Bezpieczeństwo na Crowdin
W Crowdin jesteśmy zobowiązani do przestrzegania standardów branżowych dotyczących zabezpieczeń, bezpieczeństwa i prywatności.
Standardy bezpieczeństwa
Certyfikat ISO/IEC 27001
Zgodność z unijnym ogólnym rozporządzeniem o ochronie danych (GDPR tzw. RODO)
Zgodny z HIPAA
Klienci podlegający ustawie HIPAA i chcący korzystać z Crowdin w związku z chronionymi informacjami zdrowotnymi (PHI) muszą podpisać umowę o partnerstwie biznesowym firmy Crowdin
Środki bezpieczeństwa wewnętrznego
Bezpieczeństwo organizacji
Wymagania Polityki Bezpieczeństwa Informacji Crowdin dotyczą całej organizacji Crowdin i są obowiązkowe dla wszystkich pracowników i osób zaangażowanych w te procesy biznesowe. ISMS jest zbudowany na trzech filarach: ludziach, procesach i technologii. Za zapewnienie właściwej ochrony aktywów informacyjnych i technologii odpowiada dedykowany dyrektor ds. bezpieczeństwa informacji (CISO).
Szkolenia i świadomość w zakresie bezpieczeństwa
W firmie Crowdin wszyscy pracownicy przechodzą przez cały rok szkolenie z zakresu bezpieczeństwa i świadomości. Każdy nowy członek zespołu przechodzi podstawowe szkolenie z zakresu bezpieczeństwa w ciągu pierwszego miesiąca od zatrudnienia. Prowadzimy regularne audyty dostępu, aktualizacje haseł i działamy w oparciu o zasadę najmniejszych przywilejów. Wymagane są również szkolenia z zakresu bezpieczeństwa dla poszczególnych ról.
Bezpieczeństwo sprzętu
Wszystkie laptopy pracowników mają zaszyfrowane dyski twarde. Jedynie wyznaczony administrator systemu przeprowadza instalację, konfigurację lub modyfikację sprzętu i oprogramowania. Dostarczanie, usuwanie sprzętu do/od centrum danych jest autoryzowane, rejestrowane i monitorowane. Do uzyskania dostępu do sprzętu, usług i aplikacji stacji roboczej wymagane są poświadczenia dostępu specyficzne dla danego użytkownika (np. identyfikator użytkownika/hasło itp.).
Bezpieczeństwo fizyczne
Biuro Crowdin jest monitorowane i chronione systemem alarmowym oraz wyposażone w systemy sygnalizacji pożaru. Kamery z obwodem zamkniętym (CCTV) są instalowane w całym biurze i rejestrują wejścia, wyjścia i inne wyznaczone obszary. Pracownicy Crowdin nie mają fizycznego dostępu do żadnego z naszych zakładów produkcyjnych, ponieważ cała nasza infrastruktura znajduje się w chmurze. Bezpieczne obszary są chronione za pomocą kontroli wejść, więc dostęp do nich mają tylko upoważnieni pracownicy.
Bezpieczeństwo sieci
Nasza sieć wewnętrzna jest ograniczona, podzielona na segmenty, zabezpieczona hasłem, a wszystkie zdarzenia związane z bezpieczeństwem sieci są rejestrowane.
Bezpieczeństwo oprogramowania
Crowdin zatrudnia zespół specjalistów od serwerów w trybie 24/7/365, którzy dbają o aktualność naszego oprogramowania i jego zależności, usuwając potencjalne luki w zabezpieczeniach. Korzystamy z rozwiązań monitorujących, aby zapobiegać i eliminować ataki na strony.
Odpowiedź na incydenty
Crowdin wdraża protokół obsługi zdarzeń związanych z bezpieczeństwem, który obejmuje procedury eskalacji, szybkie łagodzenie i kontrole problemu. Wszyscy pracownicy są informowani o naszych zasadach.
Weryfikacja pracowników
Firma Crowdin sprawdza przeszłość wszystkich nowych pracowników, kontrahentów lub innych osób, które mają dostęp do systemów, sieci lub obiektów fizycznego centrum danych zgodnie z lokalnymi przepisami.
Bezpieczeństwo stron trzecich i dostawców
Crowdin stosuje praktyki zarządzania ryzykiem dostawców, aby upewnić się, że strony trzecie są dokładnie sprawdzane i utrzymują oczekiwane poziomy kontroli bezpieczeństwa. Zobacz naszą Listę podmiotów podprzetwarzających.
Bezpieczeństwo aplikacji
Bezpieczna i niezawodna infrastruktura
Crowdin korzysta z centrów danych Amazon Web Services (AWS) dla naszej infrastruktury obliczeniowej. AWS posiada certyfikat ISO 27001 i przeszedł wiele audytów SSAE 16. Aby uzyskać więcej informacji na temat ich środków bezpieczeństwa, odwiedź stronę AWS Cloud Security.
Oprócz korzyści jakie zapewnia AWS, nasza aplikacja posiada dodatkowe wbudowane zabezpieczenia:
- Uwierzytelnianie dwuetapowe
- Pojedyncze logowanie przez SAML 2.0
- Uwierzytelnianie REST API (klucz API)
- Role i uprawnienia
- Kopie zapasowe i wersjonowanie
- Crowdin wymusza standard złożoności hasła
Obowiązki PCI
Kiedy rejestrujesz płatne konto Crowdin, nie przechowujemy żadnych informacji rozliczeniowych na naszych serwerach. Wszystkie płatności dokonywane na rzecz Crowdin przechodzą przez naszego partnera, firmę FastSpring. Są zgodne ze standardem bezpieczeństwa PCI. Więcej szczegółów na temat konfiguracji zabezpieczeń można znaleźć na stronie Stripe Zarządzanie Ryzykiem + Zgodność.
Czas pracy
Sprawdź nasze statystyki z ostatnich miesięcy na https://status.crowdin.com/. Możesz poprosić o umowę SLA jako oddzielną usługę, w tym celu skontaktuj się z nami na onboarding@crowdin.com
Dostęp do danych
Dostęp do danych klientów jest ograniczony do uprawnionych pracowników, którzy potrzebują go do wykonywania swojej pracy. Przykładem tego jest nasz zespół wsparcia technicznego. Przedstawiciele zespołu wsparcia mogą mieć dostęp jedynie do plików lub ustawień niezbędnych do rozwiązania problemów zgłaszanych przez klientów.
Ciągłość biznesowa i odzyskiwanie po awarii
Opracowaliśmy, regularnie testujemy i aktualizujemy zarówno plan odzyskiwania po awarii, jak i plan ciągłości działania.
Testy penetracyjne
Crowdin corocznie przeprowadza testy penetracyjne przez niezależną, zewnętrzną agencję audytu bezpieczeństwa. Żadne dane klientów nie są ujawniane agencji poprzez testy. Podsumowanie wyników testów penetracyjnych jest dostępne na żądanie dla klientów korporacyjnych.
Kontakt z nami
Jeśli masz jakiekolwiek pytania dotyczące bezpieczeństwa w firmie Crowdin lub chcesz zgłosić lukę, skontaktuj się z nami pod adresem support@crowdin.com.
Będziemy współpracować z Tobą, aby ocenić problem i w pełni rozwiać wszelkie wątpliwości. Wiadomości e-mail dotyczące kwestii bezpieczeństwa są traktowane z najwyższym priorytetem. Bezpieczeństwo i ochrona naszych usług to nasze priorytety.