Segurança de informação


O Dropbox estabeleceu uma estrutura de gerenciamento de segurança da informação que descreve o propósito, a direção, os princípios e as regras básicas sobre como mantemos a confiança. Esse objetivo é alcançado por meio da avaliação de riscos e da constante melhoria da segurança, confidencialidade, integridade e disponibilidade dos sistemas do Dropbox Business. Revisamos e atualizamos regularmente as políticas de segurança, oferecemos treinamento em segurança, executamos testes de segurança em aplicativos e na rede (incluindo testes de penetração), monitoramos a conformidade com as políticas de segurança, e realizamos avaliações de riscos internos e externos.

Políticas de segurança

  • Segurança da informação. Políticas referentes às informações de usuário e do Dropbox, com as principais áreas incluindo a segurança de dispositivo; requisitos de autenticação; segurança de dados e sistemas; privacidade de dados de usuários; limites e diretrizes para uso de recursos por funcionários e tratamento de possíveis problemas

  • Privacidade de dados do usuário. Nossos requisitos para proteger e lidar com as informações e com os dados do usuário no Dropbox para aderir às nossas Políticas de privacidade

  • Segurança física. Como mantemos um ambiente seguro para pessoas e propriedades no Dropbox.

  • Resposta a incidentes. Nossos requisitos para responder a incidentes de segurança em potencial, incluindo procedimentos de avaliação, comunicação e investigação.

  • Acesso lógico. Políticas para manter em segurança os sistemas do Dropbox, as informações de usuários e do Dropbox, abrangendo o controle de acesso a ambientes corporativos e de produção.

  • Acesso físico à produção. Nossos procedimentos para restringir o acesso à rede física de produção, incluindo a análise de gestão de pessoal e o cancelamento da autorização de funcionários desligados da empresa.

  • Gerenciamento de alterações. Políticas para revisão de códigos e gerenciamento de alterações com impacto na questão da segurança, realizadas por desenvolvedores autorizados ao código-fonte do aplicativo, à configuração de sistema e às versões de produção.

  • Vendas e experiência do cliente. Políticas de acesso a metadados de usuários para nossa equipe de atendimento em relação à visualização de contas, ao fornecimento de atendimento ou à execução de ações em contas

  • Continuidade dos negócios. Políticas e procedimentos para manter ou restaurar funções fundamentais dos negócios em caso de interrupção, desde o planejamento e a documentação à execução

  • Gerenciamento de crise. Políticas e procedimentos sobre como o Dropbox lidaria com um evento extraordinário que poderia interromper nossas operações mais importantes ou ameaçar nossos objetivos estratégicos

Controle de acesso

O acesso de funcionários ao ambiente do Dropbox é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, chaves SSH protegidas por frase-senha, autenticação em dois passos e tokens OTP. Nossas políticas internas exigem a adesão dos funcionários que acessam ambientes corporativos e de produção às boas práticas para criação e armazenamento de chaves privadas SSH. O acesso remoto exige o uso de redes virtuais privadas protegidas com autenticação em dois passos, e qualquer acesso especial é revisado e cuidadosamente examinado por uma equipe de segurança.

O Dropbox emprega controles técnicos de acesso e políticas internas para proibir os funcionários de acessar arbitrariamente arquivos de usuários e restringir o acesso a metadados e outras informações relacionadas a contas de usuários. À medida em que o Dropbox se torna uma extensão da infraestrutura de nossos clientes, eles podem ficar tranquilos de que somos guardiões responsáveis ​​de seus dados.

Segurança de rede

O Dropbox mantém atentamente a segurança da nossa rede back-end. O Dropbox identifica e reduz os riscos através de testes e auditorias regulares em aplicativos, redes e outros recursos de segurança, que são realizados tanto pelas equipes internas de segurança dedicadas quanto por especialistas em segurança terceirizados.

Nossas técnicas de monitoramento e segurança de rede são desenvolvidas para oferecer várias camadas de proteção e defesa. Empregamos técnicas de proteção padrão para o nosso setor, incluindo firewalls, monitoramento de segurança de rede e sistemas de detecção de intrusos para garantir que apenas o tráfego admissível possa acessar nossa infraestrutura. O acesso ao ambiente de produção é restrito a endereços de IP autorizados, que são revisados trimestralmente para garantir um ambiente de produção seguro.

Gerenciamento de alterações

Uma Política formal de Gerenciamento de alterações foi desenvolvida pela equipe de engenharia do Dropbox para garantir que todas as alterações em aplicativos tenham sido autorizadas antes de serem implementadas em ambientes de produção. Todas as alterações são armazenadas em um sistema de controle de versão e são obrigadas a passar por procedimentos automatizados de Garantia de Qualidade (QA) para verificar se os requisitos de segurança estão sendo cumpridos. Nosso ciclo de desenvolvimento de software (SDLC) exige a adesão a diretrizes de codificação seguras, e também à condução de uma triagem de alterações de códigos para verificação de potenciais problemas de segurança através de controle de qualidade e de nossos processos manuais de análise. A equipe de Segurança do Dropbox é responsável por manter a segurança da infraestrutura e garantir que o servidor, o firewall e outras configurações relacionadas à segurança estejam atualizadas em relação ao padrão do setor.

Saiba mais sobre nossa abordagem sobre segurança da informação em nosso whitepaper de segurança do Dropbox Business.