Informationssikkerhed

Dropbox har fastlagt rammer for administrationen af informationssikkerhed, der beskriver formålet, retningen, principperne og de grundlæggende regler for, hvordan vi opretholder vores brugeres tillid til os. Dette opnås ved at vurdere risici og løbende forbedre sikkerheden, fortroligheden, integriteten og tilgængeligheden af Dropbox Business' systemer. Vi gennemgår og opdaterer jævnligt sikkerhedspolitikker, tilbyder sikkerhedskurser, afprøver sikkerheden i applikationer og netværk (herunder indtrængningstest), overvåger overholdelse af sikkerhedspolitikker og gennemfører interne og eksterne risikovurderinger.

Sikkerhedspolitikker

  • Informationssikkerhed. Politikker vedrørende bruger- og Dropbox-oplysninger, hvis centrale områder omfatter enhedssikkerhed, godkendelseskrav, data- og systemsikkerhed, beskyttelse af persondata, begrænsninger og retningslinjer for medarbejderes brug af ressourcer samt håndtering af potentielle problemer.
  • Beskyttelse af personlige data. Vores krav til beskyttelse og håndtering af brugeroplysninger og brugerdata hos Dropbox for at kunne leve op til vores persondatapolitik.
  • Fysisk sikkerhed. Hvordan vi opretholder et trygt og sikkert miljø for mennesker og ejendom hos Dropbox
  • Reaktion på hændelser. Vores krav til reaktionen på potentielle sikkerhedshændelser, herunder procedurer i forhold til vurdering, kommunikation og efterforskning
  • Logisk adgang. Politikker for sikring af Dropbox-systemer, brugeroplysninger og Dropbox-oplysninger, som omfatter adgangskontrol til erhvervs- og produktionsmiljøer
  • Adgang til fysisk produktion. Vores procedurer for begrænsning af adgang til det fysiske produktionsnetværk, herunder ledelsens evaluering af personale og fratagelse af opsagte medarbejderes tilladelser
  • Ændringsstyring. Politikker for gennemgang af koder og styring af ændringer, som påvirker sikkerheden og foretages af autoriserede udviklere i applikationers kildekode, systemkonfiguration og produktionsudgivelser
  • Salg og kundetilfredshed. Politikker for vores supportteams adgang til brugeres metadata, hvad angår visning, ydelse af support til eller udførelse af handlinger på konti
  • Videreførelse af forretningen. Politikker og procedurer for opretholdelse og gendannelse af uundværlige virksomhedsfunktioner i tilfælde af forstyrrelser – fra planlægning og dokumentation til udførelse
  • Krisestyring. Politikker og procedurer for, hvordan Dropbox håndterer ekstraordinære omfangsrige begivenheder, der kan forstyrre vores vigtigste funktioner eller true vores strategiske mål
Adgangskontrol

Medarbejderes adgang til Dropbox-miljøet varetages af et centralt register og godkendes ved hjælp af en kombination af stærke adgangskoder, SSH-nøgler beskyttet af adgangsudtryk, to faktor-godkendelse og OTP-tokens. Vores interne politikker kræver, at medarbejdere, der får adgang til produktions- og erhvervsmiljøer, skal overholde bedste praksis for oprettelse og opbevaring af private SSH-nøgler. Fjernadgang kræver brug af et VPN, der er beskyttet med to faktor-godkendelse, og alle specielle adgangshændelser gennemgås og vurderes af sikkerhedsteamet.

Dropbox benytter teknisk adgangskontrol og interne politikker til at forhindre de ansatte i at opnå vilkårlig adgang til brugerfiler og til at begrænse adgang til metadata og andre oplysninger om brugeres konti. Eftersom Dropbox bliver en forlængelse af vores kunders infrastruktur, garanterer vi dem, at vi er ansvarlige vogtere af deres data.

Netværkssikkerhed

Dropbox opretholder sikkerheden i vores underliggende netværk særdeles omhyggeligt. Dropbox identificerer og reducerer risici via regelmæssig afprøvning af sikkerheden i bl.a. applikationer og netværk samt revision foretaget af både interne sikkerhedsteams og eksterne sikkerhedseksperter.

Vores teknikker til netværkssikkerhed og -overvågning er beregnet til at give adskillige lag af beskyttelse og forsvar. Vi bruger branchens standardbeskyttelsesteknikker, herunder firewalls, overvågning af netværkssikkerhed og systemer til opdagelse af indtrængen, for at sikre, at kun berettiget trafik er i stand til at nå vores infrastruktur. Adgang til produktionsmiljøet er udelukkende begrænset til autoriserede IP-adresser, som gennemgås hvert kvartal for at sikre et sikkert produktionsmiljø.

Ændringsstyring

Dropbox' ingeniørteam har defineret en formel politik for ændringsstyring for at sikre, at der er givet tilladelse til alle applikationsændringer forud for implementeringen i produktionsmiljøerne. Alle ændringer gemmes i et system til versionskontrol og skal gennemgå automatiserede testprocedurer for kvalitetssikring (QA) med henblik på at bekræfte, at sikkerhedskravene opfyldes. Vores Software Development Lifecycle (SDLC) kræver overholdelse af sikre retningslinjer for kodning, samt screening af kodeændringer for potentielle sikkerhedsproblemer via vores QA og manuelle gennemgangsprocesser. Dropbox' sikkerhedsteam har ansvaret for at opretholde infrastrukturens sikkerhed og sørge for, at server-, firewall- og andre sikkerhedsrelaterede konfigurationer opdateres i forhold til branchestandarder.

 

Få flere oplysninger om vores styrings- og overbliksfunktioner i vores sikkerhedshvidbog for Dropbox Business.