Informatiebeveiliging


Dropbox heeft een kader voor informatiebeveiliging opgesteld. Hierin worden het doel, de richting, de grondslagen en de basisregels beschreven waarmee we het vertrouwen van klanten behouden. Dit wordt bewerkstelligd door een weging van de risico's en door constant de beveiliging, betrouwbaarheid, integriteit en beschikbaarheid van de systemen van Dropbox Business te verbeteren. Regelmatig evalueren en herzien we ons beveiligingsbeleid, bieden we beveiligingstrainingen aan, voeren we toepassings- en netwerkbeveiligingstests uit (inclusief penetratietests), bewaken we de naleving van het beveiligingsbeleid en voeren we interne en externe risicoanalyses uit.

Beveiligingsbeleid

  • Informatiebeveiliging. Beleid inzake gebruikers- en Dropbox-informatie, met onder meer aandacht voor apparaatbeveiliging, authenticatievereisten, gegevens- en systeembeveiliging, beperkingen van en richtlijnen voor het gebruik van materiaal door medewerkers en de afhandeling van potentiële problemen

  • Fysieke beveiliging. Methode voor het handhaven van een veilige en betrouwbare omgeving voor personen en goederen bij Dropbox

  • Calamiteitenplan. Onze vereisten inzake de reactie op potentiële beveiligingsincidenten, waaronder beoordelings-, communicatie- en onderzoeksprocedures

  • Logische toegang. Beleid voor de beveiliging van Dropbox-systemen, gebruikersgegevens en Dropbox-informatie, met aandacht voor toegangsbeheer tot ondernemings- en productieomgevingen

  • Fysieke-productietoegang. Onze procedures voor de beperking van toegang tot het fysieke productienetwerk, met inbegrip van een beheerbeoordeling van personeel en het intrekken van de autorisaties voor personeel dat het bedrijf heeft verlaten

  • Wijzigingsbeheer. Beleid voor de beoordeling van programmatuur en het omgaan met wijzigingen die van invloed zijn op de beveiliging door geautoriseerde ontwikkelaars tot toepassingsbroncode, systeemconfiguratie en productiereleases

  • Support. Beleid voor de toegang tot metagegevens van gebruikers voor ons supportteam inzake het weergeven van, support bieden voor of actie ondernemen op accounts

Toegangsbeheer

De toegang van medewerkers tot de Dropbox-omgeving wordt beheerd vanuit een centrale directory en geauthenticeerd op basis van een combinatie van sterke wachtwoorden, SSH-sleutels die met wachtwoordzinnen zijn beschermd, tweestapsverificatie en OTP-tokens. Ons interne beleid vereist dat medewerkers met toegang tot productie- en ondernemingsomgevingen de best practices voor het maken en opslaan van privé-SSH-sleutels in acht nemen. Externe toegang vereist het gebruik van VPN dat met behulp van tweestapsverificatie is beveiligd. Speciale toegang wordt beoordeeld en gecontroleerd door het beveiligingsteam.

Dropbox werkt met technisch toegangsbeheer en hanteert een intern beleid dat medewerkers verbiedt willekeurig gebruikersbestanden te openen. De toegang wordt beperkt tot metagegevens en andere informatie over gebruikersaccounts. Dropbox vormt een verlengstuk van de infrastructuur van onze klanten. Zij kunnen erop vertrouwen dat wij hun gegevens verantwoordelijk beheren.

Netwerkbeveiliging

Dropbox handhaaft zorgvuldig de beveiliging van ons back-endnetwerk. Dropbox spoort risico's op en neemt die zoveel mogelijk weg door het regelmatig uitvoeren van toepassings-, netwerk- en andere beveiligingstest en het laten uitvoeren van audits door zowel speciale interne beveiligingsteams als externe beveiligingsdeskundigen.

Onze netwerkbeveiligings- en bewakingstechnieken zijn zodanig ontworpen dat deze verschillende beveiligings- en verdedigingslagen bevatten. We maken gebruik van algemeen in de branche aanvaarde beschermingstechnieken, waaronder firewalls, netwerkbeveiligingsbewaking en indringingsdetectiesystemen om te garanderen dat alleen verkeer dat daarvoor in aanmerking komt onze infrastructuur kan bereiken. De toegang tot de productieomgeving is beperkt tot geautoriseerde IP-adressen, die elk kwartaal worden geëvalueerd om een veilige productieomgeving te garanderen.

Wijzigingsbeheer

Er is een formeel beleid voor wijzigingsbeheer opgesteld door het Dropbox Engineering-team om te waarborgen dat alle wijzigingen van toepassingen zijn geautoriseerd voordat deze worden geïmplementeerd in de productieomgevingen. Alle wijzigingen worden opgeslagen in een versiebeheersysteem en moeten geautomatiseerde QA-testprocedures (Quality Assurance, kwaliteitsborging) doorlopen om te verifiëren dat aan alle beveiligingseisen is voldaan. Onze Software Development LifeCycle (SDLC) vereist inachtneming van de richtlijnen voor veilig programmeren, evenals het screenen van wijzigingen in de programmatuur op mogelijke beveiligingsrisico's middels onze QA- en handmatige beoordelingsprocessen. Het Dropbox Security-team is verantwoordelijk voor het handhaven van de infrastructuurbeveiliging en moet ervoor zorgen dat server, firewall en andere beveiligingsgerelateerde configuraties up-to-date blijven met de geldende normen in de branche.

Zie het document Beveiliging van Dropbox Business voor meer informatie over onze beveiligingsarchitectuur.