Jurisdicciones aplicables y medidas adoptadas por Dropbox para evitar el acceso de Gobiernos que no pertenezcan a la Unión Europea o la transferencia de datos almacenados en la UE
Si resides fuera de Estados Unidos, Canadá y México (en adelante, «Norteamérica»), los Servicios los proporciona Dropbox International Unlimited Company, cuya infraestructura está sujeta a la jurisdicción de la República de Irlanda. Si resides en Norteamérica, los Servicios los proporciona Dropbox, Inc., cuya infraestructura está sujeta a la jurisdicción de los Estados Unidos de América.
Cuando se transfieren datos desde la Unión Europea, el Espacio Económico Europeo, el Reino Unido y Suiza, Dropbox cuenta con una serie de medidas técnicas, organizativas y contractuales para evitar el acceso de los Gobiernos de otros países a los datos de los usuarios de Dropbox, cuando dicho acceso pueda crear un conflicto con la legislación de la Unión o la legislación nacional del Estado miembro correspondiente.
Medidas técnicas
Dropbox mantiene de forma diligente la seguridad de nuestra red interna. Nuestras técnicas de seguridad y de supervisión de redes se diseñaron para ofrecer varias capas de protección y defensa. Empleamos las técnicas de protección estándar del sector, incluyendo cortafuegos, análisis de vulnerabilidades de la red, supervisión de la seguridad de la red y sistemas de detección de intrusiones, para garantizar que solo el tráfico legítimo y no malicioso pueda acceder a nuestra infraestructura.
Nuestra red interna privada está segmentada según el uso y el nivel de riesgo. Estas son las redes principales:
- DMZ accesible desde internet
- DMZ de infraestructura prioritaria
- Red de producción
- Red corporativa
- Los servicios y aplicaciones de Dropbox se aíslan a través de contenedores cuando es posible
El acceso al entorno de producción se limita a las direcciones IP autorizadas y requiere autenticación multifactor en todos los puntos finales. Las direcciones IP con acceso están asociadas con la red corporativa o con el personal de Dropbox autorizado. Las direcciones IP autorizadas se revisan cada trimestre para garantizar la seguridad del entorno de producción. Solo ciertas personas autorizadas pueden modificar la lista de direcciones IP.
El tráfico de internet destinado a nuestra red de producción está protegido con múltiples capas de cortafuegos y servidores proxy.
Mantenemos estrictas limitaciones entre la red interna de Dropbox y la red de internet pública. El tráfico de internet hacia y desde la red de producción se controla cuidadosamente a través de un servicio proxy específico y, a su vez, está protegido por unas estrictas reglas que regulan los cortafuegos.
Organización y medidas contractuales
Dropbox cumple con los Marcos de Privacidad de Datos UE-EE. UU. y Suiza-EE. UU., así como con la extensión del Reino Unido del Marco de Privacidad de Datos UE-EE. UU., tal y como establece el Departamento de Comercio de Estados Unidos respecto al tratamiento de los datos personales transferidos desde la Unión Europea, el Espacio Económico Europeo, Reino Unido y Suiza a Estados Unidos. Dropbox ha certificado ante el Departamento de Comercio de EE. UU. que cumple con estos Marcos de privacidad de datos relativos a dicha información, pero esto no incluye la parte de los Servicios relativa a FormSwift. En caso de que hubiera algún conflicto entre la Política de privacidad de Dropbox y los Principios del Marco de Privacidad de Datos, prevalecerán estos últimos. De acuerdo con los Principios, Dropbox seguirá siendo responsable de las transferencias posteriores si un encargado del tratamiento trata los datos personales de manera contraria a los Principios.
Para obtener más información sobre el Marco de Privacidad de Datos y ver nuestra certificación, entra en https://www.dataprivacyframework.gov/.
