Keamanan informasi


Dropbox telah membangun kerangka kerja pengelolaan keamanan informasi yang menjelaskan tujuan, arah, prinsip dan dasar aturan sehubungan cara kami menjaga kepercayaan. Ini dicapai melalui penilaian risiko dan peningkatan terus menerus pada keamanan, kerahasiaan, integritas, dan ketersediaan sistem Dropbox Business. Secara tetap tentu kami meninjau dan memperbarui kebijakan keselamatan, memberikan pelatihan keamanan, melakukan penerapan dan pengujian keamanan jaringan (termasuk pengujian penetrasi), memantau kepatuhan terhadap kebijakan keamanan, dan melakukan penilaian risiko internal dan eksternal.

Kebijakan keamanan

  • Keamanan informasi. Kebijakan mengenai pengguna dan informasi Dropbox, dengan bidang-bidang utama seperti keamanan perangkat, persyaratan autentikasi, keamanan data dan sistem, pembatasan dan panduan bagi penggunaan sumber daya oleh karyawan, serta penanganan potensi masalah.

  • Keamanan fisik. Cara kami memelihara lingkungan yang aman dan terjamin bagi orang-orang dan properti di Dropbox

  • Tanggapan insiden. Persyaratan kami untuk menanggapi kemungkinan insiden keamanan, termasuk penilaian, komunikasi, dan prosedur investigasi

  • Akses logis. Kebijakan untuk mengamankan sistem Dropbox, informasi pengguna, dan informasi Dropbox, mencakup kontrol akses ke lingkungan perusahaan dan produksi

  • Akses produksi fisik. Prosedur untuk membatasi akses ke jaringan produksi fisik kami, termasuk tinjauan manajemen terkait personel dan de-otorisasi dari personel yang dihentikan.

  • Manajemen perubahan. Kebijakan tinjauan kode dan mengelola perubahan yang berdampak pada keamanan oleh pengembang yang berwenang ke kode sumber aplikasi, konfigurasi sistem, serta rilis produksi

  • Dukungan. Kebijakan akses metadata pengguna bagi tim dukungan kami terkait melihat, memberikan dukungan, atau bertindak pada akun

Kontrol akses

Akses karyawan ke lingkungan Dropbox dijaga oleh direktori sentral dan disahkan menggunakan kombinasi kata sandi rumit, frasa akses yang dilindungi kode SSH, autentikasi dua faktor, dan token OTP. Kebijakan internal kami mewajibkan karyawan yang mengakses produksi dan lingkungan korporasi untuk tunduk pada praktik terbaik dalam pembuatan dan penyimpanan kode rahasia SSH. Akses jarak jauh mewajibkan penggunaan VPN yang dilindungi dengan autentikasi dua faktor, dan akses khusus apa pun akan ditinjau dan diperiksa oleh tim keamanan.

Dropbox memberlakukan kontrol akses teknis dan kebijakan internal untuk mencegah karyawan secara semena-mena mengakses file pengguna dan membatasi akses ke metadata serta informasi lain tentang akun pengguna. Karena Dropbox menjadi perpanjangan infrastruktur klien kami, mereka bisa merasa aman karena kami adalah petugas jaga yang bertanggung jawab atas data mereka.

Keamanan jaringan

Dropbox bekerja keras mempertahankan keamanan jaringan bagi pengguna. Dropbox mengidentifikasi dan memitigasi risiko melalui pengujian reguler atas aplikasi, jaringan, dan keamanan lainnya dan audit baik oleh tim keamanan internal khusus maupun spesialis keamanan pihak ketiga.

Keamanan jaringan dan teknik pemantauan kami dirancang untuk menyediakan berlapis-lapis perlindungan dan pertahanan. Kami memberlakukan teknik perlindungan berstandar industri, termasuk firewall, pemantauan keamanan jaringan, dan sistem pendeteksian gangguan. Akses ke lingkungan produksi terbatas hanya pada alamat-alamat IP yang berwenang, yang ditinjau per kuartal untuk memastikan lingkungan produksi yang aman.

Manajemen perubahan

Kebijakan Manajemen Perubahan formal telah ditetapkan oleh tim Rancang Bangun Dropbox untuk memastikan bahwa semua perubahan aplikasi telah disahkan sebelum diterapkan dalam lingkungan produksi. Semua perubahan disimpan di sistem kontrol versi dan diwajibkan menjalani prosedur pengujian Jaminan Kualitas (QA) otomatis untuk memverifikasi bahwa persyaratan keamanan terpenuhi. Umur perkembangan perangkat lunak (SDLC) kami mewajibkan kepatuhan pada panduan pengodean aman, termasuk pemeriksaan perubahan kode atas masalah keamanan potensial melaui QA kami dan proses peninjauan manual. Tim Keamanan Dropbox bertanggung jawab atas pemeliharaan keamanan infrastruktur dan memastikan bahwa server, firewall, dan konfigurasi terkait keamanan lainnya mengikuti standar industri terkini.

Ketahui lebih lanjut tentang arsitektur keamanan kami di dokumen putih tentang keamanan Dropbox Business.