Il mancato rispetto degli standard di sicurezza delle informazioni costituisce un rischio che nessuna azienda desidera correre. Dropbox Sign è consapevole delle gravi conseguenze della mancanza di conformità e ha sviluppato con cura alcuni processi per rendere il suo servizio conforme ai diversi standard che regolano l'attività dell'utente.
Qualora l'utente volesse accedere agli audit e alle valutazioni, dovrà contattare il seguente indirizzo e-mail: compliance-reports@dropbox.com. In alternativa, potrà consultare il nostro whitepaper sulla sicurezza dei dati.
Dropbox Sign è conforme alle regolamentazioni, ai quadri normativi e agli standard seguenti:
Report SOC
I report SOC (Service Organization Control) sono quadri normativi stabiliti dall'American Institute of Certified Public Accountants (AICPA) per fornire resoconti sui controlli interni di una determinata organizzazione. Dropbox Sign ha convalidato sistemi, processi, applicazioni e personale attraverso il controllo di una terza parte indipendente, Ernst & Young LLP.
SOC 3 per la sicurezza, disponibilità e riservatezza
Il report di assicurazione SOC 3 riguarda i Trust Criteria (criteri di affidabilità) per la sicurezza, la disponibilità e la riservatezza (TSP Section 100). Il report Dropbox Sign destinato a un uso generico è un executive summary del report SOC 2 e comprende l'opinione del revisore terzo indipendente sulla struttura effettiva e sulla modalità di conduzione dei controlli. Visualizzare l'analisi del report SOC 3 di Dropbox Sign.
SOC 2 per la sicurezza, la disponibilità e la riservatezza
Il report SOC 2 fornisce ai clienti un livello dettagliato di garanzia basata sui controlli, abbracciando i Trust Service Criteria (criteri di affidabilità del servizio) per la sicurezza, la disponibilità e la riservatezza (TSP Section 100). Il report SOC 2 comprende una descrizione dettagliata dei processi Dropbox Sign e degli oltre 100 controlli implementati per proteggere i dati dell'utente. Oltre al parere espresso dal revisore terzo indipendente sulla struttura effettiva e sulla modalità di conduzione dei controlli, il report comprende le procedure di verifica della società di revisione e i risultati di ciascun controllo. È possibile richiedere una valutazione SOC 2 al nostro team di vendita inviando un'e-mail all'indirizzo compliance-reports@dropbox.com.
ISO 27001 (Gestione della sicurezza delle informazioni)
La norma ISO 27001 è riconosciuta a livello mondiale come lo standard principale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Gli standard sfruttano inoltre le best practice sulla sicurezza illustrate nella norma ISO 27002. Per ottenere la fiducia dell'utente, Dropbox Sign gestisce e migliora continuamente e integralmente i controlli fisici, tecnici e legali. Il nostro revisore, Schellman Compliance LLC, possiede l'accreditamento ISO 27001 concesso dall'ANSI-ASQ National Accreditation Board (ANAB).
Visualizzare il certificato ISO 27001 di Dropbox Sign, Dropbox Fax e Dropbox Forms.
ISO 27018 (Privacy nel cloud e protezione dei dati).
La norma ISO 27018 è uno standard internazionale per la privacy e la protezione dei dati che si applica ai fornitori di servizi cloud come Dropbox Sign che elaborano dati personali per conto dei propri clienti e fornisce una base su cui i nostri clienti possono affrontare questioni o requisiti normativi e contrattuali comuni. L'adesione alla norma ISO 27018 è garantita nel quadro della certificazione ISO 27001.
Visualizzare il certificato ISO 27018 di Dropbox Sign, Dropbox Fax e Dropbox Forms.
Health Insurance Portability and Accountability Act del 1996 (HIPAA)
Dropbox Sign agisce in conformità allo Health Insurance Portability and Accountability Act (HIPAA) e allo Health Information Technology for Economic and Clinical Health Act (HITECH).
Le leggi appena menzionate promuovono la diffusione delle tecnologie in ambito sanitario, mirando al contempo a proteggere la riservatezza e la sicurezza delle informazioni sanitarie. Organizzazioni quali ospedali, studi medici e dentistici e tutti coloro che interagiscono con informazioni sanitarie protette (PHI, protected health information) saranno soggetti ai regolamenti HIPAA/HITECH. Questi regolamenti possono interessare anche le aziende che collaborano con dette organizzazioni e che, pertanto, entrano a contatto con informazioni sanitarie protette per conto di tali organizzazioni.
