การรักษาความปลอดภัย
เอกสาร สัญญา และข้อตกลงที่คุณลงนามในฐานะธุรกิจคือเอกสารบางส่วนที่สำคัญที่สุดที่คุณมี ธุรกรรมประเภทเหล่านี้จำนวนมากเกี่ยวข้องกับลายเซ็นที่มีผลผูกพันทางกฎหมาย และมีความสำคัญอย่างยิ่งในการดำเนินธุรกิจของบริษัท ด้วยบริการ Dropbox Sign ซึ่งรวมถึง Dropbox Sign, Dropbox Forms และ Dropbox Fax การปกป้องเอกสารของคุณและธุรกรรมที่เกี่ยวข้องนั้นจะมีความสำคัญสูงสุด
ความเป็นส่วนตัว
ที่ Dropbox Sign เราเชื่อว่าคุณเป็นเจ้าของข้อมูลของคุณเอง และเรามุ่งมั่นที่จะเก็บรักษาข้อมูลของคุณให้เป็นส่วนตัว นโยบายความเป็นส่วนตัวของเราอธิบายอย่างชัดเจนว่าเราจัดการและคุ้มครองข้อมูลของคุณอย่างไร ผู้ตรวจสอบอิสระที่เป็นบุคคลที่สามของเราทำการทดสอบการควบคุมที่เกี่ยวข้องกับความเป็นส่วนตัวของเราเป็นประจำทุกปี พร้อมทั้งจัดทำรายงานและแสดงความคิดเห็นของพวกเขา ซึ่งเราสามารถมอบให้คุณได้เมื่อคุณขอ
โปรดส่งคำถามใดๆ เกี่ยวกับความเป็นส่วนตัวไปที่ privacy@dropbox.com
ผู้ประมวลผลย่อย
Dropbox ใช้ผู้ประมวลผลย่อยบางรายเพื่อช่วยในการให้บริการ Dropbox Sign เราใช้ผู้ให้บริการที่อาจจัดเก็บและประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับคุณและผู้ใช้ขั้นปลายของคุณ หน้านี้จะให้ข้อมูลสำคัญเกี่ยวกับตัวตน ตำแหน่งที่ตั้ง และบทบาทของผู้ประมวลผลย่อยที่สำคัญเหล่านี้ คำศัพท์ที่ใช้ในหน้านี้แต่ไม่มีคำจำกัดความกำหนดไว้จะมีความหมายตามที่ระบุไว้ในข้อกำหนดการใช้บริการ Dropbox Sign
Dropbox Sign ทำการตรวจสอบผู้ประมวลผลย่อยของเราอย่างน้อยปีละครั้ง ในกรณีที่พบหลักฐานที่มีนัยสำคัญในการตรวจสอบเหล่านี้ ซึ่งเราตัดสินแล้วว่าก่อให้เกิดความเสี่ยงต่อ Dropbox Sign หรือลูกค้าของเราในปัจจุบัน เราจะทำงานร่วมกับผู้ให้บริการเพื่อทำความเข้าใจผลกระทบที่อาจเกิดขึ้นกับข้อมูลลูกค้าและติดตามความพยายามแก้ไขจนกระทั่งปัญหาได้รับการแก้ไข
ผู้ประมวลผลย่อยของ Dropbox Sign
ลูกค้าที่ต้องการรับการแจ้งเตือนทางอีเมลหากมีการอัปเดตรายการนี้ สามารถสมัครรับการแจ้งเตือนดังกล่าวในนามทีมของตนได้ โดยให้กรอกแบบฟอร์มนี้ให้เสร็จสมบูรณ์
การเข้ารหัส
เราจัดเก็บเอกสารต่างๆ ไว้หลังไฟร์วอลล์และยืนยันกับเซสชันของผู้ส่งทุกครั้งที่มีการขอเอกสารนั้น เราบังคับใช้วิธีปฏิบัติที่ดีที่สุดในอุตสาหกรรมในการส่งข้อมูลไปยังแพลตฟอร์มของเรา (Transport Layer Security หรือ TLS) และจัดเก็บข้อมูลไว้ใน SOC 1 ประเภท II, SOC 2 ประเภท I และศูนย์ข้อมูลที่ได้รับการรับรองมาตรฐาน ISO 27001 เอกสารของคุณจะได้รับการจัดเก็บและเข้ารหัสขณะที่ไม่ได้ใช้งานโดยใช้การเข้ารหัส AES 256 บิต
