Seguridad

En Dropbox Sign, creemos que tu información te pertenece y estamos comprometidos a mantenerla privada. Nuestra política de privacidad describe claramente cómo administramos y protegemos tu información. Anualmente, nuestros auditores externos independientes comprueban nuestros controles de privacidad y nos proporcionan sus informes y opiniones que luego podemos proporcionarte, según lo solicites.

Envía cualquier pregunta sobre privacidad a privacy@dropbox.com.

Dropbox utiliza ciertos subprocesadores para asistir en la prestación de los Servicios de Dropbox Sign. Utilizamos prestadores de servicios que pueden almacenar y procesar los datos personales de usted y de sus usuarios finales. Esta página proporciona información importante sobre la identidad, la ubicación y el rol de estos subprocesadores de material. Los términos utilizados en esta página, pero que no se definen en dicha página, tienen el significado establecido en las Condiciones de servicio de Dropbox Sign.

Al menos anualmente, Dropbox Sign revisa nuestros subprocesadores. En el caso de que estas revisiones tengan hallazgos sustanciales que determinemos que presentan riesgos para Dropbox Sign o para nuestros clientes, trabajaremos con el proveedor de servicios para comprender cualquier impacto potencial en los datos de los clientes y haremos un seguimiento de sus esfuerzos para corregirlos hasta que se resuelva el problema.

Los clientes que deseen recibir notificaciones por correo electrónico si se actualiza esta lista pueden suscribirse para recibir dichas notificaciones en nombre de su equipo completando este formulario.

Los documentos se almacenan detrás de un cortafuegos y se autentican contra la sesión del remitente cada vez que se solicita ese documento. Hacemos cumplir el uso de las mejores prácticas del sector para la transmisión de datos a nuestra plataforma (Transport Layer Security, TLS) y los datos se almacenan en centros de datos certificados SOC 1 Tipo II, SOC 2 Tipo I e ISO 27001. Tus documentos se almacenan y cifran en reposo con un cifrado AES de 256 bits.

Adicionalmente, cada documento está cifrado con una clave única. Como protección adicional, cada clave está cifrada con una clave maestra que se rota regularmente. Esto significa que incluso si alguien pudiera evitar la seguridad física y acceder a un disco duro, no podría descifrar sus datos.

Los documentos están cifrados en reposo mediante un cifrado AES-256.

Cada documento se cifra mediante una clave única, que a su vez está cifrada con una clave maestra.

La clave maestra se rota periódicamente.

Las copias de seguridad del documento están cifradas.

Los documentos en tránsito están cifrados con TLS 1.2 o posterior.

La aplicación web tiene HSTS configurado para garantizar una conexión segura.

Cada firma de un contrato se impone y se fija al documento. Cuando solicitas una firma, Dropbox Sign coloca una página de registro de auditoría en el propio documento. El registro de auditoría contiene un identificador único global, o GUID, que puede utilizarse para buscar un registro en nuestra base de datos que muestre quién firmó un documento y cuándo. Estos registros incluyen un hash del documento PDF que podemos comparar con el hash de un documento PDF dudoso para determinar si se modificó o manipuló. Lee nuestra declaración de legalidad para obtener más detalles.

El registro de auditoría que no es editable asegura que cada acción en tus documentos se pueda rastrear minuciosamente y tenga la hora y fecha, para proporcionar una prueba justificable de acceso, revisión y firma.

En Dropbox Sign existen varios eventos de seguimiento de auditoría, entre los que se incluyen los siguientes:

• Se envió el documento.
• Documento visto.
• Documento firmado
• Rechazado para firmar
• Nombre del firmante/Dirección de correo electrónico actualizada.
• Adjunto cargado.
• Firma presencial activada.
• Código de acceso para el firmante autenticado.
• Acuerdo de firma y registro electrónico aceptado.
• Solicitud de firma delegada.
• Solicitud de firma completada.
• Continuación de solicitud completada.
• Editar la fecha de vencimiento
• Editar y reenviar documento

La seguridad de la aplicación Dropbox Sign está completamente integrada con el programa de Seguridad de la aplicación de Dropbox. Realizamos revisiones de diseño y arquitectura de nuevas características a través de nuestro proceso de admisión. Todo el código de Dropbox Sign se escanea para detectar problemas relacionados con la seguridad mediante herramientas de análisis de código estático como Semgrep y CodeScan. Dropbox Sign también está cubierto por nuestro programa de recompensas por errores de seguridad y abuso, que se ofrece a través de Bugcrowd.

Es imperativo que puedas controlar quién puede hacer qué dentro del sistema. Los diferentes roles conllevan diferentes derechos de acceso, tanto en la Dropbox Sign API como en el producto del usuario final de Dropbox Sign. Obtén más información sobre los permisos de seguridad basados en roles en el informe de seguridad de Dropbox Sign.

Dropbox Sign utiliza Amazon Web Services (AWS) como su proveedor de Infraestructura como Servicio (IaaS) con centros de datos de Amazon que alojan nuestros datos dentro de los Estados Unidos. También utilizamos regiones de AWS en la UE, Reino Unido, JP, AU y CA.

Dropbox Sign utiliza las características de seguridad de Amazon como la Nube Privada Virtual (VPC), Grupos de Seguridad, cifrado a nivel de disco y otros, para asegurar la confidencialidad de los datos de nuestros clientes en la nube.

Equipo de seguridad

Dropbox Sign cuenta con un programa formal de seguridad de la información bajo la dirección del Jefe de Seguridad que dirige un Comité de Gestión de Riesgos e Información. El Comité de Gestión de Información y Riesgos se reúne periódicamente para examinar las iniciativas relacionadas con la seguridad a nivel de producto, de infraestructura y de empresa.

En Dropbox Sign, los empleados se someten a verificaciones de antecedentes integrales y se someten a capacitación anual de concientización sobre seguridad.

También tenemos una política de uso aceptable y términos de servicio para nuestros usuarios finales, de manera de asegurarnos que nuestros clientes comprenden completamente cómo pretendemos que se usen nuestros productos y bajo qué términos.