Uchybienie standardom bezpieczeństwa informacji to ryzyko, którego nie chce podjąć żadna firma. W Dropbox Sign zdajemy sobie sprawę z poważnych konsekwencji nieprzestrzegania przepisów prawa, w związku z czym, zachowując odpowiednią staranność, opracowaliśmy procesy zapewniające zgodność naszej usługi ze standardami regulującymi Twoją działalność.
Aby zapoznać się z naszymi audytami i ocenami, skontaktuj się z nami pod adresem compliance-reports@dropbox.com. Możesz również zajrzeć do naszej białej księgi dotyczącej bezpieczeństwa.
Dropbox Sign przestrzega następujących ram, standardów i regulacji:
Raporty SOC
Raporty Service Organization Controls (SOC) to ramy określone przez Amerykański Instytut Biegłych Rewidentów (American Institute of Certified Public Accountants, AICPA) dotyczące sprawozdań na temat wewnętrznych mechanizmów kontrolnych wdrażanych w danej organizacji. Dropbox Sign zweryfikował swoje systemy, aplikacje, pracowników i procesy w ramach audytu przeprowadzonego przez niezależną stronę trzecią – Ernst & Young LLP.
SOC 3 – bezpieczeństwo, dostępność i poufność
Raport poświadczający zgodność z SOC 3 obejmuje zasady Trust Service: bezpieczeństwo, dostępność i poufność (TSP, sekcja 100). Ten ogólny raport Dropbox Sign jest streszczeniem raportu SOC 2 i zawiera opinię niezależnego audytora zewnętrznego na temat skutecznego tworzenia i wdrażania naszych procedur kontrolnych. Wyświetl wyniki badania SOC 3 dotyczącego Dropbox Sign.
SOC 2 – bezpieczeństwo, dostępność i poufność
Raport SOC 2 daje klientom gwarancję wynikającą ze stosowania szczegółowych procedur kontrolnych i obejmuje zasady Trust Service: bezpieczeństwo, dostępność i poufność (TSP, sekcja 100). Raport SOC 2 zawiera szczegółowy opis procesów i ponad 100 procedur kontrolnych, jakie Dropbox Sign wdrożył w celu ochrony Twoich materiałów. Oprócz opinii niezależnego audytora zewnętrznego na temat skutecznego tworzenia i wdrażania naszych procedur kontrolnych raport zawiera także opis testów stosowanych przez audytora oraz wyniki dotyczące poszczególnych procedur kontrolnych. Raport SOC 2 jest dostępny na żądanie. Aby go uzyskać, należy napisać do naszego zespołu ds. sprzedaży na adres compliance-reports@dropbox.com.
ISO 27001 (zarządzanie bezpieczeństwem informacji)
ISO 27001 to uznawana na całym świecie główna norma w zakresie systemów zarządzania bezpieczeństwem informacji (ISMS). Uwzględnia ona także sprawdzone procedury z zakresu bezpieczeństwa opisane w normie ISO 27002. Aby zasłużyć na zaufanie użytkowników, Dropbox Sign regularnie i szczegółowo weryfikuje oraz usprawnia stosowane narzędzia kontroli fizycznej, technicznej i prawnej. Obsługujący firmę audytor, Schellman Compliance LLC, ma akredytację ISO 27001 przyznaną przez Krajową Radę Akredytacyjną ANSI-ASQ (ANAB).
Wyświetl certyfikat ISO 27001 dotyczący Dropbox Sign, Dropbox Fax i Dropbox Forms.
ISO 27018 (ochrona prywatności i danych w chmurze).
ISO 27018 to międzynarodowa norma ochrony prywatności i danych stosowana przez dostawców usług w chmurze, takich jak Dropbox Sign, przetwarzających dane osobowe w imieniu swoich klientów. Norma ta służy też wielu klientom jako podstawa do tworzenia odpowiednich procedur i narzędzi w celu spełnienia wymogów prawnych i umownych oraz wyjaśniania związanych z nimi wątpliwości. Przestrzeganie przez nas normy ISO 27018 jest potwierdzane w ramach certyfikacji ISO 27001.
Wyświetl certyfikat ISO 27018 dotyczący Dropbox Sign, Dropbox Fax i Dropbox Forms.
Ustawa Health Insurance Portability and Accountability Act z 1996 r. (HIPAA)
Dropbox Sign wspiera zgodność z przepisami ustawy Health Insurance Portability and Accountability Act (HIPAA) oraz ustawy Health Information Technology for Economic and Clinical Health Act (HITECH).
