許多客戶在選擇電子簽名解決方案時,經常會問:“ Docusign 是否符合全球主要市場的認證與標準?在歐洲、美國、加拿大、亞洲等國家/地區是否合法使用?其資訊保安能否滿足合規要求?” 這些問題至關重要,尤其是在涉及跨境業務或敏感資料(如個人隱私、金融合同、醫療記錄)時。
Docusign 作為全球領先的電子簽名平臺,透過多項國際認證和區域性合規框架(如 ISO 27018、SOC 2 型別 II 等),確保其服務在北美、歐洲、亞洲等主要市場的合法性與資料安全。
接下來,本文將詳細介紹 Docusign 的認證體系 ,包括其透過的國際標準、行業專項認證 ,以及區域性合規要求。透過分析這些認證的實際意義,幫助你理解 Docusign 如何保障資料安全,並滿足不同國家/地區的法律與行業監管要求。
.png)
01、ISO 27001、ISO 27017 和 ISO 27018
ISO 認證是指企業或組織透過國際標準化組織(International Organization for Standardization,簡稱 ISO)制定的某項國際標準的符合性認證。
Docusign 已透過 ISO 27001:2022 資訊保安管理體系認證,並進一步透過 ISO 27017:2015(雲服務安全控制)和 ISO 27018:2019(公有云個人資料保護)專項認證。這些國際權威認證不僅驗證了 Docusign 在資訊保安領域的合規性,更體現了其在雲服務環境下保護客戶敏感資料的專業能力和前瞻性佈局。
- 如需檢視 ISO 標準詳細要求,請開啟下方連結:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-3:v1:en
02、支付卡行業資料安全標準
作為 Visa 全球服務提供商註冊中心認證的 PCI 合規服務提供商,Docusign 嚴格遵循支付卡行業資料安全標準(PCI DSS)4.0 版要求。在支付卡行業安全標準委員會(PCI SSC)的監管框架下,Docusign 透過實施多層次安全控制措施,確保支付卡賬戶資訊在整個處理流程中的安全性與可靠性。
- 如需深入瞭解 PCI 安全標準,請開啟下方連結:
https://www.pcisecuritystandards.org/about_us/
03、SOC 1 型別 II 和 SOC 2 型別 II
Docusign 嚴格遵循美國註冊會計師協會(AICPA)信託服務準則的合規要求。Docusign 建立了年度審計機制,對包括資料中心在內的全部生產運營環節進行系統性審查,確保持續滿足所有關鍵性監管標準。
- 如需深入瞭解 AICPA 信託服務的細則,請開啟下方連結:
https://www.aicpa-cima.com/topic/accounting-financial-reporting
04、雲端計算合規控制目錄 (C5)
Docusign 已成功透過 C5 Type II 合規認證,該認證由德國聯邦資訊保安辦公室(BSI)頒發,驗證了 Docusign 的電子簽名產品在安全控制措施方面完全符合德國雲服務合規標準。
作為面向 DACH 地區(德國、奧地利、瑞士)雲服務提供商的權威認證,C5 評估特別針對雲端計算環境特有的安全挑戰,透過嚴格的審計要求顯著提升了雲服務的資訊保安透明度和資料保護水平。
05、澳大利亞 IRAP
資訊保安註冊評估員計劃(IRAP)是由澳大利亞訊號局(ASD)發起的一項計劃。該計劃為網路安全和風險管理提供了一個框架,組織可以使用該框架來保護澳大利亞政府資料和系統免受網路威脅。
Docusign 已完成第三方評估,其安全控制措施完全符合澳大利亞政府資訊保安手冊(ISM)的要求,並滿足保護性安全政策框架(PSPF)的各項標準。
- 如需深入瞭解資訊保安註冊評估員計劃 IRAP,請開啟下方連結:
https://www.cyber.gov.au/irap
06、聯邦 RAMP
FedRAMP(美國聯邦風險與授權管理計劃)是一種標準化的評估、監控和授權雲端計算產品和服務的方法。Docusign 已獲得 FedRAMP 的機構授權,並在 FedRAMP Marketplace 上線,提供 Docusign Federal(電子簽名)和 Docusign 合同生命週期管理(CLM)解決方案。
- 如需深入瞭解美國聯邦風險與授權管理計劃 ,請開啟下方連結:
https://www.docusign.com/blog/are-docusign-products-authorized-by-fedramp
07、StateRAMP
StateRAMP 是一個非營利性會員組織,專注於協助州和地方政府以及高等教育機構採購符合特定網路安全標準的雲服務和軟體。透過制定統一的雲安全標準、傳授最佳實踐,並識別一種通用方法來驗證雲解決方案供應商的安全性,StateRAMP 確保這些供應商在處理、儲存和傳輸政府資料時(包括個人身份資訊 [PII]、個人健康資訊 [PHI] 和支付卡行業 [PCI] 資訊),能夠滿足嚴格的安全要求。
Docusign Federal(電子簽名)和 Docusign 合同生命週期管理(CLM)均已獲得 StateRAMP 的正式授權,這表明這些解決方案符合該組織設定的嚴格安全標準,能夠為政府機構提供安全可靠的雲服務。
- 如需深入瞭解,請開啟下方連結:
https://stateramp.org/
08、DoD IL4(國防部影響等級 4)
Docusign 已獲得美國國防資訊系統局(DISA)授予的 DoD IL4 臨時授權,涵蓋其 Docusign Federal(電子簽名)和合同生命週期管理(CLM)解決方案。根據國防部雲端計算安全要求指南(DoD CC SRG),IL4 授權級別適用於處理敏感但未分類的資料,這類資料的洩露可能對機構運營、資產或個人造成嚴重影響。
- 如需深入瞭解 DoD IL4,請開啟下方連結:
