El incumplimiento de las normas de seguridad de la información es un riesgo que ninguna empresa quiere correr. En Dropbox Sign somos conscientes de las graves consecuencias que conlleva un incumplimiento y hemos creado diligentemente procesos para hacer que nuestro servicio cumpla con las diversas normas que pueden regir tu negocio.
Ponte en contacto con nosotros (por correo electrónico: compliance-reports@dropbox.com) para acceder a nuestras auditorías y evaluaciones, o consulta nuestro documento técnico sobre seguridad de la información.
Dropbox Sign cumple con los siguientes marcos, normas y reglamentos:
Informes SOC
Los Informes de Control de Organizaciones de Servicios (SOC, por sus siglas en inglés) son marcos establecidos por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) para informar sobre los controles internos implantados dentro de una organización. Dropbox Sign ha validado sus sistemas, aplicaciones, personas y procesos mediante una auditoría realizada por un tercero independiente, Ernst & Young LLP.
SOC 3 para seguridad, disponibilidad y confidencialidad
El informe de garantía SOC 3 cubre los criterios de confianza en cuanto a seguridad, disponibilidad y confidencialidad (TSP Sección 100). El informe de uso general de Dropbox Sign es un resumen ejecutivo del informe SOC 2 e incluye la opinión del auditor independiente sobre el diseño y el funcionamiento eficaces de nuestros controles. Consulta el examen SOC 3 de Dropbox Sign.
SOC 2 para seguridad, disponibilidad y confidencialidad
El informe SOC 2 proporciona a los clientes un nivel detallado de garantía basada en controles, que cubre los criterios de confianza del servicio en cuanto a seguridad, disponibilidad y confidencialidad (TSP Sección 100). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox Sign y los más de 100 controles establecidos para proteger tus datos. Además de la opinión de nuestro auditor independiente sobre el diseño y el funcionamiento eficaces de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. El examen SOC 2 está disponible previa solicitud a través de nuestro equipo de ventas enviando un correo electrónico a compliance-reports@dropbox.com.
ISO 27001 (Gestión de la seguridad de la información)
La ISO 27001 está reconocida como la principal norma para los sistemas de gestión de la seguridad de la información (SGSI) en todo el mundo. Las normas también emplean las mejores prácticas en materia de seguridad detalladas en la ISO 27002. En Dropbox Sign queremos ser dignos de tu confianza y, por eso, gestionamos y mejoramos continuamente nuestros controles físicos, técnicos y legales a todos los niveles. Nuestro auditor, Schellman Compliance LLC, mantiene su acreditación ISO 27001 de la Junta Nacional de Acreditación ANSI-ASQ (ANAB).
Consulta el certificado ISO 27001 de Dropbox Sign, Dropbox Fax y Dropbox Forms.
ISO 27018 (Protección de datos y privacidad en la nube)
La ISO 27018 es una norma internacional en materia de privacidad y protección de datos que deben cumplir los proveedores de servicios en la nube, como Dropbox Sign, que procesan información personal en nombre de sus clientes. Asimismo, esta norma ofrece un marco en el cual los clientes pueden consultar requisitos y dudas comunes en asuntos reglamentarios y contractuales. Nuestra observancia de la norma ISO 27018 está validada como parte de nuestra certificación ISO 27001.
Consulta el certificado ISO 27018 de Dropbox Sign, Dropbox Fax y Dropbox Forms.
Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA)
Dropbox Sign promueve el cumplimiento de la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) y de la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH).
Estas leyes tienen como objetivo fomentar la proliferación de tecnología en la industria de la atención médica, al tiempo que crean protecciones para la seguridad y privacidad de la información médica. Las organizaciones como hospitales, consultas médicas y clínicas de odontología, así como las personas que interactúan con información de salud protegida (PHI, por sus siglas en inglés), pueden estar sujetas a la HIPAA/HITECH. Esto también puede extenderse a las empresas que trabajan con estos negocios y entran en contacto con la PHI en su nombre.
