การรักษาความปลอดภัยของข้อมูล

Dropbox สร้างขอบข่ายงานในการจัดการการรักษาความปลอดภัยของข้อมูลขึ้นเพื่ออธิบายถึงวัตถุประสงค์ ทิศทาง หลักการ และกฎพื้นฐานในการที่เรารักษาความไว้วางใจ ซึ่งจะสำเร็จได้โดยการประเมินความเสี่ยงและปรับปรุงการรักษาความปลอดภัย ความลับ บูรณภาพ และความพร้อมใช้งานของระบบ Dropbox Business อย่างต่อเนื่อง เราทบทวนและปรับปรุงนโยบายด้านการรักษาความปลอดภัย ให้การฝึกอบรมด้านการรักษาความปลอดภัย ดำเนินการทดสอบการรักษาความปลอดภัยของแอปพลิเคชันและเครือข่าย (รวมถึงการทดสอบโดยการเจาะระบบ) จับตาดูการปฏิบัติตามนโยบายด้านการรักษาความปลอดภัย และดำเนินการประเมินความเสี่ยงทั้งภายในและภายนอกองค์กรอยู่อย่างสม่ำเสมอ

นโยบายด้านการรักษาความปลอดภัย

  • การรักษาความปลอดภัยของข้อมูล นโยบายว่าด้วยข้อมูลของผู้ใช้และ Dropbox ด้วยขอบเขตหลักรวมถึงการรักษาความปลอดภัยของอุปกรณ์ ความต้องการด้านการตรวจสอบตัวตน การรักษาความปลอดภัยของข้อมูลและระบบ ความเป็นส่วนตัวของข้อมูลผู้ใช้ ข้อจำกัดและแนวทางสำหรับพนักงานในการใช้ทรัพยากร และการจัดการปัญหาที่มีโอกาสเกิดขึ้น
  • ความเป็นส่วนตัวของข้อมูลผู้ใช้ ข้อกำหนดของเราเพื่อการปกป้องและจัดการข้อมูลส่วนตัวของผู้ใช้และข้อมูลผู้ใช้ที่ Dropbox เพื่อปฏิบัติตามนโยบายความเป็นส่วนตัวของเรา
  • การรักษาความปลอดภัยทางกายภาพ วิธีที่เรารักษาสภาพแวดล้อมที่ปลอดภัยสำหรับบุคลากรและทรัพย์สินที่ Dropbox
  • การสนองตอบกรณี ข้อกำหนดของเราในการสนองตอบกรณีที่อาจเป็นปัญหาต่อการรักษาความปลอดภัย รวมถึงระเบียบวิธีในการประเมิน การสื่อสาร และการตรวจสอบ
  • การเข้าถึงแบบลอจิคัล นโยบายสำหรับการรักษาความปลอดภัยของระบบ Dropbox ข้อมูลของผู้ใช้ และข้อมูลของ Dropbox ครอบคลุมถึงการควบคุมการเข้าถึงขององค์กรและสภาพแวดล้อมการผลิต
  • การเข้าถึงการผลิตเชิงกายภาพ ระเบียบวิธีของเราในการยับยั้งการเข้าถึงเครือข่ายการผลิตเชิงกายภาพ รวมถึงการทบทวนการจัดการของบุคลากรและการเลิกตรวจสอบตัวตนของบุคลากรที่ถูกระงับ
  • การจัดการความเปลี่ยนแปลง นโยบายสำหรับการทบทวนโค้ดและการจัดการความเปลี่ยนแปลงที่มีผลกระทบต่อการรักษาความปลอดภัยโดยนักพัฒนาที่ได้รับอนุญาต ของรหัสต้นฉบับของแอปพลิเคชัน การกำหนดค่าระบบ และรีลีสการผลิต
  • การขายและประสบการณ์ของลูกค้า นโยบายการเข้าถึงนิยามข้อมูลของผู้ใช้สำหรับทีมสนับสนุนของเราเกี่ยวกับการดู การให้การสนับสนุน หรือการดำเนินการกับบัญชี
  • ความต่อเนื่องทางธุรกิจ นโยบายและกระบวนการเพื่อรักษาหรือคืนค่าฟังก์ชันทางธุรกิจที่สำคัญในกรณีที่หยุดชะงัก นับตั้งแต่กการวางแผนและการจัดทำเอกสาร จนถึงการนำไปปฎิบัติ
  • การจัดการวิกฤต นโยบายและกระบวนการในวิธีที่ Dropbox จะจัดการเหตุการณ์พิเศษที่เกิดในวงกว้างที่อาจชะงักงันการปฏิบัติการสำคัญที่สุดของเรา หรือคุกคามต่อวัตถุประสงค์เชิงกลยุทธ์ของเรา
การควบคุมการเข้าถึง

