Planering
- Ändringsdokumentation
- Utveckling av testplaner
- Ändringstestning och dokumentation av resultat
- Kvalitetssäkring ("QA"), granskning och godkännande
- Tredje parts granskning och intyg, samt
- Periodisk granskning och uppdatering.
Leverantörsgranskningar
Leverantörer som behandlar eller lagrar personuppgifter granskas som en del av Dropbox bedömningsprocess av tredje parter för att säkerställa att dessa leverantörer använder lämpliga säkerhets- och integritetskontroller för att skydda uppgifterna. Alla våra nuvarande underleverantörer granskas på årsbasis för att säkerställa att de uppfyller aktuella säkerhets- och integritetskrav.
Avtalsskydd
Dropbox har infört ett nytt uppgiftsbiträde för att hantera standardavtalsklausulerna mellan Dropbox International Unlimited Company och Dropbox, Inc. som omfattar överföringar av kundernas personuppgifter till USA. Vi har uppdaterat vårt avtal om datahantering för att återspegla detta https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
Avtalet om datahantering ingår redan i Dropbox Sign-tjänstevillkoren.
Certifieringar
På Dropbox Sign förstår vi de allvarliga konsekvenserna av efterlevnad och har noggrant byggt upp rutiner som gör att vår tjänst uppfyller de standarder som styr ditt företag.
Mer information om de standarder och certifieringar som Dropbox Sign uppfyller finns på vår efterlevnadssida.
Produktsäkerhet
Kryptering
Som standard använder kommunikationen med våra tjänster Transport Layer Security (TLS), som regelbundet uppdateras för att använda de senaste krypteringstyperna och TLS-konfigurationerna. Vi krypterar dessutom all kundinformation i vila med hjälp av AES 256-T.
Dataradering och dataåtkomst
Vill du skicka in en begäran om dataåtkomst eller begära att dina personuppgifter raderas kontaktar du oss på privacy@dropbox.com. Mer information hittar du i Dropbox Signs integritetspolicy.
Cookieefterlevnad
När du använder Dropbox Sign-tjänsterna kan du välja vilka cookies du samtycker till att Dropbox använder genom att klicka på Inställningar för cookies och CCPA i sidfoten under Support.