Недотримання стандартів інформаційної безпеки є ризиком, який жодна компанія ніколи не повинна брати на себе. У Dropbox Sign розуміють серйозні наслідки дотримання вимог законодавства та старанно будують процеси, щоб наші послуги відповідали стандартам, які регулюють ваш бізнес.
Зв’яжіться з нами (електронною поштою: compliance-reports@hellosign.com), щоб отримати доступ до наших аудитів і оцінок. Або див. наш документ з інформаційної безпеки.
Dropbox Sign підтримує такі обмеження, стандарти та нормативні вимоги:
SOC 2 Type II
Звіти про контроль сервісних організацій (Service Organization Controls, або SOC)— це основні інструменти, запроваджені Американським інститутом дипломованих громадських бухгалтерів (American Institute of Certified Public Accountants, AICPA) для звітування про засоби внутрішнього контролю, запроваджені в організації. Системи, програми, співробітники та процеси Dropbox Sign пройшли перевірку незалежного аудитора — компанії Schellman Compliance LLC.
Звіт SOC 2 надає клієнтам детальну інформацію про надійність засобів контролю, що ґрунтується на критеріях стабільної служби: безпеці, доступності та конфіденційності (TSP, розділ 100). Звіт SOC 2 містить детальний опис запроваджених у Dropbox Sign процесів і понад 100 засобів контролю для захисту ваших даних. Крім оцінки незалежних сторонніх аудиторів щодо ефективного функціонування та структури наших засобів управління, у цьому звіті також містяться описи методів перевірки, що використовуються аудиторами, і результати перевірки для кожного інструмента. Сертифікат SOC 2 можна отримати через наш відділ продажу, надіславши запит на електронну пошту: compliance-reports@hellosign.com.
ISO 27001 (управління інформаційною безпекою)
ISO 27001 — це визнаний у всьому світі провідний стандарт у галузі систем із управління інформаційною безпекою (ISMS). У ньому використано рекомендації з безпеки, описані в ISO 27002. Щоб виправдати вашу довіру, ми в Dropbox Sign постійно та всебічно впроваджуємо й покращуємо засоби фізичного, технічного та юридичного контролю. Нашим аудитором є компанія Schellman Compliance LLC, яка отримала акредитацію ISO 27001 від ANSI-ASQ Національної ради з акредитації (ANAB).
Перегляньте сертифікат ISO 27001 для Dropbox Sign, Dropbox Fax і Dropbox Forms.
ISO 27018 (захист конфіденційності та даних у хмарі).
ISO 27018 — це міжнародний стандарт у галузі конфіденційності та захисту даних, який стосується хмарних служб на кшталт Dropbox Sign, які в інтересах своїх клієнтів опрацьовують їхню особисту інформацію. Стандарт описує основні нормативно-правові вимоги та договірні зобов'язання сторін. Нашу відповідність вимогам стандарту ISO 27018 підтверджено в межах сертифікації за стандартом ISO 27001.
Перегляньте сертифікат ISO 27018 для Dropbox Sign, Dropbox Fax і Dropbox Forms.
Закон «Про відповідальність та перенесення даних про страхування здоров'я громадян США» 1996 року (HIPAA)
Dropbox Sign дотримується закону «Про відповідальність та перенесення даних про страхування здоров'я громадян США» (HIPAA) та закон «Про медичні інформаційні технології для економічної та клінічної охорони здоров'я» (HITECH).
Ці закони покликані сприяти поширенню технологій у сфері охорони здоров'я, одночасно гарантуючи безпеку та конфіденційність медичної інформації. Норми HIPAA і HITECH можуть поширюватися на такі організації, як лікарні, офіси лікарів, стоматологічні кабінети та всіх, хто має справу з інформацією про стан здоров'я (PHI), що охороняється законом. Це може поширюватися й на компанії, які працюють із цими організаціями та контактують із PHI від їхнього імені.
Dropbox Sign розміщує звіт, що стосується Правил безпеки HIPAA та вимог до повідомлення про порушення HITECH. Клієнти, зацікавлені в отриманні цих документів, можуть звернутися до спеціалістів відділу продажу, написавши електронного листа на адресу compliance-reports@hellosign.com.
Закон США ESIGN від 2000 р.
Закон «Про електронні підписи в глобальній та національній торгівлі» — це федеральний закон, що встановлює загальне правило дійсності електронних записів та підписів для угод. Закон США ESIGN, крім іншого, вимагає демонстрації наміру підписувати, розкриття певної інформації споживачам та зберігання записів.
Уніфікований закон «Про електронні транзакції (UETA)» від 1999 року
Прийнятий у 1999 році Національною конференцією комісій з уніфікованих державних законів Уніфікований закон «Про електронні транзакції» дозволяє використання електронних комунікаційних угод, надаючи електронним підписам таку ж юридичну вагу, як і підписам, зробленим від руки на папері. UETA прийнято всіма штатами, крім Нью-Йорка.
