Ingen virksomhed ønsker at løbe den risiko, det udgør ikke at overholde standarderne for informationssikkerhed. Hos Dropbox Sign forstår vi de alvorlige konsekvenser af manglende overholdelse og har omhyggeligt etableret processer, der sikrer, at vores tjeneste lever op til mange af de standarder, som din virksomhed måtte være underlagt.
Kontakt os (via e-mail compliance-reports@dropbox.com) for at få adgang til vores revisioner og vurderinger. Du kan også se vores hvidbog om informationssikkerhed.
Dropbox Sign overholder følgende rammer, standarder og regler:
SOC-rapporter
Rapporter om Service Organization Controls (kontrolforanstaltninger for serviceorganisationer, SOC) er rammer, der er fastlagt af American Institute of Certified Public Accountants (AICPA) til brug ved rapportering om de interne kontroller, der er indført i en organisation. Dropbox Sign har valideret sine systemer, applikationer, medarbejdere og processer gennem en revision foretaget af en uafhængig tredjepart, Ernst & Young LLP.
SOC 3 for sikkerhed, tilgængelighed og fortrolighed
SOC 3-rapporten omfatter tillidskriterierne for sikkerhed, tilgængelighed og fortrolighed (AICPA's kriterier afsnit 100). Dropbox Sign-rapporten til generel brug er et ledelsesresumé af SOC 2-rapporten og omfatter den uafhængige tredjepartsrevisors udtalelse om vores eksisterende kontrolforanstaltningers udformning og drift. Se SOC 3-undersøgelsen for Dropbox Sign.
SOC 2 for sikkerhed, tilgængelighed og fortrolighed
SOC 2-rapporten giver kunderne et detaljeret niveau af verificering baseret på kontrolforanstaltninger, der dækker alle fem kriterier for troværdige tjenester: Sikkerhed, tilgængelighed og fortrolighed (AICPA's kriterier afsnit 100). SOC 2-rapporten indeholder en detaljeret beskrivelse af Dropbox Signs processer og de mere end 100 kontrolforanstaltninger, der er indført for at beskytte dine data. Ud over vores uafhængige tredjepartsrevisors udtalelse om vores eksisterende kontrolforanstaltningers udformning og drift indeholder rapporten revisorens testprocedurer og resultater for samtlige kontrolforanstaltninger. SOC 2-undersøgelsen kan rekvireres ved henvendelse til vores salgsteam via e-mail til compliance-reports@dropbox.com.
ISO 27001 (forvaltning af informationssikkerhed)
ISO 27001 anses for at være den bedste standard for forvaltningssystemer for informationssikkerhed (ISMS, Information Security Management System) i hele verden. Standarderne implementerer desuden den bedste praksis for sikkerhed, der er beskrevet i ISO 27002. Hos Dropbox Sign håndterer og forbedrer vi løbende og bredt vores fysiske, tekniske og juridiske kontrolforanstaltninger for at gøre os fortjent til din tillid. Vores sikkerhedsrevisor, Schellman Compliance LLC, har opnået sin ISO 27001-akkreditering hos ANSI-ASQ National Accreditation Board (ANAB).
Se ISO 27001-certifikatet for Dropbox Sign, Dropbox Fax og Dropbox Forms.
ISO 27018 (cloudbaseret informationssikkerhed og persondatabeskyttelse)
ISO 27018 er en international standard for informationssikkerhed og persondatabeskyttelse. Standarden finder anvendelse for udbydere af cloudtjenester som Dropbox Sign, der behandler personlige oplysninger på vegne af deres kunder, og udgør grundlaget for vores kunders almindelige krav og spørgsmål i forbindelse med lovgivningsmæssige eller kontraktmæssige forhold. Vores overholdelse af ISO 27018 er valideret som en del af vores ISO 27001-certificering.
Se ISO 27018-certifikatet for Dropbox Sign, Dropbox Fax og Dropbox Forms.
Health Insurance Portability and Accountability Act af 1996 (HIPAA)
Dropbox Sign understøtter overholdelse af Health Insurance Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health Act (HITECH).
