Ketidakpatuhan terhadap standar keamanan informasi adalah risiko yang tidak ingin diambil oleh perusahaan mana pun. Di Dropbox Sign, kami memahami konsekuensi serius dari ketidakpatuhan dan dengan saksama telah mengembangkan proses agar layanan kami mematuhi standar yang mungkin mengatur bisnis Anda.
Silakan hubungi kami (melalui email: compliance-reports@dropbox.com) untuk akses ke audit dan penilaian kami. Atau, lihat laporan resmi keamanan informasi kami.
Dropbox Sign mematuhi kerangka kerja, standar, dan peraturan berikut:
SOC Reports
Service Organization Controls (SOC) Reports adalah kerangka kerja yang disusun oleh American Institute of Certified Public Accountants (AICPA) untuk melaporkan pengendalian internal yang diterapkan dalam suatu organisasi. Dropbox Sign telah memvalidasi sistem, aplikasi, orang, dan prosesnya melalui audit oleh pihak ketiga independen, Ernst & Young LLP.
SOC 3 untuk Keamanan, Ketersediaan, dan Kerahasiaan
Laporan jaminan SOC 3 mencakup Kriteria Kepercayaan untuk Keamanan, Ketersediaan, dan Kerahasiaan (TSP Bagian 100). Laporan penggunaan umum Dropbox Sign ini merupakan ringkasan eksekutif dari laporan SOC 2 dan meliputi pendapat auditor independen pihak ketiga tentang desain efektif dan kelangsungan semua kontrol kami. Lihat pemeriksaan Dropbox Sign SOC 3.
SOC 2 untuk Keamanan, Ketersediaan, dan Kerahasiaan
Laporan SOC 2 memberi pelanggan tingkat jaminan berbasis kontrol yang terperinci, yang mencakup Kriteria Layanan Kepercayaan untuk Keamanan, Ketersediaan, dan Kerahasiaan (TSP Bagian 100). Laporan SOC 2 mencakup keterangan mendetail mengenai proses Dropbox Sign dan lebih dari 100 kontrol yang kami miliki untuk melindungi file Anda. Selain pendapat auditor pihak ketiga independen mengenai desain yang efektif dan operasi kontrol kami, laporan ini berisi prosedur dan hasil tes auditor untuk masing-masing kontrol. Pemeriksaan SOC 2 tersedia berdasarkan permintaan melalui tim penjualan kami dengan mengirim email ke compliance-reports@dropbox.com.
ISO 27001 (Manajemen Keamanan Informasi)
ISO 27001 diakui sebagai standar sistem manajemen keamanan informasi (ISMS) utama di seluruh dunia. Standar ini juga memanfaatkan praktik terbaik keamanan yang dijelaskan secara detail dalam ISO 27002. Untuk meraih kepercayaan Anda, kami terus menerus dan secara komprehensif mengelola dan meningkatkan kontrol fisik, teknis, dan legal di Dropbox Sign. Auditor kami, Schellman Compliance LLC, menjaga akreditasi ISO 27001 dari Badan Akreditasi Nasional ANSI-ASQ (ANAB).
Lihat Sertifikat ISO 27001 Dropbox Sign, Dropbox Fax, dan Dropbox Forms.
ISO 27018 (Privasi Cloud dan Perlindungan Data)
ISO 27018 adalah standar internasional untuk privasi dan perlindungan data yang berlaku untuk layanan awan seperti Dropbox Sign yang memproses informasi pribadi mewakili pelanggannya dan menyediakan dasar bagi pelanggan untuk dapat menjawab berbagai kewajiban dan pertanyaan terkait regulasi umum dan kontrak. Kepatuhan kami terhadap ISO 27018 divalidasi sebagai bagian dari sertifikasi ISO 27001 kami.
Lihat Sertifikat ISO 27018 Dropbox Sign, Dropbox Fax, dan Dropbox Form.
Health Insurance Portability and Accountability Act tahun 1996 (HIPAA)
Dropbox Sign mendukung kepatuhan Health Insurance Portability and Accountability Act (HIPAA) dan Health Information Technology for Economic and Clinical Health Act (HITECH).
Undang-undang ini bertujuan untuk mendorong perkembangan teknologi di industri layanan kesehatan, sekaligus membangun perlindungan terhadap keamanan dan privasi informasi kesehatan. Organisasi seperti rumah sakit, kantor dokter, dan praktik kedokteran gigi, dan setiap orang yang berinteraksi dengan informasi kesehatan yang dilindungi (PHI) harus mematuhi HIPAA/HITECH. Hal ini juga dapat meluas ke perusahaan yang bekerja sama dengan bisnis ini dan melakukan kontak dengan PHI atas nama mereka.
