Dropbox telah mewujudkan satu rangka kerja pengurusan keselamatan maklumat yang menerangkan tujuan, hala tuju, prinsip, dan peraturan asas tentang bagaimana kami mengekalkan amanah. Ini dicapai dengan menilai risiko dan mempertingkatkan keselamatan, kerahsiaan, integriti, dan ketersediaan sistem Dropbox Business secara berterusan. Kami kerap menyemak dan mengemas kini dasar keselamatan, menyediakan latihan keselamatan, melaksanakan ujian keselamatan aplikasi dan rangkaian (termasuk ujian penembusan), memantau pematuhan dengan dasar keselamatan, dan melaksanakan penilaian risiko dalaman dan luaran.
Keselamatan maklumat. Dasar-dasar berkaitan dengan maklumat pengguna dan Dropbox, dengan bidang penting termasuk keselamatan peranti; syarat keperluan pentauliahan; keselamatan data dan sistem; privasi data pengguna; batasan terhadap dan garis panduan untuk penggunaan sumber oleh pekerja; serta pengendalian potensi masalah
Privasi data pengguna. Syarat-syarat kami untuk melindungi dan mengendali maklumat pengguna dan data pengguna di Dropbox demi mematuhi Dasar Privasi kami.
Keselamatan fizikal. Bagaimana kami mengekalkan persekitaran yang selamat dan terjamin untuk orang dan harta di Dropbox
Respons insiden. Keperluan kami untuk membalas insiden keselamatan berpotensi, termasuk prosedur penilaian, komunikasi, dan siasatan
Akses logik. Dasar untuk melindungi sistem Dropbox, maklumat pengguna, dan maklumat Dropbox, meliputi kawalan akses kepada persekitaran korporat dan pengeluaran
Akses pengeluaran fizikal. Prosedur kami untuk menyekat akses kepada rangkaian pengeluaran fizikal, termasuk semakan pengurusan kakitangan dan pembatalan kebenaran kakitangan yang telah ditamatkan perkhidmatan
Pengurusan perubahan. Dasar untuk semakan kod dan menguruskan perubahan yang memberi kesan kepada keselamatan oleh pembangun yang ditauliahkan untuk kod sumber aplikasi, konfigurasi sistem, dan siaran pengeluaran
Jualan dan pengalaman pelanggan. Dasar-dasar akses metadata pengguna untuk pasukan sokongan kami berkenaan paparan, menyediakan sokongan untuk, ataupun mengambil tindakan terhadap akaun
Kesinambungan perniagaan. Dasar dan prosedur untuk mengekalkan atau memulihkan kefungsian perniagaan yang kritikal dalam peristiwa gangguan, daripada perancangan dan dokumentasi kepada pelaksanaan
Pengurusan krisis. Dasar dan prosedur tentang bagaimana Dropbox akan mengendalikan peristiwa tular luar biasa yang boleh mengganggu operasi terpenting kami ataupun mengancam matlamat strategik kami
Akses pekerja kepada persekitaran Dropbox dikekalkan oleh pusat direktori dan ditauliahkan menggunakan gabungan kata laluan yang kukuh, frasa laluan kekunci SSH terlindung, pengesahan dua faktor, dan token OTP. Dasar dalaman kami memerlukan pekerja mengakses persekitaran pengeluaran dan korporat untuk mematuhi amalan terbaik untuk penciptaan dan penyimpanan kekunci peribadi SSH. Akses jarak jauh memerlukan penggunaan VPN yang dilindungi dengan pengesahan dua faktor, dan sebarang akses khas akan disemak dan diperiksa oleh pasukan keselamatan.
Dropbox menggunakan kawalan akses teknikal dan dasar dalaman untuk menghalang pekerja daripada sewenang-wenangnya mengakses fail pengguna dan untuk menyekat akses kepada metadata dan maklumat lain mengenai akaun pengguna. Disebabkan Dropbox menjadi lanjutan infrastruktur pelanggan kami, mereka boleh yakin bahawa kami adalah penjaga data mereka yang bertanggungjawab.
Dropbox mengekalkan keselamatan rangkaian bahagian belakang kami dengan tekun. Dropbox mengenal pasti dan mengurangkan risiko melalui ujian aplikasi, rangkaian, dan ujian keselamatan lain dan pengauditan dengan kerap oleh pasukan keselamatan dalaman dan pakar keselamatan pihak ketiga yang berdedikasi.
Rangkaian keselamatan dan teknik pemantauan kami direka untuk menyediakan pelbagai lapisan perlindungan dan pertahanan. Kami menggunakan teknik perlindungan piawaian industri, termasuk tembok api, pemantauan keselamatan rangkaian, dan sistem pengesanan pencerobohan bagi memastikan hanya trafik yang layak dapat mencapai infrastruktur kami. Akses kepada persekitaran pengeluaran adalah terhad kepada alamat IP yang ditauliahkan sahaja, yang disemak pada setiap suku tahun untuk memastikan persekitaran pengeluaran yang selamat.
Dasar Pengurusan Perubahan telah ditakrifkan oleh pasukan Kejuruteraan Dropbox untuk memastikan bahawa semua perubahan aplikasi telah ditauliahkan sebelum pelaksanaan ke dalam persekitaran pengeluaran. Semua perubahan disimpan dalam sistem kawalan versi dan dikehendaki untuk melalui prosedur ujian Jaminan Mutu (QA) automatik untuk mengesahkan bahawa keperluan keselamatan dipenuhi. Kitaran hidup pembangunan perisian (SDLC) kami memerlukan pematuhan kepada garis panduan pengekodan selamat, dan juga saringan perubahan kod untuk masalah keselamatan berpotensi melalui proses Jaminan Mutu dan semakan manual kami. Pasukan Keselamatan Dropbox bertanggungjawab untuk menyelenggarakan keselamatan infrastruktur dan memastikan bahawa pelayan, tembok api, dan konfigurasi berkenaan keselamatan yang lain dikemas kini dengan piawaian industri.
Ketahui lebih lanjut tentang pendekatan kami terhadap keselamatan maklumat dalam kertas putih keselamatan Dropbox Business kami.
