Bezpieczeństwo na Crowdin

Bezpieczeństwo organizacji

Wymogi polityki bezpieczeństwa informacji Crowdin mają zastosowanie do całej organizacji Crowdin i są obowiązkowe dla wszystkich pracowników oraz osób zaangażowanych w te procesy biznesowe. System zarządzania bezpieczeństwem informacji (ISMS) opiera się na trzech filarach: ludzie, procesy i technologia, z szerokim wdrożeniem architektury Zero Trust (ZTA). Architektura Zero Trust działa na zasadzie "nigdy nie ufaj, zawsze weryfikuj", co oznacza, że dostęp do zasobów nigdy nie jest domyślnie zaufany na podstawie lokalizacji użytkownika lub urządzenia. Zamiast tego wymagana jest ścisła weryfikacja tożsamości i ciągłe uwierzytelnianie przy każdej próbie uzyskania dostępu, niezależnie od tego, czy pochodzi ona z wewnątrz, czy spoza obwodu sieci. Dyrektor ds. bezpieczeństwa informacji (CISO) jest odpowiedzialny za zapewnienie odpowiedniej ochrony zasobów informacyjnych i technologii.

Szkolenia i świadomość w zakresie bezpieczeństwa

W firmie Crowdin wszyscy pracownicy przechodzą przez cały rok szkolenie z zakresu bezpieczeństwa i świadomości. Każdy nowy członek zespołu przechodzi podstawowe szkolenie z zakresu bezpieczeństwa w ciągu pierwszego miesiąca od zatrudnienia. Prowadzimy regularne audyty dostępu, aktualizacje haseł i działamy w oparciu o zasadę najmniejszych przywilejów. Wymagane są również szkolenia z zakresu bezpieczeństwa dla poszczególnych ról.

Bezpieczeństwo sprzętu

Wszystkie urządzenia pracowników mają zaszyfrowane dyski twarde. Instalację, konfigurację lub modyfikację sprzętu i oprogramowania przeprowadza wyłącznie wyznaczony administrator systemu. Dostarczanie i usuwanie sprzętu do/z centrum danych jest autoryzowane, rejestrowane i monitorowane. Aby uzyskać dostęp do sprzętu, usług i aplikacji na stacjach roboczych, wymagane są poświadczenia dostępu dla poszczególnych użytkowników (np. para identyfikator użytkownika/hasło itp.).

• BYOD (Bring Your Own Device - przynieś własne urządzenie) jest ograniczone. Wrażliwe dane są przetwarzane wyłącznie na urządzeniach zarządzanych przez firmę.
• Urządzenia zarządzane przez firmę są wyposażone w MDM, binarne systemy autoryzacji i monitorowania, oprogramowanie antywirusowe i kontrolowane aktualizacje oprogramowania.
• Obowiązkowe klucze sprzętowe - dostęp do danych firmowych jest kontrolowany przez obowiązkowe sprzętowe klucze 2FA.
• Dostęp kontekstowy - dostęp do danych firmowych jest dozwolony tylko z urządzeń zarządzanych przez firmę.
• Ograniczenia dostępu oparte na lokalizacji są egzekwowane.
• Autoryzacja i monitorowanie plików binarnych - tylko pliki binarne znajdujące się na dozwolonej liście mogą być uruchamiane na urządzeniach pracowników.

Bezpieczeństwo fizyczne

Biuro Crowdin jest monitorowane i chronione systemem alarmowym oraz wyposażone w systemy sygnalizacji pożaru. Kamery z obwodem zamkniętym (CCTV) są instalowane w całym biurze i rejestrują wejścia, wyjścia i inne wyznaczone obszary. Pracownicy Crowdin nie mają fizycznego dostępu do żadnego z naszych zakładów produkcyjnych, ponieważ cała nasza infrastruktura znajduje się w chmurze. Bezpieczne obszary są chronione za pomocą kontroli wejść, więc dostęp do nich mają tylko upoważnieni pracownicy.

Bezpieczeństwo sieci

Nasza sieć wewnętrzna jest ograniczona, podzielona na segmenty, zabezpieczona hasłem, a wszystkie zdarzenia związane z bezpieczeństwem sieci są rejestrowane.

Bezpieczeństwo oprogramowania

Crowdin zatrudnia zespół specjalistów od serwerów w trybie 24/7/365, którzy dbają o aktualność naszego oprogramowania i jego zależności, usuwając potencjalne luki w zabezpieczeniach. Korzystamy z rozwiązań monitorujących, aby zapobiegać i eliminować ataki na strony.

• Lista dozwolonego oprogramowania - tylko zatwierdzone oprogramowanie i wtyczki do przeglądarek są dozwolone na urządzeniach firmowych.
• Kontrola Aplikacji OAuth - aplikacje OAuth z dostępem do danych firmowych są stale kontrolowane i monitorowane.
• Dostęp do usług w chmurze odbywa się za pośrednictwem SAML z dostępem kontekstowym.

