Neste artigo, você saberá se medidas de segurança como crip­to­gra­fia de ponta a ponta do Dropbox, direitos de acesso, au­ten­ti­ca­ção de dois fatores e ge­o­re­dun­dân­cia são su­fi­ci­en­tes para garantir que o Dropbox seja um serviço de nuvem seguro.

Uma rápida visão geral da segurança do Dropbox

  • O Dropbox oferece crip­to­gra­fia de 256 bits para proteger seus dados na nuvem, bem como SSL/TLS e crip­to­gra­fia AES-128 bits para uploads e downloads.
  • Outros recursos de segurança incluem au­ten­ti­ca­ção de dois fatores, com­pa­ti­bi­li­dade com Box­cryp­tor, sigilo de en­ca­mi­nha­mento perfeito e data centers ge­o­re­dun­dan­tes.
  • Duas des­van­ta­gens do Dropbox: pri­va­ci­dade, proteção de dados e soberania: O Dropbox reserva direitos de acesso limitado aos dados do usuário em seus termos e condições e, como uma empresa dos EUA, está sujeito à Lei da Nuvem, que não está em con­for­mi­dade com o GDPR.

Que crip­to­gra­fia o Dropbox usa?

Métodos de crip­to­gra­fia para dados ar­ma­ze­na­dos (dados em repouso) são cruciais para empresas que ter­cei­ri­zam ser­vi­do­res de terceiros. Sendo um dos serviços de nuvem mais antigos e mais co­nhe­ci­dos, o Dropbox oferece crip­to­gra­fia con­vin­cente e abran­gente de seus dados na nuvem.

O Dropbox usa as seguintes técnicas de crip­to­gra­fia:

Crip­to­gra­fia AES de 256 bits

À primeira vista, a crip­to­gra­fia do Dropbox parece con­vin­cente. Ele usa a crip­to­gra­fia AES-256 para todos os dados na nuvem, o que significa que o Dropbox é de ponta. O Advanced En­cryp­tion Standard, que usa uma chave de 256 bits, está entre as ** técnicas de crip­to­gra­fia mais seguras** usadas pelo governo dos EUA. Para colocar isso em pers­pec­tiva, seriam ne­ces­sá­rios vários bilhões de anos para quebrar a crip­to­gra­fia “mais fraca” de 128 bits. Com 256 bits, a proteção confiável contra ataques de força bruta é garantida.

TLS/SSL e crip­to­gra­fia de 128 bits

Os dados não devem ser pro­te­gi­dos apenas na nuvem, mas também devem ser car­re­ga­dos e baixados com segurança. Por esse motivo, o Dropbox usa TLS e SSL, abre­vi­a­ções de “Secure Sockets Layer” e “Transport Layer Security”, métodos de crip­to­gra­fia. Os dados são trans­fe­ri­dos por meio de um túnel protegido crip­to­gra­fado com AES-128. A in­ter­cep­ta­ção e a des­crip­to­gra­fia de suas trans­mis­sões de dados (dados em trânsito) são, portanto, pra­ti­ca­mente im­pos­sí­veis.

Fato

SSL e TLS são fre­quen­te­mente men­ci­o­na­dos juntos. No entanto, o TLS é o sucessor do SSL, ou seja, a versão mais nova, mais segura e melhor do SSL. Os pro­to­co­los SSL mais antigos agora são ilegais e quase não são mais usados.

Crip­to­gra­fia de co­nhe­ci­mento zero com o Box­cryp­tor

Uma de­fi­ci­ên­cia do Dropbox é que os dados são crip­to­gra­fa­dos apenas no servidor, ou seja, no lado do servidor. A crip­to­gra­fia de co­nhe­ci­mento zero só está dis­po­ní­vel com um provedor de terceiros. Co­nhe­ci­mento zero significa que você ** crip­to­grafa seus dados antes de enviá-los** para a nuvem, tornando-os ilegíveis para o serviço de nuvem. Para crip­to­gra­fia no lado do cliente, o Dropbox oferece suporte ao serviço Box­cryp­tor. Ele está dis­po­ní­vel no plano gratuito para até dois dis­po­si­ti­vos. Uma gama mais abran­gente de serviços está dis­po­ní­vel nos planos pagos. Outros serviços de nuvem, como o HiDrive cloud storage da IONOS, oferecem crip­to­gra­fia de co­nhe­ci­mento zero integrada.

Quais são os direitos de acesso do Dropbox?

Ao usar um serviço de nuvem, é sempre melhor verificar os termos e condições. Eles es­cla­re­cem quantos direitos de acesso o serviço de nuvem oferece. O Dropbox, por exemplo, tem direitos de acesso limitados para dados ar­ma­ze­na­dos no lado do servidor. Se você não usar um provedor de terceiros para crip­to­gra­fia do lado do cliente, o Dropbox poderá ler e des­crip­to­gra­far os dados ar­ma­ze­na­dos na nuvem a qualquer momento. De acordo com a empresa, os direitos de acesso restritos servem para garantir os backups. Do ponto de vista do usuário, isso pode ser visto como uma falta de soberania dos dados.

