不遵守信息安全标准是任何公司都不愿意承担的风险。在 Dropbox Sign,我们了解不合规的重要影响,并努力构建流程,促使我们的服务符合约束您的业务的众多标准。
请联系我们(电子邮箱:compliance-reports@dropbox.com)获取我们的审计和评估信息。您也可以查看我们的信息安全白皮书。
Dropbox Sign 遵守以下框架、标准和法规:
SOC 报告
服务组织控制体系 (SOC) 报告是由美国注册会计师协会 (AICPA) 建立的框架,用于报告组织内部实施的内部控制体系。Dropbox Sign 通过独立第三方 (Ernst & Young LLP) 所进行的审计,完成了对其系统、应用程序、人员和流程的验证。
SOC 3 安全性、可用性与机密性
SOC 3 鉴证报告涵盖安全性、可用性和机密性等信托服务标准(TSP 第 100 条)。Dropbox 通用报告是我们的 SOC 2 报告执行摘要,包含独立第三方审计师针对我们控制体系的有效设计和运行所提供的意见。查看 Dropbox Sign SOC 3 审核结果。
SOC 2 安全性、可用性与机密性
SOC 2 报告为客户提供基于控制的详细鉴证,涵盖针对安全性、可用性和机密性的信托服务标准(TSP 第 100 条)。SOC 2 报告详细介绍了 Dropbox Sign 的流程,以及 Dropbox Sign 为了保护您的资料而实施的超过 100 套控制体系。除了独立第三方审计师针对控制体系的有效设计和运行所提供的意见之外,报告中还包含审计师针对每套控制体系采取的测试程序以及测试结果。向 compliance-reports@dropbox.com 发送电子邮件提出请求,我们的销售团队可以提供 SOC 2 评估结果。
ISO 27001(信息安全管理)
ISO 27001 是全球公认的主要信息安全管理系统 (ISMS) 标准。此标准还采用了 ISO 27002 中详述的安全最佳实践。为了不辜负您的信任,Dropbox Sign 持续而全面地管理并优化物理、技术和法律方面的控制体系。我们的审计机构 Schellman Compliance LLC. 通过了 ANSI-ASQ 国家认证委员会 (ANAB) 的 ISO 27001 认证。
查看 Dropbox Sign、Dropbox Fax 和 Dropbox Forms 的 ISO 27001 证书。
ISO 27018(云隐私和数据保护)。
ISO 27018 是隐私和数据保护国际标准,适用于代表客户处理个人信息的云服务提供商(例如 Dropbox Sign),并为客户提供可解决常见法规和合同要求或问题的基础。作为 ISO 27001 认证的一部分,我们对 ISO 27018 的遵守得到了验证。
查看 Dropbox Sign、Dropbox Fax 和 Dropbox Forms 的 ISO 27018 证书。
1996 年《健康保险流通与责任法案》(HIPPA)
Dropbox Sign 支持遵守《健康保险流通与责任法案》(HIPAA) 和《经济与临床健康信息技术法案》(HITECH)。
这些法律旨在鼓励医疗保健行业推广技术,同时为健康信息的安全和隐私提供保护。医院、医生办公室和牙科诊所等组织以及与受保护健康信息 (PHI) 交互的个人可能需要遵守 HIPAA/HITECH。这也可能扩展到与这些企业合作并代表他们与 PHI 接触的公司。
Dropbox Sign 提供与 HIPAA 安全规则和 HITECH 违规通知要求相关的报告。有兴趣索取此文档的客户可以通过向 compliance-reports@dropbox.com 发送电子邮件联系我们的销售团队。
2000 年美国《电子签名法案》
《全球和国内商业电子签名法》是一部联邦法律,规定了交易电子记录和签名有效性的一般规则。除其他事项外,美国《电子签名法案》要求表明签名意图、某些消费者披露信息和记录保留。
1999 年《统一电子交易法》(UETA)
《统一电子交易法》于 1999 年由全国统一州法委员会会议通过,通过赋予电子签名与手写笔纸质签名相同的法律效力,允许使用电子通信交易。《统一电子交易法》已被除纽约州以外的所有州采用。
《欧盟-美国数据隐私框架》、《英国对欧盟-美国数据隐私框架的扩展》以及《瑞士-美国数据隐私框架》
Dropbox Sign 在收集、使用和保留从欧盟、欧洲经济区和瑞士传输到美国的个人数据方面,遵守美国商务部制定的《欧盟-美国数据隐私框架》、《英国对欧盟-美国数据隐私框架的扩展》以及《瑞士-美国数据隐私框架》。
点击此处了解关于数据隐私框架的更多信息。
eIDAS 和 Dropbox Sign
Dropbox Sign 是一种符合 eIDAS 标准的电子签名解决方案,也是公司与所有欧盟成员国的签字人在线签署文件的可行选择。
eIDAS 条例 (910/2014) 是一项允许公民、企业和公共管理部门使用电子身份识别手段和信托服务在整个欧盟范围内安全访问在线服务和执行电子交易的法规。它取代了涉及在欧盟内部电子合同中使用电子签名的欧盟第 1999/93/EC 号电子签名指令,并于 2016 年 7 月 1 日生效。
eIDAS 条例规定了欧盟电子签名的法律框架。该条例为公民、公司(尤其是中小型企业)和公共管理部门建立了法律框架,确保以安全方式访问服务,并在所有欧盟成员国之间以数字方式进行交易。具体而言,它定义了三个级别的电子签名:简单电子签名 (SES)、高级电子签名 (AES) 和符合条件的电子签名 (QES)。Dropbox Sign 支持 SES 和 QES 电子签名。
简单电子签名
