Безопасность
Документы, договоры и соглашения, которые вы подписываете от лица организации, относятся к числу самых важных документов для деятельности компании. Многие из них требуют заверения юридически обязывающей подписью. Сервисы Dropbox Sign, которые включают Dropbox Sign, Dropbox Forms и Dropbox Fax, обеспечивают защиту ваших документов и связанных с ними операций на высшем уровне.
Политика конфиденциальности
Dropbox Sign считает ваши данные вашей собственностью и стремится обеспечить их конфиденциальность. Наша политика конфиденциальности устанавливает четкий порядок обработки и защиты ваших данных. Ежегодно проводится независимый сторонний аудит наших средств защиты конфиденциальных данных, по результатам которого выдаются отчеты и заключения, которые мы, в свою очередь, можем предоставить вам.
Все вопросы, связанные с конфиденциальностью, направляйте по адресу privacy@dropbox.com.
Шифрование
Документы хранятся за брандмауэром и аутентифицируются по сеансу отправителя при каждом запросе на соответствующий документ. Мы применяем лучшие отраслевые практики для передачи данных на нашу платформу (Transport Layer Security TLS). Наши данные хранятся в центрах обработки данных, сертифицированных по SOC 1 тип II, SOC 2 тип I и ISO 27001. Ваши документы хранятся и шифруются при хранении с использованием 256-битного шифрования AES.
Дополнительно каждый документ шифруется уникальным ключом. Для обеспечения дополнительной безопасности, каждый ключ дополнительно шифруется сменным мастер-ключом. Это означает, что даже если кто-то сможет обойти физическую защиту и получить доступ к жесткому диску, он не сможет расшифровать ваши данные.
Все документы при хранении защищены 256-битным шифрованием AES.
Каждый документ шифруется с помощью уникального ключа, который в свою очередь шифруется с помощью мастер-ключа.
Мастер-ключ регулярно обновляется.
Резервные копии документов шифруются.
Передаваемые документы шифруются с использованием протокола TLS 1.2 или более поздней версии.
Для обеспечения безопасного соединения в веб-приложении используется механизм HSTS.
Контрольные журналы
Каждая подпись на контракте накладывается и прикрепляется к документу. При запросе подписи Dropbox Sign прикрепляет страницу контрольного журнала к самому документу. Контрольный журнал содержит глобальный уникальный идентификатор или GUID, который можно использовать для поиска в нашей базе данных записи о том, кто и когда подписал документ. Эти записи включают хеш PDF-документа, который можно сравнить с хешем сомнительного PDF-документа для того, чтобы определить, был ли этот документ изменен или подделан. Подробнее об этом читайте в нашем заявлении о законности.
Защищенный от редактирования контрольный журнал гарантирует отслеживание каждого действия с присвоением метки времени для гарантии наличия доказательств доступа, проверки и подписи.
Например, в контрольном журнале Dropbox Sign регистрируются следующие события:
- Документ отправлен.
- Просмотр документа
- Подписание документа
- Отклонение запроса на подпись
- Обновление имени / адреса электронной почты подписывающего лица
- Загрузка вложения
- Активация функции «Подпись, полученная лично»
- Аутентификация кода для подписания
- Принятие условий соглашения о признании электронных подписей и раскрытии информации
- Делегирование запроса на подпись
- Завершение запроса на подпись
- Продолжение выполненного запроса
- Изменить дату окончания срока действия
- Редактировать и повторно отправить документ
Безопасность приложений
Средства защиты Dropbox Sign полностью интегрированы с программой безопасности приложений Dropbox. Все новые функции перед внедрением проходят проверку с точки зрения общей концепции и архитектуры. Мы также проверяем код на наличие проблем, связанных с безопасностью, при помощи инструментов для статического анализа кода, таких как Semgrep и CodeScan. Dropbox Sign входит в нашу поощрительную программу по поиску ошибок безопасности и злоупотреблений, которая доступна через Bugcrowd.
Разрешения
Контроль прав пользователей в системе имеет очень большое значение. Разные роли имеют разные права доступа в Dropbox Sign API и в продукте Dropbox Sign для конечных пользователей. Подробнее о полномочиях доступа на основе ролей см. в техническом документе о безопасности Dropbox Sign.
Инфраструктура
Dropbox Sign использует сервис «Инфраструктура как услуга» (IaaS) Amazon Web Services (AWS) для хранения данных в центрах обработки данных Amazon в США. Мы также используем региональные ЦОД AWS для хранения данных в Европе, Великобритании, Японии, Австралии и Канаде.
Dropbox Sign использует такие функции безопасности Amazon, как виртуальное частное облако (VPC), группы безопасности, шифрование на уровне дисков и т. д., чтобы обеспечить конфиденциальность клиентских данных в облаке.
Профессионализм и опыт
Команда службы безопасности
В Dropbox Sign действует официальная программа информационной безопасности, которую возглавляет начальник службы безопасности и председатель комитета по управлению информацией и рисками. Комитет по управлению информацией и рисками периодически собирается для анализа мероприятий по обеспечению безопасности на уровне продуктов, инфраструктуры и компании.
Сотрудники Dropbox Sign проходят комплексную проверку анкетных данных и ежегодное обучение по вопросам безопасности.
Наши политика допустимого использования и условия обслуживания для конечных пользователей предназначены для информирования наших клиентов о том, как должны использоваться наши продукты и на каких условиях.