Que direitos de com­par­ti­lha­mento e acesso os usuários do Dropbox têm?

Além dos direitos de acesso restritos aos seus dados, a segurança dos dados na nuvem depende de outro aspecto im­por­tante: opções de co­la­bo­ra­ção com outras pessoas. É im­por­tante poder de­ter­mi­nar quem pode acessar seus arquivos e quais arquivos eles podem acessar.

O Dropbox oferece os mesmos direitos de com­par­ti­lha­mento de arquivos que a maioria dos Dropbox al­ter­na­ti­ves para esse fim. Basta es­pe­ci­fi­car quem tem acesso a qual arquivo ou pasta e com­par­ti­lhar um link com os des­ti­na­tá­rios. Você também pode revogar as per­mis­sões a qualquer momento. Você também pode es­pe­ci­fi­car se os des­ti­na­tá­rios au­to­ri­za­dos obtêm acesso somente para leitura ou se podem editar arquivos.

Como a au­ten­ti­ca­ção de dois fatores funciona com o Dropbox?

O recurso opcional au­ten­ti­ca­ção de dois fatores (2FA) facilita a proteção de sua conta do Dropbox contra acesso não au­to­ri­zado. Primeiro, habilite o recurso em sua conta do Dropbox. Com a 2FA, você precisará de um código de segurança além da sua senha, que você recebe por SMS ou por meio de um apli­ca­tivo au­ten­ti­ca­dor, como o Google Authen­ti­ca­tor. A ve­ri­fi­ca­ção em duas etapas é um padrão que qualquer serviço res­pei­tá­vel de com­par­ti­lha­mento, ar­ma­ze­na­mento e edição de dados deve oferecer atu­al­mente.

O Dropbox oferece re­cu­pe­ra­ção de conta?

Quer você tenha esquecido sua senha, sua conta tenha sido hackeada ou você tenha excluído aci­den­tal­mente a conta errada, a re­cu­pe­ra­ção de conta é um recurso padrão da segurança na nuvem. Com o Dropbox Basic (gratuito), você pode solicitar a re­cu­pe­ra­ção de arquivos e contas por até 30 dias. Com as as­si­na­tu­ras pagas, como Standard ou Pro­fes­si­o­nal, a re­cu­pe­ra­ção de dados e contas e as re­de­fi­ni­ções de contas estão dis­po­ní­veis por até 180 dias.

Que proteção o Dropbox oferece contra ataques ci­ber­né­ti­cos?

Quando você ter­cei­riza dados para serviços em nuvem, você o faz de boa fé, acre­di­tando que as res­pec­ti­vas empresas estão tomando pre­cau­ções de segurança su­fi­ci­en­tes contra ataques ci­ber­né­ti­cos. O Dropbox, assim como o Google Drive e o iCloud, oferece excelente segurança na nuvem que inclui as seguintes proteções padrão contra cy­be­ra­ta­ques:

  • Alta segurança do data center por meio de re­dun­dân­cia ge­o­grá­fica
  • Crip­to­gra­fia moderna com AES-256 bits para dados em repouso (ar­ma­ze­na­mento)
  • Crip­to­gra­fia TLS com AES-128 bits para dados em trânsito (trans­mis­são)
  • Segurança de senha integrada para uma senha mais segura
  • Op­ci­o­nal­mente, au­ten­ti­ca­ção de dois fatores
  • Backup de dados com backups au­to­má­ti­cos e sin­cro­ni­za­dos
  • Re­cu­pe­ra­ção de contas e arquivos
  • Perfect Forward Secrecy (evita a des­crip­to­gra­fia de dados sub­se­quen­tes devido a chaves de sessão que não podem ser re­cons­truí­das)

Apesar das pre­cau­ções de segurança men­ci­o­na­das acima, o Dropbox tem um ponto fraco notável na proteção contra ataques ci­ber­né­ti­cos: ele não verifica os envios e downloads em busca de vírus e malware. O Dropbox também não oferece avisos au­to­má­ti­cos e no­ti­fi­ca­ções de segurança em caso de logins suspeitos. Você precisará ativá-las ma­nu­al­mente.

Quais são os casos co­nhe­ci­dos de problemas de segurança com o Dropbox?

