Bezpieczeństwo

W Dropbox Sign uważamy, że Twoje dane należą do Ciebie i stawiamy sobie za cel ochronę ich prywatności. Nasza polityka prywatności jasno określa sposób, w jaki obchodzimy się z Twoimi informacjami i jak je chronimy. Co roku niezależni audytorzy zewnętrzni badają nasze procedury kontrolne w obszarze prywatności oraz przedstawiają swoje sprawozdania i opinie, które my na żądanie możemy udostępnić Tobie.

Wszelkie pytania związane z prywatnością można przesyłać na adres privacy@dropbox.com.

Dropbox korzysta z określonych podwykonawców przetwarzania danych, aby pomóc w świadczeniu Usług Dropbox Sign. Korzystamy z usług dostawców, którzy mogą przechowywać i przetwarzać dane osobowe odnoszące się do Ciebie i Twoich użytkowników końcowych. Niniejsza strona zawiera ważne informacje o tożsamości, miejscu prowadzenia działalności i roli tych istotnych podwykonawców przetwarzania danych. Terminy użyte na tej stronie, które nie są zdefiniowane, mają znaczenie określone w Warunkach świadczenia usług Dropbox Sign.

Co najmniej raz w roku Dropbox Sign przeprowadza kontrolę podwykonawców przetwarzania danych. Jeśli w wyniku takiej kontroli stwierdzimy, że istnieje istotne ryzyko dla Dropbox Sign lub naszych klientów, wspólnie z dostawcą usług oszacujemy potencjalny wpływ na dane klientów i będziemy śledzić podejmowane przez niego działania naprawcze do momentu rozwiązania problemu.

Klienci, którzy chcą otrzymywać powiadomienia e-mail w przypadku aktualizacji tej listy, mogą zasubskrybować takie powiadomienia w imieniu swojego zespołu, wypełniając ten formularz.

Dokumenty przechowywane są za zaporą sieciową i uwierzytelniane względem sesji nadawcy każdorazowo, gdy wpływa prośba o dany dokument. W zakresie przesyłania danych na naszą platformę wymagamy stosowania najlepszych praktyk branżowych (szyfrowanie TLS), a dane przechowywane są w centrach danych posiadających certyfikaty SOC 1 typu II, SOC 2 typu I oraz ISO 27001. Przechowywane dane są szyfrowane 256-bitowym kluczem AES.

Ponadto każdy dokument szyfrowany jest z wykorzystaniem niepowtarzalnego klucza. Jako dodatkowe zabezpieczenie, każdy klucz jest szyfrowany z wykorzystaniem regularnie zmienianego klucza głównego. Oznacza to, że nawet jeśli ktoś obejdzie zabezpieczenia fizyczne i wyjmie dysk twardy, nie będzie w stanie odszyfrować Twoich danych.

Wszystkie dokumenty są szyfrowane 256-bitowym kluczem AES.

Każdy dokument jest szyfrowany przy użyciu unikalnego klucza, który z kolei jest szyfrowany przy użyciu klucza głównego.

Klucz główny jest regularnie zmieniany.

Kopie zapasowe dokumentów są szyfrowane.

Przesyłane dokumenty są szyfrowane z wykorzystaniem protokołu TLS 1.2 lub nowszego.

Aplikacja internetowa ma skonfigurowany mechanizm HSTS, aby zapewnić bezpieczne połączenie.

Każdy podpis na umowie jest zamieszczany i dołączany do takiego dokumentu. Kiedy zwracasz się z prośbą o podpis, Dropbox Sign dołącza do samego dokumentu stronę ze ścieżką kontrolną. Ścieżka kontrolna zawiera globalnie unikatowy identyfikator (GUID), za pomocą którego można w naszej bazie wyszukać wpis wskazujący, kto i kiedy podpisał dokument. Taki wpis zawiera skrót dokumentu PDF, który możemy porównać ze skrótem budzącego wątpliwości dokumentu PDF w celu ustalenia, czy poddano go modyfikacjom lub manipulacjom. Więcej informacji na ten temat można znaleźć w naszym oświadczeniu o legalności.

Nieedytowalna ścieżka kontrolna gwarantuje, że każde działanie, któremu poddawane są Twoje dokumenty, jest starannie śledzone i opatrzone sygnaturą czasową, co zapewnia niepodważalny dowód dostępu, przeglądania i podpisania.

W Dropbox Sign można wyróżnić wiele zdarzeń uwzględnianych w ścieżce kontrolnej. Są nimi na przykład:

• Wysłano dokument
• Przejrzano dokument
• Podpisano dokument
• Odmowa podpisania
• Zaktualizowano nazwisko / adres e-mail podpisującego
• Przesłano załącznik
• Aktywowano podpisywanie osobiste
• Uwierzytelniono kod dostępu podpisującego
• Zaakceptowano zgodę dotyczącą dokumentacji i podpisu elektronicznego
• Oddelegowano prośbę o podpis
• Wypełniono prośbę o podpis
• Kontynuowano wypełnioną prośbę
• Edytuj datę wygaśnięcia
• Edytuj i wyślij ponownie dokument

Bezpieczeństwo aplikacji Dropbox Sign jest w pełni zintegrowane z programem Dropbox Application Security. Przeprowadzamy przeglądy projektu i architektury nowych funkcji już we wczesnej fazie ich rozwoju. Cały kod Dropbox Sign jest skanowany pod kątem obecności problemów związanych z bezpieczeństwem przy użyciu narzędzi do statycznej analizy kodu, takich jak Semgrep czy CodeScan. Dropbox Sign objęto również naszym programem nagród za wykrywanie błędów dotyczących bezpieczeństwa i nadużyć, który jest oferowany za pośrednictwem Bugcrowd.

Zasadnicze znaczenie ma możliwość kontrolowania, kto może wykonywać określone zadania w systemie. Różne role wiążą się z różnymi prawami dostępu, zarówno w odniesieniu do Dropbox Sign API, jak i do produktu Dropbox Sign dla użytkownika końcowego. Aby dowiedzieć się więcej o uprawnieniach opartych na rolach, przeczytaj dokument dotyczący bezpieczeństwa Dropbox Sign.

Dropbox Sign korzysta z Amazon Web Services (AWS) jako dostawcy infrastruktury jako usługi (IaaS), a Centra danych Amazon przechowują nasze dane w Stanach Zjednoczonych. Z usług AWS korzystamy również w Europie, Wielkiej Brytanii, Japonii, Australii i Kanadzie.

Dropbox Sign korzysta z funkcji zabezpieczeń Amazon, takich jak wirtualna chmura prywatna (VPC), grupy zabezpieczeń, szyfrowanie na poziomie dysku itp., aby zagwarantować poufność danych naszych klientów w chmurze.

Zespół ds. Bezpieczeństwa

Dropbox Sign prowadzi formalny program bezpieczeństwa informacji, którym zarządza Kierownik ds. Bezpieczeństwa i w ramach którego funkcjonuje Komitet ds. Zarządzania Informacjami i Ryzykiem. Komitet spotyka się okresowo, aby dokonać przeglądu inicjatyw w zakresie bezpieczeństwa na poziomie produktu, infrastruktury i firmy.

Pracownicy Dropbox Sign są kompleksowo sprawdzani i co roku odbywają szkolenie z zakresu bezpieczeństwa.

Stosujemy również Zasady dopuszczalnego użytkowania i Warunki korzystania z usługi dla użytkowników końcowych w celu zagwarantowania, że klienci w pełni rozumieją, jaki sposób korzystania z naszych produktów przewidujemy i jakie są warunki takiego korzystania.