Dropbox Sign menyediakan laporan terkait Aturan Keamanan HIPAA dan Persyaratan Pemberitahuan Pelanggaran HITECH. Pelanggan yang tertarik untuk meminta dokumen ini dapat menghubungi tim penjualan kami dengan mengirim email ke compliance-reports@dropbox.com.
Undang-Undang ESIGN AS tahun 2000
Undang-Undang Electronic Signature in Global and National Commerce adalah undang-undang federal yang memberikan aturan umum validitas catatan elektronik dan tanda tangan untuk transaksi. Undang-undang ESIGN AS antara lain mengharuskan adanya demonstrasi niat untuk menandatangani, pengungkapan konsumen tertentu, dan penyimpanan catatan.
Uniform Electronic Transactions Act (UETA) tahun 1999
Disahkan pada tahun 1999 oleh National Conference of Commissions on Uniform State Law, Uniform Electronic Transactions Act mengizinkan penggunaan transaksi komunikasi elektronik dengan memberi tanda tangan elektronik bobot hukum yang sama dengan tanda tangan yang ditulis dengan tangan pada kertas. UETA telah diadopsi oleh setiap negara bagian kecuali New York.
Kerangka kerja privasi Data UE-AS, Perpanjangan Inggris ke Kerangka Privasi Data UE-AS, dan Kerangka Privasi Data Swiss-AS
Dropbox Sign mematuhi kerangka privasi Data UE-AS, Perpanjangan Inggris pada Kerangka Privasi Data UE-AS, dan Kerangka Privasi Data Swiss-AS sebagaimana ditetapkan oleh Departemen Perdagangan AS mengenai pengumpulan, penggunaan, dan penyimpanan transfer data pribadi dari Uni Eropa, Wilayah Ekonomi Eropa, dan Swiss ke Amerika Serikat.
Baca selengkapnya tentang kerangka privasi data di sini.
eIDAS dan Dropbox Sign
Dropbox Sign adalah solusi tanda tangan elektronik yang mematuhi eIDAS dan merupakan pilihan yang tepat bagi perusahaan untuk menandatangani dokumen secara online dengan penandatangan di seluruh negara anggota UE.
Peraturan eIDAS (910/2014) adalah peraturan yang mengizinkan penggunaan alat identifikasi elektronik dan layanan kepercayaan oleh warga negara, bisnis, dan administrasi publik untuk mengakses layanan online dengan aman dan melakukan transaksi elektronik di seluruh Uni Eropa (UE). Peraturan ini menggantikan Petunjuk Tanda Tangan Elektronik 1999/93/EC, sebuah arahan Uni Eropa tentang penggunaan Tanda Tangan Elektronik dalam kontrak elektronik di UE, dan berlaku efektif pada tanggal 1 Juli 2016.
Peraturan eIDAS menetapkan kerangka hukum untuk tanda tangan elektronik di UE. Regulasi ini menetapkan sebuah kerangka kerja hukum untuk seseorang, perusahaan (terutama usaha kecil dan menengah), dan administrasi publik untuk mengakses layanan dengan aman dan melakukan transaksi secara digital di seluruh negara anggota UE. Secara khusus, peraturan ini mendefinisikan tiga tingkatan tanda tangan elektronik: tanda tangan elektronik sederhana (SES), tanda tangan elektronik tingkat lanjut (AES), dan tanda tangan elektronik yang memenuhi syarat (QES). Dropbox Sign mendukung tanda tangan elektronik SES dan QES.
Tanda Tangan Elektronik Sederhana
Tanda tangan elektronik sederhana (SES) didefinisikan sebagai "data dalam bentuk elektronik yang dilampirkan atau secara logis dikaitkan dengan data lain dalam bentuk elektronik dan digunakan oleh penandatangan untuk menandatangani". Akibatnya, banyak alat elektronik, termasuk kata sandi, kode PIN, dan pindaian tanda tangan dapat dianggap sebagai SES.
Tanda Tangan Elektronik Advanced
Tanda tangan elektronik tingkat lanjut (AES) adalah tanda tangan elektronik yang:
- terhubung secara unik dan mampu mengidentifikasi pihak yang menandatangani;
- dibuat menggunakan data penyusun tanda tangan elektronik yang sepenuhnya diyakini dapat digunakan oleh penanda tangan hanya di bawah kendali penanda tangan.