นอกจากนี้ เรายังเข้ารหัสเอกสารแต่ละฉบับด้วยคีย์ที่ไม่ซ้ำกัน และเพื่อเป็นการป้องกันเพิ่มเติม เราจึงเข้ารหัสแต่ละคีย์ด้วยการหมุนเวียนคีย์หลักอยู่เสมอ ซึ่งหมายความว่าแม้ว่าจะมีใครบางคนสามารถหลีกเลี่ยงระบบรักษาความปลอดภัยทางกายภาพและลบฮาร์ดไดรฟ์ได้ แต่จะไม่สามารถถอดรหัสข้อมูลของคุณได้
เอกสารทั้งหมดมีการเข้ารหัสขณะที่ไม่มีการใช้งานโดยใช้การ AES-256
เอกสารแต่ละฉบับจะถูกเข้ารหัสโดยการใช้คีย์ที่ไม่ซ้ำกัน ซึ่งคีย์ดังกล่าวเองก็จะถูกเข้ารหัสด้วยคีย์หลักอีกด้วย
คีย์หลักจะหมุนเวียนอยู่เสมอ
ข้อมูลสำรองของเอกสารถูกเข้ารหัส
เอกสารที่อยู่ในระหว่างการโอนย้ายถูกเข้ารหัสโดยใช้ TLS 1.2 หรือใหม่กว่า
แอปพลิเคชันเว็บมีการกำหนดค่า HSTS เพื่อให้แน่ใจว่าจะมีการเชื่อมต่อที่ปลอดภัย
แนวทางการตรวจสอบ
ลายเซ็นแต่ละลายเซ็นในสัญญาถูกกำหนดและติดกับเอกสาร เมื่อคุณขอลายเซ็น Dropbox Sign จะแนบหน้าแนวทางการตรวจสอบไว้กับตัวเอกสาร โดยแนวทางการตรวจสอบจะมีตัวระบุที่ไม่ซ้ำกันโดยรวม (GUID) ที่สามารถใช้ค้นหาบันทึกในฐานข้อมูลของเราได้ ซึ่งจะแสดงชื่อผู้ลงนามและเวลาที่ลงนามในเอกสาร บันทึกเหล่านี้มีแฮชของเอกสาร PDF ซึ่งเราสามารถนำมาเปรียบเทียบกับแฮชของเอกสาร PDF ที่สงสัย เพื่อตรวจสอบว่ามีการแก้ไขหรือเปลี่ยนแปลงหรือไม่ อ่านคำแถลงเกี่ยวกับความถูกต้องตามกฎหมายของเราเพื่อดูรายละเอียดเพิ่มเติม
แนวทางการตรวจสอบที่แก้ไขไม่ได้นี้ช่วยให้มั่นใจได้ว่าเราติดตามการกระทำทุกอย่างในเอกสารของคุณอย่างละเอียดและประทับเวลา เพื่อให้หลักฐานที่ใช้แก้ต่างได้ของการเข้าถึง การตรวจทาน และลายเซ็น
มีกิจกรรมที่ติดตามโดยการตรวจสอบต่างๆ มากมายใน Dropbox Sign ได้แก่:
- ส่งเอกสารแล้ว
- ดูเอกสารแล้ว
- ลงนามเอกสารแล้ว
- ปฏิเสธการลงนาม
- อัพเดทชื่อ/ที่อยู่อีเมลของผู้ลงนามแล้ว
- อัพโหลดเอกสารแนบแล้ว
- เปิดใช้งานการลงนามต่อหน้าแล้ว
- ยืนยันรหัสเข้าถึงของผู้ลงนามแล้ว
- ยอมรับบันทึกอิเล็กทรอนิกส์และการเปิดเผยลายเซ็นแล้ว
- มอบหมายการขอลายเซ็นแล้ว
- การขอลายเซ็นเสร็จสมบูรณ์
- ดำเนินการขอที่เสร็จสมบูรณ์แล้วต่อ
- แก้ไขวันที่หมดอายุ
- แก้ไขและส่งเอกสารใหม่
