El incumplimiento de los estándares de seguridad de la información es un riesgo que ninguna empresa quiere correr. Dropbox Sign entiende las serias repercusiones del incumplimiento y ha creado procesos de forma diligente para hacer que su servicio cumpla con los estándares que rigen tu negocio.
Comunícate con nosotros (por correo electrónico: compliance-reports@dropbox.com) para acceder a nuestras auditorías y evaluaciones. O consulta nuestro documento técnico sobre seguridad de la información.
Dropbox Sign cumple con los siguientes marcos, estándares y regulaciones:
Informes SOC
Los Informes de Control de Organización de Servicio (SOC) son marcos establecidos por el Instituto Americano de Contadores Públicos Certificados (AICPA) para informar sobre los controles internos que se implementan dentro de una organización. Dropbox Sign ha validado sus sistemas, aplicaciones, personas y procesos mediante una auditoría realizada por un tercero independiente, Ernst & Young LLP.
SOC 3 para seguridad, disponibilidad y confidencialidad
El informe de garantía SOC 3 cubre los Criterios de confianza para Seguridad, Disponibilidad y Confidencialidad (TSP Sección 100). El informe de uso general de Dropbox Sign es un resumen ejecutivo del informe SOC 2 e incluye la opinión del auditor externo independiente acerca del diseño y del funcionamiento eficaces de nuestros controles. Consulta el examen de Dropbox Sign SOC 3.
SOC 2 para seguridad, disponibilidad y confidencialidad
El informe SOC 2 les ofrece a los clientes un nivel detallado de garantía basada en controles que abarca los Criterios de servicios de confianza de Seguridad, Disponibilidad y Confidencialidad (TSP Sección 100). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox Sign y de los más de 100 controles implementados para proteger tus archivos. Además de la opinión de nuestro auditor externo independiente acerca del diseño y del funcionamiento eficaces de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. El examen SOC 2 se puede solicitar a través de nuestro equipo de ventas enviando un correo electrónico a compliance-reports@dropbox.com.
ISO 27001 (Gestión de Seguridad de la Información)
ISO 27001 es reconocido como el principal estándar de sistemas de gestión de seguridad de la información (ISMS) en todo el mundo. El estándar también incluye las prácticas recomendadas en seguridad que se detallan en ISO 27002. Para merecer tu confianza, gestionamos y mejoramos de forma continua y exhaustiva los controles físicos, técnicos y legales de Dropbox. Nuestro auditor, Schellman Compliance LLC, mantiene su acreditación ISO 27001 del Consejo Nacional de Acreditación ANSI-ASQ (ANAB).
Consulta el Certificado ISO 27001 de Dropbox Sign, Dropbox Fax y Dropbox Forms.
ISO 27018 (Privacidad y Protección de Datos en la Nube).
ISO 27018 es un estándar internacional sobre protección de la privacidad y de los datos que se aplica a los proveedores de servicios en la nube como Dropbox Sign, que procesan información personal en representación de sus clientes, y ofrece un fundamento a partir del cual los clientes pueden abordar requisitos o dudas en relación con la normativa y los contratos. Nuestro cumplimiento con el estándar ISO 27018 se valida como parte de nuestra certificación ISO 27001.
Consulta el Certificado ISO 27018 de Dropbox Sign, Dropbox Fax y Dropbox Forms.
Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA)
Dropbox Sign apoya el cumplimiento de la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH).
Estas leyes tienen como objetivo fomentar la proliferación de tecnología en la industria de la atención médica, al tiempo que crean protecciones para la seguridad y privacidad de la información médica. Las organizaciones como hospitales, consultorios médicos y consultorios dentales, así como las personas que interactúan con información de salud protegida (PHI), están sujetas a la HIPAA/HITECH. Esto también puede extenderse a las empresas que trabajan con estas organizaciones y entran en contacto con PHI en su nombre.
Dropbox Sign pone a disposición un informe relacionado con la regla de seguridad HIPAA y los requisitos de notificación de infracciones HITECH. Los clientes interesados en solicitar estos documentos pueden comunicarse con nuestro equipo de ventas enviando un correo electrónico a compliance-reports@dropbox.com.
La Ley ESIGN de EE. UU. de 2000
La Ley de Firmas Electrónicas en el Comercio Nacional y Global es una ley federal que proporciona una regla general de validez para los registros y firmas electrónicas de las transacciones. Entre otras cosas, la Ley ESIGN de EE. UU. exige la demostración de la intención de firmar, determinadas divulgaciones del consumidor y la conservación de registros.
La Ley Uniforme de Transacciones Electrónicas (UETA) de 1999
La Ley Uniforme de Transacciones Electrónicas, aprobada en 1999 por la Conferencia Nacional de Comisiones sobre Leyes Estatales Uniformes, permite el uso de transacciones de comunicación electrónica al otorgar a las firmas electrónicas el mismo peso legal que tienen las firmas manuscritas. La UETA se adoptó en todos los estados excepto Nueva York.
