任何公司都不願承擔不遵守資訊安全標準的風險。Dropbox Sign 瞭解法規遵循問題茲事體大,並努力建構流程,以使我們的服務符合規範您業務的諸多標準。
如需查閱我們的稽核與評估作業,請與我們聯絡 (可透過此電子郵件聯絡:compliance-reports@dropbox.com)。或查看我們的資訊安全白皮書。
Dropbox Sign 符合以下框架、標準和規範:
SOC 報告
服務組織控制 (SOC) 報告,是由美國註冊會計師協會 (AICPA) 建立的框架,用於報告組織內所實施的內部控制設計。Dropbox Sign 的系統、應用程式、人員和流程,已通過由獨立第三方 Ernst & Young LLP 進行的一系列稽核驗證。
代表安全性、可用性及機密性的 SOC 3
SOC 3 確認報告涵蓋了安全性、可用性和機密性確信服務準則 (TSP 第 100 節)。這份 Dropbox Sign 一般性使用報告從執行層面概述了我們的 SOC 2 報告,並包含獨立第三方稽核人員對 Dropbox 控制設計和執行效力的意見。查看 Dropbox Sign SOC 3 檢驗結果。
代表安全性、可用性及機密性的 SOC 2
SOC 2 報告提供客戶詳盡的控制保障,符合安全性、可用性和機密性等確信服務標準 (TSP 第 100 節)。SOC 2 報告詳細描述 Dropbox Sign 的處理程序,以及超過 100 項用以保全您檔案安全的內部控制。除了獨立第三方針對設計有效性和我們內部控制運作的稽核意見之外,此報告還包括稽核人員的測試程序與每項控制的結果。傳送電子郵件至 compliance-reports@dropbox.com 即可向我們的銷售團隊索取 SOC 2 檢驗報告。
ISO 27001 (資訊安全管理)
ISO 27001 是受國際認可的首要資安管理系統 (ISMS) 認證標準。這項標準採用了詳述於 ISO 27002 中的安全性最佳做法。Dropbox Sign 不想辜負您對我們的信任,因此我們持續並全面妥善管理和增進我們的實體、技術和法律控制。Schellman Compliance LLC 為我們進行稽核工作,他們的 ISO 27001 認證是由 ANSI-ASQ 國家認證委員會 (National Accreditation Board, ANAB) 頒發。
查看 Dropbox Sign、Dropbox Fax 和 Dropbox Forms 的 ISO 27001 認證。
ISO 27018 (雲端隱私權及資料保護)。
ISO 27018 是隱私權及資料保護的國際標準,適用於 Dropbox Sign 這類代客戶處理私人資訊的雲端服務供應商,也讓客戶在面對一般法規及契約要求或疑問時有所根據。我們取得 ISO 27001 認證時便一併通過了 ISO 27018 驗證。
查看 Dropbox Sign、Dropbox Fax 和 Dropbox Forms 的 ISO 27018 認證。
1996 年醫療保險流通與責任法案 (HIPAA)
Dropbox Sign 遵循醫療保險流通與責任法案 (HIPAA) 以及經濟與臨床健康資訊科技法案 (HITECH)。
這類法律旨在鼓勵醫療照護產業廣泛採用相關技術,同時為健康資訊的安全及隱私建立保護機制。醫院、候診室、牙科診所等組織,以及會接觸受保護健康資訊 (PHI) 的個人,都可能受到 HIPAA/HITECH 規範。相同標準可能也適用於與這些行業合作,並代表他們接觸 PHI 的公司。
Dropbox Sign 提供與 HIPAA 安全規則及 HITECH 違規通知要求相關的報告。客戶若想索取此說明文件,請傳送電子郵件至 compliance-reports@dropbox.com,以便聯絡我們的銷售團隊。
2000 年美國電子簽章法 (ESIGN Act)