Угода щодо конфіденційності даних Data Privacy Framework, укладена між ЄС і США, розширення для Великої Британії до угоди Data Privacy Framework, укладеної між ЄС і США, та угода Data Privacy Framework, укладена між Швейцарією та США
Dropbox дотримується вимог угоди Data Privacy Framework, укладеної між ЄС і США, розширення для Великої Британії до угоди Data Privacy Framework, укладеної між ЄС і США, та угоди Data Privacy Framework, укладеної між Швейцарією та США, і сформульованих Міністерством торгівлі США, щодо збирання, використання та зберігання персональних даних, які передаються з Європейського Союзу, Європейської економічної зони та Швейцарії до США.
Детальніше про угоди щодо конфіденційності даних.
eIDAS і Dropbox Sign
Dropbox Sign відповідає eIDAS і є практичним рішенням для компаній, що мають підписувати документи онлайн із підписантами в усіх країнах-членах ЄС.
Регламент eIDAS (910/2014) — це нормативний акт, який дозволяє громадянам, підприємствам та державним адміністраціям використовувати засоби електронної ідентифікації та трастові послуги для безпечного доступу до онлайн-сервісів та виконання електронних транзакцій на всій території Європейського Союзу (ЄС). Він замінив Директиву щодо електронних підписів 1999/93/ЄС — Директиву Європейського Союзу щодо використання електронних підписів у електронних договорах у межах ЄС — і набрав чинності 1 липня 2016 р.
Регламент eIDAS визначає правові межі для електронних підписів у ЄС. Цей закон — правова основа для осіб, компаній (зокрема малих та середніх підприємств) та державних адміністрацій, яким потрібен безпечний доступ до послуг та цифрове укладання угод в усіх державах — членах ЄС. Зокрема, у ньому визначено три рівні електронного підпису: простий електронний підпис (ПЕП), удосконалений електронний підпис (УЕП) та кваліфікований електронний підпис (КЕП). Dropbox Sign підтримує електронні підписи ПЕП та КЕП.
Простий електронний підпис
Простий електронний підпис (ПЕП) визначається як «дані в електронній формі, які прикріплені або логічно пов'язані з іншими даними в електронній формі та які використовуються підписантом для підпису». Різні електронні засоби, включно з паролями, PIN-кодами та сканами підписів, можуть вважатися ПЕП.
Удосконалений електронний підпис
Удосконалений електронний підпис (УЕП) — це електронний підпис, який:
- має унікальний зв'язок із підписантом та можливість його ідентифікації;
- створюється за допомогою даних для створення електронного підпису з високим рівнем конфіденційності, який підписант може використовувати під своїм одноосібним контролем.
- пов'язаний із документом так, що будь-яку наступну зміну даних може бути виявлено.
Кваліфікований електронний підпис
Кваліфікований електронний підпис (КЕП) є суворішою формою вдосконаленого електронного підпису і є єдиним типом підпису, який юридично еквівалентний рукописним підписам. КЕП має кваліфікований цифровий сертифікат, створений кваліфікованим пристроєм для створення електронного підпису (QSCD). QSCD видається акредитованим засвідчувальним центром ЄС (TSP), що внесений до Списку довіри сертифікатів Європейського Союзу (EUTL).
Відмова від відповідальності: Ця інформація може використовуватись тільки в цілях загального інформування. Ії мета — допомогти компаніям зрозуміти юридичні підстави законності електронних підписів. Ця інформація не може розглядатись як юридична консультація й не може бути заміною професійної юридичної консультації. Зверніться до ліцензованого адвоката для отримання юридичної консультації або послуг представництва.
Генеральний регламент про захист даних ЄС (EU General Data Protection Regulation) і Dropbox Sign
Загальний регламент ЄС про захист персональних даних 2016/679 (GDPR) — це регламент Європейського Союзу, у якому наведені суттєві зміни наявної системи оброблення персональних даних суб'єктів ЄС. GDPR містить низку нових або змінених вимог щодо компаній на кшталт Dropbox Sign, які працюють із персональними даними. Dropbox Sign відповідає GDPR, тому клієнти можуть використовувати Dropbox Sign для забезпечення дотримання GDPR. Більш детальну інформацію можна знайти в цій статті про відповідність вимогам GDPR та Dropbox Sign.
Наші зобов'язання щодо вас та захисту ваших даних
Наша основна мета — захистити ваші особисті дані. Якщо ви є користувачем Dropbox Sign, ваша організація діє як контролер будь-яких персональних даних, що надаються Dropbox у зв'язку з використанням вами Dropbox Sign. Dropbox виконує функцію обробника даних, обробляючи дані від імені вашої організації, коли ви використовуєте послуги Dropbox Sign. Наша Політика конфіденційності описує наші зобов'язання щодо конфіденційності перед користувачами та пояснює, як ми збираємо, використовуємо та обробляємо ваші персональні дані, коли ви користуєтеся нашими послугами, а наші Умови обслуговування містять зобов'язання, пов'язані з обробкою та міжнародним передаванням даних.
Навчання та поінформованість про конфіденційність
Усі співробітники Dropbox зобов'язані проходити навчання з безпеки та конфіденційності під час влаштування на роботу й надалі щорічно. Крім того, співробітники отримують інформацію про безпеку та конфіденційність через електронну пошту, бесіди та презентації, а також ресурси, розміщені в нашій інтрамережі.
