Seguridad de la información

Dropbox estableció un marco de administración de la seguridad de la información que describe el propósito, la dirección, los principios y las reglas básicas acerca de cómo mantenemos la confianza. Esto se logra mediante la evaluación de los riesgos y la mejora continua de la seguridad, la confidencialidad, la integridad y la disponibilidad de los sistemas de Dropbox Business. Revisamos y actualizamos a intervalos regulares las políticas de seguridad, brindamos capacitación en seguridad, llevamos a cabo pruebas de seguridad de la aplicación y la red (incluidas pruebas de penetración), controlamos el cumplimiento con las políticas de seguridad y llevamos a cabo evaluaciones de riesgo internas y externas.

Políticas de seguridad

  • Seguridad de la información. Las políticas relacionadas con la información de los usuarios y de Dropbox, incluidas las áreas clave, como la seguridad de los dispositivos, los requisitos de autenticación, la seguridad de los datos y los sistemas, la privacidad de los datos de los usuarios, las restricciones y las pautas relacionadas con el uso de recursos, y el procesamiento de los problemas potenciales.
  • Privacidad de los datos de los usuarios. Nuestros requisitos para proteger y procesar la información y los datos de los usuarios de Dropbox con el objetivo de cumplir con nuestra Política de privacidad.
  • Seguridad física. La forma en que mantenemos un entorno seguro para las personas y la propiedad en Dropbox.
  • Respuesta ante incidentes. Nuestros requisitos para responder ante posibles incidentes de seguridad, incluidos los procedimientos de evaluación, comunicación e investigación.
  • Acceso lógico. Políticas para proteger los sistemas de Dropbox, la información del usuario y la información de Dropbox, incluido el control del acceso a los entornos corporativos y de producción.
  • Acceso a la producción física. Nuestros procedimientos para limitar el acceso a la red de producción física, incluidas la revisión de la administración de personal y la desautorización del personal desvinculado.
  • Administración de cambios. Políticas para revisión de código y administración de cambios que afectan la seguridad por parte de programadores autorizados al código fuente de la aplicación, la configuración del sistema y las versiones de producción.
  • Ventas y experiencia del cliente. Políticas de acceso a los metadatos del usuario para nuestro equipo de soporte con respecto a la visualización de cuentas, el soporte o la implementación de acciones en las cuentas.
  • Continuidad del negocio. Políticas y procedimientos para mantener o restaurar las funciones críticas del negocio en caso de interrupción, desde la planificación y documentación hasta la ejecución.
  • Administración de crisis. Políticas y procedimientos respecto de cómo Dropbox debería ocuparse de un evento amplio que podría interrumpir nuestras operaciones más importantes o poner en riesgo nuestros objetivos estratégicos.
Control del acceso

El acceso de los empleados al entorno de Dropbox se mantiene mediante un directorio central y se autentica a través de una combinación de potentes contraseñas, claves SSH protegidas por frases de contraseñas, autenticación de dos factores y tokens de uso único (OTP). Nuestras políticas internas exigen a los empleados acceder a entornos de producción y corporativos para cumplir con las prácticas recomendadas de creación y almacenamiento de claves privadas SSH. El acceso remoto requiere el uso de una VPN protegida con autenticación de dos factores; además, el equipo de seguridad verifica y autoriza los accesos especiales.

Dropbox utiliza controles técnicos de acceso y políticas internas para prohibir a los empleados acceder arbitrariamente a los archivos de los usuarios y para limitar el acceso a los metadatos y otros tipos de información relacionada con las cuentas de los usuarios. Debido a que Dropbox es una extensión de la infraestructura de nuestros clientes, pueden tener la seguridad de que somos custodios responsables de sus datos.

Seguridad de la red

Dropbox preserva diligentemente la seguridad de nuestra red de datos back-end. Dropbox identifica y reduce los riesgos a través de pruebas de seguridad de la aplicación y la red, entre otras, y lleva a cabo auditorías por parte de sus equipos de seguridad interna dedicados y a través de especialistas en seguridad de terceros.

Nuestras técnicas de seguridad y supervisión de redes se diseñaron para brindar múltiples capas de protección y defensa. Aplicamos técnicas de protección estándar en la industria, incluidos firewalls, supervisión de seguridad de redes y sistemas de detección de intrusiones para asegurar que solamente el tráfico que cumpla con los requisitos pueda llegar a nuestra infraestructura. El acceso al entorno de producción está restringido a las direcciones IP autorizadas, que se revisan trimestralmente para asegurar un entorno de producción seguro.

Administración de cambios

El equipo de ingeniería de Dropbox definió una política de administración de cambios formal a fin de garantizar que se autoricen todos los cambios a la aplicación antes de su implementación en los entornos de producción. Todos los cambios se almacenan en un sistema de control de versiones y deben someterse a procedimientos automatizados de pruebas de aseguramiento de la calidad (QA) para verificar que se cumplan los requisitos de seguridad. Nuestro ciclo de vida de programación de software (SDLC) exige que se cumplan las pautas de codificación segura, así como un filtrado de cambios en los códigos, para detectar potenciales problemas de seguridad a través de nuestros procesos de QA y de revisión manual. El equipo de seguridad de Dropbox es responsable de mantener la seguridad de la infraestructura y de asegurar que la configuración relacionada con los servidores, el firewall y otros parámetros inherentes a la seguridad se mantengan al día con los estándares de la industria.

 

Para obtener más información acerca de nuestras características de control y visibilidad, consulta nuestra documentación sobre seguridad de Dropbox Business.