Seguridad
Los documentos, contratos y acuerdos que firmas como empresa son algunos de tus documentos más importantes. La mayoría de estas transacciones son fundamentales en el funcionamiento de una empresa y requieren una firma legalmente vinculante. Los Servicios de Dropbox Sign (incluidos Dropbox Sign, Dropbox Forms y Dropbox Fax) le dan máxima prioridad a la protección de tus documentos y las transacciones vinculadas a ellos.
Privacidad
En Dropbox Sign creemos que tú eres dueño de tus datos y estamos comprometidos a proteger su confidencialidad. En nuestra política de privacidad se explica claramente el modo en que gestionamos y protegemos tus datos. Nuestros auditores externos independientes comprueban anualmente nuestros controles de privacidad y nos facilitan sus informes y opiniones que, a su vez, podemos hacerte llegar si nos los solicitas.
Si tienes dudas relacionadas con tu privacidad, escribe un correo a privacy@dropbox.com.
Cifrado
Los documentos se almacenan detrás de un cortafuegos y se autentican en la sesión del remitente cada vez que se solicita dicho documento. Aplicamos el uso de las prácticas recomendadas del sector en la transmisión de datos a nuestra plataforma (tecnología Transport Layer Security, o TLS por sus siglas en inglés), y los datos se almacenan en centros de datos con certificación SOC 1 de Tipo II, SOC 2 de Tipo I e ISO 27001. Tus documentos en pausa se almacenan y se cifran mediante el estándar Advanced Encryption Standard (AES) de 256 bits.
Además, cada documento se cifra con una clave única. Como protección adicional, cada clave se codifica con una clave maestra que cambia de forma periódica. Esto significa que, aunque alguien superara la seguridad física y accediera a un disco duro, no podría descifrar tus datos.
Todos los documentos se cifran en reposo con el cifrado AES de 256 bits.
Cada documento se cifra con una clave única que, a su vez, se cifra con una clave maestra.
La clave maestra cambia de forma periódica.
Las copias de seguridad de los documentos están cifradas.
Los documentos en tránsito se encriptan con el cifrado TLS 1.2 o posterior.
La aplicación web tiene una política de seguridad HSTS que se ha configurado para garantizar una conexión segura.
Registros de auditoría
Cada vez que se firma un contrato, esta acción queda registrada y la firma queda ligada al documento. Cuando solicitas una firma, Dropbox Sign añade al documento correspondiente una página con el registro de auditoría. El registro de auditoría contiene un identificador global único (o GUID, por sus siglas en inglés) que puede utilizarse para consultar un expediente en nuestra base de datos en el que aparece quién ha firmado un documento y cuándo. Estos expedientes incluyen un hash del documento PDF que podemos comparar con el hash de un documento PDF sospechoso para determinar si ha sido modificado o manipulado. Consulta nuestra declaración de legalidad para obtener más información.
Los registros de auditoría no editables garantizan que cada acción que se lleva a cabo en tus documentos ha sido supervisada minuciosamente y contiene una marca de fecha y hora, de manera que proporciona una prueba justificable de acceso, revisión y firma.
Estas son algunas de las actividades que quedan registradas en la auditoría de Dropbox Sign:
- Documento enviado
- Documento visto
- Documento firmado
- Rechazo de firma
- Nombre o dirección de correo electrónico del firmante actualizados
- Adjunto subido
- Firma presencial activada
- Código de acceso del firmante autenticado
- Acuerdo de firma y registro electrónico aceptado
- Solicitud de firma delegada
- Solicitud de firma completada
- Solicitud completada aplazada
- Editar fecha de vencimiento
- Editar y reenviar documento
Seguridad de la aplicación
La seguridad de la aplicación de Dropbox Sign es una parte integral del programa de seguridad de la aplicación de Dropbox. Durante el proceso de implementación de nuevas funciones, llevamos a cabo revisiones de carácter estructural y de diseño. Todo el código de Dropbox Sign se escanea en busca de problemas de seguridad con herramientas de análisis de código estático, como Semgrep y CodeScan. Dropbox Sign también forma parte de nuestro programa de recompensas por detección de errores, ofrecido por Bugcrowd.
Permisos
Es imprescindible que puedas controlar quién puede hacer qué en el sistema. Los diferentes roles conllevan diferentes derechos de acceso, tanto en la Dropbox Sign API como en el producto del usuario final de Dropbox Sign. Obtén más información sobre los permisos de seguridad basada en roles consultando el Informe técnico de seguridad de Dropbox.
Infraestructura
Dropbox Sign utiliza los Servicios Web de Amazon (AWS) como proveedor de su infraestructura como servicio (IaaS) con centros de datos de Amazon que alojan nuestros datos en Estados Unidos. También utilizamos los AWS de la Unión Europea, Reino Unido, Japón, Australia y Canadá.
Dropbox Sign utiliza funciones de seguridad de Amazon como la Virtual Private Cloud (VPC), los grupos de seguridad, el cifrado a nivel de disco, etc., para garantizar la confidencialidad de los datos de nuestros clientes en la nube.
Especialización y experiencia
Equipo de Seguridad
Dropbox Sign dispone de un programa oficial de seguridad de la información supervisado por el director de Seguridad y que dirige un Comité de Gestión de Información y Riesgo. El Comité de Gestión de Información y Riesgo se reúne periódicamente para examinar iniciativas relacionadas con la seguridad del producto, la infraestructura y la empresa.
En Dropbox Sign, los empleados se someten a una comprobación de antecedentes exhaustiva y reciben una formación anual de concienciación sobre seguridad.
También disponemos de una política de uso aceptable y unas condiciones de servicio para nuestros usuarios finales que garantizan que los clientes entienden completamente cómo pretendemos que se utilicen nuestros productos y bajo qué condiciones.