安全性
對您而言,代表企業簽署的文件、合約和協議是最重要的文件。當中許多交易都需要具法律約束力的簽名,這對於公司營運來說非常重要。Dropbox Sign 服務 (包括 Dropbox Sign、Dropbox Forms 和 Dropbox Fax) 的第一要務就是保護您的文件和相關交易。
隱私權
Dropbox Sign 認為您應當全權掌控自己的資料,我們則須致力維護資料私密性。Dropbox 隱私權政策清楚說明本公司處理和保護個人資訊的方式。每年,獨立第三方稽核員都會測試隱私相關的管控措施,並提供報告和意見 (可依要求提供)。
如有任何隱私權相關問題,請提交至 privacy@dropbox.com。
加密處理
文件儲存在防火牆後方,而且每次要求文件時,都會根據寄件者的工作階段驗證身分。我們採用業界的最佳做法 (傳輸層安全性 TLS) 保護資料傳輸到平台的過程,並將資料儲存在 SOC 1 第二類、SOC 2 第一類、以及 ISO 27001 認證的資料中心。我們妥善儲存您的文件,並使用 256 位元的 AES 進行靜態加密。
此外,每份文件都使用專屬金鑰加密。作為額外的保護措施,每個金鑰都使用定期輪替的主要金鑰加密。這代表,即使有人能夠繞過物理保護措施進而移除硬碟,他們也無法解密您的資料。
所有文件都使用 AES-256 靜態加密。
每份文件都使用專屬金鑰加密,金鑰本身則使用主要金鑰加密。
主要金鑰會定期輪替。
文件備份都會加密。
傳輸中的文件使用 TLS 1.2 或更新版本加密。
網頁應用程式已設定 HSTS,確保安全連線。
稽核紀錄
契約上的每個簽名均應採用並附加在文件上。在您要求簽署時,Dropbox Sign 會在文件上附加稽核紀錄頁。稽核紀錄包含全球唯一的識別碼 (GUID),能用於查找我們資料庫內的紀錄,顯示誰及何時簽署過這份文件。這些紀錄包括 PDF 文件的雜湊,我們可用來與可疑的 PDF 文件雜湊作比較,以判定它是否曾被修改或篡改。如需更多詳細資訊,請參閱我們的合法性聲明。
不可編輯的稽核紀錄,能確保徹底追蹤您文件上的每個行動並記下時間,以便提供可靠的存取、審閱和簽名證明。
Dropbox Sign 中有許多不同稽核紀錄的事件,包括:
- 文件已送出
- 已檢視文件
- 簽署文件
- 拒絕簽署
- 已更新簽署者的姓名/電子郵件地址
- 已上傳附件
- 已啟用當面簽署
- 已驗證簽署者存取碼
- 已接受電子紀錄和簽署揭露
- 已指派簽署要求
- 已完成簽署要求
- 繼續已完成的要求
- 編輯到期日
- 編輯並重新傳送文件
應用程式安全
Dropbox Sign 應用程式安全性與 Dropbox 應用程式安全性計畫完整整合。我們在接收流程針對新功能展開設計和架構審查。此外,也會使用 Semgrep 和 CodeScan 等靜態程式碼分析工具,掃描所有 Dropbox Sign 程式碼是否包含任何安全性相關問題。Dropbox Sign 亦受到安全性與濫用偵錯方案 (由 Bugcrowd 支援) 的保護。
權限
您必須控制誰可以在系統中執行何種操作。在 Dropbox Sign API 與 Dropbox Sign 終端使用者的產品中,不同身分有不同的存取權限。請參閱 Dropbox Sign 安全白皮書,深入瞭解以身分為根據的安全權限相關資訊。
系統架構
Dropbox Sign 使用 Amazon Web Service (AWS) 作為其系統架構即服務 (IaaS) 提供者,以 Amazon 資料中心託管我們在美國境內的資料。同時也運用歐盟、英國、日本、澳洲和加拿大等 AWS 服務區域。
Dropbox Sign 利用 AWS 安全性功能 (例如:虛擬私人雲端 (VPC)、安全團隊、磁碟加密等) 確保客戶雲端資料的機密性。