许多客户在选择电子签名解决方案时,经常会问:“ Docusign 是否符合全球主要市场的认证与标准?在欧洲、美国、加拿大、亚洲等国家/地区是否合法使用?其信息安全能否满足合规要求?” 这些问题至关重要,尤其是在涉及跨境业务或敏感数据(如个人隐私、金融合同、医疗记录)时。
Docusign 作为全球领先的电子签名平台,通过多项国际认证和区域性合规框架(如 ISO 27018、SOC 2 类型 II 等),确保其服务在北美、欧洲、亚洲等主要市场的合法性与数据安全。
接下来,本文将详细介绍 Docusign 的认证体系 ,包括其通过的国际标准、行业专项认证 ,以及区域性合规要求。通过分析这些认证的实际意义,帮助你理解 Docusign 如何保障数据安全,并满足不同国家/地区的法律与行业监管要求。
01、ISO 27001、ISO 27017 和 ISO 27018
ISO 认证是指企业或组织通过国际标准化组织(International Organization for Standardization,简称 ISO)制定的某项国际标准的符合性认证。
Docusign 已通过 ISO 27001:2022 信息安全管理体系认证,并进一步通过 ISO 27017:2015(云服务安全控制)和 ISO 27018:2019(公有云个人数据保护)专项认证。这些国际权威认证不仅验证了 Docusign 在信息安全领域的合规性,更体现了其在云服务环境下保护客户敏感数据的专业能力和前瞻性布局。
- 如需查看 ISO 标准详细要求,请打开下方链接:
https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-3:v1:en
02、支付卡行业数据安全标准
作为 Visa 全球服务提供商注册中心认证的 PCI 合规服务提供商,Docusign 严格遵循支付卡行业数据安全标准(PCI DSS)4.0 版要求。在支付卡行业安全标准委员会(PCI SSC)的监管框架下,Docusign 通过实施多层次安全控制措施,确保支付卡账户信息在整个处理流程中的安全性与可靠性。
- 如需深入了解 PCI 安全标准,请打开下方链接:
https://www.pcisecuritystandards.org/about_us/
03、SOC 1 类型 II 和 SOC 2 类型 II
Docusign 严格遵循美国注册会计师协会(AICPA)信托服务准则的合规要求。Docusign 建立了年度审计机制,对包括数据中心在内的全部生产运营环节进行系统性审查,确保持续满足所有关键性监管标准。
- 如需深入了解 AICPA 信托服务的细则,请打开下方链接:
https://www.aicpa-cima.com/topic/accounting-financial-reporting
04、云计算合规控制目录 (C5)
Docusign 已成功通过 C5 Type II 合规认证,该认证由德国联邦信息安全办公室(BSI)颁发,验证了 Docusign 的电子签名产品在安全控制措施方面完全符合德国云服务合规标准。
作为面向 DACH 地区(德国、奥地利、瑞士)云服务提供商的权威认证,C5 评估特别针对云计算环境特有的安全挑战,通过严格的审计要求显著提升了云服务的信息安全透明度和数据保护水平。
05、澳大利亚 IRAP
信息安全注册评估员计划(IRAP)是由澳大利亚信号局(ASD)发起的一项计划。该计划为网络安全和风险管理提供了一个框架,组织可以使用该框架来保护澳大利亚政府数据和系统免受网络威胁。
Docusign 已完成第三方评估,其安全控制措施完全符合澳大利亚政府信息安全手册(ISM)的要求,并满足保护性安全政策框架(PSPF)的各项标准。
- 如需深入了解信息安全注册评估员计划 IRAP,请打开下方链接:
https://www.cyber.gov.au/irap
06、联邦 RAMP
FedRAMP(美国联邦风险与授权管理计划)是一种标准化的评估、监控和授权云计算产品和服务的方法。Docusign 已获得 FedRAMP 的机构授权,并在 FedRAMP Marketplace 上线,提供 Docusign Federal(电子签名)和 Docusign 合同生命周期管理(CLM)解决方案。
- 如需深入了解美国联邦风险与授权管理计划 ,请打开下方链接:
https://www.docusign.com/blog/are-docusign-products-authorized-by-fedramp
07、StateRAMP
StateRAMP 是一个非营利性会员组织,专注于协助州和地方政府以及高等教育机构采购符合特定网络安全标准的云服务和软件。通过制定统一的云安全标准、传授最佳实践,并识别一种通用方法来验证云解决方案供应商的安全性,StateRAMP 确保这些供应商在处理、存储和传输政府数据时(包括个人身份信息 [PII]、个人健康信息 [PHI] 和支付卡行业 [PCI] 信息),能够满足严格的安全要求。
Docusign Federal(电子签名)和 Docusign 合同生命周期管理(CLM)均已获得 StateRAMP 的正式授权,这表明这些解决方案符合该组织设定的严格安全标准,能够为政府机构提供安全可靠的云服务。
- 如需深入了解,请打开下方链接:
https://stateramp.org/
08、DoD IL4(国防部影响等级 4)
Docusign 已获得美国国防信息系统局(DISA)授予的 DoD IL4 临时授权,涵盖其 Docusign Federal(电子签名)和合同生命周期管理(CLM)解决方案。根据国防部云计算安全要求指南(DoD CC SRG),IL4 授权级别适用于处理敏感但未分类的数据,这类数据的泄露可能对机构运营、资产或个人造成严重影响。
- 如需深入了解 DoD IL4,请打开下方链接:
