Keselamatan maklumat


Dropbox telah mewujudkan satu rangka kerja pengurusan keselamatan maklumat yang menerangkan tujuan, hala tuju, prinsip, dan peraturan asas tentang bagaimana kami mengekalkan amanah. Ini dicapai dengan menilai risiko dan mempertingkatkan keselamatan, kerahsiaan, integriti, dan ketersediaan sistem Dropbox Business secara berterusan. Kami kerap menyemak dan mengemas kini dasar keselamatan, menyediakan latihan keselamatan, melaksanakan ujian keselamatan aplikasi dan rangkaian (termasuk ujian penembusan), memantau pematuhan dengan dasar keselamatan, dan melaksanakan penilaian risiko dalaman dan luaran.

Dasar keselamatan

  • Keselamatan maklumat. Dasar berhubung maklumat pengguna dan Dropbox, dengan bidang utama termasuk keselamatan peranti; keperluan pengesahan; keselamatan data dan sistem; sekatan terhadap dan garis panduan penggunaan sumber pekerja; dan mengendalikan masalah yang berpotensi

  • Keselamatan fizikal. Bagaimana kami mengekalkan persekitaran yang selamat dan terjamin untuk orang dan harta di Dropbox

  • Respons insiden. Keperluan kami untuk membalas insiden keselamatan berpotensi, termasuk prosedur penilaian, komunikasi, dan siasatan

  • Akses logik. Dasar untuk melindungi sistem Dropbox, maklumat pengguna, dan maklumat Dropbox, meliputi kawalan akses kepada persekitaran korporat dan pengeluaran

  • Akses pengeluaran fizikal. Prosedur kami untuk menyekat akses kepada rangkaian pengeluaran fizikal, termasuk semakan pengurusan kakitangan dan pembatalan kebenaran kakitangan yang telah ditamatkan perkhidmatan

  • Pengurusan perubahan. Dasar untuk semakan kod dan menguruskan perubahan yang memberi kesan kepada keselamatan oleh pembangun yang ditauliahkan untuk kod sumber aplikasi, konfigurasi sistem, dan siaran pengeluaran

  • Sokongan. Dasar akses metadata pengguna untuk pasukan sokongan kami mengenai tontonan, menyediakan sokongan untuk, atau mengambil tindakan ke atas akaun

Kawalan akses

Akses pekerja kepada persekitaran Dropbox dikekalkan oleh pusat direktori dan ditauliahkan menggunakan gabungan kata laluan yang kukuh, frasa laluan kekunci SSH terlindung, pengesahan dua faktor, dan token OTP. Dasar dalaman kami memerlukan pekerja mengakses persekitaran pengeluaran dan korporat untuk mematuhi amalan terbaik untuk penciptaan dan penyimpanan kekunci peribadi SSH. Akses jarak jauh memerlukan penggunaan VPN yang dilindungi dengan pengesahan dua faktor, dan sebarang akses khas akan disemak dan diperiksa oleh pasukan keselamatan.

Dropbox menggunakan kawalan akses teknikal dan dasar dalaman untuk menghalang pekerja daripada sewenang-wenangnya mengakses fail pengguna dan untuk menyekat akses kepada metadata dan maklumat lain mengenai akaun pengguna. Disebabkan Dropbox menjadi lanjutan infrastruktur pelanggan kami, mereka boleh yakin bahawa kami adalah penjaga data mereka yang bertanggungjawab.

Keselamatan rangkaian

Dropbox mengekalkan keselamatan rangkaian bahagian belakang kami dengan tekun. Dropbox mengenal pasti dan mengurangkan risiko melalui ujian aplikasi, rangkaian, dan ujian keselamatan lain dan pengauditan dengan kerap oleh pasukan keselamatan dalaman dan pakar keselamatan pihak ketiga yang berdedikasi.

Rangkaian keselamatan dan teknik pemantauan kami direka untuk menyediakan pelbagai lapisan perlindungan dan pertahanan. Kami menggunakan teknik perlindungan piawaian industri, termasuk tembok api, pemantauan keselamatan rangkaian, dan sistem pengesanan pencerobohan bagi memastikan hanya trafik yang layak dapat mencapai infrastruktur kami. Akses kepada persekitaran pengeluaran adalah terhad kepada alamat IP yang ditauliahkan sahaja, yang disemak pada setiap suku tahun untuk memastikan persekitaran pengeluaran yang selamat.

Pengurusan perubahan

Dasar Pengurusan Perubahan telah ditakrifkan oleh pasukan Kejuruteraan Dropbox untuk memastikan bahawa semua perubahan aplikasi telah ditauliahkan sebelum pelaksanaan ke dalam persekitaran pengeluaran. Semua perubahan disimpan dalam sistem kawalan versi dan dikehendaki untuk melalui prosedur ujian Jaminan Mutu (QA) automatik untuk mengesahkan bahawa keperluan keselamatan dipenuhi. Kitaran hidup pembangunan perisian (SDLC) kami memerlukan pematuhan kepada garis panduan pengekodan selamat, dan juga saringan perubahan kod untuk masalah keselamatan berpotensi melalui proses Jaminan Mutu dan semakan manual kami. Pasukan Keselamatan Dropbox bertanggungjawab untuk menyelenggarakan keselamatan infrastruktur dan memastikan bahawa pelayan, tembok api, dan konfigurasi berkenaan keselamatan yang lain dikemas kini dengan piawaian industri.

Dapatkan maklumat lanjut mengenai seni bina keselamatan kami dalam kertas putih keselamatan Dropbox Business kami.