Структурування даних та оцінка впливу на конфіденційність
Щоб переконатися, що наші правила конфіденційності відповідають вимогам, Dropbox веде облік дій із обробки для послуг Sign. Ми також здійснили оцінювання впливу на захист даних (PIA) для оцінки наших методів збору, обробки та зберігання персональних даних, а також визначення потенційного впливу на недоторканність приватного життя.
Політики інформаційної безпеки
Dropbox має політики інформаційної безпеки та захисту даних, які визначають, коли і в яких випадках співробітникам та підрядникам може надаватися доступ до ваших даних. Ці політики ґрунтуються на міжнародних стандартах та передовому досвіді й щорічно переглядаються, щоб відповідати поточній діловій практиці та враховувати зміни в законах/постановах. У міру потреби до цих правил можуть вноситися й спеціальні зміни. Ці політики надаються новим співробітникам, а зміни доводяться до їхнього відома через інтрамережу компанії.
Передавання даних
Під час передавання даних із Європейського Союзу, Європейської економічної зони, Великої Британії та Швейцарії компанія Dropbox керується різними правовими механізмами, зокрема контрактами з нашими клієнтами та афілійованими організаціями, Стандартними договірними умовами й рішеннями про достатність заходів Європейської комісії щодо певних країн, відповідно до обставин.
Dropbox дотримується вимог угод Privacy Shield, що укладені між ЄС і США та Швейцарією і США та сформульовані Міністерством торгівлі США, щодо збирання, використання та зберігання персональних даних, які передаються з Європейського Союзу, Європейської економічної зони, а також Великобританії та Швейцарії до США, хоча Dropbox не покладається на ці угоди як правову основу для передавання персональних даних. Компанія Dropbox засвідчила Міністерству торгівлі, що вона дотримується вимог Privacy Shield щодо таких даних. Окрім того, дізнатися більше про програму Privacy Shield можна за адресою www.privacyshield.gov.
Реагування на інциденти
Наші процедури реагування на інциденти були розроблені та протестовані для гарантування того, щоб потенційні події безпеки ідентифікувалися й повідомлялися відповідному персоналу для вирішення, щоб персонал дотримувався певних протоколів для вирішення подій безпеки, а кроки щодо врегулювання документувалися й регулярно перевірялися Службою безпеки. Крім того, наші політики й процедури містять повідомлення про порушення, якщо і коли інцидент безпеки пов'язується з утратою або несанкціонованим використанням персональних даних.
Відгуки про товар
Наш життєвий цикл розробки програмного забезпечення («SDLC») гарантує, що зміни в Системі виконуються відповідно до вимог GDPR, включно з міркуванням конфіденційності в таких галузях:
- планування;
- зміна документації;
- розробка тестових планів;
- тестування змін і документування результатів;
- контроль якості («QA»), перегляд і затвердження;
- сторонній перегляд та атестація;
- періодичний перегляд та оновлення.
Перевірки постачальників
Постачальники, які обробляють або зберігають персональні дані, перевіряються в межах стороннього процесу оцінки ризиків Dropbox, щоб переконатися, що вони мають відповідні заходи безпеки та конфіденційності для захисту даних. Усі наші поточні субпроцесори щорічно проходять процедуру перегляду, щоб переконатися, що вони відповідають вимогам безпеки та конфіденційності.
Договірні заходи захисту
Компанія Dropbox запровадила нові угоди про співпрацю між обробниками даних Dropbox International Unlimited Company та Dropbox, Inc. для захисту передавання персональних даних наших клієнтів у США. Ми оновили нашу Угоду про обробку даних, щоб відобразити це https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
Угода про обробку даних уже є частиною Умов використання Dropbox Sign.
Сертифікати
Компанія Dropbox Sign розуміє серйозні наслідки дотримання вимог законодавства та старанно будує процеси, щоб наші послуги відповідали стандартам, які регулюють ваш бізнес.
Більш детальну інформацію про стандарти та сертифікати, яким відповідає і яких дотримується Dropbox Sign, можна знайти на нашій сторінці Дотримання вимог.
Безпека продукту
Шифрування
За замовчуванням для зв'язку з нашими службами використовується протокол Transport Layer Security (TLS), який регулярно оновлюється для використання найостанніших комплектів шифрів і конфігурацій TLS. Крім того, ми шифруємо всі дані клієнтів у стані спокою за допомогою AES 256-T.
Видалення даних і доступ до даних
Якщо ви хочете надіслати запит на доступ до даних або про видалення ваших особистих даних, надішліть нам електронного листа на адресу privacy@dropbox.com. Для отримання додаткової інформації зверніться до Політики конфіденційності Dropbox Sign
Відповідність файлів cookie
Коли ви використовуєте Послуги Dropbox Sign, ви можете обрати, які файли cookie ви дозволяєте використовувати Dropbox, натиснувши «Параметри CCPA та cookie» в нижньому колонтитулі цієї сторінки в розділі «Підтримка».