Seguridad de la información


Dropbox estableció un marco de administración de la seguridad de la información que describe el propósito, la dirección, los principios y las reglas básicas acerca de cómo mantenemos la confianza. Esto se logra a través de la evaluación de los riesgos y la mejora continua de la seguridad, la confidencialidad, la integridad y la disponibilidad de los sistemas de Dropbox Business. Revisamos y actualizamos a intervalos regulares las políticas de seguridad, brindamos capacitación en seguridad, llevamos a cabo pruebas de seguridad de la aplicación y la red (incluidas pruebas de penetración), controlamos el cumplimiento con las políticas de seguridad y llevamos a cabo evaluaciones de riesgo internas y externas.

Políticas de seguridad

  • Seguridad de la información. Políticas relacionadas con la información del usuario y de Dropbox, con áreas clave, como seguridad de dispositivos, requisitos de autenticación, seguridad de los datos y sistemas, restricciones y pautas para el uso de los recursos por parte de los empleados y control de problemas potenciales.

  • Seguridad física. La forma en que mantenemos un entorno seguro para las personas y la propiedad en Dropbox.

  • Respuesta ante incidentes. Nuestros requisitos para responder ante posibles incidentes de seguridad, incluidos los procedimientos de evaluación, comunicación e investigación.

  • Acceso lógico. Políticas para proteger los sistemas de Dropbox, la información del usuario y la información de Dropbox, incluido el control del acceso a los entornos corporativos y de producción.

  • Acceso a la producción física. Nuestros procedimientos para limitar el acceso a la red de producción física, incluidas la revisión de la administración de personal y la desautorización del personal desvinculado.

  • Administración de cambios. Políticas para revisión de código y administración de cambios que afectan la seguridad por parte de programadores autorizados al código fuente de la aplicación, la configuración del sistema y las versiones de producción.

  • Soporte. Políticas de acceso a los metadatos del usuario para nuestro equipo de soporte con respecto a la visualización de cuentas, el soporte o la implementación de acciones en las cuentas.

Control del acceso

El acceso de los empleados al entorno de Dropbox se mantiene mediante un directorio central y se autentica a través de una combinación de potentes contraseñas, claves SSH protegidas por frases de contraseñas, autenticación de dos factores y tokens de uso único (OTP). Nuestras políticas internas exigen a los empleados acceder a entornos de producción y corporativos para cumplir con las prácticas recomendadas de creación y almacenamiento de claves privadas SSH. El acceso remoto requiere el uso de una VPN protegida con autenticación de dos factores; además, el equipo de seguridad verifica y autoriza los accesos especiales.

Dropbox utiliza controles técnicos de acceso y políticas internas para prohibir a los empleados acceder arbitrariamente a los archivos de los usuarios y para limitar el acceso a los metadatos y otros tipos de información relacionada con las cuentas de los usuarios. Debido a que Dropbox es una extensión de la infraestructura de nuestros clientes, pueden tener la seguridad de que somos custodios responsables de sus datos.

Seguridad de la red

Dropbox preserva diligentemente la seguridad de nuestra red de datos back-end. Dropbox identifica y reduce los riesgos a través de pruebas de seguridad de la aplicación y la red, entre otras, y lleva a cabo auditorías por parte de sus equipos de seguridad interna dedicados y a través de especialistas en seguridad de terceros.

Nuestras técnicas de seguridad y supervisión de redes se diseñaron para brindar múltiples capas de protección y defensa. Aplicamos técnicas de protección estándar en la industria, incluidos firewalls, supervisión de seguridad de redes y sistemas de detección de intrusiones para asegurar que solamente el tráfico que cumpla con los requisitos pueda llegar a nuestra infraestructura. El acceso al entorno de producción está restringido a las direcciones IP autorizadas, que se revisan trimestralmente para asegurar un entorno de producción seguro.

Administración de cambios

El equipo de ingeniería de Dropbox definió una política de administración de cambios formal a fin de garantizar que se autoricen todos los cambios a la aplicación antes de su implementación en los entornos de producción. Todos los cambios se almacenan en un sistema de control de versiones y deben someterse a procedimientos automatizados de pruebas de aseguramiento de la calidad (QA) para verificar que se cumplan los requisitos de seguridad. Nuestro ciclo de vida de programación de software (SDLC) exige que se cumplan las pautas de codificación segura, así como un filtrado de cambios en los códigos, para detectar potenciales problemas de seguridad a través de nuestros procesos de QA y de revisión manual. El equipo de seguridad de Dropbox es responsable de mantener la seguridad de la infraestructura y de asegurar que la configuración relacionada con los servidores, el firewall y otros parámetros inherentes a la seguridad se mantengan al día con los estándares de la industria.

Para obtener más información acerca de nuestra arquitectura de seguridad, consulta la documentación sobre seguridad de Dropbox Business.