Celem tych ustaw jest rozpowszechnianie nowoczesnych technologii w branży opieki medycznej przy jednoczesnym dbaniu o bezpieczeństwo i prywatność informacji zdrowotnych. Ustawom HIPAA/HITECH mogą podlegać szpitale, gabinety lekarskie i dentystyczne oraz osoby fizyczne korzystające z chronionych informacji zdrowotnych (PHI). Obowiązek przestrzegania tych ustaw może również dotyczyć firm, które współpracują z tymi podmiotami i mają kontakt z informacjami PHI w ich imieniu.
Dropbox Sign udostępnia raport dotyczący zasad bezpieczeństwa HIPAA i wymagań HITECH w zakresie powiadomień o naruszeniu. Klientów zainteresowanych uzyskaniem tych dokumentów prosimy o wysłanie wiadomości e-mail do naszego zespołu ds. sprzedaży na adres compliance-reports@dropbpx.com.
Amerykańska ustawa ESIGN z 2000 r.
Electronic Signatures in Global and National Commerce Act to ustawa federalna, która wprowadza ogólną zasadę ważności dokumentów i podpisów elektronicznych na potrzeby transakcji. Amerykańska ustawa ESIGN wymaga między innymi wykazania zamiaru podpisania dokumentu, przedstawienia konsumentom określonych informacji i przechowywania dokumentacji.
Ustawa Uniform Electronic Transactions Act (UETA) z 1999 r.
Ustawa Uniform Electronic Transaction Act została uchwalona w 1999 roku przez Krajową Konferencję Komisji ds. Jednolitych Przepisów Stanowych i pozwala na korzystanie z transakcji w postaci komunikacji elektronicznej, nadając podpisom elektronicznym taką samą wagę prawną jak podpisom odręcznym składanym na papierze. Ustawę UETA przyjęły wszystkie stany poza stanem Nowy Jork.
Program Ramy Ochrony Danych UE-USA, brytyjskie rozszerzenie do programu Ramy Ochrony Danych UE-USA oraz program Ramy Ochrony Danych Szwajcaria-USA
Dropbox Sign zachowuje zgodność z programami Ramy Ochrony Danych UE-USA i Szwajcaria-USA oraz z brytyjskim rozszerzeniem do programu Ramy Ochrony Danych UE-USA stworzonymi przez Departament Handlu Stanów Zjednoczonych dotyczącymi zbierania, wykorzystywania i przechowywania danych osobowych przesyłanych z Unii Europejskiej, Europejskiego Obszaru Gospodarczego i Szwajcarii do Stanów Zjednoczonych.
Więcej informacji na temat ram ochrony danych można znaleźć tutaj.
eIDAS i Dropbox Sign
Dropbox Sign jest zgodnym z rozporządzeniem eIDAS i opłacalnym rozwiązaniem w zakresie podpisów elektronicznych, dzięki któremu firmy mogą podpisywać dokumenty online z różnymi stronami we wszystkich krajach członkowskich UE.
Rozporządzenie eIDAS (910/2014) to rozporządzenie, które umożliwia korzystanie ze środków identyfikacji elektronicznej i usług zaufania przez obywateli, przedsiębiorstwa i organy administracji publicznej w celu uzyskiwania bezpiecznego dostępu do usług online i zawierania transakcji elektronicznych w całej Unii Europejskiej (UE). Rozporządzenie weszło w życie 1 lipca 2016 roku, uchylając dyrektywę 1999/93/WE w sprawie stosowania podpisów elektronicznych w umowach elektronicznych na terenie UE.
Rozporządzenie eIDAS określa ramy prawne dotyczące stosowania podpisów elektronicznych w UE. Ustanawia ono ramy prawne, w ramach których osoby, firmy (zwłaszcza małe i średnie przedsiębiorstwa) oraz organy administracji publicznej mogą bezpiecznie korzystać z usług online i cyfrowo przeprowadzać transakcje we wszystkich państwach członkowskich UE. W szczególności rozporządzenie to definiuje trzy poziomy podpisu elektronicznego: zwykły podpis elektroniczny (simple electronic signature, SES), zaawansowany podpis elektroniczny (advanced electronic signature, AES) i kwalifikowany podpis elektroniczny (qualified electronic signature, QES). Dropbox Sign obsługuje podpisy elektroniczne SES i QES.
Zwykły podpis elektroniczny
Zwykły podpis elektroniczny (SES) definiuje się jako „dane w postaci elektronicznej, które są dołączone do innych danych w postaci elektronicznej lub logicznie z nimi powiązane, i które użyte są przez podpisującego jako podpis”. W związku z tym wiele elektronicznych rozwiązań takich jak hasła, kody PIN czy zeskanowane podpisy można uznać za SES.
Zaawansowany podpis elektroniczny
Zaawansowany podpis elektroniczny (AES) to podpis elektroniczny, który jest:
- jednoznacznie powiązany z sygnatariuszem i umożliwia jego identyfikację;
- tworzony przy użyciu danych służących do składania podpisu elektronicznego, których podpisujący może, z dużą dozą pewności, użyć pod wyłączną swoją kontrolą;
- połączony z dokumentem w taki sposób, że każda późniejsza zmiana danych jest możliwa do wykrycia.