全球和國內商業電子簽章法這條聯邦法律為交易的電子紀錄及簽名的有效性提供了一般規則。除其他事項外,美國電子簽章法還要求簽名時須表達簽署意願、揭露特定消費者資訊及留存紀錄。
1999 年統一電子交易法 (UETA)
統一州法律委員全國會議於 1999 年通過統一電子交易法,賦予電子簽章與紙本簽名同等的法律效力,藉此核准電子通訊交易的使用。除紐約之外,美國各州皆遵循 UETA 的相關規範。
歐盟-美國資料隱私框架、歐盟-美國資料隱私框架的英國補充條款,以及瑞士-美國資料隱私框架
Dropbox Sign 遵循美國商務部所訂定之歐盟-美國資料隱私框架、歐盟-美國資料隱私框架的英國補充條款,以及瑞士-美國資料隱私框架,據此搜集、使用並留存各種從歐盟、歐洲經濟區和瑞士傳輸至美國的個人資料。
在此閱讀更多資料隱私框架資訊。
eIDAS 和 Dropbox Sign
Dropbox Sign 是一款符合 eIDAS 法規的電子簽章解決方案,也是歐盟會員國簽署者於線上簽署公司文件的可行選擇。
eIDAS 法規 (910/2014) 允許人民、企業和公共行政單位使用電子身分識別方式及信賴服務,以便在歐盟 (EU) 境內安全存取線上服務並執行電子交易。該法規取代了歐盟內部用於電子合約的電子簽章指令 1999/93/EC,並於 2016 年 7 月 1 日生效。
eIDAS 法規規範了歐盟境內電子簽章的法律框架,其制訂的法律架構,讓個人、公司 (尤其中小型企業) 和公共行政單位可以在歐盟會員國之間安全地存取服務和執行數位交易。具體來說,該法規定義了三個等級的電子簽章:簡單電子簽章 (SES)、進階電子簽章 (AES) 和合格電子簽章 (QES)。Dropbox Sign 支援 SES 和 QES 電子簽章。
簡單電子簽章
簡單電子簽章 (SES) 是指「隨附於其他電子形式資料或與其合理相關,並且可供簽署者簽名的電子形式資料」。因此,密碼、PIN 碼和掃描的簽名等多種電子工具,都可以視為 SES。
進階電子簽章
進階電子簽章 (AES) 具有以下特性:
- 與簽署者的連結具唯一性,且可辨識其身分;
- 使用電子簽章建立資料來建立此簽章,而簽署者能以高層級的機密度,在單獨控制下使用該資料。
- 與文件的連結方式使系統能偵測到資料的後續變更。
合格電子簽章
合格電子簽章 (QES) 是 AES 更加嚴格的形式,且是唯一和手寫簽名具有相同法律效力的電子簽章種類。QES 具有由合格簽名建立裝置 (QSCD) 認證的合格數位證書。QSCD 必須由歐盟信賴列表 (EUTL) 內其中一家合格的歐盟信賴服務供應商 (TSP) 簽發。
免責聲明:此資訊僅適用於一般資訊目的,且旨在協助公司瞭解用於電子簽章合法性的法律架構,而非提供法律建議,也不能替代專業法律建議。欲取得法律建議或代理,請諮詢持有執照的律師。
歐盟一般資料保護規則 (GDPR) 和 Dropbox Sign
一般資料保護規則 2016/679 (簡稱 GDPR) 是歐盟制定的法規,為處理歐盟資料主體個人資料的現行架構帶來重大變革。GDPR 訂立了一系列新版或加強版規定,用以規範 Dropbox Sign 這類處理個人資料的公司。Dropbox Sign 符合 GDPR 相關規定,客戶使用 Dropbox Sign 即可達成 GDPR 訂定的標準。如需更多資訊,請參閱此文,瞭解 GDPR 和 Dropbox Sign 的法規遵循。
我們對您的承諾並竭力保護您的資料
我們致力於保護您的個人資料。身為 Dropbox Sign 客戶,您的組織負責控管任何提供給 Dropbox,且與您使用 Dropbox Sign 服務相關的個人資料。當您使用 Dropbox Sign 服務時,Dropbox 會扮演資料處理者的角色,代表您的組織處理資料。我們的隱私權政策說明我們對使用者的隱私權承諾,並闡述我們如何在您使用本服務時收集、使用及處理您的個人資料,而我們的服務條款則涵蓋與資料處理及國際資料傳送相關的承諾。