El Marco de Privacidad de Datos UE-EE. UU., la extensión para el Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU.
Dropbox Sign cumple con el Marco de Privacidad de Datos UE-EE. UU., la extensión para el Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU. de conformidad con lo establecido por el Departamento de Comercio de EE. UU. con respecto a la recopilación, uso y retención de datos personales transferidos desde la Unión Europea, el Espacio Económico Europeo y Suiza a los Estados Unidos.
Lee más acerca de los marcos de privacidad de datos aquí.
eIDAS y Dropbox Sign
Dropbox Sign es una solución de firma electrónica compatible con eIDAS y una opción viable para que las empresas firmen documentos en línea con firmantes en todos los estados miembros de la UE.
El Reglamento eIDAS (910/2014) es un reglamento que permite el uso de medios de identificación electrónica y servicios de confianza por parte de ciudadanos, empresas y administraciones públicas para acceder de forma segura a servicios en línea y ejecutar transacciones electrónicas en toda la Unión Europea (UE). Reemplazó la Directiva 1999/93/CE sobre firmas electrónicas, una directiva de la Unión Europea sobre el uso de firmas electrónicas en los contratos electrónicos dentro de la UE, y entró en vigencia el 1 de julio de 2016.
El Reglamento eIDAS establece el marco jurídico para la firma electrónica en la UE. Establece un marco jurídico para que las personas, las empresas (en particular las pequeñas y medianas empresas) y las administraciones públicas puedan acceder a los servicios de forma segura y ejecutar transacciones de forma digital en todos los estados miembros de la UE. En particular, define tres niveles de firma electrónica: firma electrónica simple (SES), firma electrónica avanzada (AES) y firma electrónica cualificada (QES). Dropbox Sign admite las firmas electrónicas SES y QES.
Firma electrónica simple
Una firma electrónica simple (SES) se define como “datos en formato electrónico que están adjuntos o asociados lógicamente con otros datos en formato electrónico y que el firmante utiliza para firmar”. Como resultado, muchas herramientas electrónicas, incluidas las contraseñas, los códigos PIN y las firmas escaneadas, pueden constituir una SES.
Firma electrónica avanzada
Una firma electrónica avanzada (AES) es una firma electrónica que:
- Se conecta de manera única y es capaz de identificar al firmante.
- Se creó utilizando datos de creación de firmas electrónicas que el firmante puede, con un alto nivel de confianza, utilizar bajo su exclusivo control.
- Está conectada al documento de forma tal que cualquier cambio posterior de los datos sea detectable.
Firma electrónica calificada
Una firma electrónica calificada (QES) es una forma más estricta de AES y el único tipo de firma electrónica que es jurídicamente equivalente a las firmas manuscritas. Una QES tiene un certificado digital calificado creado por un dispositivo de creación de firma calificado (QSCD). El QSCD se debe emitir por medio de un Proveedor de servicios fiduciarios (TSP) calificado de la UE que esté en la Lista fiduciaria de la Unión Europea (EUTL).
Descargo de responsabilidad: esta información está destinada a fines de información general solamente. Su objetivo es ayudar a las empresas a comprender el marco jurídico utilizado para la legalidad de la firma electrónica. No se pretende que esto sea un asesoramiento jurídico y no debe ser un sustituto del asesoramiento jurídico profesional. Consulta a un abogado con licencia para obtener asesoramiento o representación legal.
Reglamento general de protección de datos de la UE (GDPR) y Dropbox Sign
El Reglamento General de Protección de Datos 2016/679 o RGPD es un reglamento de la Unión Europea que supuso un cambio significativo en el marco existente para el procesamiento los datos personales de los interesados en la UE. El RGPD incorporó una serie de requisitos nuevos o mejorados que se aplican a empresas como Dropbox Sign, que manejan datos personales. Dropbox Sign se adhiere al RGPD para que los clientes puedan usar Dropbox Sign y facilitar su cumplimiento del GDPR. Para obtener más información, consulta este artículo sobre el cumplimiento del RGPD y Dropbox Sign.
Nuestro compromiso contigo y con la protección de tus datos
Estamos comprometidos a proteger tus datos personales. Como cliente de Dropbox Sign, tu organización actúa como controlador de datos de cualquier dato personal proporcionado a Dropbox en relación con tu uso del servicio Dropbox Sign. Cuando utilizas el servicio Dropbox Sign, Dropbox actúa como procesador de datos y procesa datos en nombre de tu organización. Nuestra Política de privacidad describe nuestros compromisos de privacidad con los usuarios y explica cómo recopilamos, usamos y manejamos tus datos personales cuando usas nuestros servicios, y nuestras Condiciones de servicio incluyen compromisos relacionados con el procesamiento de datos y la transferencia internacional de datos.
Capacitación y concientización sobre la privacidad
Todos los empleados de Dropbox deben completar una capacitación en seguridad y privacidad cuando se los contrata, y deben repetirla anualmente a partir de entonces. Además, los empleados reciben información de concientización sobre seguridad y privacidad a través de correos electrónicos, charlas y presentaciones y recursos disponibles en nuestra intranet.