การให้พนักงานเข้าถึงสภาพแวดล้อมของ Dropbox นั้นมีการดูแลโดยไดเรกทอรีส่วนกลาง และมีการตรวจสอบยืนยันโดยใช้ทั้งรหัสผ่าน คีย์ SSH ที่ปกป้องด้วยวลีรหัสผ่าน การตรวจสอบตัวตนแบบสองแฟคเตอร์ และโทเค็น OTP รวมกัน นโยบายภายในของเรากำหนดให้พนักงานที่จะเข้าถึงสภาพแวดล้อมของการทำงานและขององค์กรต้องยึดหลักปฏิบัติที่ดีที่สุดสำหรับการสร้างและจัดเก็บคีย์ SSH ส่วนตัว การเข้าถึงจากระยะไกลบังคับให้ต้องใช้การตรวจสอบตัวตนที่ปกป้องด้วย VPN แบบสองแฟคเตอร์ และการเข้าถึงกรณีพิเศษจะได้รับการทบทวนและตรวจสอบโดยทีมการรักษาความปลอดภัย

Dropbox ใช้การควบคุมการเข้าถึงทางเทคนิคและนโยบายภายในเพื่อยับยั้งการที่พนักงานเข้าถึงไฟล์ของผู้ใช้โดยพลการ และเพื่อห้ามการเข้าถึงนิยามข้อมูลและข้อมูลอื่นๆ เกี่ยวกับบัญชีของผู้ใช้ เมื่อ Dropbox ได้กลายเป็นส่วนเพิ่มเติมในโครงสร้างพื้นฐานของลูกค้าแล้ว พวกเขาสามารถวางใจได้ว่าเราคือผู้พิทักษ์ข้อมูลที่มีความรับผิดชอบ

การรักษาความปลอดภัยของเครือข่าย

Dropbox รักษาความปลอดภัยของเครือข่ายปลายทางอย่างชาญฉลาด Dropbox จะทำการระบุพบและโยกย้ายความเสี่ยงที่มาจากแอพพลิเคชันประจำ เครือข่าย การทดสอบและการตรวจสอบการรักษาความปลอดภัยอื่นๆ โดยทั้งทีมการรักษาความปลอดภัยโดยเฉพาะภายในและผู้เชี่ยวชาญการรักษาความปลอดภัยจากภายนอก

เทคนิคการรักษาความปลอดภัยของเครือข่ายและการตรวจตราของเราถูกออกแบบมาเพื่อมอบการปกป้องและการต่อกรกับภัยต่างๆ หลายชั้น เราใช้เทคนิคการปกป้องที่เป็นมาตรฐานอุตสาหกรรม ได้แก่ ไฟร์วอลล์ การตรวจตราการรักษาความปลอดภัยของเครือข่าย และระบุตรวจจับการรุกล้ำ เพื่อให้แน่ใจว่ามีแค่ทราฟฟิคที่ถูกต้องเท่านั้นที่เข้าถึงโครงสร้างพื้นฐานของเราได้ การเข้าถึงสภาพแวดล้อมการผลิตจำกัดเฉพาะสำหรับ IP แอดเดรสที่ผ่านการยืนยันเท่านั้น ซึ่งจะมีการทบทวนทุกสามเดือนเพื่อให้แน่ใจว่ามีสภาพแวดล้อมการผลิตที่ปลอดภัย

การจัดการความเปลี่ยนแปลง

นโยบายการจัดการความเปลี่ยนแปลงอย่างเป็นทางการถูกกำหนดขึ้นดดยทีมวิศวกรรมของ Dropbox เพื่อให้แน่ในว่าความเปลี่ยนแปลงทั้งหมดได้รับการตรวจสอบยืนยันก่อนหน้าการปรับใช้ในสภาพแวดล้อมการผลิต ความเปลี่ยนแปลงทั้งหมดจะถูกจัดเก็บในระบบควบคุมเวอร์ชัน และต้องผ่านกระบวนการทดสอบเพื่อประกันคุณภาพ (Quality Assurance - QA) โดยอัตโนมัติเพื่อยืนยันว่าเป็นไปตามข้อกำหนดด้านการรักษาความปลอดภัย วงจรชีวิตการพัฒนาซอฟต์แวร์ (Software Development Lifecycle - SDLC) ของเราบังคับให้มีการปฏิบัติตามแนวทางการสร้างโค้ดที่ปลอดภัย ตลอดจนการคัดแยกความเปลี่ยนแปลงของโค้ดเพื่อหาโอกาสที่จะเกิดปัญหาด้านการรักษาความปลอดภัย ผ่านกระบวนการ QA และการทบทวนโดยบุคคล ทีมการรักษาความปลอดภัยของ Dropbox มีหน้าที่รับผิดชอบการรักษาความปลอดภัยของโครงสร้างพื้นฐานและตรวจสอบว่าเซิร์ฟเวอร์
ไฟร์วอลล์ และการกำหนดค่าอื่นๆ ที่เกี่ยวเนื่องกับการรักษาความปลอดภัยได้รับการดูแลให้เป็นปัจจุบันกับมาตรฐานอุตสาหกรรมอยู่เสมอ

 

ดูรายละเอียดเพิ่มเติมเกี่ยวกับคุณสมบัติการควบคุมและความสามารถในการมองเห็นของเราใน เอกสารการรักษาความปลอดภัยของ Dropbox Business