Dropbox 建立了資訊安全管理架構,說明目標、方向、原則和維持信任的基本規範。實際執行上,我們評估風險,並持續提升 Dropbox Business 系統的安全性、保密性、完整性和可用性。我們也定期審核並更新安全政策、提供安全訓練、測試應用程式和網路的安全 (包括滲透測試)、監測安全政策的遵守情況,並進行內外部風險評估。
Dropbox 環境的員工存取權,由中央目錄維護管理及認證,過程中結合高強度密碼、複雜密碼保護的 SSH 金鑰、兩步驟驗證及 OTP 憑證。我們的內部政策,要求員工存取生產和企業環境在建立及儲存 SHH 私人金鑰時遵循最佳做法。遠端存取必須使用受 VPN 保護的兩步驟認證,且任何特殊存取狀況都會經安全團隊審核、檢驗。
Dropbox 使用技術存取控制及內部政策,來禁止員工任意存取使用者檔案,同時限制後設檔案及其他使用者帳戶相關資訊的存取。客戶將 Dropbox 整合到機構系統架構時,可安心將資料託付我們保管。
Dropbox 用心維護後端網路的安全性。我們有專屬的安全團隊和第三方安全專家,定期檢查應用程式、網路和其他安全測試及審核,來鑑定並排除風險。
我們的網絡安全和監控技術是為了提供多層次的安全防護而設計。我們使用業界標準的防護技術,包括防火牆、網路安全監測和入侵偵測系統,以確保只有合格的流量能進入我們的系統架構。只有經授權的 IP 位址才能存取生產環境。這些 IP 位址會於每季接受審核,以確保生產環境安全無虞。
Dropbox 工程團隊制定了一份正式的變更管理政策,確保所有應用程式中的變更都在進入產品環境前先經過授權。所有的變更內容都儲存在版本控制系統中,且皆必須經過自動化的品質保證測試,確保新的變更符合所有安全標準。我們的軟體生命週期 (SDLC) 必須遵守安全編碼準則;編碼變更也必須透過品質保證測試和人工檢測過程層層把關。Dropbox 安全性團隊負責維護基礎建設的安全性,確保 Dropbox 的伺服器、防火牆、和其他與安全性相關的配置皆符合最新的企業標準。
若要深入瞭解我們的控制和能見度功能,請參閱 Dropbox Business 安全白皮書。