A incapacidade em aderir às normas de segurança da informação é um risco que nenhuma empresa quer assumir. No Dropbox Sign, compreendemos as várias ramificações de não compliance e desenvolvemos processos de maneira diligente para que nosso serviço fique em conformidade com as normas que regem o seu negócio.
Entre em contato conosco (por e-mail: compliance-reports@dropbox.com) para acessar nossas auditorias e avaliações. Ou confira nosso whitepaper sobre segurança da informação.
O Dropbox Sign segue as seguintes estruturas, normas e regulamentos:
Relatórios SOC
Os Relatórios de Controles de Organização de Serviços (Service Organization Controls, SOC) são estruturas estabelecidas pelo Instituto Americano de Contadores Públicos Certificados (AICPA) para relatar os controles internos implementados em uma organização. O Dropbox Sign validou seus sistemas, aplicativos, pessoas e processos por meio de uma auditoria realizada por um terceiro independente, a Ernst & Young LLP.
SOC 3 para segurança, disponibilidade e confidencialidade
O relatório de garantia SOC 3 abrange os critérios de confiança para segurança, disponibilidade e confidencialidade (Seção 100 do TSP). O relatório do Dropbox Sign de uso geral é um resumo executivo do relatório SOC 2 e inclui o parecer do auditor independente sobre a eficiência do projeto e da operação de nossos controles. Veja o exame SOC 3 do Dropbox Sign.
SOC 2 para segurança, disponibilidade e confidencialidade
O relatório SOC 2 fornece aos clientes um nível detalhado de garantia baseada em controles, abrangendo os critérios de serviço de confiança para segurança, disponibilidade e confidencialidade (Seção 100 do TSP). O relatório SOC 2 inclui uma descrição detalhada dos processos do Dropbox Sign e os mais de 100 controles adotados para proteger seus dados. Além do parecer do auditor independente a respeito da eficiência do projeto e da operação dos nossos controles, o relatório inclui os procedimentos de teste do auditor e os resultados de cada controle. O exame SOC 2 está disponível mediante solicitação por meio de nossa equipe de vendas. É sóp enviar um e-mail para compliance-reports@dropbox.com.
ISO 27001 (Gerenciamento de Segurança de Informações)
A certificação ISO 27001 é reconhecida como uma norma de sistema de gestão de segurança de informações (ISMS) de primeira linha em todo o mundo. A norma também adota as melhores práticas de segurança detalhadas na ISO 27002. Para merecer sua confiança, estamos gerenciando e melhorando os controles físicos, técnicos e legais do Dropbox Sign de forma contínua e abrangente. Nosso auditor, a Schellman Compliance LLC, mantém o seu credenciamento ISO 27001 pelo ANSI-ASQ National Accreditation Board (ANAB).
Veja o certificado ISO 27001 do Dropbox Sign, do Dropbox Fax e do Dropbox Forms.
ISO 27018 (Privacidade na nuvem e proteção de dados).
A ISO 27018 é uma norma internacional para privacidade e proteção de dados que se aplica a provedores de serviços em nuvem, como o Dropbox Sign, que processam informações pessoais para seus clientes. Essa certificação serve de base para nossos clientes lidarem com requisitos ou questões comuns de natureza regulatória e contratual. Nossa adesão à ISO 27018 é validada como parte de nossa certificação ISO 27001.
Veja o Certificado ISO 27018 do Dropbox Sign, do Dropbox Fax e do Dropbox Forms.
Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA)
O Dropbox Sign apoia a conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) e a Lei da Tecnologia de Informação da Economia e da Saúde Clínica (HITECH).
Essas leis visam incentivar a proliferação de tecnologia na indústria dos cuidados de saúde, ao mesmo tempo que criam proteções para a segurança e privacidade das informações de saúde. Organizações como hospitais, consultórios médicos e odontológicos, bem como pessoas que interagem com informações de saúde protegidas (PHI), podem estar sujeitas à HIPAA/HITECH. Isso também pode se estender a companhias que trabalham com essas empresas e entram em contato com PHI em nome dessas.
O Dropbox Sign disponibiliza um relatório relacionado à regra de segurança da HIPAA e aos requisitos de notificações de violações da HITECH. Os clientes interessados em solicitar esses documentos podem entrar em contato com nossa equipe de vendas pelo e-mail compliance-reports@dropbox.com.
A Lei ESIGN dos EUA de 2000
A Lei de Assinaturas Eletrônicas no Comércio Global e Nacional é uma lei federal que fornece uma regra geral de validade para registros eletrônicos e assinaturas para transações. Entre outras coisas, a Lei ESIGN dos EUA exige a demonstração da intenção de assinar, certas divulgações do consumidor e retenção de registros.
A Lei Uniforme de Transações Eletrônicas (UETA) de 1999
Aprovada em 1999 pela Conferência Nacional de Comissões sobre Leis Estaduais Uniformes, a Lei Uniforme de Transações Eletrônicas permite o uso de transações de comunicação eletrônica, dando às assinaturas eletrônicas o mesmo peso legal que uma assinatura manuscrita em papel. A UETA foi adotada por todos os estados, exceto Nova York.