https://www.docusign.com/blog/docusign-achieves-dod-impact-level-4-provisional-authorization
09、歐盟成員國關於 SSCD 和 QSCD 的通知彙編
根據歐盟 eIDAS 法規第 39 條要求, 本檔案彙編了各成員國官方認證的合格簽名建立裝置 (QSCD)清單。 Docusign 作為全球領先的雲簽名服務提供商, 其運營的兩臺遠端簽名裝置已成功列入該認證名錄。 這些裝置為 Docusign 基於雲的電子簽名解決方案提供了符合 eIDAS 標準的合格電子簽名(QES)建立能力。
- 如需深入瞭解簽名裝置要求,請開啟下方連結:
https://eidas.ec.europa.eu/efda/browse/notification/qscd-sscd
10、歐盟信任名單
根據歐盟第 910/2014 號法規(eIDAS),Docusign France SAS 作為官方認證的信任服務提供商(TSP),已被列入法國國家資訊保安局(ANSSI)管理的歐盟信任名單。作為 Docusign 集團成員,該公司提供全歐盟認可的合格電子簽名(QES)、高階電子簽名(AES)、合格時間戳及高階電子印章服務,完全符合 eIDAS 對合格信任服務提供商的技術與法律要求。
- 如需瞭解更多歐盟信任名單,請開啟下方連結:
https://eidas.ec.europa.eu/efda/trust-services/browse/eidas/tls/tl/AT
11、APEC 跨境資料隱私認證
作為亞太經合組織(APEC)跨境隱私規則(CBPR)體系認證企業,Docusign 已成功透過 APEC 處理器隱私認證(PRP)。該認證表明 Docusign 的資料處理實踐完全符合 APEC 制定的個人資訊保護框架要求,能夠確保資料在傳輸和儲存全生命週期的安全性。
- 如需瞭解更多 APEC 認證,請開啟下方連結:
https://www.schellman.com/services/privacy-assessments/apec-certification/prp-process
12、歐盟資料跨境傳輸合規認證
Docusign 的具有約束力的公司規則(BCR)已獲得歐盟資料保護機構的批准。作為資料處理者和資料控制者,Docusign 提交的 BCR 申請得到了正式認可。這一批准使得 Docusign 平臺和電子簽名服務能夠在符合法規要求的前提下,合法地進行跨境資料傳輸。
- 如需瞭解更多 BCR,請開啟下方連結:
https://www.docusign.com/trust/privacy/binding-corporate-rules
13、SIG 標準化資訊收集
Docusign 採用共享評估組織開發的標準化資訊收集(SIG)問卷作為第三方風險評估工具。該問卷由行業從業者策劃,包含經過專業審查的問題庫,覆蓋 21 個關鍵風險領域。作為綜合性安全評估工具,SIG 問卷使 Docusign 能夠系統化地收集安全控制措施、政策及流程資料,透過標準化方法有效降低第三方合作風險,同時顯著提升客戶的安全評估效率。SIG 問卷的實施遵循年度評估機制,確保持續符合行業最佳實踐。
- 如需瞭解更多 SIG,請開啟下方連結:
https://sharedassessments.org/sig/
14、加拿大雲安全聯盟 CSA
加拿大雲安全聯盟(CSA)的安全、信任、保證和風險(STAR)計劃以透明度、嚴格審計和標準協調等關鍵原則為核心。Docusign 每年均會完成共識評估倡議問卷(CAIQ),該問卷詳細記錄了 Docusign 在安全態勢和最佳實踐方面的嚴謹性和強度。完成後的 CAIQ 可在 CSA STAR 登錄檔中公開檢視和下載,為使用者提供了清晰的安全透明度保障。
- 如需瞭解更多 CSA,請開啟下方連結:
https://cloudsecurityalliance.org/star/#_overview
15、加拿大政府 Protected-B 計劃
Docusign 已成功透過加拿大政府 Protected-B 認證計劃稽核,該計劃為在加運營的 SaaS 服務商建立了嚴格的安全認證框架,專門規範 Protected-B 級敏感政府資料的處理標準。為獲得並持續保持此項認證,Docusign 完成了包括系統安全評估、合規審查流程及人員安全許可核查在內的全方位資質驗證,確保完全符合加拿大聯邦各部門的安全要求。
16、金融業資訊系統中心 FISC
Docusign 作為金融業資訊系統中心(FISC)的成員機構,主動採納其制定的資訊系統安全指南。該指南被日本絕大多數金融機構採用,涵蓋系統架構設計、計算機控制審計、應急預案制定以及安全政策與程式實施等關鍵領域的安全措施要求。儘管 FISC 指南並非強制性規範且不包含審計要求,Docusign 仍自願建立完善的內部控制體系,確保業務實踐全面符合 FISC 安全標準。
- 如需瞭解更多 FISC,請開啟下方連結:
https://www.fisc.or.jp/english/
Docusign 全球認證體系:
Docusign 已成功獲得全球多個權威安全認證,全面滿足各國家和地區的資料保護與合規要求。
在美國,Docusign 透過 FedRAMP 認證和 DoD IL4 授權;
在歐盟,符合 eIDAS 標準並獲得法國 ANSSI 認證的 QES 服務;
在亞太地區,取得 APEC CBPR 跨境隱私認證;
同時還滿足加拿大 Protected-B、日本 FISC 等國家級安全標準。
這些認證驗證了 Docusign 在電子簽名和合同管理領域的安全領導地位,確保客戶資料在全球範圍內的合規流轉與保護。
- 如需深入瞭解 Docusign 全球認證體系,請開啟下方連結:
https://www.docusign.com/trust/compliance/certifications