Kwalifikowany podpis elektroniczny
Kwalifikowany podpis elektroniczny to bardziej rygorystyczna forma zaawansowanego podpisu elektronicznego i jest to jedyny rodzaj podpisu elektronicznego, który ma taką samą moc prawną jak podpis odręczny. Kwalifikowany podpis elektroniczny posiada kwalifikowany certyfikat cyfrowy, który został utworzony przez kwalifikowane urządzenie do składania podpisów (QSCD). Urządzenie QSCD musi być wydane przez kwalifikowanego dostawcę usług zaufania UE znajdującego się na liście EUTL.
Uwaga: Podane wyżej informacje pełnią funkcję wyłącznie informacyjną. Mają one za zadanie pomóc firmom zrozumieć podstawy prawne w zakresie legalności podpisów elektronicznych. Te informacje nie są poradą prawną ani powinny być traktowane jak zamiennik profesjonalnej porady prawnej. By otrzymać poradę lub reprezentację prawną, skontaktuj się z prawnikiem.
Ogólne rozporządzenie UE o ochronie danych a Dropbox Sign
Ogólne rozporządzenie o ochronie danych 2016/679 (RODO) to rozporządzenie Unii Europejskiej, które wprowadza istotne zmiany w dotychczasowych przepisach dotyczących przetwarzania danych osobowych w UE. W rozporządzeniu określono szereg nowych lub zmienionych wymagań, które dotyczą firm takich jak Dropbox Sign, mających do czynienia z danymi osobowymi. Działania Dropbox Sign są zgodne z RODO, co ułatwia zapewnienie zgodności z wymaganiami RODO również naszym klientom. Więcej informacji można znaleźć w tym artykule na temat zgodności Dropbox Sign z RODO.
Nasze zaangażowanie na rzecz Ciebie i ochrony Twoich danych
Jesteśmy zobowiązani do ochrony Twoich danych. Jeśli jesteś użytkownikiem Dropbox Sign, Twoja organizacja jest administratorem wszystkich danych osobowych dostarczanych Dropbox w związku z korzystaniem z usług Dropbox Sign. Gdy korzystasz z Dropbox Sign, Dropbox jest podmiotem przetwarzającym dane w imieniu Twojej organizacji. W naszej Polityce prywatności sformułowaliśmy nasze zobowiązanie do ochrony danych użytkowników oraz wyjaśniliśmy sposób, w jaki gromadzimy, wykorzystujemy i przetwarzamy Twoje dane osobowe, kiedy korzystasz z naszych usług. Z kolei nasze Warunki korzystania obejmują zobowiązania dotyczące przetwarzania i międzynarodowego przekazywania danych.
Szkolenie dotyczące prywatności i świadomość w tym zakresie
Wszyscy pracownicy Dropbox uczestniczą w obowiązkowym szkoleniu z zakresu bezpieczeństwa i prywatności w momencie rozpoczęcia zatrudnienia, a następnie co roku. Ponadto pracownicy otrzymują informacje na temat bezpieczeństwa i prywatności za pośrednictwem wiadomości e-mail, rozmów i prezentacji oraz zasobów dostępnych w naszym intranecie.
Mapowanie danych i ocena wpływu na prywatność
Aby sprawdzić, czy nasze praktyki w zakresie prywatności są właściwe, Dropbox prowadzi rejestr przetwarzania danych dla usług Sign. Przeprowadziliśmy także ocenę wpływu na ochronę danych (DPIA) dotyczącą tego, jak gromadzimy, przetwarzamy i przechowujemy dane osobowe, oraz służącą ustaleniu potencjalnego oddziaływania naszych działań na prywatność.
Zasady bezpieczeństwa informacji
Dropbox stosuje zasady bezpieczeństwa informacji i ochrony danych, które regulują, jak i kiedy pracownicy oraz wykonawcy mogą uzyskiwać dostęp do Twoich danych. Zasady te opierają się na międzynarodowych standardach i najlepszych praktykach, a corocznie podlegają weryfikacji w celu dostosowania ich do bieżących praktyk biznesowych oraz uwzględnienia w nich zmian prawnych i regulacyjnych. W razie potrzeb do zasad tych mogą być również wprowadzane doraźne zmiany. Zasady te są przedstawiane wszystkim nowo zatrudnionym pracownikom, a informacje o ich zmianach są przekazywane za pośrednictwem firmowego intranetu.