Estrutura de Privacidade de Dados UE-EUA, Extensão ao Reino Unido da Estrutura de Privacidade de Dados UE-EUA e Estrutura de Privacidade de Dados Suíça-EUA
O Dropbox Sign está em conformidade com a Estrutura de Privacidade de Dados UE-EUA, a Extensão ao Reino Unido da Estrutura de Privacidade de Dados UE-EUA e a Estrutura de Privacidade de Dados Suíça-EUA, conforme estabelecido pelo Departamento de Comércio dos EUA, no que diz respeito à coleta, ao uso e à retenção de dados pessoais transferidos da União Europeia, do Espaço Econômico Europeu, da Suíça e dos Estados Unidos.
Leia mais sobre as estruturas de privacidade de dados aqui.
O eIDAS e o Dropbox Sign
O Dropbox Sign é uma solução de assinatura eletrônica em conformidade com o eIDAS e uma opção viável para empresas assinarem documentos on-line com signatários em todos os estados-membros da UE.
O Regulamento eIDAS (910/2014) é um regulamento que permite a utilização de meios de identificação eletrônica e serviços de confiança por cidadãos, empresas e administrações públicas para acessar com segurança serviços on-line e firmar transações eletrônicas em toda a União Europeia (UE). Ele substituiu a Diretiva de Assinaturas Eletrônicas 1999/93/CE, uma diretiva da União Europeia sobre o uso de assinaturas eletrônicas em contratos eletrônicos na UE, e entrou em vigor em 1º de julho de 2016.
O Regulamento eIDAS estabelece a estrutura jurídica para assinaturas eletrônicas na UE. Ele estabelece uma estrutura jurídica para que as pessoas, as empresas (em especial as pequenas e médias empresas) e as administrações públicas acessem com segurança serviços e firmem transações digitalmente em todos os estados membros da UE. Em particular, define três níveis de assinatura eletrônica: assinatura eletrônica simples (SES), assinatura eletrônica avançada (AES) e assinatura eletrônica qualificada (QES). O Dropbox Sign oferece suporte a assinaturas eletrônicas SES e QES.
Assinatura Eletrônica Simples
Uma assinatura eletrônica simples (SES) é definida como "dados em formato eletrônico que são anexados ou associados logicamente a outros dados em formato eletrônico e que são usados pelo signatário para assinar". Como resultado, muitas ferramentas eletrônicas, incluindo senha, códigos PIN e assinaturas digitalizadas, podem ser consideradas um SES.
Assinatura Eletrônica Avançada
Uma assinatura eletrônica avançada (AES) é uma assinatura eletrônica que é:
- exclusivamente conectada e capaz de identificar o signatário;
- criada com base em dados de criação de assinaturas eletrônicas que o signatário possa, com um elevado nível de confiança, utilizar sob o seu controle exclusivo.
- conectada ao documento de forma que qualquer alteração subsequente dos dados seja detectável.
Assinatura eletrônica qualificada
Uma assinatura eletrônica qualificada (QES, do inglês) é uma forma mais estrita de AES, sendo o único tipo de assinatura equivalente legalmente às assinaturas manuscritas. A QES tem um certificado digital qualificado que foi criado por um dispositivo de criação de assinatura qualificada (QSCD, do inglês). O QSCD tem de ser emitido por um Provedor de Serviços Confiáveis (TSP, do inglês) qualificado da UE, pertencente à Lista Confiável da União Europeia (EUTL, do inglês).
Isenção de responsabilidade: esta informação destina-se apenas a fins informativos gerais. Destina-se a ajudar as empresas a compreender a estrutura jurídica utilizada para a legalidade da assinatura eletrônica. Não se destina a ser aconselhamento jurídico e não deve substituir o aconselhamento jurídico de um profissional. Consulte um advogado licenciado para obter aconselhamento jurídico ou representação.
O Regulamento Geral de Proteção de Dados (GDPR) da UE e o Dropbox Sign
O Regulamento Geral de Proteção de Dados 2016/679, ou GDPR, é um regulamento da União Europeia que marca uma mudança significativa na estrutura existente de processamento de dados pessoais de titulares de dados na UE. O GDPR introduziu uma série de regulamentos novos ou aprimorados que se aplicam a empresas como o Dropbox Sign, que lidam com dados pessoais. O Dropbox Sign adere ao GDPR para que os clientes possam usar o Dropbox Sign para facilitar a conformidade com o GDPR. Para obter mais informações, consulte este artigo sobre conformidade com o GDPR e o Dropbox Sign.
Nosso compromisso com você e com a proteção de seus dados
Estamos empenhados em proteger os seus dados pessoais. Como cliente do Dropbox Sign, sua organização atua como o controlador de dados para quaisquer dados pessoais fornecidos ao Dropbox em relação ao uso dos serviços do Dropbox Sign. O Dropbox atua como processador de dados, processando dados em nome da sua organização quando você usa os serviços do Dropbox Sign. Nossa Política de Privacidade descreve nossos compromissos de privacidade com os usuários e explica como coletamos, usamos e tratamos seus dados pessoais quando você usa nossos serviços, e nossos Termos de Serviço incluem compromissos relacionados ao processamento e à transferência internacional de dados.