https://www.docusign.com/blog/docusign-achieves-dod-impact-level-4-provisional-authorization
09、欧盟成员国关于 SSCD 和 QSCD 的通知汇编
根据欧盟 eIDAS 法规第 39 条要求, 本文件汇编了各成员国官方认证的合格签名创建设备 (QSCD)清单。 Docusign 作为全球领先的云签名服务提供商, 其运营的两台远程签名设备已成功列入该认证名录。 这些设备为 Docusign 基于云的电子签名解决方案提供了符合 eIDAS 标准的合格电子签名(QES)创建能力。
- 如需深入了解签名设备要求,请打开下方链接:
https://eidas.ec.europa.eu/efda/browse/notification/qscd-sscd
10、欧盟信任名单
根据欧盟第 910/2014 号法规(eIDAS),Docusign France SAS 作为官方认证的信任服务提供商(TSP),已被列入法国国家信息安全局(ANSSI)管理的欧盟信任名单。作为 Docusign 集团成员,该公司提供全欧盟认可的合格电子签名(QES)、高级电子签名(AES)、合格时间戳及高级电子印章服务,完全符合 eIDAS 对合格信任服务提供商的技术与法律要求。
- 如需了解更多欧盟信任名单,请打开下方链接:
https://eidas.ec.europa.eu/efda/trust-services/browse/eidas/tls/tl/AT
11、APEC 跨境数据隐私认证
作为亚太经合组织(APEC)跨境隐私规则(CBPR)体系认证企业,Docusign 已成功通过 APEC 处理器隐私认证(PRP)。该认证表明 Docusign 的数据处理实践完全符合 APEC 制定的个人信息保护框架要求,能够确保数据在传输和存储全生命周期的安全性。
- 如需了解更多 APEC 认证,请打开下方链接:
https://www.schellman.com/services/privacy-assessments/apec-certification/prp-process
12、欧盟数据跨境传输合规认证
Docusign 的具有约束力的公司规则(BCR)已获得欧盟数据保护机构的批准。作为数据处理者和数据控制者,Docusign 提交的 BCR 申请得到了正式认可。这一批准使得 Docusign 平台和电子签名服务能够在符合法规要求的前提下,合法地进行跨境数据传输。
- 如需了解更多 BCR,请打开下方链接:
https://www.docusign.com/trust/privacy/binding-corporate-rules
13、SIG 标准化信息收集
Docusign 采用共享评估组织开发的标准化信息收集(SIG)问卷作为第三方风险评估工具。该问卷由行业从业者策划,包含经过专业审查的问题库,覆盖 21 个关键风险领域。作为综合性安全评估工具,SIG 问卷使 Docusign 能够系统化地收集安全控制措施、政策及流程数据,通过标准化方法有效降低第三方合作风险,同时显著提升客户的安全评估效率。SIG 问卷的实施遵循年度评估机制,确保持续符合行业最佳实践。
- 如需了解更多 SIG,请打开下方链接:
https://sharedassessments.org/sig/
14、加拿大云安全联盟 CSA
加拿大云安全联盟(CSA)的安全、信任、保证和风险(STAR)计划以透明度、严格审计和标准协调等关键原则为核心。Docusign 每年均会完成共识评估倡议问卷(CAIQ),该问卷详细记录了 Docusign 在安全态势和最佳实践方面的严谨性和强度。完成后的 CAIQ 可在 CSA STAR 注册表中公开查看和下载,为用户提供了清晰的安全透明度保障。
- 如需了解更多 CSA,请打开下方链接:
https://cloudsecurityalliance.org/star/#_overview
15、加拿大政府 Protected-B 计划
Docusign 已成功通过加拿大政府 Protected-B 认证计划审核,该计划为在加运营的 SaaS 服务商建立了严格的安全认证框架,专门规范 Protected-B 级敏感政府数据的处理标准。为获得并持续保持此项认证,Docusign 完成了包括系统安全评估、合规审查流程及人员安全许可核查在内的全方位资质验证,确保完全符合加拿大联邦各部门的安全要求。
16、金融业信息系统中心 FISC
Docusign 作为金融业信息系统中心(FISC)的成员机构,主动采纳其制定的信息系统安全指南。该指南被日本绝大多数金融机构采用,涵盖系统架构设计、计算机控制审计、应急预案制定以及安全政策与程序实施等关键领域的安全措施要求。尽管 FISC 指南并非强制性规范且不包含审计要求,Docusign 仍自愿建立完善的内部控制体系,确保业务实践全面符合 FISC 安全标准。
- 如需了解更多 FISC,请打开下方链接:
https://www.fisc.or.jp/english/
Docusign 全球认证体系:
Docusign 已成功获得全球多个权威安全认证,全面满足各国家和地区的数据保护与合规要求。
在美国,Docusign 通过 FedRAMP 认证和 DoD IL4 授权;
在欧盟,符合 eIDAS 标准并获得法国 ANSSI 认证的 QES 服务;
在亚太地区,取得 APEC CBPR 跨境隐私认证;
同时还满足加拿大 Protected-B、日本 FISC 等国家级安全标准。
这些认证验证了 Docusign 在电子签名和合同管理领域的安全领导地位,确保客户数据在全球范围内的合规流转与保护。
- 如需深入了解 Docusign 全球认证体系,请打开下方链接:
https://www.docusign.com/trust/compliance/certifications