培訓和隱私意識
所有 Dropbox 員工入職時都須完成安全及隱私訓練,其後每年亦須進行一次訓練。此外,員工還可透過電子郵件、講座和演講,以及內部網路所提供的資源接收安全和隱私意識的相關資訊。
資料對應和隱私影響評估
為驗證我們的隱私實務是否適當,Dropbox 會保留 Sign 服務的處理活動紀錄。我們也完成了資料保護影響評估 (DPIA),用以評估我們如何收集、處理及儲存個人資料,並判定可能造成的隱私影響。
資訊安全政策
Dropbox 制定了資訊安全和資料保護政策,用以規範員工與承包商存取您的資料之方式與時機。這類政策以國際標準和最佳做法為基礎,每年都會接受審查,確保政策內容符合目前的商業實務,且能因應法律/法規的變化。必要時也可臨時更改政策內容。Dropbox 會告知新進員工政策內容,並透過公司內部網路通知員工變更之處。
資料轉移
從歐盟、歐洲經濟區、英國和瑞士轉移資料時,Dropbox 須仰賴各種法律機制來進行,例如我們與客戶和關係企業之合約、標準合約條款,以及歐盟委員會對某些國家/地區之適當決策 (若適用)。
Dropbox Sign 遵循美國商務部所訂定之歐盟-美國資料隱私框架、歐盟-美國資料隱私框架的英國補充條款,以及瑞士-美國資料隱私框架,據此搜集、使用並留存各種從歐盟、歐洲經濟區和瑞士傳輸至美國的個人資料。
事件反應
我們的事件反應程序經過設計與測試,確保能夠找出潛在的安全事件,並透過通報程序交由適當人員解決,工作人員解決安全事件皆會遵循已定義的協定,並且在記錄解決步驟後,交由安全團隊定期審查。此外,我們的政策與程序還包含:針對涉及個人資料遺失或未經授權使用的安全事件,發出違規通知。
產品審核
我們的軟體開發生命週期 (下稱「SDLC」) 能確保系統變更會依據 GDPR 規章來進行,包含遵守下列各項的隱私考量:
- 規劃;
- 變更文件;
- 開發測試計畫;
- 變更測試與結果紀錄;
- 品質保證 (下稱「QA」) 審核與批准;
- 第三方審查與鑑證;以及
- 定期審查與更新。
廠商審核
審核處理或儲存個人資料的廠商是 Dropbox 第三方風險評估流程的一環,確保廠商採取適當的安全及隱私管控措施來保護資料。我們會對所有目前合作的次處理商進行年度審查,以確保他們符合安全與隱私要求。
合約保護
Dropbox 在 Dropbox International Unlimited Company 和 Dropbox, Inc. 之間採用了新的處理商間標準合約條款 (SCC),以便將傳送到美國的客戶個人資料納入規範。我們更新了資料處理協議來反映此變動 https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
Dropbox Sign 服務條款已涵蓋資料處理協議。
認證
Dropbox Sign 瞭解合規問題茲事體大,並努力建構流程以使我們的服務符合規範您業務的標準。
如需更多關於 Dropbox Sign 符合並遵循之標準和認證的相關資訊,請參閱我們的法規遵循頁面。
產品安全性
加密
預設情況下,與我們服務的通訊是使用傳輸層安全性 (TLS),其會定期進行更新以使用最新的密碼組合及 TLS 設定。此外,我們使用 256 元位的 AES 靜態加密所有客戶資料。
資料刪除和存取
如果您想提交資料存取要求,或要求刪除您的個人資料,請以電子郵件來信至 privacy@dropbox.com。詳情請參閱 Dropbox Sign 隱私權政策。
遵循 Cookie
使用 Dropbox Sign 服務時,按一下本頁頁尾處 [支援服務] 下方的 [Cookie 與 CCPA 偏好設定],即可選擇同意 Dropbox 使用的 Cookie。