Disse love har til formål at fremme udbredelsen af teknologi i sundhedssektoren, samtidig med at de beskytter sikkerheden og persondata relateret til helbredsoplysninger. Organisationer såsom hospitaler, læger og tandlæger og personer, der interagerer med beskyttede helbredsoplysninger, kan være underlagt HIPAA/HITECH. Dette kan også omfatte virksomheder, der arbejder med disse virksomheder og kommer i kontakt med beskyttede helbredsoplysninger på deres vegne.
Dropbox Sign stiller en rapport til rådighed vedrørende HIPAA Security Rule og HITECH Breach Notification Requirements. Kunder, der er interesserede i de pågældende dokumenter, kan kontakte vores salgsteam via e-mail på compliance-reports@dropbox.com.
U.S. ESIGN Act af 2000
Electronic Signatures in Global and National Commerce Act er en amerikansk føderal lov, der omfatter en generel gyldighedsregel for elektroniske registre og underskrifter i forbindelse med transaktioner. US ESIGN Act kræver blandt andet, at man viser, at man har til hensigt at underskrive, visse forbrugeroplysninger samt opbevaring af dokumentation.
Uniform Electronic Transactions Act (UETA) af 1999
Uniform Electronic Transaction Act blev vedtaget i 1999 af National Conference of Commissions on Uniform State Laws og tillader brugen af elektroniske kommunikationstransaktioner ved at give elektroniske underskrifter den samme juridiske gyldighed som håndskrevne underskrifter med pen på papir. UETA er blevet vedtaget af alle stater undtagen New York.
Rammen for databeskyttelse for EU og USA, den britiske udvidelse af rammen for databeskyttelse for EU og USA og rammen for databeskyttelse for Schweiz og USA
Dropbox Sign overholder rammen for databeskyttelse for EU og USA, den britiske udvidelse af rammen for databeskyttelse for EU og USA samt rammen for databeskyttelse for Schweiz og USA som fastsat af det amerikanske handelsministerium vedrørende indsamling, brug og opbevaring af persondata, der overføres fra EU, Storbritannien og Schweiz til USA.
Læs mere om lovgivningsrammerne for databeskyttelse og beskyttelse af privatlivets fred her.
eIDAS og Dropbox Sign
Dropbox Sign er elektronisk underskriftsløsning, der overholder eIDAS-forordningen, og en reelt anvendelig løsning for virksomheder, der ønsker at anmode om underskrivning af dokumenter online med underskrivere i alle EU's medlemsstater.
eIDAS-forordningen (910/2014) er en forordning, der tillader brug af elektroniske identifikationsmidler og tillidstjenester af borgere, virksomheder og offentlige myndigheder med henblik på at få sikker adgang til onlinetjenester og udføre elektroniske transaktioner i hele Den Europæiske Union (EU). Det erstattede direktivet om elektroniske underskrifter 1999/93/EF, et EU-direktiv om anvendelse af e-signaturer i elektroniske kontrakter i EU og trådte i kraft den 1. juli 2016.
eIDAS-forordningen fastsætter de juridiske rammer for elektroniske underskrifter i EU. Det fastlægger en juridisk ramme for personer, virksomheder (især små til mellemstore virksomheder) og offentlige administrationer til sikkert at få adgang til tjenester og udføre transaktioner digitalt i alle EU's medlemsstater. Den definerer især tre niveauer af elektroniske underskrifter: Simpel elektronisk signatur (SES), avanceret elektronisk signatur (AES) og kvalificeret elektronisk signatur (QES). Dropbox Sign understøtter elektroniske underskrifter af typen SES og QES.
Simpel elektronisk signatur
En simpel elektronisk signatur (SES) er defineret som "data i elektronisk form, der er vedhæftet eller logisk forbundet med andre data i elektronisk form, og som bruges af underskriveren til at underskrive". Som følge heraf kan mange elektroniske værktøjer, herunder adgangskoder, pinkoder og scannede underskrifter, udgøre en SES.
Avanceret elektronisk signatur
En avanceret elektronisk signatur (AES) er en elektronisk underskrift, der er:
- entydigt forbundet med og i stand til at identificere underskriveren;
- oprettet ved hjælp af elektroniske underskriftsoprettelsesdata, som underskriveren kan bruge med en høj grad af tillid alene under underskriverens tilsyn.
