Информационная безопасность

Dropbox разработал программу информационной безопасности, в которой описывается наша цель, стратегия, принципы и основные правила, с помощью которых мы сохраняем доверие пользователей. Мы оцениваем риски и постоянно улучшаем безопасность, конфиденциальность, целостность и эффективность систем Dropbox Business. Мы регулярно проверяем и модернизируем правила безопасности, устраиваем тренинги в сфере безопасности, проводим тестирование систем безопасности приложений, программ и сети (включая испытания на возможность проникновения в систему), следим за соответствием правилам безопасности и оцениваем внутренние и внешние риски.

Правила безопасности

  • Информационная безопасность. Эти правила касаются информации о пользователях и о Dropbox. Основные разделы включают безопасность устройств, требования аутентификации, безопасность данных и систем, конфиденциальность данных пользователей, правила, ограничивающие доступ наших сотрудников к ресурсам, и инструкции, относящиеся к разрешению определенных проблем
  • Конфиденциальность данных пользователей. Наши требования относительно защиты и обработки данных пользователей и сведений о них в Dropbox для соответствия нашей Политике конфиденциальности
  • Физическая безопасность. Информация о том, как мы создаем и поддерживаем безопасную среду для людей и оборудования в Dropbox
  • Реакция на происшествия. Требования, определяющие нашу реакцию на потенциальные угрозы безопасности, включая оценку, коммуникацию и анализ
  • Логический доступ. Правила, определяющие безопасность систем Dropbox, информации о пользователях и о Dropbox, включая контроль доступа к производственной и корпоративной среде.
  • Физический доступ к продукту. Способы, с помощью которых мы ограничиваем доступ к физической сети, включая управленческий анализ действий персонала и деавторизацию покинувших компанию сотрудников
  • Управление изменениями. Правила для проверки кода и управления важными для безопасности изменениями, сделанными авторизованными разработчиками в исходном коде приложений, конфигурациях системы и версиях продуктов
  • Продажи и обслуживание клиентов. Правила доступа наших сотрудников службы поддержки к пользовательским метаданным, которые определяют просмотр и поддержку аккаунтов и производимые с ними действия
  • Устойчивость бизнеса. Принципы и порядок поддержания или восстановления наиболее важных бизнес-функций в случае сбоев системы, начиная с планирования и документации и заканчивая функционированием системы
  • Разрешение кризисных ситуаций. Принципы и порядок, касающиеся того, как Dropbox должен вести себя в случае непредвиденных масштабных происшествий, способных помешать осуществлению наших важнейших рабочих процессов и поставить под угрозу наши стратегические задачи
Управление доступом

Доступ к системе сотрудников Dropbox обеспечивается централизованно. Для аутентификации используется сочетание надежных паролей, защищенные кодовыми фразами ключи SSH, двухэтапная проверка и токены OTP. В соответствии с нашими внутренними правилами, сотрудники, которые имеют доступ к продукту и системе, должны следовать четким рекомендациям по созданию и хранению конфиденциальных ключей SSH. Удаленный доступ осуществляется с использованием сети VPN и двухэтапной проверки. Любой особый случай доступа проверяется отделом безопасности.

В Dropbox используются средства технического контроля доступа и внутренние правила, воспрещающие сотрудникам без достаточных оснований получать доступ к файлам пользователей и ограничивающие доступ к метаданным и другой информации об аккаунтах пользователей. Поскольку Dropbox стал ключевым элементом внутренней инфраструктуры пользователей, мы заявляем, что весьма ответственно подходим к вопросу хранения данных наших клиентов.

Сетевая безопасность

Dropbox со всей тщательностью обеспечивает безопасность своей сети. Dropbox отслеживает и уменьшает риски с помощью регулярных проверок безопасности программ и приложений, сети и пр. Эти проверки осуществляют как специальные внутренние отделы безопасности, так и сторонние специалисты.

Средства безопасности нашей сети и используемые нами технологии мониторинга обеспечивают несколько уровней защиты данных. Мы используем меры безопасности, соответствующие стандартам в данной области (включая межсетевые экраны, мониторинг безопасности сети, системы, обнаруживающие вторжение), чтобы в нашу инфраструктуру попадали только соответствующие данные. Доступ к рабочей среде ограничен и предоставляется только для авторизованных IP-адресов, которые для обеспечения безопасности проходят ежеквартальную проверку.

Управление изменениями

Проектно-технический отдел Dropbox разработал официальную «Политику управления изменениями», чтобы все изменения в приложениях обязательно авторизовались перед внедрением в продукт. Все изменения хранятся в системе управления версиями и должны пройти автоматический контроль качества, во время которого проверяется, соблюдены ли все требования безопасности. Наш жизненный цикл разработки программного обеспечения предписывает, чтобы все соответствовало надежным правилам кодирования, а также чтобы отслеживались изменения в коде для предотвращения потенциальных угроз безопасности с помощью контроля качества и ручной проверки. Отдел безопасности Dropbox отвечает за обеспечение безопасности инфраструктуры и следит, чтобы конфигурации серверов, межсетевых экранов и пр. соответствовали современным стандартам в данной области.

 

Подробную информацию о наших функциях, связанных с контролем и прозрачностью, вы найдете в технической документации по безопасности Dropbox Business.