Odpowiedź na incydenty

Crowdin wdraża protokół obsługi zdarzeń związanych z bezpieczeństwem, który obejmuje procedury eskalacji, szybkie łagodzenie i kontrole problemu. Wszyscy pracownicy są informowani o naszych zasadach.

Weryfikacja pracowników

Firma Crowdin sprawdza przeszłość wszystkich nowych pracowników, kontrahentów lub innych osób, które mają dostęp do systemów, sieci lub obiektów fizycznego centrum danych zgodnie z lokalnymi przepisami.

Bezpieczeństwo stron trzecich i dostawców

Crowdin stosuje praktyki zarządzania ryzykiem dostawców, aby upewnić się, że strony trzecie są dokładnie sprawdzane i utrzymują oczekiwane poziomy kontroli bezpieczeństwa. Zobacz naszą Listę podmiotów podprzetwarzających.

Bezpieczna i niezawodna infrastruktura

Crowdin korzysta z centrów danych Amazon Web Services (AWS) dla naszej infrastruktury obliczeniowej, z ograniczeniami geograficznymi w celu zapewnienia, że przetwarzanie danych jest ograniczone do określonych krajów w celu zwiększenia bezpieczeństwa. AWS posiada certyfikat ISO 27001 i przeszedł wiele audytów SSAE 16. Więcej informacji na temat środków bezpieczeństwa AWS można znaleźć na stronie AWS Bezpieczeństwo w chmurze.

Oprócz korzyści jakie zapewnia AWS, nasza aplikacja posiada dodatkowe wbudowane zabezpieczenia:

• Uwierzytelnianie dwuetapowe
• Pojedyncze logowanie przez SAML 2.0
• Uwierzytelnianie REST API - token API ze szczegółową kontrolą uprawnień
• Role i uprawnienia
• Kopie zapasowe i wersjonowanie
• Crowdin wymusza standard złożoności hasła
• Funkcja weryfikacji urządzenia zapewnia dodatkową warstwę zabezpieczeń, chroniąc konta w przypadku naruszenia hasła

Obowiązki PCI

Podczas rejestracji płatnego konta Crowdin nie przechowujemy żadnych danych rozliczeniowych na naszych serwerach. Wszystkie płatności dokonywane na rzecz Crowdin są przetwarzane za pośrednictwem naszego partnera, FastSpring, który jest zgodny ze standardem bezpieczeństwa PCI. Więcej informacji można znaleźć na stronie FastSpring Zarządzanie ryzykiem i zgodność.

Czas pracy

Sprawdź nasze statystyki z ostatnich miesięcy na https://status.crowdin.com/. Możesz poprosić o umowę SLA jako oddzielną usługę, w tym celu skontaktuj się z nami na onboarding@crowdin.com

Dostęp do danych

Dostęp do danych klientów jest ograniczony do uprawnionych pracowników, którzy potrzebują go do wykonywania swojej pracy. Przykładem tego jest nasz zespół wsparcia technicznego. Przedstawiciele zespołu wsparcia mogą mieć dostęp jedynie do plików lub ustawień niezbędnych do rozwiązania problemów zgłaszanych przez klientów.

Ciągłość biznesowa i odzyskiwanie po awarii

Opracowaliśmy, regularnie testujemy i aktualizujemy zarówno plan odzyskiwania po awarii, jak i plan ciągłości działania.

Testy penetracyjne

Crowdin przeprowadza coroczne testy penetracyjne przeprowadzane przez niezależną, zewnętrzną firmę zajmującą się audytem bezpieczeństwa. Podczas testów żadne dane klientów nie są ujawniane firmie. Podsumowanie wyników testów penetracyjnych jest dostępne dla klientów korporacyjnych na żądanie.

Program Bug Bounty

Crowdin wykorzystuje HackerOne do hostowania swojego programu Bug Bounty, który oficjalnie wystartował 17 lipca 2024 roku. Program jest zgodny ze standardowymi wytycznymi programu HackerOne, aby zapewnić ustrukturyzowany i skuteczny proces zarządzania lukami w zabezpieczeniach. Obecnie program ma charakter prywatny, zapraszając do udziału wybraną grupę badaczy bezpieczeństwa.

Jeśli masz jakiekolwiek pytania dotyczące bezpieczeństwa w Crowdin lub chcesz przesłać raport o luce w zabezpieczeniach, skontaktuj się z nami pod adresem support@crowdin.com.

Będziemy współpracować z Tobą, aby ocenić problem i w pełni rozwiać wszelkie wątpliwości. Wiadomości e-mail dotyczące kwestii bezpieczeństwa są traktowane z najwyższym priorytetem. Bezpieczeństwo i ochrona naszych usług to nasze priorytety.