Sicherheit
Die Unterlagen, Verträge und Vereinbarungen, die Sie im Namen Ihres Unternehmens unterzeichnen, gehören zu Ihren wichtigsten Dokumenten. Viele dieser Transaktionsarten beinhalten eine rechtsgültige Signatur und sind für den Betrieb eines Unternehmens entscheidend. Mit den Dropbox Sign Services, die Dropbox Sign, Dropbox Forms und Dropbox Fax umfassen, hat der Schutz Ihrer Dokumente und der damit verbundenen Transaktionen höchste Priorität.
Datenschutz
Wir von Dropbox Sign sind der Ansicht, dass Ihre Daten nur Ihnen gehören, und verpflichten uns somit zu deren Schutz. Unsere Datenschutzrichtlinie beschreibt eindeutig, wie wir Ihre Daten verarbeiten und schützen. Unsere Datenschutzvorrichtungen werden jährlich von unseren unabhängigen, externen Prüfern getestet. Die resultierenden Berichte und Beurteilungen geben wir auf Anfrage gern an Sie weiter.
Bitte senden Sie alle Fragen zum Datenschutz an Privacy@dropbox.com.
Verschlüsselung
Dokumente werden durch eine Firewall geschützt und jedes Mal, wenn eine Anfrage für das Dokument gestellt wird, anhand der Sitzung des Absenders authentifiziert. Wir setzen die in der Branche bewährten Vorgehensweisen für die Übermittlung von Daten an unsere Plattform (Transport Layer Security, kurz TLS) durch und speichern die Daten in ISO-27001-zertifizierten Rechenzentren in Übereinstimmung mit SOC 1 Typ II und SOC 2 Typ I. Im Ruhezustand werden Ihre Dokumente mit 256-Bit-AES verschlüsselt und gespeichert.
Zusätzlich wird jedes Dokument mit einem eigenen Schlüssel verschlüsselt. Als Zusatzmaßnahme wird jeder Schlüssel mit einem Master-Schlüssel verschlüsselt, der in regelmäßigen Abständen wechselt. Selbst wenn es also jemand schaffen sollte, die physischen Schutzvorrichtungen zu umgehen und eine Festplatte zu stehlen, könnte diese Person Ihre Daten nicht entschlüsseln.
Alle Dokumente werden im Ruhezustand mit AES-256 verschlüsselt.
Jedes Dokument wird mit einem eindeutigen Schlüssel verschlüsselt, der wiederum mit einem Hauptschlüssel verschlüsselt ist.
Der Hauptschlüssel wird regelmäßig gewechselt.
Backups von Dokumenten sind verschlüsselt.
Die Dokumente werden bei der Übertragung mit TLS 1.2 oder höher verschlüsselt.
Die Webanwendung hat HSTS konfiguriert, um eine sichere Verbindung zu gewährleisten.
Prüfprotokolle
Jede Signatur auf einem Vertrag wird zu einem festen, dauerhaften Bestandteil des Dokuments. Wenn Sie eine Signaturanfrage senden, verknüpft Dropbox Sign eine Prüfprotokollseite mit dem entsprechenden Dokument. Das Prüfprotokoll enthält eine global eindeutige Kennung, kurz GUID, mit der ein Eintrag in unserer Datenbank nachgeschlagen werden kann, der zeigt, wer ein Dokument wann unterzeichnet hat. Es wird u. a. ein Hash des PDF-Dokuments hinterlegt, den wir mit dem Hash eines infrage gestellten PDF-Dokuments vergleichen können, um zu bestimmen, ob es bearbeitet oder manipuliert wurde. Lesen Sie unsere Erklärung der Rechtsgültigkeit für weitere Details.
Durch das nicht bearbeitbare Prüfprotokoll ist sichergestellt, dass alle an Ihren Dokumenten vorgenommenen Handlungen umfassend verfolgt und mit Zeitstempel versehen werden, um im Streitfall Nachweise über den Zugriff, die Prüfung und die Signatur erbringen zu können.
In Dropbox Sign gibt es eine Reihe von Ereignissen, die im Rahmen von Audits nachverfolgt werden können, darunter:
- Dokument gesendet
- Dokument angesehen
- Dokument unterzeichnet
- Ablehnung der Unterzeichnung
- Name/E-Mail-Adresse des Unterzeichners aktualisiert
- Anhang hochgeladen
- Persönliches Unterzeichnen aktiviert
- Zugangscode für Unterzeichner authentifiziert
- Erklärung zu elektronischen Aufzeichnungen und Signaturen akzeptiert
- Signaturanfrage delegiert
- Signaturanfrage abgeschlossen
- Abgeschlossene Anfrage fortgesetzt
- Ablaufdatum bearbeiten
- Dokument bearbeiten und erneut senden
Anwendungssicherheit
Die Anwendungssicherheit von Dropbox Sign ist vollständig in das Anwendungssicherheitsprogramm von Dropbox integriert. Wir führen Design- und Architekturprüfungen für neue Funktionen im Rahmen unseres Aufnahmeprozesses durch. Der gesamte Code von Dropbox Sign wird mit statischen Code-Analyse-Tools wie Semgrep und CodeScan auf sicherheitsrelevante Probleme überprüft. Dropbox Sign ist auch durch unser Bug-Bounty-Programm für Sicherheit und Missbrauch abgedeckt, das über Bugcrowd angeboten wird.
Berechtigungen
Es ist unerlässlich, dass Sie kontrollieren können, wer im System was tun darf. Unterschiedliche Rollen verfügen über unterschiedliche Zugriffsrechte, sowohl in der Dropbox Sign-API als auch im Endnutzerprodukt. Erfahren Sie mehr über rollenbasierte Sicherheitsberechtigungen im Dropbox Sign-Whitepaper zum Thema Sicherheit.
Infrastruktur
Dropbox Sign nutzt Amazon Web Services (AWS) als Infrastruktur-as-a-Service (IaaS). Das bedeutet, dass unsere Daten in den USA in Amazon-Rechenzentren gespeichert sind. Wir nutzen auch AWS-Regionen in der EU, UK, JP, AU und Kalifornien.
Dropbox Sign macht sich Amazon-Sicherheitsfunktionen wie die virtuelle private Cloud (VPC), Sicherheitsgruppen, Verschlüsselung auf Festplattenebene und viele mehr zunutze, um zu gewährleisten, dass die Daten unserer Kunden auch in der Cloud vertraulich bleiben.
Engagiert & erfahren
Sicherheitsteam
Dropbox Sign betreibt unter Aufsicht des Sicherheitsbeauftragten ein offizielles Informationssicherheitsprogramm, das einen Ausschuss für Informations- und Risikomanagement umfasst. Der Ausschuss für Informations- und Risikomanagement tritt regelmäßig zusammen, um sicherheitsrelevante Initiativen auf Produkt-, Infrastruktur- und Unternehmensebene zu überprüfen.
Alle Mitarbeiter von Dropbox Sign werden umfassenden Hintergrundprüfungen unterzogen und besuchen jährlich Schulungen zum Thema Sicherheit.
Für unsere Endnutzer haben wir Nutzungsbedingungen und allgemeine Geschäftsbedingungen, um zu gewährleisten, dass unsere Kunden verstehen, wie und unter welchen Bedingungen unsere Produkte verwendet werden sollen.