Bezpečnosť bez kompromisov
Bezpečnosť na podnikovej úrovni, ktorej môžete dôverovať. Zaviazali sme sa k najvyšším štandardom bezpečnosti a súkromia, aby sme ochránili vaše údaje a dôvernosť.
Dôveruje nám množstvo spoločností po celom svete
Bezpečnostné štandardy
Súlad so všeobecným nariadením EÚ o ochrane údajov (GDPR)
Crowdin dodržiava GDPR a chráni osobné údaje obyvateľov EÚ v súlade s európskymi štandardmi ochrany súkromia.
Certifikácia ISO/IEC 27001
Systém riadenia informačnej bezpečnosti Crowdinu je certifikovaný podľa ISO/IEC 27001, čo zaisťuje silnú ochranu a riadenie rizík pre citlivé údaje.
Súlad s HIPAA
Zákazníci, ktorí podliehajú HIPAA a chcú využívať Crowdin v súvislosti s chránenými zdravotnými informáciami (PHI), musia podpísať Crowdinovu zmluvu o obchodnom partnerstve
Interné bezpečnostné opatrenia
Organizačná bezpečnosť
Požiadavky zásad informačnej bezpečnosti Crowdinu sa vzťahujú na celú organizáciu Crowdin a sú povinné pre všetkých zamestnancov a osoby zapojené do týchto obchodných procesov. ISMS je postavený na troch pilieroch: ľudia, procesy a technológie, s rozsiahlou implementáciou architektúry nulovej dôvery (Zero Trust Architecture, ZTA). Architektúra nulovej dôvery funguje na princípe "nikdy nedôveruj, vždy overuj", čo znamená, že prístup k zdrojom nie je nikdy implicitne dôveryhodný na základe polohy používateľa alebo zariadenia. Namiesto toho sa pri každom pokuse o prístup vyžaduje prísne overenie identity a nepretržitá autentifikácia, bez ohľadu na to, či pochádza zvnútra alebo zvonka sieťového perimetra. Za zabezpečenie riadnej ochrany informačných aktív a technológií je zodpovedný riaditeľ pre informačnú bezpečnosť (CISO).
Bezpečnostné školenie a povedomie
V Crowdine všetci zamestnanci počas roka absolvujú priebežné školenia o bezpečnosti a povedomí. Každý nový člen tímu absolvuje základné školenie o bezpečnosti počas prvého mesiaca od nástupu. Vykonávame pravidelné audity prístupov, aktualizácie hesiel a pracujeme na princípe najmenších oprávnení. Vyžaduje sa aj školenie o bezpečnosti špecifické pre danú rolu.
Hardvérová bezpečnosť
Všetky zariadenia zamestnancov majú šifrované pevné disky. Inštaláciu, konfiguráciu alebo úpravu hardvéru a softvéru vykonáva iba poverený správca systému. Dodanie a odstránenie zariadení do/z dátového centra je autorizované, zaznamenávané a monitorované. Na prístup k pracovným staniciam, službám a aplikáciám sa vyžadujú prístupové údaje špecifické pre používateľa (napr. dvojica ID používateľa/heslo atď.).
- BYOD (Bring Your Own Device – používanie vlastného zariadenia) je obmedzené. Citlivé údaje sa spracúvajú iba na zariadeniach spravovaných spoločnosťou.
- Zariadenia spravované spoločnosťou sú vybavené MDM, binárnou autorizáciou a monitorovacími systémami, antivírusovým softvérom a kontrolovanými aktualizáciami softvéru.
- Povinné hardvérové kľúče – prístup k firemným údajom je riadený povinnými hardvérovými 2FA kľúčmi.
- Prístup zohľadňujúci kontext – prístup k firemným údajom je povolený iba zo zariadení spravovaných spoločnosťou.
- Sú vynucované obmedzenia prístupu na základe polohy.
- Binárna autorizácia a monitorovanie – na zariadeniach zamestnancov je možné spúšťať iba binárne súbory zo zoznamu povolených.
Fyzická bezpečnosť
Kancelária Crowdinu je monitorovaná a chránená poplašným systémom a je vybavená systémami požiarnej signalizácie. Po celej kancelárii sú nainštalované kamery uzavretého okruhu (CCTV), ktoré snímajú vchody, východy a ďalšie určené oblasti. Zamestnanci Crowdinu nemajú fyzický prístup k žiadnym z našich produkčných zariadení, keďže celá naša infraštruktúra je v cloude. Zabezpečené oblasti sú chránené vstupnými kontrolami, takže prístup je povolený iba autorizovanému personálu.
Sieťová bezpečnosť
Naša interná sieť je obmedzená, segmentovaná, chránená heslom a všetky udalosti súvisiace so zabezpečením siete sú zaznamenávané.