- terhubung ke dokumen sedemikian rupa sehingga setiap perubahan data selanjutnya dapat dideteksi.
Qualified Electronic Signature
Tanda tangan elektronik yang memenuhi syarat (QES) adalah bentuk AES yang lebih ketat dan satu-satunya jenis tanda tangan elektronik yang secara hukum setara dengan tanda tangan tulisan tangan. QES memiliki sertifikat digital berkualifikasi yang dibuat oleh perangkat pembuat tanda tangan berkualifikasi (QSCD). QSCD harus diterbitkan oleh Trust Service Provider (TSP) di UE yang terdaftar di European Union Trust List (EUTL).
Penafian: Informasi ini ditujukan hanya sebagai informasi umum. Informasi ini ditujukan untuk membantu perusahaan memahami kerangka kerja hukum yang digunakan untuk legalitas Tanda tangan elektronik. Informasi ini tidak ditujukan sebagai nasihat hukum dan tidak dapat menggantikan nasihat hukum profesional. Hubungi pengacara resmi untuk nasihat atau pernyataan hukum.
Peraturan Perlindungan data Umum (GDPR) UE dan Dropbox Sign
General Data Protection Regulation 2016/679, atau GDPR, adalah peraturan Uni Eropa yang menandai perubahan besar terhadap kerangka kerja yang ada untuk pemrosesan data pribadi milik subjek data di UE. GDPR memperkenalkan serangkaian persyaratan baru atau lebih lengkap yang akan diterapkan pada perusahaan seperti Dropbox Sign, yang menangani data pribadi. Dropbox Sign mematuhi GDPR sehingga pelanggan dapat menggunakan Dropbox Sign untuk memfasilitasi kepatuhan GDPR mereka. Untuk informasi lebih lanjut, silakan lihat artikel ini tentang kepatuhan GDPR dan Dropbox Sign.
Komitmen kami kepada Anda dan perlindungan data Anda
Kami berkomitmen untuk melindungi data pribadi Anda. Sebagai pelanggan Dropbox Sign, organisasi Anda bertindak sebagai pengontrol data untuk setiap data pribadi yang diberikan ke Dropbox sehubungan dengan penggunaan Anda atas layanan Dropbox Sign. Dropbox bertindak sebagai pemroses data, memproses data atas nama organisasi saat Anda menggunakan layanan Dropbox Sign. Kebijakan Privasi menjelaskan komitmen privasi kami kepada pengguna dan menjelaskan cara kami mengumpulkan, menggunakan, dan menangani data pribadi Anda saat menggunakan layanan kami, dan Ketentuan Layanan kami mencakup komitmen terkait pemrosesan data dan transfer data internasional.
Pelatihan dan kesadaran privasi
Semua karyawan Dropbox diwajibkan untuk menyelesaikan pelatihan keamanan dan privasi saat dipekerjakan dan setiap tahun setelahnya. Selain itu, karyawan menerima informasi kesadaran keamanan dan privasi melalui email, pembicaraan dan presentasi, serta sumber daya yang tersedia di intranet kami.
Pemetaan data dan penilaian dampak privasi
Untuk memverifikasi bahwa praktik privasi kami sudah sesuai, Dropbox menyimpan catatan aktivitas pemrosesan untuk layanan Sign. Kami juga menyelesaikan Penilaian Dampak Perlindungan Data (DPIA) untuk menilai cara kami mengumpulkan, memproses, dan menyimpan data pribadi serta menentukan potensi dampak privasi.
Kebijakan keamanan informasi
Dropbox memiliki kebijakan keamanan informasi dan perlindungan data yang mengatur bagaimana dan kapan karyawan dan kontraktor dapat mengakses data Anda. Kebijakan-kebijakan ini didasarkan pada standar internasional dan praktik terbaik, praktik-praktik, dan ditinjau setiap tahun agar tetap sesuai dengan praktik bisnis terkini dan memperhitungkan perubahan undang-undang/peraturan. Perubahan ad hoc juga dapat dilakukan terhadap kebijakan ini jika diperlukan. Kebijakan ini diberikan kepada karyawan baru, dan perubahannya dikomunikasikan kepada karyawan melalui intranet perusahaan.
