Giurisdizioni applicabili e misure adottate da Dropbox per impedire l’accesso o il trasferimento di dati detenuti nell’Unione da parte di governi non UE
Se risiedi al di fuori degli Stati Uniti d’America, del Canada e del Messico ("Nord America"), i Servizi sono forniti da Dropbox International Unlimited Company, la cui infrastruttura è soggetta alla giurisdizione della Repubblica d’Irlanda. Se risiedi in Nord America, i Servizi sono forniti da Dropbox, Inc., la cui infrastruttura è soggetta alla giurisdizione degli Stati Uniti d’America.
Nel trasferire dati dall’Unione europea, dallo Spazio economico europeo, dal Regno Unito e dalla Svizzera, Dropbox dispone di una serie di misure tecniche, organizzative e contrattuali per impedire l’accesso di governi internazionali ai dati degli utenti di Dropbox, laddove tale accesso creerebbe un conflitto con il diritto dell’Unione o con il diritto nazionale dello Stato membro interessato.
Misure tecniche
Dropbox mantiene diligentemente la sicurezza della propria rete di back-end. Le nostre tecniche di protezione e monitoraggio della rete sono studiate per fornire più livelli di protezione e difesa. Al fine di garantire che solo il traffico idoneoe non dannoso sia in grado di raggiungere la nostra infrastruttura, utilizziamo tecniche di protezione rispondenti agli standard del settore, compresi firewall, monitoraggio delle vulnerabilità e della sicurezza della rete e sistemi di rilevamento delle intrusioni.
La rete privata interna di Dropbox è segmentata in base all’utilizzo e al livello di rischio. Le reti primarie sono:
- DMZ con interfaccia Internet
- DMZ con infrastruttura prioritaria
- Rete di produzione
- Rete aziendale
- I servizi e le applicazioni Dropbox sono isolati tramite container, quando possibile
L’accesso all’ambiente di produzione è limitato agli indirizzi IP autorizzati e richiede l’autenticazione a più fattori su tutti gli endpoint. Gli indirizzi IP che dispongono dell’accesso sono associati alla rete aziendale oppure approvati dal personale di Dropbox. Gli indirizzi IP autorizzati vengono riesaminati a cadenza trimestrale per garantire un ambiente di produzione sicuro. L’accesso che permette la modifica dell’elenco degli indirizzi IP è riservato a soggetti autorizzati.
Il traffico da Internet destinato alla nostra rete di produzione è protetto utilizzando più livelli di firewall e proxy.
La rete interna di Dropbox è separata con sistemi rigorosi dalla rete Internet pubblica. Il traffico Internet da e verso la rete di produzione è controllato attentamente tramite un servizio proxy dedicato, il quale, a sua volta, è protetto da rigide regole di firewall.
Organizzazione e misure contrattuali
Dropbox è conforme ai Data Privacy Framework UE-USA e Svizzera-USA, così come all’estensione del Regno Unito al Data Privacy Framework UE-USA, come stabilito dal Dipartimento del Commercio degli Stati Uniti in merito al trattamento dei Dati personali provenienti dall’Unione europea, dallo Spazio economico europeo, dal Regno Unito e dalla Svizzera trasferiti agli Stati Uniti. Dropbox ha certificato al Dipartimento del Commercio degli Stati Uniti di aderire ai suddetti Data Privacy Framework in relazione a tali dati, ma ciò non include la parte FormSwift dei Servizi. In caso di conflitto tra le Norme sulla privacy di Dropbox e i Principi del Data Privacy Framework, questi ultimi prevarranno. In conformità ai Principi, Dropbox rimarrà responsabile per il trasferimento successivo qualora un titolare del trattamento gestisca i Dati personali in modo non conforme ai Principi stessi.
Per saperne di più sul Data Privacy Framework e per visualizzare la certificazione di Dropbox, si prega di visitare il sito https://www.dataprivacyframework.gov/.