Treinamento e conscientização sobre privacidade
Todos os funcionários do Dropbox são obrigados a concluir o treinamento de segurança e privacidade quando contratados e, posteriormente, anualmente. Além disso, os funcionários recebem informações de conscientização sobre segurança e privacidade por meio de e-mails, palestras e apresentações, além de recursos disponíveis em nossa intranet.
Mapeamento de dados e avaliação de impacto de dados
Para verificar se nossas práticas de privacidade são apropriadas, o Dropbox mantém um registro de atividades de processamento dos serviços de assinatura. Também realizamos uma Avaliação de Impactos na Proteção de Dados (DPIA) para avaliar como coletamos, processamos e armazenamos dados pessoais e determinar impactos potenciais na privacidade.
Políticas de segurança da informação
O Dropbox tem políticas de segurança da informação e de proteção de dados que regem como e quando funcionários e contratados podem acessar seus dados. Essas políticas são baseadas em normas internacionais e melhores práticas e são revisadas anualmente para que estejam atualizadas com as práticas empresariais atuais e considerem mudanças nas leis/regulamentos. Mudanças ad hoc também podem ser feitas nessas políticas, conforme necessário. Essas políticas são fornecidas aos novos contratados e as alterações são comunicadas aos funcionários por meio da intranet da empresa.
Transferência de dados.
Ao transferir dados da União Europeia, do Espaço Econômico Europeu, do Reino Unido e da Suíça, o Dropbox usa uma série de mecanismos legais, incluindo contratos com nossos clientes e afiliados, Cláusulas Contratuais Padrão e as decisões de adequação da Comissão Europeia sobre certos países, conforme aplicável.
O Dropbox Sign está em conformidade com o Data Privacy Framework UE-EUA, a Extensão do Reino Unido ao Data Privacy Framework UE-EUA e o Data Privacy Framework Suíça-EUA, conforme estabelecido pelo Departamento de Comércio dos EUA, referentes à coleta, ao uso e à retenção de dados pessoais transferidos da União Europeia, do Espaço Econômico Europeu e da Suíça para os Estados Unidos.
Resposta a incidentes
Nossos procedimentos de Resposta a Incidentes foram projetados e testados para garantir que possíveis eventos de segurança sejam identificados e relatados ao pessoal competente para resolução, o pessoal siga protocolos definidos para resolução de eventos de segurança e as etapas para resolução sejam documentadas e analisadas pela equipe de Segurança regularmente. Além disso, nossas políticas e procedimentos incluem notificações de violação para se e quando um incidente de segurança envolver a perda ou uso não autorizado de dados pessoais.
Revisão de produtos
Nosso Ciclo de Vida de Desenvolvimento de Software (“SDLC”) garante que as alterações no sistema sejam realizadas de acordo com as exigências de GDPR, incluindo considerações sobre privacidade nas seguintes áreas:
- Planejamento;
- Documentação de Alteração;
- Desenvolvimento de Planos de Teste;
- Teste de Alteração e Documentação dos Resultados;
- Avaliação e Aprovação da Garantia de Qualidade ("QA");
- Avaliação e atestado de terceiros; e
- Avaliação e atualização periódicas.
Análise de fornecedores
Os fornecedores que processam ou armazenam dados pessoais são analisados como parte do processo de avaliação de risco de terceiros do Dropbox para garantir que tenham controles de segurança e privacidade adequados para proteger os dados. Todos os nossos subprocessadores atuais são avaliados anualmente para garantir que atendam aos requisitos de segurança e privacidade.
Proteções contratuais
O Dropbox implementou novas SCCs de processador para processador entre a Dropbox International Unlimited Company e a Dropbox, Inc. para cobrir transferências de dados pessoais de nossos clientes para os EUA. Atualizamos nosso Contrato de Processamento de Dados para refletir isso https://assets.dropbox.com/ documentos/en/legal/hs-data-processing-agreement.pdf
O Contrato de Processamento de Dados já faz parte dos Termos de Serviço do Dropbox Sign.
Certificações
No Dropbox Sign, compreendemos as várias ramificações de compliance e desenvolvemos processos de maneira diligente para que nosso serviço fique em conformidade com as normas que regem o seu negócio.
Para obter mais informações sobre as normas e certificações com as quais o Dropbox Sign está em conformidade e segue, consulte nossa Página de Conformidade.
Segurança do Produto
Criptografia
Como padrão, a comunicação com nossos serviços usa o Transport Layer Security (TLS), que é atualizado regularmente para usar as configurações de ciphersuites e TLS mais recentes. Além disso, criptografamos todos os dados do cliente em repouso usando AES 256-T.
Acesso e exclusão de dados
Se desejar enviar uma solicitação de acesso a dados ou solicitar a exclusão de seus dados pessoais, envie um e-mail para privacy@dropbox.com. Para mais informações, consulte a Política de privacidade do Dropbox Sign.
Conformidade com cookies
Ao usar os serviços do Dropbox Sign, você pode selecionar quais cookies consente que o Dropbox use clicando em Preferências de cookies e CCPA no rodapé desta página, em Atendimento.