Beveiliging

Bij Dropbox Sign zijn we van mening dat jij de eigenaar bent van jouw gegevens en we doen er alles aan om deze privé te houden. Ons privacybeleid geeft een heldere beschrijving van hoe wij jouw informatie verwerken en beschermen. Onze onafhankelijke externe auditors testen jaarlijks onze controlemechanismen voor privacy en geven hun eigen rapporten en meningen die wij vervolgens aan jou kunnen doorgeven.

Vragen met betrekking tot privacy kun je indienen via privacy@dropbox.com.

Dropbox gebruikt bepaalde subverwerkers die helpen bij het leveren van de Dropbox Sign-services. We gebruiken serviceproviders die persoonlijke gegevens over jou en je eindgebruikers kunnen opslaan en verwerken. Deze pagina biedt belangrijke informatie over de identiteit, locatie en rol van deze wezenlijke subverwerkers. Termen die op deze pagina worden gebruikt, maar niet zijn gedefinieerd, hebben de betekenis zoals uiteengezet in de Servicevoorwaarden van Dropbox Sign.

Dropbox Sign voert minimaal één keer per jaar een beoordeling uit van onze subverwerkers. In het geval dat deze beoordelingen wezenlijke bevindingen bevatten waarvan we de huidige risico's voor Dropbox Sign of onze klanten bepalen, zullen we samenwerken met de serviceprovider om de mogelijke impact op klantgegevens te begrijpen en hun herstelmaatregelen te volgen totdat het probleem is opgelost.

Klanten die e-mailmeldingen willen ontvangen wanneer deze lijst is bijgewerkt, kunnen zich namens hun team abonneren op het ontvangen van dergelijke meldingen door dit formulier in te vullen.

Documenten worden achter een firewall opgeslagen en tegen de sessie van de afzender geverifieerd telkens wanneer een verzoek om dat document wordt gedaan. We handhaven het gebruik van best practices uit de branche voor de overdracht van gegevens naar ons platform (Transport Layer Security TLS) en gegevens worden opgeslagen in een SOC 1 Type II, SOC 2 Type I en ISO 27001 gecertificeerde datacenters. Je documenten worden in rust opgeslagen en versleuteld met AES 256-bits versleuteling.

Bovendien wordt elk document versleuteld met een unieke sleutel. Als extra beveiliging wordt elke sleutel versleuteld met een regelmatig geroteerde hoofdsleutel. Dit betekent dat zelfs als iemand de fysieke beveiliging heeft weten te omzeilen en een harde schijf heeft weten te verwijderen, je gegevens niet zouden kunnen worden ontsleuteld.

Alle documenten worden in rust versleuteld met behulp van AES-256-versleuteling.

Elk document wordt versleuteld met een unieke sleutel die zelf ook weer wordt versleuteld met een hoofdsleutel.

De hoofdsleutel wordt regelmatig geroteerd.

Back-ups van documenten worden versleuteld.

Documenten in-transit worden versleuteld met TLS 1.2 of hoger.

Voor de webtoepassing is HSTS geconfigureerd om een veilige verbinding te garanderen.

Elke handtekening op een contract wordt opgelegd en op het document aangebracht. Wanneer je een handtekening aanvraagt, brengt Dropbox Sign een controlespoorpagina op het document zelf aan. Het controlespoor bevat een wereldwijd unieke identificatie (GUID) die kan worden gebruikt om een record in onze database op te zoeken dat laat zien wie een document heeft ondertekend en wanneer. Deze records bevatten een hash van het pdf-document die we kunnen vergelijken met de hash van een twijfelachtig pdf-document om te bepalen of het al dan niet is gewijzigd of dat ermee is geknoeid. Lees onze wettigheidsverklaring voor meer informatie.

Het niet-bewerkbare controlespoor zorgt ervoor dat elke handeling op je documenten grondig wordt bijgehouden en van een tijdstempel wordt voorzien, om een verdedigbaar bewijs van toegang, beoordeling en ondertekening te bieden.

Er zijn een aantal verschillende gebeurtenissen in Dropbox Sign waarvan een controlespoor wordt bijgehouden:

• Document verzonden
• Document bekeken
• Document ondertekend
• Ondertekenen weigeren
• Naam/e-mailadres van ondertekenaar bijgewerkt
• Bijlage geüpload
• Persoonlijke ondertekening geactiveerd
• Toegangscode voor ondertekenaar geverifieerd
• Elektronische registratie en verklaring over handtekening geaccepteerd
• Handtekeningaanvraag gedelegeerd
• Handtekeningaanvraag voltooid
• Voltooide aanvraag vervolgd
• Vervaldatum bewerken
• Document bewerken en opnieuw verzenden

De beveiliging van de Dropbox Sign-toepassing is volledig geïntegreerd met het Dropbox Sign-beveiligingsprogramma. We voeren ontwerp- en architectuurbeoordelingen van nieuwe functies uit gedurende het hele intakeproces. Alle Dropbox Sign-code wordt met behulp van statische codeanalysetools zoals Semgrep en CodeScan gescand op beveiligingsproblemen. Dropbox Sign valt ook onder ons Beveiligings- en Abuse Bug Bounty-programma, dat beschikbaar is via Bugcrowd.

Het is absoluut noodzakelijk dat jij kunt bepalen wie wat kan doen binnen het systeem. Verschillende rollen hebben verschillende toegangsrechten, zowel in de Dropbox Sign API als in het Dropbox Sign-eindgebruikersproduct. Lees meer over op rollen gebaseerde beveiligingsmachtigingen in de whitepaper over Dropbox Sign-beveiliging.

Dropbox Sign gebruikt AWS (Amazon-webservices) als IaaS-provider (Infrastructure as a Service), en onze gegevens in de Verenigde Staten worden gehost door Amazon-datacenters. We maken ook gebruik van AWS-regio's in de EU, het VK, JP, AU en CA.

Dropbox Sign gebruikt Amazon-beveiligingsfuncties zoals VPC (virtuele privécloud), beveiligingsgroepen, versleuteling op schijfniveau en andere functies om de vertrouwelijkheid van onze klantgegevens in de cloud te waarborgen.

Beveiligingsteam

Dropbox Sign has a formal information security program in place under the Head of Security that leads an information and Risk Management Committee. The Information and Risk Management Committee meets periodically to review security-related initiatives at the product, the infrastructure, and the company level.

At Dropbox Sign employees undergo comprehensive background checks and undergo annual security awareness training.

We hebben ook een beleid voor acceptabel gebruik en servicevoorwaarden voor onze eindgebruikers om ervoor te zorgen dat onze klanten volledig begrijpen hoe we willen dat onze producten worden gebruikt en onder welke voorwaarden.