Sécurité

Chez Dropbox Sign, nous partons du principe que vous êtes propriétaire de vos données, et nous nous engageons à en protéger la confidentialité. Notre politique de confidentialité décrit avec précision de quelle manière nous traitons et protégeons vos informations. Chaque année, des auditeurs tiers indépendants testent nos contrôles de confidentialité et nous communiquent leurs rapports et recommandations, que nous pouvons partager sur demande.

Envoyez toutes vos questions relatives à la confidentialité à l’adresse privacy@dropbox.com.

Dropbox fait appel à certains sous-traitants pour nous aider à assurer les Services Dropbox Sign. Les fournisseurs de services avec lesquels nous travaillons peuvent être amenés à stocker et traiter des données personnelles vous concernant et concernant vos utilisateurs finaux. Cette page donne des informations importantes sur l'identité, le pays et le rôle de ces sous-traitants indispensables. Les termes utilisés sur cette page mais non définis ont la signification qui leur est attribuée dans les Conditions d'utilisation de Dropbox Sign.

Dropbox Sign effectue un examen de ses sous‑traitants au moins une fois par an. Si, à la suite de ces examens, nous estimons que des éléments présentent un risque pour Dropbox Sign ou nos clients, nous travaillerons avec le fournisseur de services pour évaluer tout impact potentiel sur les données des clients et nous surveillerons les efforts qu’il déploie jusqu’à la résolution du problème.

Les clients qui souhaitent recevoir des notifications par e‑mail en cas de mise à jour de cette liste peuvent s’inscrire en remplissant ce formulaire pour recevoir ces notifications au nom de leur équipe.

Les documents sont stockés derrière un pare‑feu et authentifiés en fonction de la session de l’expéditeur chaque fois que l’un d’eux fait l’objet d’une demande. Nous appliquons les bonnes pratiques du secteur concernant la transmission des données vers notre plateforme (Transport Layer Security, TLS), et les données sont stockées dans des datacenters certifiés SOC 1 Type II, SOC 2 Type I et ISO 27001. Vos documents sont stockés et chiffrés au repos à l’aide du protocole AES 256 bits.

De plus, chaque document est chiffré à l’aide d’une clé unique. Pour une protection supplémentaire, chaque clé est chiffrée à l’aide d’une clé principale qui change régulièrement. En d’autres termes, même si quelqu’un parvenait à contourner la sécurité physique et à retirer un disque dur, il ne serait pas en mesure de déchiffrer vos données.

Tous les documents au repos sont chiffrés à l’aide du protocole AES 256 bits.

Chaque document est chiffré à l’aide d’une clé unique, elle‑même chiffrée à son tour à l’aide d’une clé principale.

Cette clé principale est régulièrement modifiée.

Les sauvegardes des documents sont chiffrées.

Les documents en transit sont chiffrés à l’aide du protocole TLS 1.2 (ou version ultérieure).

L’application Web est configurée avec HSTS pour garantir la sécurité des connexions.

Chaque signature ajoutée à un contrat est associée au document. Autrement dit, lorsque vous demandez une signature, Dropbox Sign ajoute une page incluant la piste d’audit au document lui‑même. La piste d’audit contient un identifiant unique au niveau mondial (GUID), qui peut être utilisé pour rechercher dans notre base de données un enregistrement indiquant qui a signé un document et quand. Ces enregistrements comprennent une valeur de hachage du document PDF que nous pouvons comparer à celle d’un document PDF douteux afin de déterminer s’il a été modifié ou altéré. Lisez notre déclaration de légalité pour en savoir plus.

La piste d'audit non modifiable garantit que chaque action sur vos documents est minutieusement consignée et horodatée, afin de fournir une preuve admissible d'accès, de lecture et de signature.

Différents événements sont consignés dans la piste d’audit Dropbox Sign, notamment :

• Document envoyé
• Document consulté
• Document signé
• Signature refusée
• Nom/adresse e‑mail du signataire mis à jour
• Pièce jointe importée
• Signature en personne activée
• Authentification via un code d’accès
• Consentement aux transactions par voie électronique accordé
• Demande de signature déléguée
• Demande de signature terminée
• Demande terminée poursuivie
• Modifier la date d'expiration
• Modifier et renvoyer un document

La sécurité des applications Dropbox Sign est entièrement intégrée au programme de sécurité des applications Dropbox. Nous procédons à des examens de la conception et de l’architecture des nouvelles fonctionnalités dans le cadre de notre processus d’approbation. L’ensemble du code Dropbox Sign est analysé afin de détecter les éventuels problèmes de sécurité à l’aide d’outils d’analyse statique du code comme Semgrep et CodeScan. Dropbox Sign est également couvert par notre programme de bug bounty pour la sécurité et la prévention des abus proposé par Bugcrowd.

Il est impératif que vous puissiez contrôler les rôles et accès de chaque utilisateur dans le système. Chaque rôle dispose de droits d’accès différents, tant dans Dropbox Sign API que dans le produit Dropbox Sign destiné aux utilisateurs finaux. Pour en savoir plus sur les autorisations de sécurité basées sur les rôles, lisez le livre blanc sur la sécurité Dropbox Sign.

Dropbox Sign fait appel à Amazon Web Services (AWS) comme fournisseur IaaS (infrastructure en tant que service). Les datacenters Amazon hébergent nos données aux États‑Unis. Nous sauvegardons également des données dans les régions AWS en Europe, au Royaume‑Uni, au Japon, en Australie et au Canada.

Dropbox Sign utilise les fonctionnalités de sécurité Amazon comme Virtual Private Cloud (VPC), les groupes de sécurité, le chiffrement des disques et d’autres pour garantir la confidentialité des données de nos clients dans le cloud.

Sécurité

Dropbox Sign has a formal information security program in place under the Head of Security that leads an information and Risk Management Committee. The Information and Risk Management Committee meets periodically to review security-related initiatives at the product, the infrastructure, and the company level.

At Dropbox Sign employees undergo comprehensive background checks and undergo annual security awareness training.

Nous disposons également d'une politique d'utilisation acceptable et de conditions d'utilisation destinées à nos utilisateurs finaux afin de nous assurer que nos clients ont une vision précise de l'utilisation prévue pour nos produits et des conditions régissant une telle utilisation.