Informatiebeveiliging


Dropbox heeft een kader voor informatiebeveiligingsbeheer opgesteld. Hierin worden het doel, de richting, de grondslagen en de basisregels beschreven waarmee we het vertrouwen van klanten behouden. Dit wordt bewerkstelligd door een weging van de risico's en door constant de beveiliging, betrouwbaarheid, integriteit en beschikbaarheid van de systemen van Dropbox Business te verbeteren. Regelmatig evalueren en herzien we ons beveiligingsbeleid, bieden we beveiligingstrainingen aan, voeren we toepassings- en netwerkbeveiligingstests uit (inclusief penetratietests), bewaken we de naleving van het beveiligingsbeleid en voeren we interne en externe risicoanalyses uit.

Beveiligingsbeleid

  • Informatiebeveiliging. Beleid met betrekking tot gebruikers- en Dropbox-informatie, met onder meer aandacht voor apparaatbeveiliging, authenticatievereisten, gegevens- en systeembeveiliging, privacy van gebruikersgegevens, beperkingen van en richtlijnen voor het gebruik van materiaal door medewerkers, en het afhandelen van potentiële problemen.

  • Privacy van gebruikersgegevens. Vereisten voor de beveiliging en verwerking van gebruikersinformatie en -gegevens bij Dropbox in overeenstemming met ons Privacybeleid.

  • Fysieke beveiliging. Methode voor het handhaven van een veilige en betrouwbare omgeving voor personen en goederen bij Dropbox

  • Calamiteitenplan. Onze vereisten inzake de reactie op potentiële beveiligingsincidenten, waaronder beoordelings-, communicatie- en onderzoeksprocedures

  • Logische toegang. Beleid voor de beveiliging van Dropbox-systemen, gebruikersgegevens en Dropbox-informatie, met aandacht voor toegangsbeheer tot ondernemings- en productieomgevingen

  • Fysieke-productietoegang. Onze procedures voor de beperking van toegang tot het fysieke productienetwerk, met inbegrip van een beheerbeoordeling van personeel en het intrekken van de autorisaties voor personeel dat het bedrijf heeft verlaten

  • Wijzigingsbeheer. Beleid voor de beoordeling van programmatuur en het omgaan met wijzigingen die van invloed zijn op de beveiliging door geautoriseerde ontwikkelaars tot toepassingsbroncode, systeemconfiguratie en productiereleases

  • Sales- en klantervaring. Beleid voor de toegang van ons supportteam tot metagegevens van gebruikers. Deze toegang is nodig om accounts weer te geven, er ondersteuning voor te bieden of acties voor accounts te ondernemen.

  • Bedrijfscontinuïteit. Beleid en procedures voor onderhoud of herstel van bedrijfskritieke functies in het geval van een onderbreking, van planning en documentatie tot uitvoering.

  • Crisisbeheer. Beleid en procedures over hoe Dropbox moet handelen in geval van een buitengewoon grootschalige gebeurtenis die onze belangrijkste activiteiten kan ontregelen of onze strategische doelstellingen in gevaar kan brengen.

Toegangsbeheer

De toegang van medewerkers tot de Dropbox-omgeving wordt beheerd vanuit een centrale directory en geauthenticeerd op basis van een combinatie van sterke wachtwoorden, SSH-sleutels die met wachtwoordzinnen zijn beschermd, tweestapsverificatie en OTP-tokens. Ons interne beleid vereist dat medewerkers met toegang tot productie- en ondernemingsomgevingen de best practices voor het maken en opslaan van privé-SSH-sleutels in acht nemen. Externe toegang vereist het gebruik van VPN dat met behulp van tweestapsverificatie is beveiligd. Speciale toegang wordt beoordeeld en gecontroleerd door het beveiligingsteam.

Dropbox werkt met technisch toegangsbeheer en hanteert een intern beleid dat medewerkers verbiedt willekeurig gebruikersbestanden te openen. De toegang wordt beperkt tot metagegevens en andere informatie over gebruikersaccounts. Dropbox vormt een verlengstuk van de infrastructuur van onze klanten. Zij kunnen erop vertrouwen dat wij hun gegevens verantwoordelijk beheren.

Netwerkbeveiliging

Dropbox handhaaft zorgvuldig de beveiliging van ons back-endnetwerk. Dropbox spoort risico's op en neemt die zoveel mogelijk weg door het regelmatig uitvoeren van toepassings-, netwerk- en andere beveiligingstest en het laten uitvoeren van audits door zowel speciale interne beveiligingsteams als externe beveiligingsdeskundigen.

Onze netwerkbeveiligings- en bewakingstechnieken zijn zodanig ontworpen dat deze verschillende beveiligings- en verdedigingslagen bevatten. We maken gebruik van algemeen in de branche aanvaarde beschermingstechnieken, waaronder firewalls, netwerkbeveiligingsbewaking en indringingsdetectiesystemen om te garanderen dat alleen verkeer dat daarvoor in aanmerking komt onze infrastructuur kan bereiken. De toegang tot de productieomgeving is beperkt tot geautoriseerde IP-adressen, die elk kwartaal worden geëvalueerd om een veilige productieomgeving te garanderen.

Wijzigingsbeheer

Er is een formeel beleid voor wijzigingsbeheer opgesteld door het Dropbox Engineering-team om te waarborgen dat alle wijzigingen van toepassingen zijn geautoriseerd voordat deze worden geïmplementeerd in de productieomgevingen. Alle wijzigingen worden opgeslagen in een versiebeheersysteem en moeten geautomatiseerde QA-testprocedures (Quality Assurance, kwaliteitsborging) doorlopen om te verifiëren dat aan alle beveiligingseisen is voldaan. Onze Software Development LifeCycle (SDLC) vereist inachtneming van de richtlijnen voor veilig programmeren, evenals het screenen van wijzigingen in de programmatuur op mogelijke beveiligingsrisico's middels onze QA- en handmatige beoordelingsprocessen. Het Dropbox Security-team is verantwoordelijk voor het handhaven van de infrastructuurbeveiliging en moet ervoor zorgen dat server, firewall en andere beveiligingsgerelateerde configuraties up-to-date blijven met de geldende normen in de branche.

Zie het document Beveiliging van Dropbox Business voor meer informatie over de manier waarop we informatie beveiligen.