适用的司法管辖区和 Dropbox 为防止非欧盟政府访问或传输欧盟境内持有的数据而采取的措施
如果您居住在美国、加拿大和墨西哥(“北美”)以外的地区,则服务由 Dropbox International Unlimited Company 提供,该公司的基础架构受爱尔兰共和国管辖。如果您居住在北美,则服务由 Dropbox, Inc. 提供,该公司的基础架构受美国管辖。
从欧盟、欧洲经济区、英国和瑞士传输数据时,Dropbox 采取了一系列技术、组织和合同措施,防止国际政府部门访问 Dropbox 用户数据,因为此类访问会与欧盟法律或相关成员国的国家法律发生冲突。
技术措施
Dropbox 积极维护我们的后端网络安全。我们的网络安全和监控机制旨在提供多重保护和防御。我们采用行业标准的保护机制,包括防火墙、网络漏洞扫描、网络安全监控和入侵检测系统,以确保只有符合条件且非恶意的流量才能到达我们的基础架构。
我们的内部专用网络根据使用和风险级别分区。主要网络包括:
- 面向互联网的 DMZ
- 优先基础架构 DMZ
- 生产网络
- 公司网络
- 在可能的情况下,Dropbox 服务和应用程序通过容器隔离
在所有端点,对生产环境的访问均仅限于授权 IP 地址,并且需要进行多因素身份验证。具有访问权限的 IP 地址应与公司网络相关联,或为经批准的 Dropbox 人员。每季度对授权 IP 地址进行审查,以确保生产环境的安全。只有授权人员才能修改 IP 地址列表。
使用多层防火墙和代理来保护从互联网发送到我们生产网络的流量。
在 Dropbox 内部网络和公共互联网之间设置严格的限制。通过专用代理服务小心控制进出生产网络的互联网相关流量,而专用代理服务受到限制性防火墙规则的保护。
组织和合同措施
针对从欧盟、欧洲经济区、英国和瑞士向美国传输的个人数据的处理,Dropbox, Inc. 遵从由美国商务部制定的《欧盟-美国数据隐私框架》、《瑞士-美国数据隐私框架》以及《英国对欧盟-美国数据隐私框架的扩展》。Dropbox 已向美国商务部声明,针对此类数据,Dropbox 遵守这些数据隐私框架,但这不包括服务的 FormSwift 部分。如果 Dropbox 的隐私政策与数据隐私框架原则之间存在冲突, 则以后者为准。根据这些原则, 如果处理方以与这些原则不一致的方式处理个人数据,Dropbox 应对 后续传输负责。
如需进一步了解数据隐私框架并查看 Dropbox 的证书,请访问 https://www.dataprivacyframework.gov。