Transfer Data
Ketika memindahkan data dari Uni Eropa, Wilayah Ekonomi Eropa, Inggris, dan Swiss, Dropbox bersandar pada sejumlah mekanisme hukum, seperti kontrak dengan para pelanggan dan afiliasinya, Klausul Kontrak Standar, dan keputusan terkait kecukupan perlindungan data di negara-negara tertentu menurut Komisi Eropa, jika diberlakukan.
Dropbox Sign mematuhi Kerangka Kerja Privasi Data UE-AS, Perpanjangan Kerangka Kerja Privasi Data UE-AS untuk Inggris, dan Kerangka Kerja Privasi Data Swiss-AS sebagaimana yang ditetapkan oleh Departemen Perdagangan AS mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi yang ditransfer dari negara-negara Uni Eropa, Wilayah Ekonomi Eropa, dan Swiss ke Amerika Serikat.
Respons insiden
Prosedur Tanggap Insiden kami telah dirancang dan diuji untuk memastikan bahwa potensi peristiwa keamanan diidentifikasi dan dilaporkan kepada personel yang tepat untuk diselesaikan, personel mengikuti protokol yang ditetapkan untuk menyelesaikan peristiwa-peristiwa keamanan, dan langkah-langkah untuk penyelesaian didokumentasikan dan ditinjau oleh Tim Keamanan secara teratur. Selain itu, kebijakan-kebijakan dan prosedur-prosedur kami mencakup pemberitahuan pelanggaran untuk jika dan ketika insiden keamanan melibatkan hilangnya atau penggunaan data personal yang tidak sah.
Ulasan produk
Siklus Hidup Pengembangan Perangkat Lunak (“SDLC”) kami memastikan bahwa perubahan sistem dilakukan sesuai dengan persyaratan GDPR, termasuk pertimbangan privasi dalam bidang berikut:
- Perencanaan;
- Dokumentasi Perubahan;
- Pengembangan Paket Uji;
- Pengujian Perubahan dan Dokumentasi Hasil;
- Peninjauan dan Persetujuan Jaminan Kualitas (“QA”);
- Peninjauan dan pengesahan pihak ketiga; dan
- Peninjauan dan pembaruan berkala.
Ulasan vendor
Vendor yang memproses atau menyimpan data pribadi ditinjau sebagai bagian dari proses penilaian risiko pihak ketiga Dropbox untuk memastikan bahwa mereka memiliki kontrol keamanan dan privasi yang sesuai untuk melindungi data. Seluruh sub-pemroses kami saat ini ditinjau setiap tahun untuk memastikan bahwa mereka memenuhi persyaratan keamanan dan privasi.
Perlindungan kontrak
Dropbox telah menerapkan prosesor baru untuk memproses SCC antara Dropbox International Unlimited Company dan Dropbox, Inc. untuk mencakup transfer data pribadi pelanggan kami ke AS. Kami memiliki pembaruan Perjanjian Pemrosesan Data untuk mencerminkan hal ini https://assets.dropbox.com/ dokumen/en/legal/hs-data-processing-agreement.pdf
Perjanjian Pemrosesan Data sudah menjadi bagian dari ketentuan layanan Dropbox Sign.
Sertifikasi
Di Dropbox Sign, kami memahami konsekuensi kepatuhan yang serius dan dengan rajin telah membangun proses untuk membuat layanan kami sesuai dengan standar yang mengatur bisnis Anda.
Untuk informasi lebih lanjut tentang standar dan sertifikasi yang dipatuhi oleh Dropbox Sign, silakan lihat Halaman Kepatuhan kami.
Keamanan Produk
Enkripsi
Secara baku, komunikasi dengan layanan kami menggunakan Transport Layer Security (TLS), yang diperbarui secara teratur untuk menggunakan cipher suites terbaru dan konfigurasi TLS. Selain itu, kami mengenkripsi semua data pelanggan seluruhnya dengan menggunakan AES 256-T.
Penghapusan dan akses data
Jika Anda ingin mengajukan permintaan akses data atau meminta agar data pribadi Anda dihapus, silakan kirim email kepada kami di privacy@dropbox.com. Untuk informasi lebih lanjut, silakan lihat kebijakan privasi Dropbox Sign.
Kepatuhan cookie
Saat Anda menggunakan layanan Dropbox Sign , Anda dapat memilih cookie mana yang Anda izinkan untuk digunakan oleh Dropbox dengan mengklik Preferensi Cookie & CCPA di footer halaman ini di bawah Dukungan.