El incumplimiento de las normas de seguridad de la información es un riesgo que ninguna empresa quiere correr. En Dropbox Sign, entendemos las serias repercusiones del incumplimiento y hemos creado procesos de forma diligente para hacer que nuestro servicio cumpla con muchas de las normas que rigen tu negocio.
Para acceder a nuestras auditorías y evaluaciones, comunícate con nosotros (por correo electrónico: compliance-reports@dropbox.com). O consulta nuestro documento técnico sobre seguridad de la información.
Dropbox Sign cumple con los siguientes marcos, normas y reglamentos:
Informes SOC
Los Informes de Controles de las Organizaciones de Servicios (SOC) son marcos establecidos por el Instituto Americano de Contadores Públicos Certificados (AICPA) para informar sobre los controles internos que se aplican dentro de una organización. Dropbox Sign ha validado sus sistemas, sus aplicaciones, su personal y sus procesos mediante una auditoría realizada por un tercero independiente, Ernst & Young LLP.
SOC 3 para seguridad, disponibilidad y confidencialidad
El informe de garantía SOC 3 abarca los criterios de confianza en cuanto a la seguridad, disponibilidad y confidencialidad (Sección 100 de los TSP). El informe de uso general de Dropbox Sign es un resumen ejecutivo del informe SOC 2 e incluye la opinión del auditor externo independiente acerca de la efectividad del diseño y el funcionamiento de nuestros controles. Consulta el informe SOC 3 sobre la evaluación de Dropbox Sign.
SOC 2 para seguridad, disponibilidad y confidencialidad
El informe SOC 2 ofrece a los clientes un nivel detallado de garantía basada en controles, que abarca los criterios de servicios de confianza en cuanto a la seguridad, disponibilidad y confidencialidad (Sección 100 de los TSP). El informe SOC 2 incluye una descripción detallada de los procesos de Dropbox Sign y de los más de 100 controles que se aplican para proteger tus archivos. Además de la opinión de nuestro auditor externo independiente acerca de la efectividad del diseño y el funcionamiento de nuestros controles, el informe incluye los procedimientos de prueba del auditor y los resultados de cada control. La evaluación SOC 2 se puede solicitar a través de nuestro equipo de ventas; para ello, envía un correo electrónico a compliance-reports@dropbox.com.
ISO 27001 (Gestión de la seguridad de la información)
ISO 27001 es reconocida en todo el mundo como la norma principal en lo que respecta a los sistemas de gestión de seguridad de la información (ISMS). La norma también considera las prácticas recomendadas en materia de seguridad que se detallan en ISO 27002. Para merecer tu confianza, gestionamos y mejoramos de forma continua y exhaustiva los controles físicos, técnicos y legales de Dropbox Sign. Nuestro auditor, Schellman Compliance LLC, cuenta con la acreditación ISO 27001 otorgada por el Consejo Nacional de Acreditación ANSI-ASQ (ANAB).
Consulta el Certificado ISO 27001 de Dropbox Sign, Dropbox Fax y Dropbox Forms.
ISO 27018 (Privacidad y protección de los datos en la nube).
ISO 27018 es una norma internacional sobre protección de la privacidad y de los datos que se aplica a los proveedores de servicios en la nube como Dropbox Sign, que procesan información personal en representación de sus clientes, y proporciona una base para que los clientes puedan abordar requisitos o dudas comunes en relación con la normativa y los contratos. Nuestro cumplimiento con la norma ISO 27018 se valida como parte de nuestra certificación ISO 27001.
Consulta el Certificado ISO 27018 de Dropbox Sign, Dropbox Fax y Dropbox Forms.
Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA)
Dropbox Sign apoya el cumplimiento de la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH).
Estas leyes tienen como objetivo fomentar la proliferación de tecnologías en la industria de la atención médica, al tiempo que crean protecciones para la seguridad y privacidad de la información médica. Organizaciones como los hospitales, los consultorios médicos y los consultorios dentales, así como las personas que interactúan con información de salud protegida (PHI), están sujetas a la HIPAA/HITECH, una obligación de cumplimiento que también puede extenderse a las empresas que trabajan con tales organizaciones y acceden a la PHI en representación de estas.
