Bezpieczeństwo informacji


Dropbox ma ustanowiony schemat zarządzania bezpieczeństwem informacji, który opisuje cel, kierunek, normy i podstawowe zasady utrzymania zaufania. Cel ten realizowany jest przez ocenę ryzyka oraz ciągłą poprawę bezpieczeństwa, poufności, integralności i dostępności systemów Dropbox Business. Dokonujemy regularnych inspekcji i aktualizacji polityki bezpieczeństwa, zapewniamy szkolenia w zakresie bezpieczeństwa, wykonujemy testy aplikacji i zabezpieczeń sieci (w tym testy penetracyjne), monitorujemy zgodność z polityką bezpieczeństwa oraz przeprowadzamy oceny ryzyka wewnętrznego i zewnętrznego.

Polityka bezpieczeństwa

  • Bezpieczeństwo informacji. Zasady odnoszące się do użytkownika i informacji Dropbox, z uwzględnieniem kluczowych obszarów, w tym bezpieczeństwa urządzenia; wymagania uwierzytelniania; bezpieczeństwo danych oraz systemów; ograniczenia i wytyczne dla pracowników dotyczące wykorzystania zasobów; oraz obsługa potencjalnych problemów

  • Bezpieczeństwo fizyczne. Jak dbamy w Dropbox o nieprzerwane działanie bezpiecznego i chronionego środowiska dla ludzi i ich własności.

  • Reagowanie na incydenty. Nasze wymagania wobec reagowania na potencjalne incydenty bezpieczeństwa, w tym procedury oceny, komunikacji i dochodzenia

  • Dostęp logiczny. Polityka zabezpieczenia systemów Dropbox, informacji o użytkowniku oraz informacji Dropbox, obejmująca kontrolę dostępu do środowisk korporacyjnych i produkcyjnych

  • Fizyczny dostęp do produkcji. Nasze procedury ograniczające dostęp do fizycznej sieci produkcyjnej, w tym zarządzaniem personelem i wycofywaniem zezwoleń dla byłych pracowników

  • Zarządzanie zmianami. Zasady odnoszące się do przeglądu kodu i zarządzania zmianami, które wpływają na bezpieczeństwo przez stosowanie uprawnień dla programistów do kodu źródłowego aplikacji, konfiguracji systemu i wersji o statusie produkcyjnym.

  • Pomoc techniczna. Zasady dostępu do metadanych użytkownika przez nasz zespół ds. pomocy technicznej w zakresie przeglądania, zapewniania pomocy technicznej lub podejmowanie działań w obrębie kont

Kontrola dostępu

Dostęp pracowników do środowiska Dropbox jest realizowany przez centralny katalog i uwierzytelniany za pomocą kombinacji silnych haseł, kluczy SSH chronionych kodem dostępu, dwustopniowym uwierzytelnianiem oraz tokenami OTP. Nasze wewnętrzne reguły nakładają na pracowników z dostępem do środowisk produkcyjnych i korporacyjnych konieczność stosowania najlepszych praktyk w zakresie tworzenia i przechowywania kluczy prywatnych SSH. Zdalny dostęp wymaga użycia VPN chronionego dwustopniowym uwierzytelnianiem, a jakikolwiek specjalny dostęp jest weryfikowany przez zespół ds. bezpieczeństwa.

Dropbox stosuje techniczne kontrole dostępu oraz wewnętrzną politykę zapobiegającą niepożądanemu dostępowi do plików użytkownika przez pracowników, jak również ma ograniczenia dostępu do metadanych i pozostałych informacji dotyczących kont użytkowników. Ponieważ Dropbox jest rozszerzeniem infrastruktury naszych klientów, mogą być oni pewni, że jesteśmy odpowiedzialnymi opiekunami ich danych.

Bezpieczeństwo sieci

Dropbox pilnie strzeże bezpieczeństwa sieci od swojej strony. Dropbox identyfikuje i ogranicza ryzyko poprzez regularne kontrole aplikacji, sieci oraz wykonuje różnorakie testy i audyty – zajmują się nimi zarówno specjalne zespoły specjalistów ds. bezpieczeństwa wewnętrznego oraz specjaliści zewnętrzni.

Nasze techniki zabezpieczeń sieciowych i monitoringu są zaprojektowane tak, aby zapewnić wiele warstw ochrony i obrony. Stosujemy techniki zabezpieczeń adekwatne do naszej branży, w tym zapory sieciowe, monitorowanie bezpieczeństwa sieci i systemy wykrywania włamań, aby zapewnić, że tylko uprawniony ruch sieciowy jest w stanie dotrzeć do naszej infrastruktury. Dostęp do środowiska produkcyjnego jest ograniczony tylko do autoryzowanych adresów IP, które są weryfikowane co kwartał, aby zapewnić, że środowisko produkcyjne jest całkowicie bezpieczne.

Zarządzanie zmianami

Formalna Zasada zarządzania zmianami została zdefiniowana przez zespół inżynierów Dropbox, aby zapewnić, że wszystkie zmiany aplikacji zostały zatwierdzone przed wdrożeniem ich w środowiskach produkcyjnych. Wszystkie zmiany są przechowywane systemie kontroli wersji i muszą przejść zautomatyzowane procedury testowe zapewnienia jakości (QA), aby sprawdzić, czy spełnione zostały wymagania dotyczące bezpieczeństwa. Nasz cykl rozwoju oprogramowania (SDLC) wymaga przestrzegania wytycznych nt. bezpiecznego kodowania oraz sprawdzania zmian w kodzie pod kątem potencjalnych zagrożeń bezpieczeństwa za pomocą naszego QA i procesu ręcznej weryfikacji. Zespół Dropbox ds. bezpieczeństwa jest odpowiedzialny za utrzymanie bezpieczeństwa infrastruktury i zapewnienie, że konfiguracje serwera, firewalla i inne związane z bezpieczeństwem są na bieżąco ze standardami branżowymi.

Dowiedz się więcej o naszej architekturze bezpieczeństwa w Białej księdze bezpieczeństwa Dropbox Business (w języku angielskim).