Dropbox Sign pone a disposición un informe relacionado con la regla de seguridad HIPAA y los requisitos de notificaciones de infracciones de la HITECH. Los clientes interesados en solicitar este documento pueden ponerse en contacto con nuestro equipo de ventas enviando un correo electrónico a compliance-reports@dropbox.com.
Ley ESIGN de EE. UU. de 2000
La Ley de Firmas Electrónicas en el Comercio Nacional e Internacional es una ley federal que proporciona una regla general de validez para los registros y firmas electrónicas de las transacciones. La Ley ESIGN de EE. UU. exige, entre otras cosas, la demostración de la intención de firmar, la realización de ciertas divulgaciones al consumidor y la conservación de registros.
Ley Uniforme de Transacciones Electrónicas (UETA) de 1999
Aprobada en 1999 por la Conferencia Nacional de Comisiones sobre Leyes Estatales Uniformes, la Ley Uniforme de Transacciones Electrónicas permite el uso de transacciones de comunicación electrónica al otorgar a las firmas electrónicas el mismo peso legal que a las firmas escritas a mano sobre el papel. La UETA ha sido adoptada por todos los estados excepto Nueva York.
Marco de privacidad de datos UE-EE. UU., extensión del Reino Unido al Marco de privacidad de datos UE-EE. UU. y Marco de privacidad de datos Suiza-EE. UU.
Dropbox Sign cumple con el marco de privacidad de datos UE-EE. UU., la extensión del Reino Unido al marco de privacidad de datos UE-EE. UU. y el marco de privacidad de datos Suiza-EE. UU., según lo establecido por el Departamento de Comercio de EE. UU. con respecto a la recopilación, el uso y la retención de datos personales transferidos desde la Unión Europea, el Espacio Económico Europeo y Suiza a Estados Unidos.
Encontrarás más información sobre los marcos de privacidad de datos aquí.
eIDAS y Dropbox Sign
Dropbox Sign es una solución de firma electrónica compatible con eIDAS, así como una opción viable para que las empresas firmen documentos online con firmantes de todos los estados miembro de la UE.
El Reglamento eIDAS (910/2014) es un reglamento que permite el uso de medios de identificación electrónica y servicios de confianza por parte de ciudadanos, negocios y administraciones públicas para acceder de forma segura a servicios online y ejecutar transacciones electrónicas en toda la Unión Europea (UE). Reemplazó la Directiva 1999/93/CE relativa a las firmas electrónicas, una directiva de la Unión Europea sobre el uso de firmas electrónicas en contratos electrónicos dentro de la UE, y entró en vigor el 1 de julio de 2016.
El Reglamento eIDAS establece el marco legal para la firma electrónica en la UE. Establece un marco legal para que personas, empresas (en particular las pequeñas y medianas empresas) y administraciones públicas puedan acceder a los servicios de forma segura y ejecutar transacciones de forma digital en todos los estados miembro de la UE. En particular, define tres niveles de firma electrónica: firma electrónica simple (SES), firma electrónica avanzada (AES) y firma electrónica cualificada (QES). Dropbox Sign admite firmas electrónicas SES y QES.
Firma electrónica sencilla
Una firma electrónica sencilla (SES) se define como "datos en formato electrónico que están adjuntos o asociados lógicamente con otros datos en formato electrónico y que son utilizados por el firmante para firmar". Como resultado, muchas herramientas electrónicas, incluidas las contraseñas, los códigos PIN y las firmas escaneadas, pueden constituir una SES.
Firma Electrónica avanzada
Una firma electrónica avanzada (AES) es una firma electrónica que:
- está vinculada de forma única a un firmante y sirve para identificarlo.
- se ha generado utilizando datos de creación de firmas electrónicas que el firmante puede, con un alto nivel de confianza, utilizar bajo su exclusivo control.
