安全

在 Dropbox Sign，我们尊重您作为数据所有者的身份，我们承诺对您的数据保密。我们的隐私政策明确阐述了我们如何处理和保护您的信息。独立第三方审计师每年对我们的隐私控制措施进行测试，并提供报告和意见，随后我们可以根据请求将这些报告和意见提供给您。

请将任何隐私相关问题提交至 privacy@dropbox.com。

Dropbox 使用某些子处理者协助提供 Dropbox Sign 服务。我们使用的服务提供商可能会存储和处理关于您和您的最终用户的个人数据。本页面提供了关于这些子处理者的身份、所在地和角色的重要信息。本页面使用但未定义的术语具有 Dropbox Sign 服务条款中规定的含义。

Dropbox Sign 至少每年对我们的子处理者进行一次审查。如果审查有重大发现，且我们认定这些发现会给 Dropbox Sign 或我们的客户带来风险，我们将与服务提供商合作，了解对客户数据的任何潜在影响，并跟踪他们的纠正措施，直到问题得到解决。

希望在此列表更新时接收电子邮件通知的客户可以通过填写此表格代表其团队订阅接收此类通知。

存储的文档受防火墙保护，对于每个文档请求，都会根据发送者的会话进行身份验证。在向我们的平台传输数据的过程中，我们采用行业最佳实践（传输层安全协议，TLS），并将数据存储在通过 SOC 1 Type II、SOC 2 Type I 及 ISO 27001 认证的数据中心中。您的文档使用 AES 256 位加密算法进行静态存储和加密。

此外，每个文档都用唯一的密钥加密。作为额外的安全措施，每个密钥都用定期轮换的主密钥加密。也就是说，即使有人能够绕过物理安全措施并移除硬盘，他们也无法解密您的数据。

所有文档都使用 AES-256 进行静态加密。

每个文档都使用唯一的密钥加密，该密钥本身使用主密钥加密。

主密钥定期轮换。

文档的备份是加密的。

传输中的文档使用 TLS 1.2 或更高版本加密。

为确保安全连接，Web 应用程序配置了 HSTS。

合同上的每一个签名都附加在文档上。在您请求签名时，Dropbox Sign 会在文档上附加一个审核记录页面。审核记录包含一个全局唯一标识符 (GUID)，可用于在我们的数据库中查找记录，显示谁在什么时间签署了文档。这些记录包括 PDF 文档的哈希值，我们可以将其与有问题的 PDF 文档哈希值进行比较，确定文档是否曾被修改或篡改。有关详细信息，请阅读我们的合法性声明。

不可编辑的审核记录可以确保全面跟踪对您的文档的每一项操作并加盖时间戳，提供可用于法庭辩护的访问、查阅和签名证据。

Dropbox Sign 中有许多不同的审核跟踪事件，包括：

• 文档已发送
• 文档已查阅
• 文档已签名
• 拒绝签字
• 签字人姓名/电子邮件地址已更新
• 附件已上传
• 当面签字已激活
• 签字人访问码已验证
• 已接受电子记录和签名披露
• 已授权签字请求
• 签字请求已完成
• 继续已完成的请求
• 编辑到期日
• 编辑并重新发送文档

Dropbox Sign 应用安全与“Dropbox 应用程序安全”计划完全集成。我们通过引入流程对新功能进行设计和架构审查。所有 Dropbox Sign 代码都使用 Semgrep 和 CodeScan 等静态代码分析工具扫描安全相关问题。Dropbox Sign 也包含在我们的“安全和滥用漏洞奖励计划”中，该计划通过 Bugcrowd 提供。

您必须能够控制哪些人能在系统内进行哪些操作。不同的角色拥有不同的访问权限，无论是在 Dropbox Sign API 中还是在 Dropbox Sign 最终用户产品中。请参阅 Dropbox Sign 安全白皮书了解有关基于角色的安全权限的更多信息。

Dropbox Sign 使用 Amazon Web Services (AWS) 作为其基础设施即服务 (IaaS) 提供商，亚马逊数据中心在美国境内托管我们的数据。我们还利用欧盟、英国、日本、澳大利亚和加拿大的 AWS 区域。

Dropbox Sign 使用虚拟私有云 (VPC)、安全组、磁盘级加密等亚马逊安全功能来确保云端客户数据的机密性。

安全团队

Dropbox Sign 拥有一项由安全主管领导的正式信息安全计划。安全主管领导着一个信息和风险管理委员会。该委员会定期召开会议，审查产品、基础架构和公司的安全相关计划。

在 Dropbox Sign，员工会接受全面的背景调查和年度安全意识培训。

我们还制定了针对最终用户的合理使用政策和服务条款，确保我们的客户完全了解我们对产品的预期使用方式和使用条款。