Softvérová bezpečnosť
Crowdin zamestnáva tím serverových špecialistov 24/7/365, aby udržiaval náš softvér a jeho závislosti aktuálne a odstraňoval potenciálne bezpečnostné zraniteľnosti. Na prevenciu a elimináciu útokov na stránku používame monitorovacie riešenia.
- Zoznam povolených softvérov – na firemných zariadeniach je povolený iba schválený softvér a doplnky prehliadača.
- Kontrola aplikácií OAuth – aplikácie OAuth s prístupom k firemným údajom sú nepretržite kontrolované a monitorované.
- Prístup k cloudovým službám je cez SAML s prístupom zohľadňujúcim kontext.
Reakcia na incidenty
Crowdin implementuje protokol na spracovanie bezpečnostných udalostí, ktorý zahŕňa eskalačné postupy, rýchle zmiernenie a analýzu po incidente. Všetci zamestnanci sú informovaní o našich zásadách.
Preverovanie zamestnancov
Crowdin vykonáva previerky všetkých nových zamestnancov, dodávateľov alebo iných osôb, ktoré majú prístup k systémom, sieti alebo fyzickým zariadeniam dátového centra, v súlade s miestnymi zákonmi.
Bezpečnosť tretích strán a dodávateľov
Crowdin udržiava postupy riadenia rizík dodávateľov, aby zaistil, že tretie strany sú dôkladne preverené a udržiavajú očakávanú úroveň bezpečnostných kontrol. Zobraziť náš zoznam sub-procesorov.
Bezpečnosť aplikácií
Bezpečná a spoľahlivá infraštruktúra
Crowdin používa pre svoju výpočtovú infraštruktúru dátové centrá Amazon Web Services (AWS) s geografickými obmedzeniami, ktoré zaisťujú, že spracovanie údajov je obmedzené na konkrétne krajiny s cieľom zvýšiť bezpečnosť. AWS má certifikáciu ISO 27001 a absolvovala viacero auditov SSAE 16. Ďalšie informácie o bezpečnostných opatreniach AWS nájdete na Stránka AWS Cloud Security.
Okrem výhod, ktoré poskytuje AWS, má naša aplikácia ďalšie zabudované bezpečnostné funkcie:
- Dvojfaktorová autentifikácia
- Jednotné prihlásenie cez SAML 2,0
- Autentifikácia REST API – API token s granulárnym riadením oprávnení
- Oprávnenia založené na rolách
- Zálohy a verzovanie
- Vynucovanie štandardu zložitosti hesla
- Funkcia overenia zariadenia pre dodatočnú ochranu účtu
Povinnosti PCI
Keď si zaregistrujete platený účet Crowdin, neukladáme na našich serveroch žiadne vaše fakturačné údaje. Všetky platby uskutočnené v prospech Crowdinu sa spracúvajú prostredníctvom nášho partnera FastSpring, ktorý spĺňa štandard PCI Security. Ďalšie informácie nájdete na Stránka FastSpring's Risk Management + Compliance.
Dostupnosť
Pozrite si naše štatistiky za minulý mesiac na status.crowdin.com . Dohodu o SLA si môžete vyžiadať ako samostatnú službu, v tomto prípade nás kontaktujte na onboarding@crowdin.com
Prístup k údajom
Prístup k údajom zákazníkov je obmedzený na oprávnených zamestnancov, ktorí ich potrebujú na svoju prácu. Príkladom je náš tím podpory. Zástupcovia tímu podpory môžu mať prístup len k súborom alebo nastaveniam potrebným na vyriešenie problémov nahlásených zákazníkmi.
Kontinuita činnosti a obnova po havárii
Vyvinuli sme, pravidelne testujeme a aktualizujeme plán obnovy po havárii aj plán kontinuity podnikania.
Penetračné testovanie
Crowdin vykonáva každoročné penetračné testovanie, ktoré realizuje nezávislá externá spoločnosť na bezpečnostné audity. Počas testovania nie sú spoločnosti sprístupnené žiadne údaje zákazníkov. Súhrn výsledkov penetračného testu je na požiadanie k dispozícii enterprise zákazníkom.
Program Bug Bounty
Crowdin využíva na hosťovanie svojho programu Bug Bounty službu HackerOne, ktorý bol oficiálne spustený 17. júla 2024. Program sa riadi štandardnými pokynmi programu HackerOne, aby sa zabezpečil štruktúrovaný a efektívny proces správy zraniteľností. V súčasnosti je program súkromný a na účasť pozýva vybranú skupinu bezpečnostných výskumníkov.
Máte ešte otázky o bezpečnosti?
Ak máte akékoľvek otázky o bezpečnosti v Crowdine alebo chcete odoslať hlásenie o zraniteľnosti, kontaktujte nás na support@crowdin.com.
Spolupracujeme s vami na posúdení problému a úplnom vyriešení akýchkoľvek obáv. E-maily o bezpečnostných problémoch vybavujeme s najvyššou prioritou. Bezpečnosť a ochrana našej služby sú našimi hlavnými prioritami.