- está vinculada al documento de manera que cualquier cambio posterior de los datos sea detectable.
Firma electrónica cualificada
Una firma electrónica cualificada (QES) es una forma más estricta de AES y es el único tipo de firma electrónica que es legalmente equivalente a las firmas manuscritas. Una QES tiene un certificado digital cualificado que ha sido creado por un dispositivo de creación de firmas cualificadas (QSCD). El QSCD tiene que emitirlo un proveedor de servicios de confianza de la UE (TSP, por sus siglas en inglés) cualificado incluido en la Lista de confianza de la Unión Europea (EUTL, por sus siglas en inglés).
Aviso legal: Esta información está destinada a fines de información general solamente. Su objetivo es ayudar a las empresas a comprender el marco jurídico utilizado para la legalidad de la firma electrónica. En ningún caso se presenta como asesoramiento jurídico y no debe ser un sustituto del asesoramiento jurídico profesional. Ponte en contacto con abogado para obtener servicios de asesoramiento o representación.
Reglamento general de protección de datos (RGPD) de la UE y Dropbox Sign
El Reglamento general de protección de datos 2016/679, o RGPD, es un reglamento de la Unión Europea que supone un cambio significativo respecto al marco actual para el tratamiento de datos personales de las personas físicas en la UE. El RGPD ha introducido una serie de requisitos nuevos o mejorados que se aplican a empresas como Dropbox Sign, que gestionan datos personales. Dropbox Sign cumple con el RGPD para que los clientes puedan utilizar Dropbox Sign para facilitar su cumplimiento del RGPD. Para obtener más información, consulta este artículo sobre el cumplimiento del RGPD y Dropbox Sign.
Nuestro compromiso contigo y la protección de tus datos
Tenemos el compromiso de proteger tus datos personales. Como cliente de Dropbox Sign, tu organización actúa como responsable del tratamiento de cualquier dato personal proporcionado a Dropbox en relación con tu uso de los servicios de Dropbox Sign. Dropbox actúa como encargado del tratamiento de los datos y procesa datos en nombre de tu organización cuando utilizas los servicios de Dropbox Sign. Nuestra Política de privacidad describe nuestros compromisos de privacidad con los usuarios y explica cómo recopilamos, usamos y manejamos sus datos personales cuando utilizas nuestros servicios, y nuestras Condiciones de servicio incluyen compromisos relacionados con el tratamiento de datos y la transferencia internacional de datos.
Formación y concienciación en materia de privacidad
Todos los empleados de Dropbox deben completar una formación sobre seguridad y privacidad en el momento de su contratación y con carácter anual a partir de entonces. Además, los empleados reciben información sobre seguridad y privacidad con fines de concienciación a través de correos electrónicos, charlas y presentaciones, así como recursos disponibles en nuestra intranet.
Mapeo de datos y evaluación del impacto en la privacidad
Para verificar que nuestras prácticas de privacidad sean apropiadas, Dropbox mantiene un registro de las actividades del tratamiento de los servicios de Sign. También hemos realizado una Evaluación del Impacto en la Protección de Datos (DPIA) para evaluar cómo recopilamos, tratamos y almacenamos datos personales y determinamos posibles impactos en la privacidad.
Políticas de seguridad de la información
Dropbox tiene políticas de seguridad de la información y protección de datos que rigen cómo y cuándo los empleados y contratistas pueden acceder a tus datos. Estas políticas se basan en estándares internacionales y prácticas recomendadas, y se revisan anualmente para mantenerlos actualizados con las prácticas actuales del negocio y teniendo en cuenta los cambios en las leyes/regulaciones. También se pueden realizar cambios concretos en estas políticas según sea necesario. Estas políticas se proporcionan a los nuevos empleados y los cambios se comunican a los empleados a través de la intranet de la empresa.
Transferencias de datos.
