보안
기업의 서명이 담긴 문서, 계약서, 동의서는 기업이 보유한 문서 중 가장 중요한 문서입니다. 이러한 유형의 거래는 회사 운영에 핵심적이며, 대부분 법적 구속력이 있는 서명을 필요로 합니다. Dropbox Sign, Dropbox Forms, Dropbox Fax를 포함하는 Dropbox Sign 서비스는 문서와 관련 거래를 보호하는 것을 최우선 순위로 여깁니다.
개인정보 보호
Dropbox Sign은 여러분 각자가 데이터의 주인이라고 생각합니다. 그리고 이러한 데이터를 개인의 것으로 보호하기 위해 최선을 다합니다. Dropbox Sign의 개인정보취급방침에는 Dropbox Sign이 개인정보를 어떻게 처리하고, 어떻게 보호하는지 자세하게 설명되어 있습니다. Dropbox Sign은 매년 독립 감사기관을 통해 개인정보 관련 제어 환경을 점검하고, 사용자가 요청할 시 감사기관의 보고서와 의견을 제공합니다.
개인정보와 관련된 문의 사항은 privacy@dropbox.com으로 제출해주시기 바랍니다.
암호화
문서는 방화벽 내부에 저장되며 문서에 대한 요청이 있을 때마다 전송한 사람의 세션과 비교해 인증됩니다. Dropbox Sign은 업계 우수 사례에 따라 데이터를 플랫폼에 전송하며(전송 계층 보안 TLS), 데이터는 SOC 1 Type II, SOC 2 Type I, ISO 27001 인증을 받은 데이터 센터에 저장됩니다. 저장된 문서는 AES 256bit 암호화를 통해 암호화됩니다.
그뿐 아니라 모든 문서는 고유 키로 암호화되고, 각각의 키는 정기적으로 순환되는 마스터키로 암호화됩니다. 그래서 누군가가 물리적 보안을 우회해 하드 드라이브를 제거한다고 해도 데이터를 해독할 수 없습니다.
모든 문서는 유휴 상태에서 AES 256bit로 암호화됩니다.
각 문서는 고유의 키로 암호화되고, 이 키는 마스터키로 암호화됩니다.
마스터키는 정기적으로 순환됩니다.
문서 백업이 암호화됩니다.
전송 중 문서는 TLS 1.2 또는 이후 버전을 사용해 암호화됩니다.
웹 애플리케이션에는 보안 연결을 보장하기 위해 HSTS가 설정되어 있습니다.
감사 내역
계약서를 작성할 때 문서에 찍는 도장처럼 서명을 요청하면 Dropbox Sign이 문서 자체에 감사 내역 페이지를 첨부합니다. 감사 내역에는 Dropbox Sign 데이터베이스에서 누가, 언제 문서에 서명했는지 기록을 검색할 때 사용할 수 있는 범용 단일 식별자(GUID)가 포함되어 있고, 이러한 기록에는 Dropbox Sign이 의심스러운 PDF 문서의 해시와 비교해 문서 변경 여부를 파악할 때 사용하는 해시가 포함되어 있습니다. 더 자세한 정보는 Dropbox Sign 적법성 진술에서 확인할 수 있습니다.
편집이 불가능한 감사 내역을 통해 문서 내 모든 활동을 철저하게 추적하고 활동이 발생한 시간을 확인할 수 있습니다. 감사 내역은 액세스, 검토, 서명에 대한 방어적 증거로 사용할 수 있습니다.
Dropbox Sign 감사 내역에는 다음과 같은 다양한 이벤트가 포함됩니다.
- 문서를 보냈습니다.
- 문서 확인
- 문서 서명
- 서명 거절
- 서명인 이름/이메일 주소 업데이트
- 첨부파일 업로드
- 대면 서명 활성화
- 서명인 액세스 코드 인증
- 전자 기록 및 서명 공개 수락
- 서명 요청 위임
- 서명 요청 완료
- 요청 상태 지속
- 만료일 수정
- 문서 편집과 재전송
애플리케이션 보안
Dropbox Sign 애플리케이션 보안은 Dropbox 애플리케이션 보안 프로그램에 완전히 통합되어 있습니다. Dropbox Sign은 자체 프로세스를 통해 새로운 기능의 설계와 아키텍처를 점검하고, 모든 Dropbox Sign 코드는 Semgrep, CodeScan 등의 정적 코드 분석 도구를 사용해 보안 관련 문제가 있는지 조사합니다. 또한, Dropbox Sign은 Bugcrowd를 통해 운영되는 보안 및 악용 버그 포상 프로그램에도 포함됩니다.
권한
시스템 내에서 누가, 어떤 작업을 할 수 있는지를 제어하는 기능은 반드시 필요합니다. Dropbox Sign API와 Dropbox Sign 최종 사용자 제품에서는 역할에 따라 액세스가 서로 다릅니다. 역할 기반 보안 권한에 관한 자세한 내용은 Dropbox Sign 보안 백서에서 확인할 수 있습니다.
인프라스트럭처
Dropbox Sign은 Amazon Web Services(AWS)를 서비스형 인프라스트럭처(IaaS) 공급업체로 사용하며, Amazon 데이터 센터를 통해 미국 내에 Dropbox Sign 데이터를 호스팅합니다. 또한, 유럽연합, 영국, 호주, 캐나다, 일본에 있는 AWS도 사용합니다.
Dropbox Sign은 Virtual Private Cloud(VPC), Security Groups, 디스크 수준 암호화와 같은 Amazon 보안 기능을 사용해 클라우드에 보관된 고객 데이터의 기밀성을 보장합니다.