Jurisdicciones aplicables y medidas adoptadas por Dropbox para impedir el acceso o la transferencia de datos almacenados en la Unión por parte de gobiernos no pertenecientes a la Unión Europea.
Si resides fuera de Estados Unidos, Canadá y México (en adelante, “Norteamérica”), los Servicios los proporciona Dropbox International Unlimited Company, cuya infraestructura está sujeta a la jurisdicción de la República de Irlanda. Si resides en Norteamérica, los Servicios los proporciona Dropbox, Inc., cuya infraestructura está sujeta a la jurisdicción de los Estados Unidos de América.
Cuando se transfieren datos desde la Unión Europea, el Espacio Económico Europeo, el Reino Unido y Suiza, Dropbox cuenta con una serie de medidas técnicas, organizativas y contractuales para evitar el acceso de los gobiernos de otros países a los datos de los usuarios de Dropbox, cuando dicho acceso pueda crear un conflicto con la legislación de la Unión Europea o la legislación nacional del Estado miembro correspondiente.
Medidas técnicas
Dropbox mantiene de forma diligente la seguridad de nuestra red interna. Nuestras técnicas de seguridad y monitoreo de redes están diseñadas para proporcionar múltiples capas de protección y defensa. Usamos las técnicas de protección estándar del sector, como cortafuegos, análisis de vulnerabilidades de la red, supervisión de la seguridad de la red y sistemas de detección de intrusiones, para garantizar que solo el tráfico legítimo y no malicioso pueda acceder a nuestra infraestructura.
Nuestra red interna privada está segmentada según el uso y el nivel de riesgo. Estas son las redes principales:
- DMZ accesible desde internet
- DMZ de infraestructura prioritaria
- Red de producción
- Red corporativa
- Los servicios y aplicaciones de Dropbox se aíslan mediante contenedores cuando es posible
El acceso al entorno de producción se limita a las direcciones IP autorizadas y requiere autenticación multifactor en todos los puntos finales. Las direcciones IP con acceso están asociadas con la red corporativa o con el personal de Dropbox autorizado. Las direcciones IP autorizadas se revisan cada trimestre para garantizar la seguridad del entorno de producción. Solo ciertas personas autorizadas pueden acceder para modificar la lista de direcciones IP.
El tráfico de internet destinado a nuestra red de producción está protegido con múltiples capas de cortafuegos y servidores proxy.
Mantenemos estrictas limitaciones entre la red interna de Dropbox y la red de internet pública. El tráfico de internet hacia y desde la red de producción se controla cuidadosamente a través de un servicio proxy específico y, a su vez, está protegido por las restricciones de las reglas del cortafuegos.
Organización y medidas contractuales
Dropbox cumple con los Marcos de privacidad de datos UE-EE. UU. y Suiza-EE. UU., así como con la extensión del Reino Unido del Marco de privacidad de datos UE-EE. UU., tal y como establece el Departamento de Comercio de los Estados Unidos respecto al tratamiento de los datos personales transferidos desde la Unión Europea, el Espacio Económico Europeo, el Reino Unido y Suiza a los Estados Unidos. Dropbox certificó ante el Departamento de Comercio de los EE. UU. que cumple con estos Marcos de privacidad de datos relativos a dichos datos, pero esto no incluye la parte de FormSwift de los Servicios. En caso de que haya algún conflicto entre la Política de privacidad de Dropbox y los Principios del Marco de privacidad de datos, prevalecerán estos últimos. De acuerdo con los Principios, Dropbox seguirá siendo responsable de las transferencias posteriores si un encargado del tratamiento trata los datos personales de manera incompatible con los Principios.
Para obtener más información sobre el Marco de privacidad de datos y ver nuestra certificación, ingresa a https://www.dataprivacyframework.gov/.