Al transferir datos desde la Unión Europea, el Espacio Económico Europeo, Reino Unido y Suiza, Dropbox cuenta con diferentes mecanismos legales, tales como contratos con nuestros clientes y afiliados, cláusulas contractuales tipo y las decisiones de adecuación de la Comisión Europea sobre determinados países, según proceda.
Dropbox Sign cumple con el Marco de Privacidad de Datos UE-EE. UU., la extensión del Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU., tal como establece el Departamento de Comercio de Estados Unidos respecto a la recopilación, el uso y la conservación de datos personales que se transfieran desde la Unión Europea, el Espacio Económico Europeo y Suiza a Estados Unidos.
Respuesta a incidentes
Nuestros procedimientos de respuesta a incidentes se han diseñado y probado y para garantizar que se logran identificar posibles eventos de seguridad y que estos son notificados al personal apropiado para su resolución. El personal sigue protocolos definidos a la hora de resolver los eventos de seguridad y, de manera regular, los pasos de la resolución se registran y posteriormente son revisados por el equipo de seguridad. Además, nuestras políticas y procedimientos incluyen notificación de infracciones en caso de que un incidente de seguridad implique la pérdida o el uso no autorizado de datos personales.
Reseñas de productos
Nuestro ciclo de vida de desarrollo de software (“SDLC”) garantiza que los cambios en el sistema se realicen de acuerdo con los requisitos del RGPD, incluidas las consideraciones de privacidad en las siguientes áreas:
- Planificación
- Cambios en la documentación
- Desarrollo de planes de prueba
- Pruebas de cambio y documentación de resultados
- Revisión y aprobación del control de calidad ("QA")
- Revisión y certificación de terceros
- Revisión y actualización periódicas
Reseñas de proveedores
Los proveedores que tratan o almacenan datos personales son revisados como parte del proceso de evaluación de riesgos de terceros de Dropbox para garantizar que cuentan con controles de seguridad y privacidad adecuados para proteger los datos. Todos nuestros subencargados del tratamiento de datos actuales son revisados anualmente para garantizar que cumplen con todos los requisitos de seguridad y privacidad.
Protecciones contractuales
Dropbox ha implementado nuevos SCC de procesador a procesador entre Dropbox International Unlimited Company y Dropbox, Inc. para cubrir la transferencia de los datos personales de nuestros clientes a los EE. UU. Hemos actualizado nuestro Acuerdo de tratamiento de datos para reflejar esto en https://assets.dropbox.com/ documentos/es/legal/acuerdo-de-procesamiento-de-datos-hs.pdf (en inglés).
El Acuerdo de Procesamiento de Datos ya forma parte de las Condiciones del servicio de Dropbox Sign.
Certificaciones
En Dropbox Sign, somos conscientes de las serias consecuencias que conlleva un incumplimiento, y hemos construido diligentemente procedimientos para hacer que nuestro servicio cumpla con los estándares que rigen tu negocio.
Para obtener más información sobre los estándares y las certificaciones que Dropbox Sign cumple y a las que se adhiere, consulta nuestra página de cumplimiento.
Seguridad del producto
Cifrado
En las comunicaciones con nuestros servicios se utiliza por defecto la tecnología Transport Layer Security (TLS), la cual se actualiza regularmente para utilizar las configuraciones de cifrado y TLS más recientes. Además, ciframos todos los datos del cliente en pausa mediante el estándar Advanced Encryption Standard (AES) de 256 bits.
Eliminación y acceso a datos
Si deseas enviar una solicitud de acceso a datos o solicitar que se eliminen tus datos personales, envíanos un correo electrónico a privacidad@dropbox.com. Para obtener más información, consulta la Política de privacidad de Dropbox Sign.
Cumplimiento de cookies
Cuando utilizas los servicios de Dropbox Sign , puedes seleccionar qué cookies aceptas que Dropbox utilice haciendo clic en Preferencias de Cookies y CCPA en la parte inferior de esta página en asistencia.