Безпека в Crowdin

У Crowdin ми прагнемо дотримуватися галузевих стандартів безпеки, безпеки та конфіденційності.

Стандарти безпеки

Сертифікат ISO/IEC 27001

Сертифікат ISO/IEC 27001

Відповідність Загальному регламенту захисту даних ЄС (GDPR)

Відповідність Загальному регламенту захисту даних ЄС (GDPR)

Відповідає HIPAA

Відповідає HIPAA

Клієнти, які підпадають під дію HIPAA і хочуть використовувати Crowdin у зв'язку з захищеною інформацією про здоров'я (PHI), повинні підписати Угоду про ділового партнера Crowdin

Наша політика

Правила та умови використання Політика конфіденційности Політика інформаційної безпеки Політика звітування про вразливості
Відповідність GDPR Заява про файли cookie Умови використання HIPAA

Заходи внутрішньої безпеки

Організаційна безпека

Вимоги політики інформаційної безпеки Crowdin поширюються на всю організацію Crowdin і є обов'язковими для всіх співробітників і тих, хто залучений до цих бізнес-процесів. ISMS побудована на трьох китах: люди, процеси та технології, з широким впровадженням архітектури нульової довіри (ZTA). Архітектура нульової довіри працює за принципом «ніколи не довіряй, завжди перевіряй», що означає, що доступ до ресурсів ніколи не надається беззастережно на основі розташування користувача або пристрою. Замість цього, сувора перевірка особи та безперервна перевірка автентичності необхідні для кожної спроби доступу, незалежно від того, чи відбувається вона всередині або за межами мережі. Керівник служби інформаційної безпеки (CISO) відповідає за забезпечення належного захисту інформаційних активів і технологій.

Навчання та обізнаність з питань безпеки

У Crowdin усі співробітники проходять постійне навчання з питань безпеки та обізнаності протягом року. Кожен новий член команди проходить базове навчання безпеки протягом першого місяця після найму. Ми проводимо регулярні аудити доступу, оновлення паролів і працюємо за принципом найменших привілеїв. Також необхідна підготовка з безпеки для конкретної ролі.

Апаратна безпека

Усі пристрої співробітників мають зашифровані жорсткі диски. Тільки призначений системний адміністратор проводить встановлення, конфігурацію або зміну апаратного та програмного забезпечення. Доставка та вивезення обладнання до/з приміщення дата-центру санкціоновані, реєструються та контролюються. Для доступу до обладнання, сервісів і застосунків робочої станції потрібні облікові дані користувача (наприклад, ідентифікатор користувача/пароль тощо).

  • BYOD («Принесіть свій пристрій») обмежена. Чутливі дані обробляються лише на пристроях, якими керує компанія.
  • Пристрої під управлінням компанії оснащені MDM, бінарними системами авторизації та моніторингу, антивірусним програмним забезпеченням та контрольованими оновленнями програмного забезпечення.
  • Обов'язкові апаратні ключі: Доступ до даних компанії контролюється обов'язковими апаратними ключами 2ЕП.
  • Контекстно-орієнтований доступ: Доступ до корпоративних даних дозволено лише з пристроїв, якими керує компанія.
  • Застосовуються обмеження доступу на основі розташування.
  • Авторизація та моніторинг двійкових файлів: Лише дозволені двійкові файли можуть виконуватися на пристроях співробітників.

Фізична безпека

Офіс Crowdin контролюється та охороняється системою сигналізації та обладнано системами пожежної сигналізації. Камери замкнутого циклу (CCTV) встановлені в офісі та знімають входи, виходи та інші призначені місця. Співробітники Crowdin не мають фізичного доступу до жодного з наших виробничих потужностей, оскільки вся наша інфраструктура знаходиться в хмарі. Охоронні зони захищені засобами контролю входу, тому доступ до них має лише авторизований персонал.

Безпека мережі

Наша внутрішня мережа обмежена, сегментована, захищена паролем, і всі події, пов’язані з безпекою мережі, реєструються.