Dropbox Sign stilerà un report relativo ai requisiti di sicurezza HIPAA (HIPAA Security Rule) e alle notifiche relative a violazioni HITECH (HITECH Breach Notification Requirements). I clienti interessati possono richiedere i documenti citati direttamente al nostro team di vendita al seguente indirizzo e-mail: compliance-reports@dropbox.com.
Legge statunitense ESIGN Act del 2000
L'Electronic Signatures in Global and National Commerce Act è una legge federale che prevede una regola generale relativa alla validità dei documenti e delle firme elettroniche per eseguire determinate transazioni. L'ESIGN Act statunitense prevede, tra le altre cose, la dimostrazione dell'intenzione di firmare, la presentazione di determinati documenti al consumatore e la conservazione della documentazione.
Uniform Electronic Transactions Act (UETA) del 1999
Approvata nel 1999 dalla National Conference of Commissions on Uniform State Laws, questa legge consente l'esecuzione di transazioni di tipo elettronico mediante l'utilizzo di firme elettroniche aventi validità giuridica pari alle firme olografe. Tutti gli Stati hanno accettato l'UETA, tranne quello di New York.
Privacy Framework UE-USA, estensione del Regno Unito al Data Privacy Framework UE-USA e Data Privacy Framework Svizzera-USA
Dropbox Sign è conforme al Data Privacy Framework UE-USA, all'estensione del Regno Unito al Data Privacy Framework UE-USA e al Data Privacy Framework Svizzera-USA come stabilito dal Dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l'utilizzo e la conservazione dei dati personali provenienti dall'Unione europea, dallo Spazio economico europeo e dalla Svizzera trasferiti negli Stati Uniti.
Maggiori informazioni sui Data Privacy Framework sono disponibili qui.
eIDAS e Dropbox Sign
Dropbox Sign rappresenta un'ottima opzione nell'ambito delle firme elettroniche. Inoltre, è conforme all'eIDAS e rappresenta una valida alternativa per le aziende che necessitano di firmare elettronicamente i documenti online con firmatari in tutti gli Stati membri dell'UE.
Il regolamento eIDAS (910/2014) consente ai cittadini, alle aziende e all'amministrazione pubblica di utilizzare dispositivi di identificazione elettronica e servizi fiduciari per accedere in modo sicuro ai servizi online e per effettuare transazioni elettroniche in tutti i Paesi membri dell'Unione europea (UE). Ha sostituito la Direttiva europea sulla firma elettronica 1999/93/CE, una normativa dell'Unione europea sull'utilizzo delle firme elettroniche nei contratti elettronici all'interno dell'UE, ed è entrato in vigore a partire dal 1° luglio 2016.
Il regolamento eIDAS riporta il quadro normativo relativo alla firma elettronica nei Paesi appartenenti all'UE. Rappresenta un framework legale per le persone, le società (in particolare le aziende di piccole e medie dimensioni) e la pubblica amministrazione per accedere in modo sicuro ai servizi ed eseguire le transazioni digitali in tutti gli Stati membri dell'UE. Nello specifico, definisce tre categorie di firma elettronica: la firma elettronica semplice (SES), la firma elettronica avanzata (AES) e la firma elettronica qualificata (QES). Dropbox Sign supporta le firme elettroniche di tipo SES e QES.
Firma elettronica semplice
Viene definita come “un insieme di dati in formato elettronico allegato o associato in modo logico ad altri dati in formato elettronico e utilizzato dal firmatario per apporre la propria firma”. Di conseguenza, svariati strumenti elettronici, quali password, codici PIN e firme scansionate possono essere considerati al pari di una SES.
Firma elettronica avanzata
Una firma elettronica avanzata (AES, advanced electronic signature) dev'essere:
- autenticata e identificativa del firmatario
- creata usando i dati di creazione della firma elettronica che il firmatario può, con un elevato livello di attendibilità, usare sotto il proprio esclusivo controllo
- collegata al documento in modo tale da rendere rilevabile qualsiasi modifica relativa ai dati.
