Dropbox 建立了資訊安全管理架構,說明目標、方向、原則和維持信任的基本規範。實際執行上,我們評估風險,並持續提升 Dropbox Business 系統的安全性、保密性、完整性和可用性。我們也定期審核並更新安全政策、提供安全訓練、測試應用程式和網路的安全 (包括滲透測試)、監測安全政策的遵守情況,並進行內外部風險評估。
資訊安全。有關使用者和 Dropbox 資訊的政策與關鍵領域,包括設備的安全;認證要求;資料和系統安全性;使用者資料隱私權;對員工利用資源的限制和指南;以及潛在問題的處理。
使用者資料隱私權。Dropbox 對保護及處理使用者資訊和使用者資料的要求,是為符合我們隱私權政策的規定。
實際安全。 Dropbox 如何為使用者及其財產提供安全無虞的環境。
事件反應。 我們對回應潛在安全事件的要求,包括評估、溝通和調查程序。
邏輯存取。 Dropbox 系統安全、使用者資訊和 Dropbox 資訊的維護政策,範圍涵蓋企業及生產環境的存取權控制。
實際生產存取。我們對實際生產網路的限制存取程序,包含人事管理審查和離職員工的取消授權。
變更管理。 程式碼審查和管理安全性變更政策。安全性變更是經授權的開發人員對應用程式原始碼、系統設定及生產版本所作的變更。
銷售與客戶體驗。Dropbox 支援團隊的使用者後設資料政策,範圍涵蓋查看帳戶、提供帳戶支援或操作帳戶。
企業延續性。服務如遇中斷,維護或還原重要業務功能、從計畫和記錄到執行的政策和程序。
危機處理。出現影響廣泛,且可能造成我們最重要的作業中斷或威脅我們的策略性目標之極端事件時,Dropbox 會採取的處理政策和程序。
Dropbox 環境的員工存取權,由中央目錄維護管理及認證,過程中結合高強度密碼、複雜密碼保護的 SSH 金鑰、兩步驟驗證及 OTP 憑證。我們的內部政策,要求員工存取生產和企業環境在建立及儲存 SHH 私人金鑰時遵循最佳做法。遠端存取必須使用受 VPN 保護的兩步驟認證,且任何特殊存取狀況都會經安全團隊審核、檢驗。
Dropbox 使用技術存取控制及內部政策,來禁止員工任意存取使用者檔案,同時限制後設檔案及其他使用者帳戶相關資訊的存取。客戶將 Dropbox 整合到機構系統架構時,可安心將資料託付我們保管。
Dropbox 用心維護後端網路的安全性。我們有專屬的安全團隊和第三方安全專家,定期檢查應用程式、網路和其他安全測試及審核,來鑑定並排除風險。
我們的網絡安全和監控技術是為了提供多層次的安全防護而設計。我們使用業界標準的防護技術,包括防火牆、網路安全監測和入侵偵測系統,以確保只有合格的流量能進入我們的系統架構。只有經授權的 IP 位址才能存取生產環境。這些 IP 位址會於每季接受審核,以確保生產環境安全無虞。
Dropbox 工程團隊制定了一份正式的變更管理政策,確保所有應用程式中的變更都在進入產品環境前先經過授權。所有的變更內容都儲存在版本控制系統中,且皆必須經過自動化的品質保證測試,確保新的變更符合所有安全標準。我們的軟體生命週期 (SDLC) 必須遵守安全編碼準則;編碼變更也必須透過品質保證測試和人工檢測過程層層把關。Dropbox 安全性團隊負責維護基礎建設的安全性,確保 Dropbox 的伺服器、防火牆、和其他與安全性相關的配置皆符合最新的企業標準。
有關我們的資訊安全做法,請查看 Dropbox Business 安全白皮書。