Безпека програмного забезпечення

Crowdin наймає команду серверних спеціалістів, які працюють цілодобово і без вихідних, щоб підтримувати наше програмне забезпечення та його залежності в актуальному стані, усуваючи потенційні вразливості безпеки. Ми використовуємо моніторингові рішення для запобігання та усунення атак на сайти.

  • Список дозволеного програмного забезпечення: На пристроях компанії дозволено використовувати лише затверджене програмне забезпечення та плагіни для браузерів.
  • Контроль OAuth-застосунків: Застосунки OAuth з доступом до корпоративних даних постійно контролюються та відстежуються.
  • Доступ до хмарних сервісів здійснюється через SAML з контекстно-залежним доступом.

Реагування на інцидент

Crowdin реалізує протокол для обробки подій безпеки, який включає процедури ескалації, швидке пом’якшення та допис смертності. Усі співробітники поінформовані про нашу політику.

Перевірка співробітників

Crowdin перевіряє репутацію всіх нових співробітників, підрядників або інших осіб, які мають доступ до систем, мережі або фізичних засобів центру обробки даних відповідно до місцевих законів.

Безпека третіх сторін і агентств

Crowdin підтримує практику управління ризиками агентства перекладу, щоб гарантувати ретельний контроль третіх сторін і підтримувати очікуваний рівень контролю безпеки. Перегляньте наш Список підпроцесорів.

Безпека програми

Безпечна, надійна інфраструктура

Crowdin використовує центри обробки даних Amazon Web Services (AWS) для нашої обчислювальної інфраструктури з географічними обмеженнями, щоб забезпечити обробку даних у певних країнах для підвищення безпеки. AWS має сертифікат ISO 27001 та пройшов численні аудити за стандартом SSAE 16. Для отримання додаткової інформації про їхні заходи безпеки відвідайте сторінку AWS Cloud Security. Сторінка AWS Cloud Securit.

На додаток до переваг, які надає AWS, наш додаток має додаткові вбудовані функції безпеки:

  • Двофакторна автентифікація
  • Єдиний вхід через SAML 2.0
  • Автентифікація REST API: Токен API з гранульованим контролем прав доступу
  • Дозволи на основі ролей
  • Резервне копіювання та керування версіями
  • Crowdin забезпечує дотримання стандарту складності паролів
  • Функція перевірки пристрою забезпечує додатковий рівень безпеки, захищаючи облікові записи в разі компрометації пароля

Зобов'язання PCI

Коли ви реєструєте платний обліковий запис Crowdin, ми не зберігаємо вашу платіжну інформацію на наших серверах. Всі платежі, здійснені на Crowdin, проходять через нашого партнера, FastSpring. Вони відповідають стандарту безпеки PCI. Детальнішу інформацію про їхні налаштування безпеки можна знайти на сторінці Stripe Управління ризиками + дотримання норм.

Час роботи

Ознайомтеся зі статистикою за минулий місяць за посиланням https://status.crowdin.com/. Ви можете замовити договір SLA як окрему послугу, для цього зв'яжіться з нами за адресою onboarding@crowdin.com.

Доступ до даних

Доступ до даних клієнта мають лише уповноважені працівники, яким вони потрібні для роботи. Прикладом цього є наша служба підтримки. Представники служби підтримки можуть мати доступ лише до файлів або налаштувань, необхідних для розв'язання проблем, надісланих клієнтами.

Безперервність бізнесу та аварійне відновлення

Ми розробили, регулярно перевіряємо та оновлюємо план аварійного відновлення та план безперервності бізнесу.

Тестування на проникнення

Crowdin проводить щорічне тестування на проникнення, яке здійснюється незалежною сторонньою компанією, що займається аудитом безпеки. Під час тестування компанія не отримує жодних даних клієнтів. Звіт про результати тестування на проникнення надається корпоративним клієнтам за запитом.

Зв'язатися з нами

Якщо у вас виникли запитання про безпеку в Crowdin або ви хочете надіслати повідомлення про вразливість, зв'яжіться з нами за адресою support@crowdin.com.

Ми будемо працювати з вами, щоб оцінити проблему та повністю розв'язувати будь-які проблеми. Електронні листи про проблеми безпеки розглядаються з найвищим пріоритетом. Безпека нашого сервісу є нашим головним пріоритетом.