Como um serviço de nuvem que existe desde 2008, o Dropbox ine­vi­ta­vel­mente se lembra de uma série de in­ci­den­tes de segurança. Entre os mais co­nhe­ci­dos estão:

  • Em 2011, um bug de atu­a­li­za­ção fez com que qualquer conta do Dropbox ficasse acessível por meio do endereço de e-mail associado por várias horas.
  • Em 2012, a conta com­pro­me­tida de um fun­ci­o­ná­rio do Dropbox levou à pu­bli­ca­ção de cerca de 68 milhões de dados de usuários, incluindo endereços de e-mail e senhas. A violação de segurança mostrou que o acesso aos dados da nuvem por fun­ci­o­ná­rios do Dropbox continua sendo um risco de segurança.
  • Em 2017, res­sur­gi­ram arquivos nas contas dos usuários que datavam de até seis anos atrás. O incidente sugere que o Dropbox não remove per­ma­nen­te­mente os dados excluídos.
  • Em 2022, foi revelado que o roubo de cerca de 130 re­po­si­tó­rios de código-fonte ocorreu por meio de uma conta de fun­ci­o­ná­rio com­pro­me­tida. O código-fonte roubado incluía pro­tó­ti­pos internos, fer­ra­men­tas de segurança e cópias de bi­bli­o­te­cas.

O Cloud Act é im­por­tante para o Dropbox?

O Dropbox é uma empresa norte-americana com ser­vi­do­res em nuvem lo­ca­li­za­dos nos EUA. Portanto, o Dropbox está sujeito ao Cloud Act dos EUA. A lei, pro­mul­gada em 2018, concede às au­to­ri­da­des dos EUA acesso quase ** ir­res­trito aos dados em nuvem de empresas dos EUA**. Isso também se aplica aos dados do con­su­mi­dor de uma empresa dos EUA que opera ser­vi­do­res da UE. No caso de uma emer­gên­cia, o Dropbox é obrigado a entregar os dados do usuário, mesmo que não estejam lo­ca­li­za­dos nos EUA. Em algumas cir­cuns­tân­cias, os dados podem ter que ser entregues sem uma ordem judicial. Portanto, o Cloud Act por si só não garante 100% de proteção de dados.

Outro problema do ponto de vista da segurança de dados é que, desde 2020, não há proteção legal da UE para empresas da UE que trans­fe­rem dados para empresas dos EUA. Isso foi abolido pelo Tribunal de Justiça Europeu em 2020 na forma do “Escudo de Pri­va­ci­dade UE-EUA”. Tanto o Cloud Act quanto o Foreign In­tel­li­gence Sur­veil­lance Act não atendem aos padrões europeus de proteção de dados. A proteção dos dados dos clientes, a con­for­mi­dade com o GDPR cloud computing e a proteção legal são de res­pon­sa­bi­li­dade exclusiva das empresas.

Dica

Se preferir armazenar seus dados em data centers seguros que aderem à norma ISO 27001, você pode contar com o IONOS HiDrive Cloud Storage.

O Dropbox atende aos padrões de pri­va­ci­dade para empresas?

Quando se trata de segurança e soberania de dados, as empresas podem con­si­de­rar se o Dropbox é realmente adequado para uso comercial. Em geral, o serviço atende aos re­qui­si­tos mais im­por­tan­tes de con­for­mi­dade e proteção de dados com ** crip­to­gra­fia de última geração, controle de acesso e cer­ti­fi­ca­ções im­por­tan­tes**. As cer­ti­fi­ca­ções ofe­re­ci­das pelo Dropbox incluem:

  • Padrão C5 (Catálogo de controles de con­for­mi­dade de com­pu­ta­ção em nuvem) do BSI
  • ISO 27017 (segurança na nuvem)
  • ISO 27018 (Proteção e segurança de dados na nuvem)

Se­me­lhante aos ser­vi­do­res do Google Drive ou do iCloud, o Dropbox oferece um padrão de segurança sólido para uso comercial. No entanto, a trans­fe­rên­cia de dados con­fi­den­ci­ais para empresas dos EUA em conexão com o Cloud Act é uma grande des­van­ta­gem. Além disso, aspectos es­sen­ci­ais, como a política de pri­va­ci­dade e um contrato de pro­ces­sa­mento de pedidos com o Dropbox, precisam ser ge­ren­ci­a­dos pelo usuário para garantir a proteção de dados em con­for­mi­dade com o GDPR.

Então, o Dropbox é seguro?

O Dropbox oferece um alto nível de segurança na nuvem graças à crip­to­gra­fia moderna, centros de dados seguros e recursos opcionais como o Box­cryp­tor. No entanto, in­ci­den­tes de segurança an­te­ri­o­res, direitos de acesso obscuros por parte dos fun­ci­o­ná­rios do Dropbox e a Lei de Nuvem dos EUA sig­ni­fi­cam que o Dropbox não é ne­ces­sa­ri­a­mente o melhor serviço de nuvem para dados altamente con­fi­den­ci­ais e críticos da empresa.

Ao de­ter­mi­nar qual nuvem é a mais segura, preste atenção às ori­en­ta­ções sobre proteção de dados emitidas pelo res­pec­tivo serviço de nuvem antes de fazer sua escolha.

Ir para o menu principal