Bezpieczeństwo na Crowdin

W Crowdin jesteśmy zobowiązani do przestrzegania standardów branżowych dotyczących zabezpieczeń, bezpieczeństwa i prywatności.

Standardy bezpieczeństwa

Certyfikat ISO/IEC 27001

Certyfikat ISO/IEC 27001

Zgodność z unijnym ogólnym rozporządzeniem o ochronie danych (GDPR tzw. RODO)

Zgodność z unijnym ogólnym rozporządzeniem o ochronie danych (GDPR tzw. RODO)

Zgodny z HIPAA

Zgodny z HIPAA

Klienci podlegający ustawie HIPAA i chcący korzystać z Crowdin w związku z chronionymi informacjami zdrowotnymi (PHI) muszą podpisać umowę o partnerstwie biznesowym firmy Crowdin

Nasza polityka

Regulamin Polityka prywatności Informacje o Polityce bezpieczeństwa Polityka zgłaszania podatności na zagrożenia
Zgodność z GDPR Polityka cookie Zastrzeżenie HIPAA

Środki bezpieczeństwa wewnętrznego

Bezpieczeństwo organizacji

Crowdin Information Security Policy requirements apply to the entire Crowdin organization and are mandatory for all employees and those involved in these business processes. ISMS is built on three pillars: people, processes, and technology, with an extensive implementation of a Zero Trust Architecture (ZTA). Zero Trust Architecture operates on the principle of "never trust, always verify", meaning that access to resources is never implicitly trusted based on the location of the user or the device. Instead, strict identity verification and continuous authentication are required for every access attempt, regardless of whether it originates from inside or outside the network perimeter. A Chief Information Security Officer (CISO) is responsible for ensuring the proper protection of information assets and technologies.

Szkolenia i świadomość w zakresie bezpieczeństwa

W firmie Crowdin wszyscy pracownicy przechodzą przez cały rok szkolenie z zakresu bezpieczeństwa i świadomości. Każdy nowy członek zespołu przechodzi podstawowe szkolenie z zakresu bezpieczeństwa w ciągu pierwszego miesiąca od zatrudnienia. Prowadzimy regularne audyty dostępu, aktualizacje haseł i działamy w oparciu o zasadę najmniejszych przywilejów. Wymagane są również szkolenia z zakresu bezpieczeństwa dla poszczególnych ról.

Bezpieczeństwo sprzętu

All employee devices have encrypted hard drives. Only the appointed system administrator conducts hardware and software installation, configuration, or alteration. Delivery, removal of equipment to/from the data center facility is authorized, logged, and monitored. User-specific access credentials (e.g., user ID/password pair, etc.) are required to access workstation equipment, services, and applications.

  • BYOD (Bring Your Own Device) is limited. Sensitive data is processed only on company-managed devices.
  • Сompany-managed devices are equipped with MDM, binary authorization and monitoring systems, antivirus software, and controlled software updates.
  • Mandatory Hardware Keys - Access to company data is controlled by mandatory hardware-based 2FA keys.
  • Context-Aware Access - Access to corporate data is only allowed from company-managed devices.
  • Location-based access restrictions are enforced.
  • Binary Authorization and Monitoring - Only allowlisted binary files can be executed on employee devices.

Bezpieczeństwo fizyczne

Biuro Crowdin jest monitorowane i chronione systemem alarmowym oraz wyposażone w systemy sygnalizacji pożaru. Kamery z obwodem zamkniętym (CCTV) są instalowane w całym biurze i rejestrują wejścia, wyjścia i inne wyznaczone obszary. Pracownicy Crowdin nie mają fizycznego dostępu do żadnego z naszych zakładów produkcyjnych, ponieważ cała nasza infrastruktura znajduje się w chmurze. Bezpieczne obszary są chronione za pomocą kontroli wejść, więc dostęp do nich mają tylko upoważnieni pracownicy.

Bezpieczeństwo sieci

Nasza sieć wewnętrzna jest ograniczona, podzielona na segmenty, zabezpieczona hasłem, a wszystkie zdarzenia związane z bezpieczeństwem sieci są rejestrowane.

