Informationssikkerhed


Dropbox har fastlagt rammer for administrationen af informationssikkerhed, der beskriver formålet, retningen, principperne og de grundlæggende regler for, hvordan vi opretholder vores brugeres tillid til os. Dette opnås ved at vurdere risici og løbende forbedre sikkerhed, fortrolighed, integritet og tilgængelighed af Dropbox Business-systemerne. Vi gennemgår og opdaterer jævnligt sikkerhedspolitikker, tilbyder sikkerhedskurser, afprøver sikkerheden i applikationer og netværk (herunder indtrængningstest), overvåger overholdelse af sikkerhedspolitikker og gennemfører interne og eksterne risikovurderinger.

Sikkerhedspolitikker

  • Informationssikkerhed. Politikker vedrørende bruger- og Dropbox-oplysninger, hvis centrale områder omfatter enhedssikkerhed, godkendelseskrav, data- og systemsikkerhed, begrænsninger og retningslinjer for medarbejderes brug af ressourcer samt håndtering af potentielle problemer

  • Fysisk sikkerhed. Hvordan vi opretholder et trygt og sikkert miljø for mennesker og ejendom hos Dropbox

  • Reaktion på hændelser. Vores krav til reaktionen på potentielle sikkerhedshændelser, herunder procedurer i forhold til vurdering, kommunikation og efterforskning

  • Logisk adgang. Politikker for sikring af Dropbox-systemer, brugeroplysninger og Dropbox-oplysninger, som omfatter adgangskontrol til erhvervs- og produktionsmiljøer

  • Adgang til fysisk produktion. Vores procedurer for begrænsning af adgang til det fysiske produktionsnetværk, herunder ledelsens evaluering af personale og fratagelse af opsagte medarbejderes tilladelser

  • Ændringsstyring. Politikker for gennemgang af koder og styring af ændringer, som påvirker sikkerheden og foretages af autoriserede udviklere i applikationers kildekode, systemkonfiguration og produktionsudgivelser

  • Support. Politikker for vores supportteams adgang til brugeres metadata, hvad angår visning, ydelse af support til eller udførelse af handlinger på konti

Adgangskontrol

Medarbejderes adgang til Dropbox-miljøet varetages af et centralt register og godkendes ved hjælp af en kombination af stærke adgangskoder, SSH-nøgler beskyttet af adgangsudtryk, to faktor-godkendelse og OTP-tokens. Vores interne politikker kræver, at medarbejdere, der får adgang til produktions- og erhvervsmiljøer, skal overholde bedste praksis for oprettelse og opbevaring af private SSH-nøgler. Fjernadgang kræver brug af et VPN, der er beskyttet med to faktor-godkendelse, og alle specielle adgangshændelser gennemgås og vurderes af sikkerhedsteamet.

Dropbox benytter teknisk adgangskontrol og interne politikker til at forhindre de ansatte i at opnå vilkårlig adgang til brugerfiler og til at begrænse adgang til metadata og andre oplysninger om brugeres konti. Eftersom Dropbox bliver en forlængelse af vores kunders infrastruktur, garanterer vi dem, at vi er ansvarlige vogtere af deres data.

Netværkssikkerhed

Dropbox opretholder sikkerheden i vores underliggende netværk særdeles omhyggeligt. Dropbox identificerer og reducerer risici via regelmæssig afprøvning af sikkerheden i bl.a. applikationer og netværk samt revision foretaget af både interne sikkerhedsteams og eksterne sikkerhedseksperter.

Vores teknikker til netværkssikkerhed og -overvågning er beregnet til at give adskillige lag af beskyttelse og forsvar. Vi bruger branchens standardbeskyttelsesteknikker, herunder firewalls, overvågning af netværkssikkerhed og systemer til opdagelse af indtrængen, for at sikre, at kun berettiget trafik er i stand til at nå vores infrastruktur. Adgang til produktionsmiljøet er udelukkende begrænset til autoriserede IP-adresser, som gennemgås hvert kvartal for at sikre et sikkert produktionsmiljø.

Ændringsstyring

Dropbox' ingeniørteam har defineret en formel politik for ændringsstyring for at sikre, at der er givet tilladelse til alle applikationsændringer forud for implementeringen i produktionsmiljøerne. Alle ændringer gemmes i et system til versionskontrol og skal gennemgå automatiserede testprocedurer for kvalitetssikring (QA) med henblik på at bekræfte, at sikkerhedskravene opfyldes. Vores Software Development Lifecycle (SDLC) kræver overholdelse af sikre retningslinjer for kodning, samt screening af kodeændringer for potentielle sikkerhedsproblemer via vores QA og manuelle gennemgangsprocesser. Dropbox' sikkerhedsteam har ansvaret for at opretholde infrastrukturens sikkerhed og sørge for, at server-, firewall- og andre sikkerhedsrelaterede konfigurationer opdateres i forhold til branchestandarder.

Du finder flere oplysninger om vores sikkerhedsarkitektur i vores sikkerhedshvidbog til Dropbox Business.