- forbundet med dokumentet på en måde, så enhver efterfølgende ændring af data kan spores.
Kvalificeret elektronisk underskrift
En kvalificeret elektronisk underskrift (QES) er en strengere form for AES og den eneste elektroniske underskriftstype, der juridisk set svarer til håndskrevne underskrifter. Det er en avanceret elektronisk signatur med et kvalificeret digitalt certifikat, der er oprettet af en kvalificeret enhed til oprettelse af underskrifter (QSCD). QSCD skal udstedes af en kvalificeret EU Trust Service Provider (TSP) på European Union Trust List (EUTL.)
Ansvarsfraskrivelse: Disse oplysninger er kun beregnet til generelle informationsformål. Det er beregnet til at hjælpe virksomheder med at forstå de retlige rammer, der bruges til eSignature-legalitet. Dette er ikke beregnet til at være juridisk rådgivning og bør ikke erstatte professionel juridisk rådgivning. Kontakt en autoriseret advokat for juridisk rådgivning eller repræsentation.
EU's generelle forordning om databeskyttelse (GDPR) og Dropbox Sign
EU's generelle forordning om databeskyttelse 2016/679 (GDPR) ændrede de tidligere regler for behandling af personlige oplysninger om fysiske personer i EU markant. GDPR introducerede en række nye og udvidede krav, der gælder for virksomheder som Dropbox Sign, der behandler personoplysninger. Dropbox Sign overholder GDPR, så kunder kan benytte Dropbox Sign til at facilitere deres egen efterlevelse af GDPR. Du finder flere oplysninger i denne artikel om efterlevelse af GDPR og Dropbox Sign.
Vores loyalitet over for dig og beskyttelsen af dine data Vores loyalitet over for dig og beskyttelsen af dine data
Vi er forpligtede til at beskytte dine personoplysninger. Som kunde hos Dropbox Sign, fungerer din organisation som dataansvarlig for alle personlige data, der leveres til Dropbox i forbindelse med din brug af Dropbox Sign-tjenesterne. Dropbox fungerer som databehandler og behandler data på din organisations vegne, når du benytter Dropbox Sign-tjenesterne. Vores persondatapolitik beskriver vores forpligtelser i forhold til beskyttelse af persondata over for brugerne og angiver, hvordan vi indsamler, bruger og håndterer dine personoplysninger, når du benytter vores tjenester, og vores servicevilkår indeholder oplysninger om forpligtelser relateret til databehandling og international dataoverførsel.
Uddannelse og bevidsthed om persondata
Alle medarbejdere i Dropbox skal gennemføre uddannelse i sikkerhed og beskyttelse af persondata, når de ansættes, og derefter en gang om året. Derudover modtager medarbejderne information om sikkerhed og beskyttelse af persondata via e-mails, foredrag og præsentationer samt ressourcer, der er tilgængelige på vores intranet.
Data mapping og konsekvensanalyse af beskyttelse af personoplysninger
For at bekræfte, at vores praksisser for beskyttelse af personoplysninger er hensigtsmæssige, har Dropbox gennemført en registrering af behandlingsaktiviteter for Dropbox Sign-tjenesterne. Vi har også gennemført en konsekvensanalyse af beskyttelse af personoplysninger (Data Privacy Impact Assessment, PIA), der evaluerer, hvordan vi indsamler, behandler og gemmer personoplysninger og vurderer potentielle indvirkninger på beskyttelsen af personoplysninger.
Informationspolitikker for sikkerhed
Dropbox har informationspolitikker vedrørende sikkerhed og databeskyttelse, som fastlægger, hvordan og hvornår medarbejdere og underleverandører må skaffe sig adgang til dine data. Disse politikker er baseret på internationale standarder og bedste praksis, og de gennemgås årligt for at holde dem opdateret i forhold til gældende forretningspraksis og redegør for ændringer i love/regler. Der kan også foretages ad hoc-ændringer af disse politikker efter behov. Disse politikker udleveres til nye medarbejdere, og ændringer formidles til medarbejderne via virksomhedens intranet.
