Informationssäkerhet


Dropbox har skapat ett ramverk för hanteringen av informationssäkerhet. Detta ramverk beskriver syftet, inriktningen, principerna och de grundläggande reglerna för hur vi bibehåller kundernas förtroende. Detta uppnås genom riskbedömning och genom att ständigt förbättra säkerheten, sekretessen, integriteten och tillgängligheten för Dropbox Business-systemen. Vi granskar och uppdaterar regelbundet våra säkerhetsrutiner, erbjuder säkerhetsutbildning, utför applikations- och nätverkssäkerhetstester (inklusive intrångstester), övervakar hur alla säkerhetspolicyer efterlevs, samt utför interna och externa riskbedömningar.

Säkerhetspolicyer

  • Informationssäkerhet. Policyer som avser användar- och Dropbox-uppgifter, med nyckelområden som enhetssäkerhet, autentiseringskrav, data- och systemsäkerhet, begränsningar och riktlinjer för medarbetarnas användning av resurser, samt hantering av potentiella problem

  • Fysisk säkerhet. Hur vi bibehåller en trygg och säker miljö för personer och egendom på Dropbox

  • Incidenthantering. Våra krav för att hantera möjliga säkerhetsincidenter, inklusive bedömnings-, kommunikations- och utredningsrutiner

  • Logisk åtkomst. Policyer för att säkra Dropbox-system, användarinformation och Dropbox-information. Omfattar åtkomstkontroll för företags- och produktionsmiljöer

  • Åtkomst till fysiska produktionsmiljöer. Våra rutiner för att begränsa åtkomst till det fysiska produktionsnätverket, t.ex. ledningens granskning av personal och att dra tillbaka behörigheter för personal som slutat

  • Förändringshantering. Policyer för kodgranskning och hantering av ändringar, som påverkar säkerhet, av behöriga utvecklare för applikationers källkod, systemkonfiguration och produktionslanseringar

  • Support. Policyer för vårt supportteam om åtkomst till användarnas metadata när det gäller att visa, ge support till eller vidta åtgärder på konton

Åtkomstkontroll

Medarbetaråtkomst till Dropbox-miljön upprätthålls via en central katalog och verifieras med en kombination av starka lösenord, lösenordsskyddade SSH-nycklar, tvåfaktorsautentisering och OTP-token. Våra interna rutiner kräver att medarbetare som använder produktions- och företagsmiljöer följer bästa praxis för skapande och lagring av privata SSH-nycklar. Fjärråtkomst kräver VPN-skydd med tvåfaktorsautentisering och all specialåtkomst granskas och behandlas av vårt säkerhetsteam.

Dropbox använder tekniska åtkomstkontroller och interna policyer för att förhindra medarbetare från att godtyckligt komma åt användares filer och för att begränsa åtkomsten till metadata och andra uppgifter om användarnas konton. I takt med att Dropbox blir en förlängning av våra kunders infrastruktur kan de lita på att vi förvaltar deras data på ett ansvarsfullt sätt.

Nätverkssäkerhet

Dropbox upprätthåller omsorgsfullt säkerheten i våra back-end-nätverk. Dropbox identifierar och minskar riskerna via regelbundna applikationstester, nätverkstester, samt övriga säkerhetstester och granskningar av både dedikerade interna säkerhetsteam och säkerhetsexperter från tredje part.

Vår teknik för nätverkssäkerhet och övervakning är utformad för att ge ett skydd som består av flera lager. Vi använder skyddstekniker som är standard inom branschen, såsom brandväggar, nätverkssäkerhetsövervakning samt intrångsdetekteringssystem, för att säkerställa att endast behörig trafik får tillgång till vår infrastruktur. Åtkomst till produktionsmiljön begränsas till enbart auktoriserade IP-adresser som granskas kvartalsvis för att säkerställa en säker produktionsmiljö.

Förändringshantering

En formell rutin för förändringshantering har utarbetats av Dropbox ingenjörsteam för att säkerställa att alla applikationsändringar har auktoriserats innan de implementeras i produktionsmiljöerna. Alla ändringar lagras i ett versionskontrollsystem och måste genomgå en automatiserad kvalitetskontroll (Quality Assurance) och testprocess för att verifiera att säkerhetskraven uppfylls. Vår livscykel för programutveckling (software development lifecycle) kräver att de säkra riktlinjerna för kodning iakttas. Vår kvalitetskontroll och manuella granskningsprocess innefattar sökningar efter kodändringar för att hitta potentiella säkerhetsproblem. Dropbox säkerhetsteam ansvarar för att upprätthålla infrastrukturens säkerhet och säkerställa att server, brandvägg och andra säkerhetsrelaterade konfigurationer alltid lever upp till aktuell branschstandard.

Mer information om vår säkerhetsarkitektur finns i vårt Dropbox Business – säkerhetsfaktablad.