Bezpieczeństwo oprogramowania

Crowdin zatrudnia zespół specjalistów od serwerów w trybie 24/7/365, którzy dbają o aktualność naszego oprogramowania i jego zależności, usuwając potencjalne luki w zabezpieczeniach. Korzystamy z rozwiązań monitorujących, aby zapobiegać i eliminować ataki na strony.

  • Software Allowlisting - Only approved software and browser plugins are allowed on company devices.
  • OAuth App Control - OAuth apps with access to corporate data are continuously controlled and monitored.
  • Cloud services access is through SAML with context-aware access.

Odpowiedź na incydenty

Crowdin wdraża protokół obsługi zdarzeń związanych z bezpieczeństwem, który obejmuje procedury eskalacji, szybkie łagodzenie i kontrole problemu. Wszyscy pracownicy są informowani o naszych zasadach.

Weryfikacja pracowników

Firma Crowdin sprawdza przeszłość wszystkich nowych pracowników, kontrahentów lub innych osób, które mają dostęp do systemów, sieci lub obiektów fizycznego centrum danych zgodnie z lokalnymi przepisami.

Bezpieczeństwo stron trzecich i dostawców

Crowdin stosuje praktyki zarządzania ryzykiem dostawców, aby upewnić się, że strony trzecie są dokładnie sprawdzane i utrzymują oczekiwane poziomy kontroli bezpieczeństwa. Zobacz naszą Listę podmiotów podprzetwarzających.

Bezpieczeństwo aplikacji

Bezpieczna i niezawodna infrastruktura

Crowdin uses Amazon Web Services (AWS) data centers for our computing infrastructure, with geographical restrictions in place to ensure data processing is limited to specific countries to enhance security. AWS has ISO 27001 certification and has completed multiple SSAE 16 audits. For more information on their security measures, visit AWS Cloud Security page. AWS Cloud Security page.

Oprócz korzyści jakie zapewnia AWS, nasza aplikacja posiada dodatkowe wbudowane zabezpieczenia:

  • Uwierzytelnianie dwuetapowe
  • Pojedyncze logowanie przez SAML 2.0
  • REST API Authentication - API token with granular permission control
  • Role i uprawnienia
  • Kopie zapasowe i wersjonowanie
  • Crowdin wymusza standard złożoności hasła
  • Device Verification feature provides an additional layer of security, protecting accounts in case a password is compromised

Obowiązki PCI

When you sign up for a paid Crowdin account, we do not store any of your billing information on our servers. All payments made to Crowdin go through our partner, FastSpring. They are compliant with PCI Security Standard. More details about their security setup can be found on Stripe's Risk Management + Compliance page.

Czas pracy

Check our past month stats at https://status.crowdin.com/. You can request an SLA agreement as a separate service, for this contact us at onboarding@crowdin.com

Dostęp do danych

Dostęp do danych klientów jest ograniczony do uprawnionych pracowników, którzy potrzebują go do wykonywania swojej pracy. Przykładem tego jest nasz zespół wsparcia technicznego. Przedstawiciele zespołu wsparcia mogą mieć dostęp jedynie do plików lub ustawień niezbędnych do rozwiązania problemów zgłaszanych przez klientów.

Ciągłość biznesowa i odzyskiwanie po awarii

Opracowaliśmy, regularnie testujemy i aktualizujemy zarówno plan odzyskiwania po awarii, jak i plan ciągłości działania.

Testy penetracyjne

Crowdin performs annual penetration testing conducted by an independent, third-party security audit company. No customer data is exposed to the company during testing. A summary of the penetration test results is available to enterprise customers upon request.

Kontakt z nami

If you have any questions about security at Crowdin or would like to submit a vulnerability report, please contact us at support@crowdin.com.

Będziemy współpracować z Tobą, aby ocenić problem i w pełni rozwiać wszelkie wątpliwości. Wiadomości e-mail dotyczące kwestii bezpieczeństwa są traktowane z najwyższym priorytetem. Bezpieczeństwo i ochrona naszych usług to nasze priorytety.