Dropbox Sign pone a disposición un informe relacionado con la Regla de seguridad de la HIPAA y los Requisitos de notificación de infracciones de la HITECH. Para solicitar estos documentos, los clientes interesados pueden enviar un correo electrónico a nuestro equipo de ventas a compliance-reports@dropbox.com.
La Ley ESIGN de EE. UU. de 2000
La Ley de Firmas Electrónicas en el Comercio Nacional y Global es una ley federal que establece una regla general de validez para los registros electrónicos y las firmas electrónicas de las transacciones. Entre otras cuestiones, la Ley ESIGN de EE. UU. exige la demostración de la intención de firmar, determinadas informaciones que debe revelar el consumidor y la conservación de registros.
La Ley Uniforme de Transacciones Electrónicas (UETA) de 1999
La Ley Uniforme de Transacciones Electrónicas, aprobada en 1999 por la Conferencia Nacional de Comisiones sobre Leyes Estatales Uniformes, permite el uso de transacciones mediante comunicaciones electrónicas al otorgar a las firmas electrónicas el mismo peso legal que tienen las firmas en papel. La UETA se adoptó en todos los estados con la excepción de Nueva York.
El Marco de Privacidad de Datos UE-EE. UU., la Extensión para el Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU.
Dropbox Sign cumple con el Marco de Privacidad de Datos UE-EE. UU., la Extensión para el Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU. de conformidad con lo establecido por el Departamento de Comercio de EE. UU. con respecto a la recopilación, uso y retención de datos personales transferidos desde la Unión Europea, el Espacio Económico Europeo y Suiza a Estados Unidos.
Lee más acerca de los marcos de privacidad de datos aquí.
Pautas de accesibilidad al contenido en la web (WCAG)
Nuestro objetivo es crear productos agradables que ayuden a todos a liberar todo su potencial. Esto implica valorar y tener en cuenta la experiencia de las personas con diferentes capacidades funcionales, usando una variedad de tecnologías asistenciales y en diferentes circunstancias. Nos asociamos con un servicio externo de pruebas de accesibilidad para garantizar nuestro cumplimiento de este compromiso, de acuerdo con un conjunto de normas establecido por las Pautas de accesibilidad al contenido en la web (WCAG).
eIDAS y Dropbox Sign
Dropbox Sign es una solución de firma electrónica compatible con eIDAS y una opción viable para que las empresas firmen documentos en línea con firmantes en todos los estados miembros de la UE.
El Reglamento eIDAS (910/2014) es un reglamento que permite el uso de medios de identificación electrónica y servicios de confianza por parte de ciudadanos, empresas y administraciones públicas para acceder de forma segura a servicios en línea y ejecutar transacciones electrónicas en toda la Unión Europea (UE). Reemplazó la Directiva 1999/93/CE sobre firmas electrónicas, una directiva de la Unión Europea sobre el uso de firmas electrónicas en los contratos electrónicos dentro de la UE, y entró en vigencia el 1 de julio de 2016.
El Reglamento eIDAS establece el marco jurídico para la firma electrónica en la UE. Establece un marco jurídico para que las personas, las empresas (en particular las pequeñas y medianas empresas) y las administraciones públicas puedan acceder a los servicios de forma segura y ejecutar transacciones de forma digital en todos los estados miembros de la UE. En particular, define tres niveles de firma electrónica: firma electrónica simple (SES), firma electrónica avanzada (AES) y firma electrónica cualificada (QES). Dropbox Sign admite las firmas electrónicas SES y QES.
Firma electrónica simple
Una firma electrónica simple (SES) se define como “datos en formato electrónico que están adjuntos o asociados lógicamente con otros datos en formato electrónico y que el firmante utiliza para firmar”. Como resultado, muchas herramientas electrónicas, incluidas las contraseñas, los códigos PIN y las firmas escaneadas, pueden constituir una SES.
