Säkerhet

På Dropbox Sign anser vi att ni äger era data, och vi har förbundit oss att hålla dem privata. Vår sekretesspolicy beskriver tydligt hur vi hanterar och skyddar er information. Våra tredjepartsrevisorer testar våra sekretessrelaterade kontroller på årsbasis och tillhandahåller rapporter och utlåtanden som vi kan vidarebefordra till er på begäran.

Skicka eventuella frågor om integritetsskydd till privacy@dropbox.com.

Dropbox använder vissa underleverantörer för att hjälpa till att tillhandahålla Dropbox Sign-tjänsterna. Vi använder tjänsteleverantörer som kan lagra och behandla personuppgifter om dig och dina slutanvändare. Denna sida ger viktig information om identiteterna, platserna och rollerna för dessa underleverantörer. Villkor som används på denna sida men inte definierats har den betydelse som anges i Dropbox Signs tjänsteavtal.

Dropbox Sign utför en granskning av våra underleverantörer åtminstone en gång om året. Om dessa granskningar skulle få väsentliga resultat som vi bedömer utgör risker för Dropbox Sign eller våra kunder kommer vi att samarbeta med tjänsteleverantören för att förstå eventuella effekter på kunddata och följa upp deras saneringsinsatser tills problemet är löst.

Kunder som vill meddelas via mejl om denna lista uppdateras kan prenumerera på sådana meddelanden för sitt teams räkning genom att fylla i det här formuläret.

Dokument lagras bakom en brandvägg och autentiseras mot avsändarens session varje gång en begäran om det aktuella dokumentet görs. Vi tillämpar branschens bästa praxis för överföring av data till vår plattform (Transport Layer Security, TLS) och data lagras på datacenter som är certifierade enligt SOC 1 Type II, SOC 2 Type I och ISO 27001. Dina dokument lagras och krypteras i vila med 256-bitars AES-kryptering.

Dessutom krypteras varje dokument med en unik nyckel. Som ytterligare säkerhetsåtgärd krypteras varje nyckel med en regelbundet utbytt masternyckel. Detta innebär att om någon skulle kunna ta sig förbi det fysiska skyddet och få med en hårddisk skulle personen inte kunna komma åt era data.

‍Alla dokument är krypterade i vila med AES 256.

Varje dokument krypteras med en unik nyckel, som i sin tur krypteras med en masternyckel.

Masternyckeln byts ut regelbundet.

Säkerhetskopior av dokument är krypterade.

Dokument som skickas krypteras med TLS 1.2 eller senare.

Webbapplikationen har HSTS konfigurerat för att säkerställa en säker anslutning.

Varje underskrift på ett avtal verkställs och infogas i dokumentet. När du begär en signatur infogar Dropbox Sign en granskningsloggsida i själva dokumentet. Granskningsloggen innehåller en globalt unik identifierare (GUID) som kan användas för att slå upp en post i vår databas som visar vem som har undertecknat ett dokument och när. Dessa poster inkluderar en hash-kod av PDF-dokumentet som vi kan jämföra med hash-koden för ett tvivelaktigt PDF-dokument för att avgöra om det har modifierats eller manipulerats. Mer information finns i vår redogörelse för rättsgiltighet.

Den icke redigerbara granskningsloggen säkerställer att alla åtgärder i era dokument spåras och tidsstämplas noggrant så att klara bevis på åtkomst, granskning och underskrift finns.

Det finns ett antal olika granskningsloggade händelser i Dropbox Sign, bland annat:

• Dokumentet skickat
• Dokument visas
• Dokument har signerats
• Avböj signering
• Undertecknarens namn/mejladress uppdaterad
• Bilaga laddas upp
• Personlig underskrift aktiverad
• Undertecknarens åtkomstkod autentiseras
• Avtal angående elektroniska handlingar och underskrifter har godkänts
• Begäran om underskrift delegerad
• Begäran om underskrift slutförd
• Slutförd begäran är fortgående
• Redigera utgångsdatum
• Redigera och skicka dokument igen

Säkerheten för Dropbox Sign är helt integrerad med Dropbox säkerhetsprogram. Vi utför design- och arkitekturgranskningar av nya funktioner genom vår intagsprocess. All Dropbox Sign-kod skannas med avseende på säkerhetsrelaterade problem med verktyg för statisk kodanalys som Semgrep och CodeScan. Dropbox Sign omfattas också av vårt Bug Bounty-program för säkerhet och missbruk, som erbjuds via Bugcrowd.

Det är helt avgörande att ni kan kontrollera vem som kan göra vad i systemet. Olika roller har olika åtkomsträttigheter, både i Dropbox Sign API och i Dropbox Signs slutanvändarprodukt. Läs mer om rollbaserade säkerhetsbehörigheter i vitboken om säkerhet för Dropbox Sign.

Dropbox Sign använder Amazon Web Services (AWS) som IaaS-leverantör (Infrastructure as a Service) med Amazon-datacenter som hanterar våra data i USA. Vi använder oss också av AWS-regioner i EU, UK, JP, AU och CA.

Dropbox Sign använder Amazon-säkerhetsfunktioner som VPC (Virtual Private Cloud), säkerhetsgrupper, kryptering på disknivå med mera, för att säkerställa våra kunddatas konfidentialitet i molnet.

Säkerhetsteam

Dropbox Sign har ett formellt informationssäkerhetsprogram på plats under säkerhetschefen som leder informations- och riskhanteringskommittén. Informations- och riskhanteringskommittén träffas regelbundet för att granska säkerhetsrelaterade initiativ på produkt-, infrastruktur- och företagsnivå.

På Dropbox Sign genomgår personalen omfattande bakgrundskontroller och årliga utbildningar i säkerhetsmedvetenhet.

Vi har också en policy för acceptabel användning och villkor för våra slutanvändare för att säkerställa att våra kunder verkligen förstår hur vi avser att våra produkter ska användas och under vilka villkor.