Segurança de informação


O Dropbox estabeleceu uma estrutura de gerenciamento de segurança da informação que descreve o propósito, a direção, os princípios e as regras básicas sobre como mantemos a confiança. Esse objetivo é alcançado por meio da avaliação de riscos e da constante melhoria da segurança, confidencialidade, integridade e disponibilidade dos sistemas do Dropbox Business. Revisamos e atualizamos regularmente as políticas de segurança, oferecemos treinamento em segurança, executamos testes de segurança em aplicativos e na rede (incluindo testes de penetração), monitoramos a conformidade com as políticas de segurança, e realizamos avaliações de riscos internos e externos.

Políticas de segurança

  • Segurança da informação. Políticas referentes a informações de usuários e do Dropbox, abrangendo as principais áreas, inclusive segurança de dispositivos, requisitos de autenticação, segurança de dados e sistemas, limites e diretrizes para uso de recursos dos funcionários e resolução de possíveis problemas.

  • Segurança física. Como mantemos um ambiente seguro para pessoas e propriedades no Dropbox.

  • Resposta a incidentes. Nossos requisitos para responder a incidentes de segurança em potencial, incluindo procedimentos de avaliação, comunicação e investigação.

  • Acesso lógico. Políticas para manter em segurança os sistemas do Dropbox, as informações de usuários e do Dropbox, abrangendo o controle de acesso a ambientes corporativos e de produção.

  • Acesso físico à produção. Nossos procedimentos para restringir o acesso à rede física de produção, incluindo a análise de gestão de pessoal e o cancelamento da autorização de funcionários desligados da empresa.

  • Gerenciamento de alterações. Políticas para revisão de códigos e gerenciamento de alterações com impacto na questão da segurança, realizadas por desenvolvedores autorizados ao código-fonte do aplicativo, à configuração de sistema e às versões de produção.

  • Atendimento. Políticas de acesso a metadados de usuários para nossa equipe de atendimento em relação à visualização de contas, ao fornecimento de atendimento ou à execução de ações em contas.

Controle de acesso

O acesso de funcionários ao ambiente do Dropbox é mantido por um diretório central e autenticado usando uma combinação de senhas fortes, chaves SSH protegidas por frase-senha, autenticação em dois passos e tokens OTP. Nossas políticas internas exigem a adesão dos funcionários que acessam ambientes corporativos e de produção às boas práticas para criação e armazenamento de chaves privadas SSH. O acesso remoto exige o uso de redes virtuais privadas protegidas com autenticação em dois passos, e qualquer acesso especial é revisado e cuidadosamente examinado por uma equipe de segurança.

O Dropbox emprega controles técnicos de acesso e políticas internas para proibir os funcionários de acessar arbitrariamente arquivos de usuários e restringir o acesso a metadados e outras informações relacionadas a contas de usuários. À medida em que o Dropbox se torna uma extensão da infraestrutura de nossos clientes, eles podem ficar tranquilos de que somos guardiões responsáveis ​​de seus dados.

Segurança de rede

O Dropbox mantém atentamente a segurança da nossa rede back-end. O Dropbox identifica e reduz os riscos através de testes e auditorias regulares em aplicativos, redes e outros recursos de segurança, que são realizados tanto pelas equipes internas de segurança dedicadas quanto por especialistas em segurança terceirizados.

Nossas técnicas de monitoramento e segurança de rede são desenvolvidas para oferecer várias camadas de proteção e defesa. Empregamos técnicas de proteção padrão para o nosso setor, incluindo firewalls, monitoramento de segurança de rede e sistemas de detecção de intrusos para garantir que apenas o tráfego admissível possa acessar nossa infraestrutura. O acesso ao ambiente de produção é restrito a endereços de IP autorizados, que são revisados trimestralmente para garantir um ambiente de produção seguro.

Gerenciamento de alterações

Uma Política formal de Gerenciamento de alterações foi desenvolvida pela equipe de engenharia do Dropbox para garantir que todas as alterações em aplicativos tenham sido autorizadas antes de serem implementadas em ambientes de produção. Todas as alterações são armazenadas em um sistema de controle de versão e são obrigadas a passar por procedimentos automatizados de Garantia de Qualidade (QA) para verificar se os requisitos de segurança estão sendo cumpridos. Nosso ciclo de desenvolvimento de software (SDLC) exige a adesão a diretrizes de codificação seguras, e também à condução de uma triagem de alterações de códigos para verificação de potenciais problemas de segurança através de controle de qualidade e de nossos processos manuais de análise. A equipe de Segurança do Dropbox é responsável por manter a segurança da infraestrutura e garantir que o servidor, o firewall e outras configurações relacionadas à segurança estejam atualizadas em relação ao padrão do setor.

Encontre mais detalhes sobre nossa arquitetura de segurança no whitepaper sobre a segurança do Dropbox Business.