简单电子签名 (SES) 被定义为“附加在其他电子形式数据上或与其有逻辑联系并由签字人用于签字的电子形式数据”。因此,包括密码、PIN 码和扫描签名在内的许多电子工具都可以构成 SES。
高级电子签名
高级电子签名 (AES) 是一种电子签名,它:
- 与签字人有唯一联系并能够识别签字人身份;
- 使用高度保密且必须在签字人唯一控制权下使用的电子签名生成数据来生成。
- 以可检测到数据的任何后续更改的方式连接到文档。
可信电子签名
符合条件的电子签名 (QES) 是 AES 的一种更严格的形式,也是唯一一种在法律上等同于手写签名的电子签名类型。QES 具有由可信签名生成设备 (QSCD) 生成的可信数字证书。QSCD 必须由欧盟信任清单 (EUTL) 上的合格欧盟信任服务提供商 (TSP) 签发。
免责声明:此信息仅用于一般信息性用途,旨在帮助各公司了解适用于电子签名合法性的法律框架,而非提供法律建议,也不能代替专业法律建议。如需法律建议或代理服务,请咨询持证律师。
欧盟《一般数据保护条例》(GDPR) 和 Dropbox Sign
《一般数据保护条例》2016/679(简称 GDPR)是欧盟颁布的法规,标志着现有的欧盟数据主体个人数据处理的框架将迎来重大变革。GDPR 推出了一系列新的要求或提高了原有要求,适用于 Dropbox Sign 这类处理个人数据的公司。Dropbox Sign 遵守 GDPR,因此客户可以使用 Dropbox Sign 来促进其 GDPR 合规。更多信息,请参阅这篇关于 GDPR 和 Dropbox Sign 合规的文章。
我们对您和对保护您的数据的承诺
我们致力于保护您的个人数据。作为 Dropbox Sign 的客户,您的组织是您使用 Dropbox Sign 服务时提供给 Dropbox 的任何个人数据的数据控制者。Dropbox 是数据处理者,在您使用 Dropbox Sign 服务时代表您的组织处理数据。我们的隐私政策描述了我们对用户的隐私承诺,并解释了当您使用我们的服务时,我们如何收集、使用和处理您的个人数据。我们的服务条款包括与数据处理和国际数据传输相关的承诺。
培训和隐私意识
所有 Dropbox 员工在入职时以及之后每年都必须完成安全和隐私培训。此外,员工通过电子邮件、谈话和演示以及我们内部网上提供的资源接收安全和隐私意识信息。
数据映射和隐私影响评估
为了验证我们的隐私做法是否适当,Dropbox 会保留 Sign 服务的处理活动记录。我们还完成了数据保护影响评估 (DPIA),以评估我们收集、处理和存储个人数据的方式,并确定潜在的隐私影响。
信息安全政策
Dropbox 制定了信息安全和数据保护政策,规定了员工和承包商如何以及何时可以访问您的数据。这些政策以国际标准和最佳实践为基础,并每年进行审查,以使其与当前的商业实践保持同步,并考虑法律/法规的变化。必要时也可对这些政策进行不定期修改。这些政策将提供给新员工,并通过公司内部网向员工传达变更。
数据传输
在从欧盟、欧洲经济区、英国和瑞士传输数据时,Dropbox 会依赖各种不同的法律机制,例如与我们的客户和关联方签订的合同、标准合同条款以及欧盟关于某些国家/地区的充分性认定(视情况而定)。
Dropbox Sign 在收集、使用和保留从欧盟、欧洲经济区和瑞士传输到美国的个人数据方面,遵守美国商务部制定的《欧盟-美国数据隐私框架》、《英国对欧盟-美国数据隐私框架的扩展》以及《瑞士-美国数据隐私框架》。
事件响应
我们设计的事件响应程序已经通过测试,旨在确保识别潜在的安全事件并报告给适当的人员进行处理,相关人员遵循制定的处理规程,安全团队定期记录和审查处理措施。此外,我们的政策和程序还包括在安全事件涉及个人数据丢失或未经授权使用时发出违规通知。
产品审查
我们的软件开发生命周期(“SDLC”)确保系统变更按照 GDPR 的要求进行,包括以下方面的隐私考虑:
- 规划;
- 变更文件;
- 测试计划制定;
- 变更测试和结果记录;
- 质量保证(“QA”)审查和批准;
- 第三方审查和认证;以及
- 定期审查和更新。
供应商审查
作为 Dropbox 第三方风险评估流程的一部分,我们会对处理或存储个人数据的供应商进行审查,以确保他们拥有适当的安全和隐私控制措施来保护数据。我们每年对所有现有的子处理者进行审查,确保他们符合安全和隐私要求。
合同保护
Dropbox 已经在 Dropbox International Unlimited Company 和 Dropbox, Inc. 之间实施了新的处理者到处理者 SCC,以涵盖将客户的个人数据传输到美国的情况。我们已经更新了数据处理协议以反映这一点:https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
数据处理协议已经成为 Dropbox Sign 服务条款的一部分。
认证
在 Dropbox Sign,我们了解合规的重要意义,并努力构建流程,促使我们的服务符合约束您的业务的标准。
有关 Dropbox Sign 符合并遵守的标准和认证的更多信息,请参阅我们的合规页面。
产品安全
加密
默认情况下,与我们服务的通信使用传输层安全协议 (TLS),它会定期更新,使用最新的密码套件和 TLS 配置。此外,我们还使用 AES 256-T 加密所有静态客户数据。
数据删除和访问
如欲提交数据访问请求或要求删除您的个人数据,请发送电子邮件至 privacy@dropbox.com。有关详细信息,请参阅 Dropbox Sign 隐私政策。
Cookie 合规
使用 Dropbox Sign 服务时,您可以通过单击此页面页脚“支持”下的“Cookie 和 CCPA 首选项”来选择您同意 Dropbox 使用的 Cookie。