Beleid en procedures van Dropbox voor reacties op calamiteiten

Bijgewerkt Dec 16, 2024
person icon

De informatie in dit artikel is van toepassing op alle gebruikers met een betaald Dropbox-abonnement.


Dropbox heeft beleid en procedures voor het reageren op incidenten om problemen met de beschikbaarheid, integriteit, beveiliging, privacy en vertrouwelijkheid van de service aan te pakken. Als onderdeel van onze incidentresponsprocedures hebben we toegewijde teams die zijn opgeleid om:

  • Snel reageren op meldingen van mogelijke incidenten
  • De ernst van het incident bepalen
  • Waar nodig maatregelen voor risicobeperking en indamming uitvoeren
  • Communiceren met relevante interne en externe betrokkenen, inclusief een melding aan betrokken klanten, om te voldoen aan contractuele verplichtingen voor het melden van incidenten en om de wet- en regelgeving op dit gebied na te leven
  • Bewijs verzamelen en bewaren voor onderzoek
  • Een nabespreking documenteren en een permanent diagnoseplan ontwikkelen

De regels en processen van ons calamiteitenplan zijn gecontroleerd in onze veiligheidsbeoordelingen voor onder meer SOC 2+ en ISO/IEC 27001.

De standaardlevenscyclus bij reacties op calamiteiten ziet er bij Dropbox zo uit:

  1. Detecteren
  2. Melden
  3. Reageren
  4. Evalueren, en
  5. Corrigerende maatregelen treffen.

Nadat een calamiteit is gemeld die gevolgen heeft voor klanten, of die nu is veroorzaakt door externe invloeden of door bevoegde personen, wordt eerst een beoordeling van de impact uitgevoerd en een actieplan opgesteld om de geïdentificeerde problemen op te lossen. Waar vereist door toepasselijke wetgeving, contractuele verplichtingen of anderszins van toepassing, stelt Dropbox klanten op de hoogte van een calamiteit zoals beschreven in de Overeenkomst inzake gegevensverwerking van Dropbox.

Problemen die zijn geïdentificeerd als onderdeel van een calamiteit, worden onderverdeeld in twee hoofdcategorieën:

  1. Actiepunten: acties op korte termijn om een risico te verkleinen en een einde te maken aan een calamiteit, en
  2. Beveiligingsproblemen: langetermijnprojecten die zijn gekoppeld aan specifieke technologieën of systemen teneinde een negatieve invloed op het beveiligingsrisico te verminderen.

Actiepunten worden toegewezen aan de relevante medewerkers in het bedrijf, die het probleem coördineren om het te beperken, erover communiceren met interne belanghebbenden en ervoor zorgen dat middelen beschikbaar worden gesteld om het te verhelpen.

Een actiepunt is 'opgelost' wanneer alle activiteiten in het actieplan zijn voltooid. 

Nadat een calamiteit is verholpen, wordt nog een 'autopsie' uitgevoerd, om de hoofdoorzaak/hoofdoorzaken van een probleem volledig te begrijpen, actiepunten en beveiligingsproblemen te identificeren en eventueel resterende werkzaamheden te voltooien om te voorkomen dat de problemen zich opnieuw voordoen. Calamiteiten doorlopen een reeks beoordelingen om input en inzichten te verzamelen uit alle lagen van de organisatie.  Daarbij geldt dat hoe ernstiger het probleem is, hoe hoger het beoordelingsniveau is dat wordt toegekend aan de calamiteit. Er worden werkstromen toegevoegd aan sprints en roadmaps voor de langere termijn, en 'geleerde lessen' worden gecommuniceerd naar toepasselijke teams.  

Deze gefaseerde aanpak zorgt ervoor dat Dropbox zich op het juiste moment richt op het werk met het hoogste belang, wat toekomstige problemen zo effectief mogelijk helpt voorkomen.

Was dit artikel nuttig?

Let us know how why it didn't help:

Thanks for letting us know!

Bedankt voor je feedback.

Andere manieren om hulp te krijgen