Bezpieczeństwo na Crowdin

Bezpieczeństwo organizacji

Wymagania Polityki Bezpieczeństwa Informacji Crowdin dotyczą całej organizacji Crowdin i są obowiązkowe dla wszystkich pracowników i osób zaangażowanych w te procesy biznesowe. ISMS jest zbudowany na trzech filarach: ludziach, procesach i technologii. Za zapewnienie właściwej ochrony aktywów informacyjnych i technologii odpowiada dedykowany dyrektor ds. bezpieczeństwa informacji (CISO).

Szkolenia i świadomość w zakresie bezpieczeństwa

W firmie Crowdin wszyscy pracownicy przechodzą przez cały rok szkolenie z zakresu bezpieczeństwa i świadomości. Każdy nowy członek zespołu przechodzi podstawowe szkolenie z zakresu bezpieczeństwa w ciągu pierwszego miesiąca od zatrudnienia. Prowadzimy regularne audyty dostępu, aktualizacje haseł i działamy w oparciu o zasadę najmniejszych przywilejów. Wymagane są również szkolenia z zakresu bezpieczeństwa dla poszczególnych ról.

Bezpieczeństwo sprzętu

Wszystkie laptopy pracowników mają zaszyfrowane dyski twarde. Jedynie wyznaczony administrator systemu przeprowadza instalację, konfigurację lub modyfikację sprzętu i oprogramowania. Dostarczanie, usuwanie sprzętu do/od centrum danych jest autoryzowane, rejestrowane i monitorowane. Do uzyskania dostępu do sprzętu, usług i aplikacji stacji roboczej wymagane są poświadczenia dostępu specyficzne dla danego użytkownika (np. identyfikator użytkownika/hasło itp.).

Bezpieczeństwo fizyczne

Biuro Crowdin jest monitorowane i chronione systemem alarmowym oraz wyposażone w systemy sygnalizacji pożaru. Kamery z obwodem zamkniętym (CCTV) są instalowane w całym biurze i rejestrują wejścia, wyjścia i inne wyznaczone obszary. Pracownicy Crowdin nie mają fizycznego dostępu do żadnego z naszych zakładów produkcyjnych, ponieważ cała nasza infrastruktura znajduje się w chmurze. Bezpieczne obszary są chronione za pomocą kontroli wejść, więc dostęp do nich mają tylko upoważnieni pracownicy.

Bezpieczeństwo sieci

Nasza sieć wewnętrzna jest ograniczona, podzielona na segmenty, zabezpieczona hasłem, a wszystkie zdarzenia związane z bezpieczeństwem sieci są rejestrowane.

Bezpieczeństwo oprogramowania

Crowdin zatrudnia zespół specjalistów od serwerów w trybie 24/7/365, którzy dbają o aktualność naszego oprogramowania i jego zależności, usuwając potencjalne luki w zabezpieczeniach. Korzystamy z rozwiązań monitorujących, aby zapobiegać i eliminować ataki na strony.

Odpowiedź na incydenty

Crowdin wdraża protokół obsługi zdarzeń związanych z bezpieczeństwem, który obejmuje procedury eskalacji, szybkie łagodzenie i kontrole problemu. Wszyscy pracownicy są informowani o naszych zasadach.

Weryfikacja pracowników

Firma Crowdin sprawdza przeszłość wszystkich nowych pracowników, kontrahentów lub innych osób, które mają dostęp do systemów, sieci lub obiektów fizycznego centrum danych zgodnie z lokalnymi przepisami.

Bezpieczeństwo stron trzecich i dostawców

Crowdin stosuje praktyki zarządzania ryzykiem dostawców, aby upewnić się, że strony trzecie są dokładnie sprawdzane i utrzymują oczekiwane poziomy kontroli bezpieczeństwa. Zobacz naszą Listę podmiotów podprzetwarzających.

Bezpieczna i niezawodna infrastruktura

Crowdin korzysta z centrów danych Amazon Web Services (AWS) dla naszej infrastruktury obliczeniowej. AWS posiada certyfikat ISO 27001 i przeszedł wiele audytów SSAE 16. Aby uzyskać więcej informacji na temat ich środków bezpieczeństwa, odwiedź stronę AWS Cloud Security.

Oprócz korzyści jakie zapewnia AWS, nasza aplikacja posiada dodatkowe wbudowane zabezpieczenia:

• Uwierzytelnianie dwuetapowe
• Pojedyncze logowanie przez SAML 2.0
• Uwierzytelnianie REST API (klucz API)
• Role i uprawnienia
• Kopie zapasowe i wersjonowanie
• Crowdin wymusza standard złożoności hasła

Obowiązki PCI

Kiedy rejestrujesz płatne konto Crowdin, nie przechowujemy żadnych informacji rozliczeniowych na naszych serwerach. Wszystkie płatności dokonywane na rzecz Crowdin przechodzą przez naszego partnera, firmę FastSpring. Są zgodne ze standardem bezpieczeństwa PCI. Więcej szczegółów na temat konfiguracji zabezpieczeń można znaleźć na stronie Stripe Zarządzanie Ryzykiem + Zgodność.

Czas pracy

Sprawdź nasze statystyki z ostatnich miesięcy na https://status.crowdin.com/. Możesz poprosić o umowę SLA jako oddzielną usługę, w tym celu skontaktuj się z nami na onboarding@crowdin.com

Dostęp do danych

Dostęp do danych klientów jest ograniczony do uprawnionych pracowników, którzy potrzebują go do wykonywania swojej pracy. Przykładem tego jest nasz zespół wsparcia technicznego. Przedstawiciele zespołu wsparcia mogą mieć dostęp jedynie do plików lub ustawień niezbędnych do rozwiązania problemów zgłaszanych przez klientów.

Ciągłość biznesowa i odzyskiwanie po awarii

Opracowaliśmy, regularnie testujemy i aktualizujemy zarówno plan odzyskiwania po awarii, jak i plan ciągłości działania.

Testy penetracyjne

Crowdin corocznie przeprowadza testy penetracyjne przez niezależną, zewnętrzną agencję audytu bezpieczeństwa. Żadne dane klientów nie są ujawniane agencji poprzez testy. Podsumowanie wyników testów penetracyjnych jest dostępne na żądanie dla klientów korporacyjnych.

Jeśli masz jakiekolwiek pytania dotyczące bezpieczeństwa w firmie Crowdin lub chcesz zgłosić lukę, skontaktuj się z nami pod adresem support@crowdin.com.

Będziemy współpracować z Tobą, aby ocenić problem i w pełni rozwiać wszelkie wątpliwości. Wiadomości e-mail dotyczące kwestii bezpieczeństwa są traktowane z najwyższym priorytetem. Bezpieczeństwo i ochrona naszych usług to nasze priorytety.