Firma electrónica avanzada
Una firma electrónica avanzada (AES) es una firma electrónica que:
- Se conecta de manera única y es capaz de identificar al firmante.
- Se creó utilizando datos de creación de firmas electrónicas que el firmante puede, con un alto nivel de confianza, utilizar bajo su exclusivo control.
- Está conectada al documento de forma tal que cualquier cambio posterior de los datos sea detectable.
Firma electrónica calificada
Una firma electrónica calificada (QES) es una forma más estricta de AES y el único tipo de firma electrónica que es jurídicamente equivalente a las firmas manuscritas. Una QES tiene un certificado digital calificado creado por un dispositivo de creación de firma calificado (QSCD). El QSCD se debe emitir por medio de un Proveedor de servicios fiduciarios (TSP) calificado de la UE que esté en la Lista fiduciaria de la Unión Europea (EUTL).
Descargo de responsabilidad: esta información está destinada a fines de información general solamente. Su objetivo es ayudar a las empresas a comprender el marco jurídico utilizado para la legalidad de la firma electrónica. No se pretende que esto sea un asesoramiento jurídico y no debe ser un sustituto del asesoramiento jurídico profesional. Consulta a un abogado con licencia para obtener asesoramiento o representación legal.
Reglamento general de protección de datos de la UE (GDPR) y Dropbox Sign
El Reglamento General de Protección de Datos 2016/679 o RGPD es un reglamento de la Unión Europea que supuso un cambio significativo en el marco existente para el procesamiento los datos personales de los interesados en la UE. El RGPD incorporó una serie de requisitos nuevos o mejorados que se aplican a empresas como Dropbox Sign, que manejan datos personales. Dropbox Sign se adhiere al RGPD para que los clientes puedan usar Dropbox Sign y facilitar su cumplimiento del GDPR. Para obtener más información, consulta este artículo sobre el cumplimiento del RGPD y Dropbox Sign.
Nuestro compromiso contigo y con la protección de tus datos
Estamos comprometidos a proteger tus datos personales. Como cliente de Dropbox Sign, tu organización actúa como controlador de datos de cualquier dato personal proporcionado a Dropbox en relación con tu uso del servicio Dropbox Sign. Cuando utilizas el servicio Dropbox Sign, Dropbox actúa como procesador de datos y procesa datos en nombre de tu organización. Nuestra Política de privacidad describe nuestros compromisos de privacidad con los usuarios y explica cómo recopilamos, usamos y manejamos tus datos personales cuando usas nuestros servicios, y nuestras Condiciones de servicio incluyen compromisos relacionados con el procesamiento de datos y la transferencia internacional de datos.
Capacitación y concientización sobre la privacidad
Todos los empleados de Dropbox deben completar una capacitación en seguridad y privacidad cuando se los contrata, y deben repetirla anualmente a partir de entonces. Además, los empleados reciben información de concientización sobre seguridad y privacidad a través de correos electrónicos, charlas y presentaciones y recursos disponibles en nuestra intranet.
Mapeo de datos y evaluación del impacto en la privacidad
Para verificar que nuestras prácticas de privacidad son apropiadas, Dropbox guarda un registro de la actividad de procesamiento de los servicios Sing. También llevamos a cabo una Evaluación del impacto de la protección de datos (DPIA) para evaluar cómo recogemos, procesamos y almacenamos datos personales, y determinar los posibles impactos en la privacidad.
Políticas de seguridad de la información
Dropbox tiene políticas de seguridad de la información y protección de datos que rigen cómo y cuándo los empleados y contratistas pueden acceder a tus datos. Estas políticas se basan en los estándares internacionales y las prácticas recomendadas, y se revisan anualmente para mantenerlas actualizadas con las prácticas comerciales actuales y tener en cuenta los cambios en las leyes/regulaciones. También se pueden hacer cambios ad hoc a estas políticas según sea necesario. Estas políticas se facilitan a los nuevos empleados y los cambios se comunican a los demás empleados través de la intranet de la empresa.
