Sicurezza delle informazioni


Dropbox ha definito una struttura di gestione della sicurezza delle informazioni che descrive le finalità, la direzione, i principi e le regole di base su come manteniamo l'affidabilità. Tale obiettivo si ottiene attraverso la valutazione dei rischi e il miglioramento continuo di sicurezza, riservatezza, integrità e disponibilità dei sistemi Dropbox Business. Rivediamo e aggiorniamo periodicamente le norme di sicurezza, forniamo formazione sulla sicurezza, eseguiamo test sulla sicurezza delle applicazioni e della rete (compresi test di penetrazione), monitoriamo la conformità con le norme sulla sicurezza ed eseguiamo valutazioni sui rischi interni ed esterni.

Norme sulla sicurezza

  • Sicurezza delle informazioni. Norme relative alle informazioni degli utenti e di Dropbox, comprensive di aree chiave che includono la sicurezza dei dispositivi, i requisiti per l'autenticazione, la sicurezza di dati e sistemi, restrizioni e linee guida sull'uso delle risorse da parte dei dipendenti e gestione di potenziali problemi

  • Sicurezza fisica. In che modo manteniamo un ambiente sicuro per il personale e le proprietà di Dropbox

  • Risposta agli incidenti. I nostri requisiti per la risposta a potenziali incidenti relativi alla sicurezza, comprese le procedure di valutazione, comunicazione e indagine

  • Accesso logico. Norme sulla sicurezza dei sistemi Dropbox, delle informazioni degli utenti e delle informazioni di Dropbox, che riguardano il controllo degli accessi agli ambienti aziendali e produttivi

  • Accesso alla produzione fisica. Le nostre procedure per limitare gli accessi alla rete fisica di produzione, compresa le revisione della gestione del personale e la rimozione dell'autorizzazione per le persone che non lavorano più per l'azienda

  • Gestione del cambiamento. Norme per la revisione del codice e la gestione del cambiamento che si riflettono sulle norme di sicurezza osservate dagli sviluppatori autorizzati in merito al codice sorgente delle applicazioni, alla configurazione del sistema e alla pubblicazione di nuove versioni

  • Assistenza. Politiche di accesso ai metadati dell'utente rivolte al nostro team di assistenza, riguardanti la visualizzazione degli account, l'assistenza effettuata su di essi o le azioni da intraprendere su di essi

Controllo degli accessi

L'accesso dei dipendenti all'ambiente Dropbox è gestito da una directory centrale e autenticato mediante una combinazione di password sicure, chiavi SSH protette da frasi d'accesso, autenticazione a due fattori e token OTP. Le nostre norme interne richiedono ai dipendenti che accedono agli ambienti di produzione e aziendali di rispettare le best practice per la creazione e l'archiviazione di chiavi SSH private. L'accesso remoto richiede l'uso di VPN protetta da autenticazione a due fattori ed eventuali accessi speciali sono esaminati e autorizzati dal team di sicurezza.

Dropbox utilizza controlli tecnici sugli accessi e norme interne per impedire ai dipendenti di accedere di loro iniziativa a file di utenti e per limitare l'accesso ai metadati e ad altre informazioni relative agli account degli utenti. Nel momento in cui Dropbox diventa un'estensione delle infrastrutture dei nostri clienti, questi ultimi hanno la garanzia che custodiremo con responsabilità i loro dati.

Sicurezza della rete

Dropbox mantiene diligentemente la sicurezza della propria rete di back-end. Dropbox identifica e riduce i rischi attraverso test periodici su applicazioni, rete e altri elementi inerenti la sicurezza, nonché tramite verifiche da parte di team interni per la sicurezza e terze parti specializzate nel settore della sicurezza.

Le nostre tecniche di protezione e monitoraggio della rete sono studiate per fornire più livelli di protezione e difesa. Al fine di garantire che solo il traffico idoneo sia in grado di raggiungere la nostra infrastruttura, utilizziamo tecniche di protezione rispondenti agli standard del settore, compresi firewall, monitoraggio della sicurezza della rete e sistemi di rilevamento delle intrusioni. L'accesso all'ambiente di produzione è limitato agli indirizzi IP autorizzati, che vengono riesaminati a cadenza trimestrale per garantire un ambiente di produzione sicuro.

Gestione del cambiamento

Il team tecnico di Dropbox ha definito Norme formali di gestione delle modifiche al fine di garantire che tutti i cambiamenti dell'applicazione siano stati autorizzati prima della loro implementazione negli ambienti di produzione. Tutte le modifiche vengono archiviate in un sistema di controllo delle versioni e devono superare procedure di test di Controllo qualità (QA) automatico per verificare che siano rispettati i requisiti di sicurezza. Il nostro ciclo di vita di sviluppo del software (Software Development Lifecycle, SDLC) richiede l'adesione a linee per la codifica sicura, così come lo screening delle modifiche al codice per individuare potenziali problemi per la sicurezza attraverso i nostri processi di QA e revisione manuale. Il team di sicurezza di Dropbox è responsabile della sicurezza dell'infrastruttura e deve garantire che server, firewall e altre configurazioni inerenti la sicurezza siano costantemente al passo con gli standard del settore.

Per ulteriori dettagli sulla nostra architettura di sicurezza, consulta il libro bianco sulla sicurezza di Dropbox Business.