Dataoverførsel
Under overførsel af data fra EU, Det Europæiske Økonomiske Samarbejdsområde, Storbritannien og Schweiz benytter Dropbox forskellige juridiske midler, herunder kontrakter med vores kunder og tilknyttede selskaber, standardkontraktbestemmelser og Europa-Kommissionens beslutninger om et tilstrækkeligt beskyttelsesniveau om visse lande, alt efter hvad der er relevant.
Dropbox overholder rammen for databeskyttelse for EU og USA, den britiske udvidelse af rammen for databeskyttelse for EU og USA samt rammen for databeskyttelse for Schweiz og USA som fastsat af det amerikanske handelsministerium vedrørende indsamling, brug og opbevaring af persondata, der overføres fra EU, Det Europæiske Økonomiske Samarbejdsområde og Schweiz til USA.
Reaktion på hændelser
Vores procedurer for reaktion på hændelser er blevet udviklet til og testet for at sikre, at potentielle sikkerhedshændelser identificeres og rapporteres til de rigtige medarbejdere med henblik på afklaring. Medarbejderne følger fastlagte protokoller for behandling af sikkerhedshændelser, og afklaringstrin dokumenteres og gennemgås jævnligt af sikkerhedsteamet. Desuden omfatter vores politikker og procedurer meddelelser om sikkerhedsbrister hvis og når en sikkerhedshændelse involverer tab af eller uautoriseret brug af personoplysninger.
Produktanmeldelser
Vores softwareudviklingslivscyklus sikrer, at systemændringer udføres i overensstemmelse med GDPR-krav, herunder hensyntagen til beskyttelse af personoplysninger i forbindelse med følgende:
- Planlægning;
- Dokumentation af ændringer;
- Udvikling af testplaner;
- Testning af ændringer og dokumentation af resultaterne;
- Gennemgang og godkendelse af kvalitetssikring;
- Tredjepartsgennemgang og -attestering og
- periodiske gennemsyn og opdateringer
Gennemgang af leverandører
Leverandører, der behandler eller opbevarer personoplysninger, gennemgås som en del af Dropbox' risikovurderingsproces for tredjeparter for at sikre, at de har passende sikkerheds- og persondatakontrol på plads med henblik på databeskyttelse. Alle vores aktuelle underdatabehandlere kontrolleres årligt for at sikre, at de lever op til kravene til sikkerhed og beskyttelse af personoplysninger.
Kontraktlig beskyttelse
Dropbox har implementeret nye processor to processor-standardkontraktbestemmelser mellem Dropbox International Unlimited Company og Dropbox, Inc., der gælder for overførsel af vores kunders personlige data til USA. Vi har opdateret vores databehandlingsaftale for at afspejle dette https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
Databehandlingsaftalen er allerede en del af servicevilkårene for Dropbox Sign.
Certificeringer
Hos Dropbox Sign forstår vi alvoren ved overholdelse af regler og standarder og har med rettidig omhu etableret processer, der sikrer, at vores tjeneste lever op til de standarder, som din virksomhed er underlagt.
Du kan finde flere oplysninger om de standarder og certificeringer, som Dropbox Sign overholder, på vores side om overholdelse.
Produktsikkerhed
Kryptering
Kommunikation med vores tjenester anvender som standard TLS (Transport Layer Security), som jævnligt opdateres til at bruge de nyeste ciphersuites og TLS-konfigurationer. Endvidere krypterer vi alle inaktive kundedata med AES 256-T.
Datasletning og -adgang
Hvis du ønsker at sende en anmodning om dataadgang eller gøre indsigelse mod behandlingen af dine persondata, kan du sende en e-mail til os på privacy@dropbox.com. Du kan finde flere oplysninger i Dropbox Sign persondatapolitik.
Overholdelse af love om cookies
Når du bruger Dropbox Sign-tjenesterne, kan du vælge, hvilke cookies du accepterer, at Dropbox bruger, ved at klikke på Cookie- og CCPA-præferencer under Support i sidefoden på denne side.