Firma elettronica qualificata (QES, Qualified Electronic Signature)
La firma elettronica qualificata (QES) rappresenta la forma più rigorosa di firma elettronica avanzata ed è l'unica tipologia di firma elettronica a cui viene attribuito lo stesso valore legale delle firme olografe. La firma elettronica qualificata è corredata da un certificato digitale qualificato creato da un dispositivo per la creazione di firme elettroniche qualificate (QSCD, Qualified Signature Creation Device). Il dispositivo QSCD deve essere emesso da un fornitore di servizi fiduciari (TSP, Trust Service Provider) europeo presente nell'elenco di attendibilità dell'Unione europea (EUTL, European Union Trust List).
Dichiarazione di non responsabilità: le presente informazioni vengono fornite a mero titolo informativo. Si deve intendere come un aiuto fornito alle società per comprendere il framework legale utilizzato per la legalità delle firme elettroniche. Non è da intendersi come una consulenza legale e non dovrebbe sostituire una consulenza legale professionale. Consulta un avvocato con licenza per ricevere consulenza o rappresentanza legali.
Regolamento generale sulla protezione dei dati (GDPR) dell'UE e Dropbox Sign
Il Regolamento generale sulla protezione dei dati 2016/679, o GDPR, è un regolamento dell'Unione europea che ha segnato un cambiamento significativo nel quadro normativo esistente per l'elaborazione dei dati personali per quanto riguarda i dati all'interno dell'UE. Il GDPR ha introdotto una serie di requisiti nuovi o migliorati che si applicano a imprese come Dropbox Sign che gestiscono dati personali. Dropbox Sign ha aderito al GDPR, pertanto i clienti possono utilizzare i servizi Dropbox Sign in piena conformità al GDPR. Per maggiori informazioni, consultare questo articolo relativo al GDPR e alla conformità da parte di Dropbox Sign.
Il nostro impegno nei confronti dell’utente e nella protezione dei suoi dati
Per noi è fondamentale proteggere i dati personali degli utenti. In qualità di cliente Dropbox Sign, l’organizzazione dell’utente agisce come responsabile di tutti i dati forniti a Dropbox attraverso l’utilizzo dei servizi Dropbox Sign. Dropbox agisce in qualità di responsabile del trattamento dei dati, elaborando i dati per conto dell’organizzazione dell’utente a ogni utilizzo dei servizi Dropbox Sign. L’Informativa sulla privacy di Dropbox Sign riporta l’impegno aziendale in materia di privacy nei confronti degli utenti. Inoltre, specifica in che modo raccogliamo, utilizziamo e trattiamo i dati personali degli utenti quando utilizzano i nostri servizi. Infine, va specificato che le Condizioni di servizio includono impegni relativi al trattamento dei dati e al loro trasferimento internazionale.
Formazione e consapevolezza dei rischi informatici
Tutti i dipendenti Dropbox sono tenuti a seguire un'adeguata formazione in materia di privacy e sicurezza al momento dell'assunzione e, in seguito, con cadenza annuale. Inoltre, ricevono informazioni aggiornate in materia di sicurezza e consapevolezza dei rischi informatici via email oppure presenziando a seminari e consultando il materiale disponibile all'interno dell'intranet aziendale.
Mappatura dei dati e valutazione del relativo impatto sulla privacy
Per verificare che le pratiche in materia di privacy siano adeguate, Dropbox conserva le registrazioni relative alle attività di trattamento dei dati per i servizi Sign. Inoltre, si impegna a effettuare una valutazione dell’impatto sulla protezione dei dati (DPIA, data protection impact assessment) per valutare il modo in cui i dati personali vengono raccolti, trattati e archiviati e per determinare i potenziali impatti sulla privacy.
Politiche relative alla sicurezza delle informazioni
Dropbox Sign ha previsto politiche di sicurezza e protezione dei dati che disciplinano come e quando dipendenti e contraenti possono accedere ai dati dell’utente. Dette politiche si basano su standard internazionali e best practice e vengono riviste con cadenza annuale, in modo tale da renderle sempre aggiornate rispetto alle pratiche aziendali correnti e a eventuali modifiche a livello legale/normativo. Se necessario, è possibile apportare modifiche ad hoc a queste politiche, che vengono fornite ai nuovi assunti e le cui modifiche vengono comunicate ai dipendenti mediante intranet aziendale.