Mapeo de datos y evaluación del impacto en la privacidad
Para verificar que nuestras prácticas de privacidad son apropiadas, Dropbox guarda un registro de la actividad de procesamiento de los servicios Sing. También llevamos a cabo una Evaluación del impacto de la protección de datos (DPIA) para evaluar cómo recogemos, procesamos y almacenamos datos personales, y determinar los posibles impactos en la privacidad.
Políticas de seguridad de la información
Dropbox tiene políticas de seguridad de la información y protección de datos que rigen cómo y cuándo los empleados y contratistas pueden acceder a tus datos. Estas políticas se basan en los estándares internacionales y las prácticas recomendadas, y se revisan anualmente para mantenerlas actualizadas con las prácticas comerciales actuales y tener en cuenta los cambios en las leyes/regulaciones. También se pueden hacer cambios ad hoc a estas políticas según sea necesario. Estas políticas se facilitan a los nuevos empleados y los cambios se comunican a los demás empleados través de la intranet de la empresa.
Transferencias de datos
Al transferir datos desde la Unión Europea, el Espacio Económico Europeo, el Reino Unido y Suiza, Dropbox se apoya en diversos mecanismos legales, como los contratos con nuestros clientes y afiliados, en las Cláusulas contractuales estándar y en las decisiones de adecuación de la Comisión Europea respecto a determinados países, si corresponde.
Dropbox Sign cumple con el Marco de Privacidad de Datos UE-EE. UU., la extensión para el Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU. de conformidad con lo establecido por el Departamento de Comercio de EE. UU. con respecto a la recopilación, uso y retención de datos personales transferidos desde la Unión Europea, el Espacio Económico Europeo y Suiza a los Estados Unidos.
Respuesta a incidentes
Nuestros procedimientos de respuesta a incidentes se diseñaron y probaron para asegurar que los posibles eventos de seguridad se identifiquen y comuniquen al personal apropiado para su resolución, que el personal siga los protocolos definidos para resolver eventos de seguridad, y que el Equipo de seguridad revise y documente los pasos para su resolución de manera periódica. Además, nuestras políticas y procedimientos incluyen notificaciones de infracción en caso de que un incidente de seguridad implique la pérdida o el uso no autorizado de información personal identificable (PII).
Reseñas de productos
Nuestro ciclo de vida de desarrollo de software (“SDLC”) garantiza que los cambios en el sistema se realicen de acuerdo con los requisitos del RGPD, incluidas consideraciones de privacidad en las siguientes áreas:
- Planificación.
- Documentación de cambios.
- Desarrollo de Planes de prueba.
- Pruebas de cambios y documentación de los resultados.
- Revisión y aprobación del control de calidad (“QA”).
- Revisión y certificación de terceros.
- Revisión y actualización periódica.
Revisión de proveedores
Los proveedores que procesan o almacenan datos personales se revisan como parte del proceso de evaluación de riesgos de terceros de Dropbox para garantizar que cuentan con controles de seguridad y privacidad adecuados para proteger los datos. Todos nuestros subprocesadores actuales se revisan anualmente para asegurar que cumplen con los requisitos de seguridad y privacidad.
Protecciones contractuales
Dropbox ha implementado nuevos SCC de procesador a procesador entre Dropbox International Unlimited Company y Dropbox, Inc. para cubrir la transferencia de los datos personales de nuestros clientes a los EE. UU. Hemos actualizado nuestro Acuerdo de procesamiento de datos para reflejar esto https://assets.dropbox.com/documents/es/legal/hs-data-processing-agreement.pdf
El Acuerdo de procesamiento de datos ya es parte de los Términos de servicio de Dropbox Sign.
Certificaciones
En Dropbox Sign entendemos las graves repercusiones del cumplimiento y hemos creado procesos de manera diligente para que nuestro servicio cumpla con los estándares que rigen tu empresa.
Consulta nuestra página de cumplimiento para obtener más información sobre los estándares con los que cumple Dropbox Sign y las certificaciones a las que se adhiere.
Seguridad del producto
Cifrado
Por defecto, la comunicación con nuestros servicios utiliza la Seguridad de la capa de transporte (TLS), que se actualiza regularmente para utilizar las últimas configuraciones de cifrado y TLS. Además, ciframos todos los datos de los clientes en reposo con AES 256-T.
Eliminación y acceso a datos
Si deseas enviar una solicitud de acceso a datos o solicitar que se eliminen tus datos personales, envíanos un correo electrónico a privacy@dropbox.com. Para obtener más información, consulta la política de privacidad de Dropbox Sign.
Cumplimiento de cookies
Cuando utilizas los servicios de Dropbox Sign, puedes seleccionar qué cookies aceptas que Dropbox utilice haciendo clic en “Preferencias de Cookies y CCPA” en el pie de página de esta página, bajo el apartado de Soporte.