Dropbox ha establecido un entorno de gestión de la seguridad de la información que describe el propósito, el sentido, los principios y las reglas básicas de cómo mantenemos la confianza. Lo conseguimos mediante la evaluación de los riesgos y la mejora continua de la seguridad, confidencialidad, integridad y disponibilidad de los sistemas de Dropbox Business. Revisamos y actualizamos periódicamente las políticas de seguridad, ofrecemos formación sobre seguridad, realizamos pruebas de seguridad de las aplicaciones y las redes (incluidas pruebas de penetración), supervisamos la conformidad con las normativas de seguridad y realizamos evaluaciones de riesgos internas y externas.
Seguridad de la información. Políticas que hacen referencia a la información del usuario en Dropbox, con aspectos clave como los siguientes: seguridad de los dispositivos, requisitos de autenticación, seguridad de sistemas y datos, restricciones y directrices para el uso por parte de los empleados de recursos y gestión de problemas potenciales.
Seguridad física. Cómo mantenemos en Dropbox un entorno seguro y protegido para las personas y los recursos materiales.
Respuesta a incidentes. Nuestros requisitos para responder a posibles incidentes de seguridad, lo que incluye procedimientos de evaluación, comunicación e investigación.
Acceso lógico. Políticas para proteger los sistemas de Dropbox, así como la información de los usuarios y de Dropbox. Incluye un control de acceso al entorno corporativo y de producción.
Acceso físico a los sistemas de producción. Nuestros procedimientos para restringir el acceso a la red de producción física, incluida la revisión de la gestión del personal y la desautorización del personal que deja de trabajar con nosotros.
Gestión de cambios. Políticas para la revisión del código y la gestión de cambios que afectan a la seguridad por parte de desarrolladores autorizados sobre el código fuente de las aplicaciones, la configuración del sistema o las versiones de producción.
Asistencia. Políticas de acceso a metadatos de usuarios para nuestro equipo de asistencia respecto a la visualización, asistencia o ejecución de acciones sobre las cuentas.
El acceso de los empleados al entorno de Dropbox se mantiene mediante un directorio central y un sistema de autenticación con una combinación de contraseñas seguras, claves SSH protegidas mediante códigos de contraseña, la autenticación en dos pasos y tokens OTP. Nuestras políticas internas requieren que los empleados que accedan al entorno corporativo y al de producción se adhieran a las prácticas recomendadas de creación y almacenamiento de claves SSH privadas. El acceso remoto requiere el uso de una VPN protegida con autenticación en dos pasos y cualquier acceso especial está sujeto a la revisión y la aprobación del equipo de seguridad.
Dropbox emplea controles de acceso técnicos y políticas internas para impedir que los empleados accedan de forma arbitraria a los archivos de los usuarios y para restringir el acceso a los metadatos y a otros datos acerca de las cuentas de los usuarios. Puesto que Dropbox se convierte en una extensión de la infraestructura de nuestros clientes, estos pueden estar seguros de que custodiamos sus datos de forma responsable.
Dropbox mantiene de forma diligente la seguridad de la red de servicios. Dropbox identifica y reduce los riesgos mediante pruebas y auditorías de aplicaciones, redes y otros aspectos de la seguridad a través de equipos de seguridad internos y especialistas externos.
Nuestras técnicas de supervisión y seguridad de la red están diseñadas para ofrecer múltiples capas de protección y defensa. Empleamos las técnicas de protección estándar del sector, como cortafuegos, supervisión de la seguridad de la red y sistemas de detección de intrusiones, a fin de garantizar que solo el tráfico permitido pueda llegar a nuestra infraestructura. El acceso al entorno de producción se limita a direcciones IP autorizadas, que se revisan cada trimestre para garantizar la seguridad del entorno de producción.
El equipo de ingeniería de Dropbox ha definido una política formal de administración de cambios para garantizar que todos los cambios en las aplicaciones sean autorizados antes de su implementación en los entornos de producción. Todos los cambios se guardan en un sistema de control de versiones y deben someterse a procedimientos de pruebas de control de calidad para verificar que cumplen los requisitos de seguridad. Para nuestro ciclo de vida de desarrollo de software (SDLC), es necesario adherirse a directrices de codificación de seguridad, así como a la revisión de cambios de código para detectar posibles problemas de seguridad a través de nuestros procesos de verificación manual y de control de calidad. El equipo de seguridad de Dropbox es responsable de mantener la seguridad de la infraestructura y garantizar que el servidor, el cortafuegos y otros parámetros de configuración relacionados con la seguridad se mantengan al día según los estándares del sector.
Consulta más información acerca de nuestra arquitectura de seguridad en el informe de seguridad de Dropbox Business.