Trasferimenti di dati
Nel trasferire dati dall’Unione europea, dallo Spazio economico europeo, dal Regno Unito e dalla Svizzera, Dropbox si affida a una serie di meccanismi legali, quali ad esempio i contratti con i nostri clienti e affiliati, le Clausole contrattuali standard e le decisioni di adeguatezza della Commissione europea su determinati Paesi, ove applicabile.
Dropbox è conforme al Data Privacy Framework UE-USA, all'estensione del Regno Unito al Data Privacy Framework UE-USA e al Data Privacy Framework Svizzera-USA come stabilito dal Dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l'utilizzo e la conservazione dei dati personali provenienti dall'Unione europea, dallo Spazio economico europeo e dalla Svizzera trasferiti agli Stati Uniti.
Risposte agli incidenti
Le nostre procedure di Risposta agli incidenti sono state progettate e sottoposte a test per garantire che i potenziali eventi in materia di sicurezza siano identificati e segnalati al personale dedicato alla risoluzione. Il personale segue i protocolli definiti per la risoluzione degli eventi in materia di sicurezza e i passaggi per la risoluzione sono documentati ed esaminati regolarmente dal reparto sicurezza. Inoltre, le nostre politiche e procedure includono la notifica di violazione per i casi in cui si potrebbe verificare un incidente di sicurezza che comporta la perdita o l’uso non autorizzato di dati personali.
Revisioni relative ai prodotti
Il nostro Software Development Lifecycle (“SDLC”, ciclo di vita del software) garantisce che le modifiche al sistema vengano apportate in conformità ai requisiti del GDPR, incluse considerazioni sulla privacy nelle seguenti aree:
- programmazione
- documentazione delle modifiche
- sviluppo di piani di test
- test di modifica e documentazione dei risultati
- revisione e approvazione Quality Assurance (“QA”, controllo della qualità)
- revisione e attestazione di terze parti e
- revisione e aggiornamento periodici
Revisioni dei fornitori
I fornitori incaricati del trattamento o dell'archiviazione dei dati personali sono sottoposti a controlli costanti come parte del processo di valutazione dei rischi relativi a terze parti di Dropbox. Detti controlli vengono effettuati per garantire che tali fornitori lavorino secondo standard di sicurezza e privacy adeguati a proteggere i dati. Tutti i nostri attuali sub incaricati vengono esaminati su base annuale per garantire che soddisfino i requisiti di sicurezza e privacy.
Tutele a livello contrattuale
Dropbox ha implementato nuove SCC (standard contractual clauses, clausole contrattuali standard) tra Dropbox International Unlimited Company e Dropbox Inc., in merito al trasferimento dei dati personali dei clienti verso gli Stati Uniti. Inoltre, ha provveduto ad aggiornare di conseguenza il proprio Accordo relativo al trattamento dei dati: https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf
L’Accordo relativo al trattamento dei dati è già parte integrante delle Condizioni di servizio di Dropbox Sign.
Certificazioni
Dropbox Sign è consapevole delle gravi conseguenze relative alla mancata conformità; pertanto ha sviluppato diligentemente processi per rendere il servizio conforme agli standard che regolano l’attività dell’utente.
Per maggiori informazioni in merito agli standard e alle certificazioni a cui aderisce Dropbox Sign, consultare la Pagina relativa alla conformità.
Sicurezza dei prodotti
Decrittazione
Per impostazione predefinita, la comunicazione con i nostri servizi utilizza Transport Layer Security (TLS), che viene regolarmente aggiornato per utilizzare le suite di cifratura e le configurazioni TLS più recenti. Inoltre, crittografiamo tutti i dati dei clienti quando sono inattivi utilizzando AES 256-T.
Cancellazione dei dati e accesso
Qualora l’utente volesse inviare una richiesta di accesso o una richiesta di cancellazione dei propri dati personali, dovrà inviare un’email al seguente indirizzo: privacy@dropbox.com. Per maggiori informazioni, sarà necessario fare riferimento all’Informativa sulla privacy di Dropbox Sign.
Conformità in materia di cookie
Utilizzando i servizi Dropbox Sign, l’utente può scegliere i cookie per cui acconsente all’utilizzo da parte di Dropbox Sign. Per farlo, dovrà semplicemente fare clic su Preferenze cookie & CCPA in fondo a questa pagina, nella sezione “Assistenza”.