Sécurité
Les documents, contrats et accords que vous signez en tant qu’entreprise figurent parmi vos ressources les plus importantes. Nombre de ces transactions impliquent une signature juridiquement contraignante et sont vitales au fonctionnement de l’entreprise. Pour les services Dropbox Sign, qui incluent Dropbox Sign, Dropbox Forms et Dropbox Fax, la protection de vos documents et des transactions qui s’y rapportent est une priorité absolue.
Confidentialité
Chez Dropbox Sign, nous partons du principe que vous êtes propriétaire de vos données, et nous nous engageons à en protéger la confidentialité. Notre politique de confidentialité décrit avec précision de quelle manière nous traitons et protégeons vos informations. Chaque année, des auditeurs tiers indépendants testent nos contrôles de confidentialité et nous communiquent leurs rapports et recommandations, que nous pouvons partager sur demande.
Envoyez toutes vos questions relatives à la confidentialité à l’adresse privacy@dropbox.com.
Chiffrement
Les documents sont stockés derrière un pare‑feu et authentifiés en fonction de la session de l’expéditeur chaque fois que l’un d’eux fait l’objet d’une demande. Nous appliquons les bonnes pratiques du secteur concernant la transmission des données vers notre plateforme (Transport Layer Security, TLS), et les données sont stockées dans des datacenters certifiés SOC 1 Type II, SOC 2 Type I et ISO 27001. Vos documents sont stockés et chiffrés au repos à l’aide du protocole AES 256 bits.
De plus, chaque document est chiffré à l’aide d’une clé unique. Pour une protection supplémentaire, chaque clé est chiffrée à l’aide d’une clé principale qui change régulièrement. En d’autres termes, même si quelqu’un parvenait à contourner la sécurité physique et à retirer un disque dur, il ne serait pas en mesure de déchiffrer vos données.
Tous les documents au repos sont chiffrés à l’aide du protocole AES 256 bits.
Chaque document est chiffré à l’aide d’une clé unique, elle‑même chiffrée à son tour à l’aide d’une clé principale.
Cette clé principale est régulièrement modifiée.
Les sauvegardes des documents sont chiffrées.
Les documents en transit sont chiffrés à l’aide du protocole TLS 1.2 (ou version ultérieure).
L’application Web est configurée avec HSTS pour garantir la sécurité des connexions.
Pistes d’audit
Chaque signature ajoutée à un contrat est associée au document. Autrement dit, lorsque vous demandez une signature, Dropbox Sign ajoute une page incluant la piste d’audit au document lui‑même. La piste d’audit contient un identifiant unique au niveau mondial (GUID), qui peut être utilisé pour rechercher dans notre base de données un enregistrement indiquant qui a signé un document et quand. Ces enregistrements comprennent une valeur de hachage du document PDF que nous pouvons comparer à celle d’un document PDF douteux afin de déterminer s’il a été modifié ou altéré. Lisez notre déclaration de légalité pour en savoir plus.
La piste d’audit non modifiable garantit que chaque action sur vos documents est minutieusement consignée et horodatée, afin de fournir une preuve admissible d’accès, de lecture et de signature.
Différents événements sont consignés dans la piste d’audit Dropbox Sign, notamment :
- Document envoyé
- Document consulté
- Document signé
- Signature refusée
- Nom/adresse e‑mail du signataire mis à jour
- Pièce jointe importée
- Signature en personne activée
- Authentification via un code d’accès
- Consentement aux transactions par voie électronique accordé
- Demande de signature déléguée
- Demande de signature terminée
- Demande terminée poursuivie
- Modifier la date d’expiration
- Modifier et renvoyer un document
Sécurité des applications
La sécurité des applications Dropbox Sign est entièrement intégrée au programme de sécurité des applications Dropbox. Nous procédons à des examens de la conception et de l’architecture des nouvelles fonctionnalités dans le cadre de notre processus d’approbation. L’ensemble du code Dropbox Sign est analysé afin de détecter les éventuels problèmes de sécurité à l’aide d’outils d’analyse statique du code comme Semgrep et CodeScan. Dropbox Sign est également couvert par notre programme de bug bounty pour la sécurité et la prévention des abus proposé par Bugcrowd.
Autorisations
Il est impératif que vous puissiez contrôler les rôles et accès de chaque utilisateur dans le système. Chaque rôle dispose de droits d’accès différents, tant dans Dropbox Sign API que dans le produit Dropbox Sign destiné aux utilisateurs finaux. Pour en savoir plus sur les autorisations de sécurité basées sur les rôles, lisez le livre blanc sur la sécurité Dropbox Sign.
Infrastructure
Dropbox Sign fait appel à Amazon Web Services (AWS) comme fournisseur IaaS (infrastructure en tant que service). Les datacenters Amazon hébergent nos données aux États‑Unis. Nous sauvegardons également des données dans les régions AWS en Europe, au Royaume‑Uni, au Japon, en Australie et au Canada.
Dropbox Sign utilise les fonctionnalités de sécurité Amazon comme Virtual Private Cloud (VPC), les groupes de sécurité, le chiffrement des disques et d’autres pour garantir la confidentialité des données de nos clients dans le cloud.
Équipe de sécurité dédiée et expérimentée
Sécurité
Dropbox Sign a mis en place un programme officiel de sécurité de l’information dont se charge le directeur de la sécurité, qui dirige le comité de gestion de l’information et des risques. Ce comité se réunit périodiquement pour examiner les initiatives liées à la sécurité au niveau du produit, de l’infrastructure et de l’entreprise.
Chez Dropbox Sign, les employés font l’objet d’une vérification complète de leurs antécédents et suivent une formation annuelle de sensibilisation à la sécurité.
Nous disposons également d’une politique d’utilisation acceptable et de conditions d’utilisation destinées à nos utilisateurs finaux afin de nous assurer que nos clients ont une vision précise de l’utilisation prévue pour nos produits et des conditions régissant une telle utilisation.