Sicurezza
I documenti, i contratti e gli accordi che firmi come azienda sono alcuni dei documenti più importanti in tuo possesso. Molte transazioni di questo tipo prevedono una firma legalmente vincolante e sono fondamentali per le attività di un'azienda. Nei Servizi Dropbox Sign, che includono Dropbox Sign, Dropbox Forms e Dropbox Fax, la protezione dei documenti e delle relative transazioni ha la massima priorità.
Privacy
In Dropbox Sign, crediamo che i dati siano proprietà degli utenti e ci impegniamo a mantenerli privati. Le nostre norme sulla privacy descrivono chiaramente in che modo gestiamo e tuteliamo le informazioni dell’utente. Ogni anno i nostri revisori di terze parti indipendenti verificano i nostri controlli sulla privacy, fornendoci rapporti e commenti che mettiamo a disposizione degli utenti.
Per qualsiasi domanda relativa alla privacy, rivolgersi a privacy@dropbox.com.
Crittografia
I documenti vengono archiviati con protezione firewall e autenticati nella sessione del mittente ogni volta che viene effettuata una richiesta di tali documenti. Per la trasmissione dei dati alla nostra piattaforma, applichiamo le best practice del settore (Transport Layer Security, TLS) e i dati vengono archiviati in data center certificati SOC 1 Type II, SOC 2 Type I e ISO 27001. I documenti vengono archiviati e crittografati a riposo utilizzando la crittografia AES a 256 bit.
Inoltre, ogni documento è criptato con una chiave univoca. Come ulteriore misura di sicurezza, ogni chiave è criptata con una chiave master ruotata regolarmente. Ciò significa che, anche se qualcuno dovesse aggirare la sicurezza fisica e rimuovere un disco rigido, non sarebbe in grado di decriptare i tuoi dati.
Tutti i documenti sono crittografati a riposo utilizzando AES-256.
Ogni documento viene crittografato utilizzando una chiave univoca, che è a sua volta crittografata con una chiave master.
La chiave master viene ruotata regolarmente.
I backup dei documenti vengono crittografati.
I documenti in transito vengono crittografati utilizzando TLS 1.2 o versioni successive.
Nell'applicazione web è presente la configurazione di HSTS per garantire una connessione sicura.
Audit trail
Ogni firma su un contratto è applicata e impressa sul documento. Quando si richiede una firma, Dropbox Sign appone una pagina di audit trail sul documento stesso. L’audit trail contiene un identificativo univoco universale (GUI, Globally Unique Identifier) che può essere utilizzato per cercare nel nostro database un record che indica chi ha firmato un documento e quando. Questi record includono un hash del documento PDF che possiamo confrontare con l’hash di un documento PDF equivoco per determinare se è stato modificato o manomesso. Per maggiori informazioni, leggi la nostra dichiarazione di legalità.
L’audit trail non modificabile assicura che ogni azione sui documenti del Cliente venga monitorata in modo accurato, tenendo traccia del momento in cui è avvenuta, per fornire una prova dell’accesso, della visualizzazione e della firma.
Dropbox Sign include una serie di eventi differenti contenenti la tracciabilità dell'audit.
- Documento inviato
- Documento visualizzato
- Documento firmato
- Rifiuto di firmare
- Nome/indirizzo email del firmatario aggiornato
- Allegato caricato
- Firma di persona attivata
- Codice d'accesso firmatario autenticato
- Record elettronico e accordo di riservatezza della firma accettati
- Richiesta di firma delegata
- Richieste di firma completata
- Richiesta completata continuata
- Modifica data di scadenza
- Modifica e invia di nuovo il documento
Sicurezza delle applicazioni
La sicurezza dell'applicazione Dropbox Sign è completamente integrata nel programma di sicurezza delle applicazioni di Dropbox. Eseguiamo revisioni della progettazione e dell'architettura delle nuove funzioni tramite il nostro processo di immissione. Tutto il codice di Dropbox Sign viene scansionato utilizzando strumenti di analisi del codice statico come Semgrep e CodeScan per verificare la presenza di eventuali problemi legati alla sicurezza. Dropbox Sign è protetto anche dal nostro programma Bug Bounty per la sicurezza e gli abusi, offerto attraverso Bugcrowd.
Autorizzazioni
È indispensabile che il Cliente possa verificare quali azioni possono essere effettuate da ogni utente all’interno del sistema. Sia nella Dropbox Sign API sia nel prodotto dell’utente finale di Dropbox Sign, i diritti di accesso cambiano in base ai ruoli. Scopri di più sulle autorizzazioni di sicurezza in base al ruolo nel nostro whitepaper sulla sicurezza di Dropbox Sign.
Infrastruttura
Dropbox Sign utilizza Amazon Web Services (AWS) come provider IaaS (Infrastructure as a Service) con data center Amazon che ospitano i nostri dati negli Stati Uniti. Utilizziamo le regioni AWS anche in EU, Regno Unito, Giappone, Australia e Canada.
Dropbox Sign utilizza funzioni di sicurezza di Amazon come Virtual Private Cloud (VPC), Gruppi di sicurezza, crittografia a livello di disco e altro ancora, per garantire la riservatezza dei dati dei nostri clienti nel cloud.
Team di sicurezza
dedicato e con esperienza
Dropbox Sign ha un programma formale di sicurezza delle informazioni in atto che fa riferimento al nostro Head of Security, che dirige un Information and Risk Management Committee (comitato per la gestione delle informazioni e dei rischi). L’Information and Risk Management Committee si riunisce periodicamente per esaminare le iniziative relative alla sicurezza a livello di prodotto, infrastruttura e azienda.
Tutti i dipendenti di Dropbox Sign vengono sottoposti a controlli approfonditi e seguono una formazione annuale di sensibilizzazione alla sicurezza.
Disponiamo anche di Norme sull’uso accettabile e Termini di servizio per i nostri utenti finali per garantire che i nostri clienti comprendano a pieno le destinazioni e i termini d'uso dei nostri prodotti.