การรักษาความปลอดภัยของแอปพลิเคชัน
การรักษาความปลอดภัยของแอปพลิเคชัน Dropbox Sign นั้นได้รับการผสานการทำงานเข้ากับโปรแกรมการรักษาความปลอดภัยของแอปพลิเคชัน Dropbox อย่างสมบูรณ์ โดยเราดำเนินการตรวจสอบการออกแบบและสถาปัตยกรรมของคุณสมบัติใหม่ๆ ผ่านกระบวนการรับเข้าของเรา รหัส Dropbox Sign ทั้งหมดจะถูกสแกนเพื่อตรวจหาปัญหาด้านการรักษาความปลอดภัยโดยใช้เครื่องมือวิเคราะห์รหัสแบบคงที่ เช่น Semgrep และ CodeScan นอกจากนี้ Dropbox Sign ยังอยู่ภายใต้โปรแกรมการรักษาความปลอดภัยและการละเมิดของเรา ซึ่งให้บริการผ่าน Bugcrowd อีกด้วย
การอนุญาต
เป็นเรื่องจำเป็นที่คุณควบคุมได้ว่าใครสามารถทำอะไรได้บ้างในระบบ บทบาทที่แตกต่างกันจะมีสิทธิ์การเข้าถึงที่แตกต่างกัน ทั้งใน Dropbox Sign API และในผลิตภัณฑ์ Dropbox Sign ของผู้ใช้งาน เรียนรู้เพิ่มเติมเกี่ยวกับสิทธิ์ด้านการรักษาความปลอดภัยตามบทบาทในเอกสารรายงานการรักษาความปลอดภัยของ Dropbox Sign
โครงสร้างพื้นฐาน
Dropbox Sign ใช้ Amazon Web Services (AWS) เป็นโครงสร้างพื้นฐานในฐานะผู้ให้บริการ (IaaS) กับศูนย์ข้อมูล Amazon ที่โฮสต์ข้อมูลของเราในสหรัฐอเมริกา นอกจากนี้เรายังใช้ประโยชน์จากรีเจี้ยนของ AWS ในสหภาพยุโรป สหราชอาณาจักร ญี่ปุ่น ออสเตรเลีย และแคนาดาด้วย
Dropbox Sign ใช้คุณสมบัติการรักษาความปลอดภัยของ Amazon เช่น Virtual Private Cloud (VPC), กลุ่มรักษาความปลอดภัย, การเข้ารหัสระดับดิสก์ และอื่นๆ เพื่อให้มั่นใจถึงการรักษาความลับของข้อมูลลูกค้าของเราในระบบคลาวด์
เฉพาะและมีประสบการณ์
ทีมรักษาความปลอดภัย
Dropbox Sign มีโปรแกรมการรักษาความปลอดภัยข้อมูลอย่างเป็นทางการภายใต้การดูแลของหัวหน้าฝ่ายรักษาความปลอดภัย ซึ่งนำโดยคณะกรรมการจัดการข้อมูลและความเสี่ยง คณะกรรมการจัดการข้อมูลและความเสี่ยงเข้าร่วมประชุมเป็นระยะๆ เพื่อทบทวนความคิดริเริ่มที่เกี่ยวข้องกับการรักษาความปลอดภัยในระดับผลิตภัณฑ์ โครงสร้างพื้นฐาน และบริษัท
ที่ Dropbox Sign พนักงานจะต้องผ่านการตรวจสอบภูมิหลังที่อย่างถี่ถ้วน และจะต้องเข้าร่วมการฝึกอบรมเพื่อสร้างความตระหนักด้านการรักษาความปลอดภัยประจำปี
นอกจากนี้ เรายังมีนโยบายความมั่นคงปลอดภัยระบบสารสนเทศและข้อตกลงการใช้บริการสำหรับผู้ใช้ปลายทางของเรา เพื่อให้มั่นใจได้ว่าลูกค้าของเราเข้าใจว่าเราตั้งใจให้ใช้ผลิตภัณฑ์ของเราอย่างไรและภายใต้ข้อตกลงใดบ้าง