Transferencias de datos
Al transferir datos desde la Unión Europea, el Espacio Económico Europeo, el Reino Unido y Suiza, Dropbox se apoya en diversos mecanismos legales, como los contratos con nuestros clientes y afiliados, en las Cláusulas contractuales estándar y en las decisiones de adecuación de la Comisión Europea respecto a determinados países, si corresponde.
Dropbox Sign cumple con el Marco de Privacidad de Datos UE-EE. UU., la extensión para el Reino Unido del Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU. de conformidad con lo establecido por el Departamento de Comercio de EE. UU. con respecto a la recopilación, uso y retención de datos personales transferidos desde la Unión Europea, el Espacio Económico Europeo y Suiza a los Estados Unidos.
Respuesta a incidentes
Nuestros procedimientos de respuesta a incidentes se diseñaron y probaron para asegurar que los posibles eventos de seguridad se identifiquen y comuniquen al personal apropiado para su resolución, que el personal siga los protocolos definidos para resolver eventos de seguridad, y que el Equipo de seguridad revise y documente los pasos para su resolución de manera periódica. Además, nuestras políticas y procedimientos incluyen notificaciones de infracción en caso de que un incidente de seguridad implique la pérdida o el uso no autorizado de información personal identificable (PII).
Reseñas de productos
Nuestro ciclo de vida de desarrollo de software (“SDLC”) garantiza que los cambios en el sistema se realicen de acuerdo con los requisitos del RGPD, incluidas consideraciones de privacidad en las siguientes áreas:
- Planificación.
- Documentación de cambios.
- Desarrollo de Planes de prueba.
- Pruebas de cambios y documentación de los resultados.
- Revisión y aprobación del control de calidad (“QA”).
- Revisión y certificación de terceros.
- Revisión y actualización periódica.
Revisión de proveedores
Los proveedores que procesan o almacenan datos personales se revisan como parte del proceso de evaluación de riesgos de terceros de Dropbox para garantizar que cuentan con controles de seguridad y privacidad adecuados para proteger los datos. Todos nuestros subprocesadores actuales se revisan anualmente para asegurar que cumplen con los requisitos de seguridad y privacidad.
Protecciones contractuales
Dropbox ha implementado nuevos SCC de procesador a procesador entre Dropbox International Unlimited Company y Dropbox, Inc. para cubrir la transferencia de los datos personales de nuestros clientes a los EE. UU. Hemos actualizado nuestro Acuerdo de procesamiento de datos para reflejar esto https://assets.dropbox.com/documents/es/legal/hs-data-processing-agreement.pdf
El Acuerdo de procesamiento de datos ya es parte de los Términos de servicio de Dropbox Sign.
Certificaciones
En Dropbox Sign entendemos las graves repercusiones del cumplimiento y hemos creado procesos de manera diligente para que nuestro servicio cumpla con los estándares que rigen tu empresa.
Consulta nuestra página de cumplimiento para obtener más información sobre los estándares con los que cumple Dropbox Sign y las certificaciones a las que se adhiere.
Seguridad del producto
Cifrado
Por defecto, la comunicación con nuestros servicios utiliza la Seguridad de la capa de transporte (TLS), que se actualiza regularmente para utilizar las últimas configuraciones de cifrado y TLS. Además, ciframos todos los datos de los clientes en reposo con AES 256-T.
Eliminación y acceso a datos
Si deseas enviar una solicitud de acceso a datos o solicitar que se eliminen tus datos personales, envíanos un correo electrónico a privacy@dropbox.com. Para obtener más información, consulta la política de privacidad de Dropbox Sign.
Cumplimiento de cookies
Cuando utilizas los servicios de Dropbox Sign, puedes seleccionar qué cookies aceptas que Dropbox utilice haciendo clic en “Preferencias de Cookies y CCPA” en el pie de página de esta página, bajo el apartado de Soporte.