Procedimentos e políticas de resposta a incidentes do Dropbox

Atualizado Aug 18, 2025

In this article

person icon

As informações contidas neste artigo se aplicam a todos os clientes que possuem um plano pago do Dropbox.


O Dropbox tem políticas e procedimentos de resposta a incidentes para resolver questões de disponibilidade de serviço, integridade, segurança, privacidade e confidencialidade. Como parte dos nossos procedimentos de resposta a incidentes, temos equipes dedicadas treinadas para:

  • Responder a alertas de potenciais incidentes de forma imediata
  • Determinar a gravidade do incidente
  • Se for necessário, tomar medidas de mitigação e contenção
  • Comunicar-se com as partes interessadas relevantes, internas e externas, incluindo a notificação a clientes afetados, para cumprir obrigações contratuais relativas a violações e à notificação de incidentes, além das leis e dos regulamentos relevantes
  • Reunir e conservar provas para auxiliar nos esforços investigativos
  • Documente um relatório de análise de incidente e desenvolva um plano de mitigação

As políticas e os processos de resposta a incidentes passam por auditoria, como parte do nosso SOC 2+, ISO/IEC 27001 e outras avaliações de segurança.

O Dropbox segue um processo-padrão de resposta a incidentes, que consiste no seguinte:

  1. Descoberta
  2. Notificação
  3. Resposta
  4. Avaliação
  5. Ação corretiva.

Após o relato de um incidente que afeta os clientes, seja causado por agentes externos ou por pessoas com acesso autorizado, é realizada uma avaliação do impacto com o intuito de gerar um plano de ação para remediar os problemas identificados. Quando exigido pela lei aplicável, por obrigações contratuais ou por outro motivo quando apropriado, o Dropbox notifica os clientes sobre o incidente conforme descrito no Contrato de processamento de dados do Dropbox.

Os problemas identificados como parte de um incidente são agrupados em duas categorias principais:

  1. Itens de ação: ações de curto prazo para mitigar um risco e interromper um incidente; e
  2. Questões de segurança: projetos de longo prazo vinculados a tecnologias ou sistemas específicos para mitigar um impacto negativo no risco de segurança.

Os itens de ação são atribuídos às funções apropriadas em toda a empresa, que se coordenam para mitigar o problema, informar as partes interessadas internas e garantir a disponibilidade dos recursos necessários.

A resolução é alcançada quando todas as atividades do plano de ação são concluídas. 

Após a mitigação de um incidente, é realizada uma análise de incidente para entender completamente as causas raízes do problema, identificar itens de ação e problemas de segurança e concluir qualquer trabalho restante para evitar que o problema ocorra novamente. Os incidentes passam por uma série de análises para coletar informações e estatísticas nos diferentes níveis da organização. Quanto mais grave o problema, maior será o nível de análise do incidente. Os fluxos de trabalho de longo prazo são adicionados a sprints e roteiros, e as lições aprendidas são comunicadas às equipes aplicáveis.  

Essa abordagem em fases garante que o Dropbox se concentre no trabalho de maior prioridade nos momentos adequados, o que ajudará a evitar problemas no futuro.

Este artigo foi útil?

Conte-nos como e por que isso não ajudou:

Obrigado por nos informar!

Agradecemos sua opinião!

Respostas da comunidade