Przekazywanie danych
W przypadku przekazywania danych z Unii Europejskiej, Europejskiego Obszaru Gospodarczego, Wielkiej Brytanii i Szwajcarii tam, gdzie ma to zastosowanie, Dropbox posługuje się różnymi mechanizmami prawnymi, takimi jak umowy z naszymi klientami i podmiotami stowarzyszonymi, standardowe klauzule umowne i wydawane przez Komisję Europejską decyzje o odpowiednim poziomie ochrony danych w odniesieniu do określonych krajów.
Dropbox Sign zachowuje zgodność z programami Ramy Ochrony Danych UE-USA i Szwajcaria-USA oraz z brytyjskim rozszerzeniem do programu Ramy Ochrony Danych UE-USA stworzonymi przez Departament Handlu Stanów Zjednoczonych dotyczącymi zbierania, wykorzystywania i przechowywania danych osobowych przesyłanych z Unii Europejskiej, Europejskiego Obszaru Gospodarczego i Szwajcarii do USA.
Reagowanie na naruszenia
Nasze procedury reagowania na naruszenia zaprojektowano i przetestowano w celu zagwarantowania, że potencjalne naruszenia bezpieczeństwa zostaną zidentyfikowane i zgłoszone odpowiedniemu personelowi, który się nimi zajmie, stosując ustalone protokoły postępowania w takich przypadkach. Działania podejmowane przez taki personel są dokumentowane oraz podlegają regularnej kontroli ze strony zespołu ds. bezpieczeństwa. Ponadto nasze zasady i procedury przewidują zgłaszanie naruszeń związanych z utratą lub nieuprawnionym wykorzystaniem danych osobowych.
Kontrole produktów
Nasz cykl rozwoju oprogramowania gwarantuje, że zmiany w systemach są wprowadzane zgodnie z wymogami RODO, z uwzględnieniem kwestii prywatności w następujących obszarach:
- Planowanie;
- Dokumentacja dotycząca zmian;
- Opracowanie planów testów;
- Testowanie zmian i dokumentacja wyników;
- Kontrola i zatwierdzenie jakości;
- Kontrola przeprowadzona przez podmiot zewnętrzny i atestacja; oraz
- Okresowa kontrola i aktualizacja.
Kontrole dostawców
Dostawcy, którzy przetwarzają lub przechowują dane osobowe, są weryfikowani w ramach procesu oceny ryzyka podmiotów zewnętrznych Dropbox. Służy to sprawdzeniu, że wdrożyli oni odpowiednie mechanizmy kontroli bezpieczeństwa i prywatności w celu ochrony danych. Wszyscy nasi aktualni podwykonawcy przetwarzający dane są co roku kontrolowani w celu zagwarantowania, że spełniają wymogi dotyczące bezpieczeństwa i prywatności.
Zabezpieczenia umowne
Dropbox wprowadził nowe SKU dotyczące przekazywania danych między podmiotami przetwarzającymi, które obowiązują w odniesieniu do Dropbox International Unlimited Company i Dropbox, Inc., w celu uwzględnienia transferów danych osobowych naszych klientów do USA. Aby to odzwierciedlić, zaktualizowaliśmy naszą Umowę o przetwarzaniu danych dostępną pod adresem https://assets.dropbox.com/documents/legal/hs-data-processing-agreement.pdf
Umowa o przetwarzaniu danych stanowi już element Warunków korzystania z Dropbox Sign.
Certyfikaty
W Dropbox Sign zdajemy sobie sprawę z wagi przestrzegania przepisów prawa, w związku z czym, zachowując odpowiednią staranność, opracowaliśmy procesy zapewniające zgodność naszej usługi ze standardami regulującymi Twoją działalność.
Więcej informacji na temat norm, z którymi Dropbox Sign jest zgodny, i certyfikatów, których przestrzega, można znaleźć na naszej stronie dotyczącej zgodności.
Bezpieczeństwo produktu
Szyfrowanie
Standardowo, w komunikacji z naszymi usługami wykorzystywana jest metoda TLS (Transport Layer Security), regularnie aktualizowana o najnowsze mechanizmy szyfrowania i konfiguracje TLS. Ponadto wszystkie przechowywane dane klientów szyfrujemy kluczem AES 256-T.
Usuwanie danych i dostęp do nich
Jeśli chcesz zgłosić wniosek o dostęp do danych lub złożyć sprzeciw wobec przetwarzania Twoich danych osobowych, wyślij wiadomość na adres privacy@dropbox.com. Więcej informacji można znaleźć w Polityce prywatności Dropbox Sign.
Zgodność z zasadami dotyczącymi plików cookie
Podczas korzystania z Usług Dropbox Sign możesz wybrać pliki cookie, na których używanie przez Dropbox wyrażasz zgodę, klikając opcję Preferencje dotyczące plików cookie i CCPA w stopce tej strony w części Pomoc techniczna.