Informasjonssikkerhet


Dropbox har etablert et rammeverk for informasjonssikkerhet som beskriver hensikt, retning, prinsipper og grunnleggende regler for hvordan vi opprettholder tillit. Dette gjøres ved å vurdere risiko og kontinuerlig forbedre sikkerhet, konfidensialitet, integritet og tilgjengelighet for Dropbox Business systemer. Med jevne mellomrom gjennomgår og oppdaterer vi retningslinjene om sikkerheten, gir opplæring i sikkerhet, utfører testing av applikasjoner og nettverk (inkludert utbredelsetesting), tilsynsføring av sikkerhetsretningslinjene, og vi gjennomfører interne og eksterne risikovurderinger.

Sikkerhetsregler

  • Informasjonssikkerhet. Retningslinjer knyttet til bruker- og Dropbox-informasjon, med nøkkelområder som omfatter enhetssikkerhet, godkjenningskrav, data- og systemsikkerhet, restriksjoner og retningslinjer for medarbeideres bruk av ressurser og håndtering av potensielle problemer

  • Fysisk sikkerhet. Hvordan vi opprettholder et trygt og sikkert miljø for mennesker og eiendom hos Dropbox

  • Hendelsesrespons. Våre krav til å reagere på potensielle sikkerhetshendelser, herunder vurdering, kommunikasjon og undersøkelsesprosedyrer

  • Logisk tilgang. Retningslinjer for Dropbox-systemer, brukerinformasjon og Dropbox-informasjon som dekker tilgangskontroll til bedrifter og produksjonsmiljøer

  • Fysisk produksjonstilgang. Våre rutiner for å begrense tilgangen til det fysiske produksjonsnettverket, herunder gjennomgang av personell og deautorisering av tidligere personell

  • Endringsledelse. Retningslinjer for gjennomgang og administrasjon av endringer som ved autoriserte utviklere påvirker sikkerheten av applikasjoners kildekode, systemkonfigurering og produksjonsutgivelser

  • Støtte. Retningslinjer for tilgang av brukerdata for støtteteamet med tanke på gjennomgang eller å gi støtte til eller foreta endringer på kontoer

Tilgangskontroll

Ansattes tilgang til Dropbox-miljøet vedlikeholdes av en sentral katalog og blir autentisert ved hjelp av en kombinasjon av sterke passord, passphrase-beskyttede SSH-nøkler, to-faktors autentisering og OTP-token. Våre interne retningslinjer at ansatte med tilgang til produksjon og bedriftsmiljøer følger mønsterpraksis for etablering og lagring av private SSH-nøkler. Fjerntilgang krever bruk av VPN beskyttet med to-faktors autentisering, og all spesiell tilgang gjennomgås og sikkerhetsklareres av sikkerhetsteamet.

Dropbox anvender tekniske tilgangskontroller og interne retningslinjer som forbyr at ansatte skal ha vilkårlig tilgang til brukerfiler. Dette begrenser tilgangen til metadata og annen informasjon om brukernes kontoer. Ettersom Dropbox er en forlengelse av infrastrukturen til kundene våre, kan kundene være trygge på at vi er ansvarlige forvaltere av dataene deres.

Nettverkssikkerhet

Dropbox opprettholder sikkerheten til vårt underliggende nettverk grundig. Dropbox identifiserer og reduserer risikoen via vanlig applikasjon, nettverk og øvrig sikkerhetstesting og revisjon utført av både dedikerte interne sikkerhetsteam og tredjeparts sikkerhetsspesialister.

Våre metoder for nettverkssikkerhet og overvåking er utviklet for å gi flere lag med beskyttelse og forsvar. Vi benytter standardiserte beskyttelse stekniker, inkludert brannmurer, overvåking av nettverkssikkerhet og systemer for oppdagelse av inntrenging for å sikre at bare kvalifisert trafikk er i stand til å nå infrastrukturen vår. Tilgang til produksjonsmiljøet er begrenset til kun autoriserte IP-adresser, som blir inspisert hvert kvartal for å sikre et sikkert produksjonsmiljø.

Endringsledelse

Formelle retningslinjer for endringsadministrasjon har blitt definert av Dropbox' ingeniørteam for å sikre at alle programendringer godkjennes før implementering i produksjonsmiljøer. Alle endringer lagres i et versjonskontrollsystem og er pålagt å gå gjennom automatiserte testprosedyrer for kvalitetskontroll for å sikre at sikkerhetskravene oppfylles. Livssyklusen for programvareutvikling (SDLC) krever tilslutning til sikre retningslinjer for koding, samt screening av kodeendringer for potensielle sikkerhetsproblemer gjennom vår kvalitetssjekk og manuelle gjennomgangsprosesser. Dropbox' sikkerhetsteam har ansvar for å vedlikeholde infrastrukturens sikkerhet samt sikre at server, brannmur og andre sikkerhetsrelaterte konfigurasjoner holdes oppdaterte etter industristandarden.

Finn mer detaljert informasjon om sikkerhetsarkitekturen vår i Sikkerhetshviteboken for Dropbox Business.