Безопасность

Dropbox Sign считает ваши данные вашей собственностью и стремится обеспечить их конфиденциальность. Наша политика конфиденциальности устанавливает четкий порядок обработки и защиты ваших данных. Ежегодно проводится независимый сторонний аудит наших средств защиты конфиденциальных данных, по результатам которого выдаются отчеты и заключения, которые мы, в свою очередь, можем предоставить вам.

Все вопросы, связанные с конфиденциальностью, направляйте по адресу privacy@dropbox.com.

Dropbox привлекает определенных поставщиков услуг по обработке данных для участия в предоставлении Сервисов Dropbox Sign. Мы используем поставщиков услуг, которые могут хранить и обрабатывать личные данные о вас и ваших конечных пользователях. На этой странице содержится важная информация о реквизитах, местонахождении и роли таких поставщиков услуг обработки данных. Термины, используемые на этой странице без определения, имеют значение, установленное в Соглашении об условиях обслуживания Dropbox Sign.

Dropbox Sign не реже одного раза в год проводит аудит наших сторонних обработчиков данных. При выявлении по результатам аудита существенных рисков для Dropbox Sign или наших клиентов мы совместно с соответствующим поставщиком оцениваем потенциальное влияние на клиентские данные и следим за принимаемыми мерами по устранению.

Клиенты, желающие получать по электронной почте уведомления об обновлении данного списка, могут подписаться на получение таких уведомлений от имени своей команды, заполнив данную форму.

Документы хранятся за брандмауэром и аутентифицируются по сеансу отправителя при каждом запросе на соответствующий документ. Мы применяем лучшие отраслевые практики для передачи данных на нашу платформу (Transport Layer Security TLS). Наши данные хранятся в центрах обработки данных, сертифицированных по SOC 1 тип II, SOC 2 тип I и ISO 27001. Ваши документы хранятся и шифруются при хранении с использованием 256-битного шифрования AES.

Дополнительно каждый документ шифруется уникальным ключом. Для обеспечения дополнительной безопасности, каждый ключ дополнительно шифруется сменным мастер-ключом. Это означает, что даже если кто-то сможет обойти физическую защиту и получить доступ к жесткому диску, он не сможет расшифровать ваши данные.

Все документы при хранении защищены 256-битным шифрованием AES.

Каждый документ шифруется с помощью уникального ключа, который в свою очередь шифруется с помощью мастер-ключа.

Мастер-ключ регулярно обновляется.

Резервные копии документов шифруются.

Передаваемые документы шифруются с использованием протокола TLS 1.2 или более поздней версии.

Для обеспечения безопасного соединения в веб-приложении используется механизм HSTS.

Каждая подпись на контракте накладывается и прикрепляется к документу. При запросе подписи Dropbox Sign прикрепляет страницу контрольного журнала к самому документу. Контрольный журнал содержит глобальный уникальный идентификатор или GUID, который можно использовать для поиска в нашей базе данных записи о том, кто и когда подписал документ. Эти записи включают хеш PDF-документа, который можно сравнить с хешем сомнительного PDF-документа для того, чтобы определить, был ли этот документ изменен или подделан. Подробнее об этом читайте в нашем заявлении о законности.

Защищенный от редактирования контрольный журнал гарантирует отслеживание каждого действия с присвоением метки времени для гарантии наличия доказательств доступа, проверки и подписи.

Например, в контрольном журнале Dropbox Sign регистрируются следующие события:

• Документ отправлен.
• Просмотр документа
• Подписание документа
• Отклонение запроса на подпись
• Обновление имени / адреса электронной почты подписывающего лица
• Загрузка вложения
• Активация функции «Подпись, полученная лично»
• Аутентификация кода для подписания
• Принятие условий соглашения о признании электронных подписей и раскрытии информации
• Делегирование запроса на подпись
• Завершение запроса на подпись
• Продолжение выполненного запроса
• Изменить дату окончания срока действия
• Редактировать и повторно отправить документ

Средства защиты Dropbox Sign полностью интегрированы с программой безопасности приложений Dropbox. Все новые функции перед внедрением проходят проверку с точки зрения общей концепции и архитектуры. Мы также проверяем код на наличие проблем, связанных с безопасностью, при помощи инструментов для статического анализа кода, таких как Semgrep и CodeScan. Dropbox Sign входит в нашу поощрительную программу по поиску ошибок безопасности и злоупотреблений, которая доступна через Bugcrowd.

Контроль прав пользователей в системе имеет очень большое значение. Разные роли имеют разные права доступа в Dropbox Sign API и в продукте Dropbox Sign для конечных пользователей. Подробнее о полномочиях доступа на основе ролей см. в техническом документе о безопасности Dropbox Sign.

Dropbox Sign использует сервис «Инфраструктура как услуга» (IaaS) Amazon Web Services (AWS) для хранения данных в центрах обработки данных Amazon в США. Мы также используем региональные ЦОД AWS для хранения данных в Европе, Великобритании, Японии, Австралии и Канаде.

Dropbox Sign использует такие функции безопасности Amazon, как виртуальное частное облако (VPC), группы безопасности, шифрование на уровне дисков и т. д., чтобы обеспечить конфиденциальность клиентских данных в облаке.

Команда службы безопасности

В Dropbox Sign действует официальная программа информационной безопасности, которую возглавляет начальник службы безопасности и председатель комитета по управлению информацией и рисками. Комитет по управлению информацией и рисками периодически собирается для анализа мероприятий по обеспечению безопасности на уровне продуктов, инфраструктуры и компании.

Сотрудники Dropbox Sign проходят комплексную проверку анкетных данных и ежегодное обучение по вопросам безопасности.

Наши политика допустимого использования и условия обслуживания для конечных пользователей предназначены для информирования наших клиентов о том, как должны использоваться наши продукты и на каких условиях.