Dropbox 建立了資訊安全管理架構,說明目標、方向、原則和維持信任的基本規範。實際執行上,我們評估風險,並持續提升 Dropbox Business 系統的安全性、保密性、完整性和可用性。我們也定期審核並更新安全政策、提供安全訓練、測試應用程式和網路的安全 (包括滲透測試)、監測安全政策的遵守情況,並進行內外部風險評估。
資訊安全。 有關使用者和 Dropbox 資訊的政策與關鍵領域,包括設備的安全;認證要求;資料和系統安全性;對員工利用資源的限制和指南;以及潛在問題的處理。
實際安全。 Dropbox 如何為使用者及其財產提供安全無虞的環境。
事件反應。 我們對回應潛在安全事件的要求,包括評估、溝通和調查程序。
邏輯存取。 Dropbox 系統安全、使用者資訊和 Dropbox 資訊的維護政策,範圍涵蓋企業及生產環境的存取權控制。
實際生產存取。我們對實際生產網路的限制存取程序,包含人事管理審查和離職員工的取消授權。
變更管理。 程式碼審查和管理安全性變更政策。安全性變更是經授權的開發人員對應用程式原始碼、系統設定及生產版本所作的變更。
支援。 Dropbox 支援團隊的使用者後設資料政策,範圍涵蓋查看帳戶、提供帳戶支援或操作帳戶。
Dropbox 環境的員工存取權,由中央目錄維護管理及認證,過程中結合高強度密碼、複雜密碼保護的 SSH 金鑰、兩步驟驗證及 OTP 憑證。我們的內部政策,要求員工存取生產和企業環境在建立及儲存 SHH 私人金鑰時遵循最佳做法。遠端存取必須使用受 VPN 保護的兩步驟認證,且任何特殊存取狀況都會經安全團隊審核、檢驗。
Dropbox 使用技術存取控制及內部政策,來禁止員工任意存取使用者檔案,同時限制後設檔案及其他使用者帳戶相關資訊的存取。客戶將 Dropbox 整合到機構系統架構時,可安心將資料託付我們保管。
Dropbox 用心維護後端網路的安全性。我們有專屬的安全團隊和第三方安全專家,定期檢查應用程式、網路和其他安全測試及審核,來鑑定並排除風險。
我們的網絡安全和監控技術是為了提供多層次的安全防護而設計。我們使用業界標準的防護技術,包括防火牆、網路安全監測和入侵偵測系統,以確保只有合格的流量能進入我們的系統架構。只有經授權的 IP 位址才能存取生產環境。這些 IP 位址會於每季接受審核,以確保生產環境安全無虞。
Dropbox 工程團隊制定了一份正式的變更管理政策,確保所有應用程式中的變更都在進入產品環境前先經過授權。所有的變更內容都儲存在版本控制系統中,且皆必須經過自動化的品質保證測試,確保新的變更符合所有安全標準。我們的軟體生命週期 (SDLC) 必須遵守安全編碼準則;編碼變更也必須透過品質保證測試和人工檢測過程層層把關。Dropbox 安全性團隊負責維護基礎建設的安全性,確保 Dropbox 的伺服器、防火牆、和其他與安全性相關的配置皆符合最新的企業標準。
有關我們的安全性架構,請查看 Dropbox Business 安全白皮書。
