Безопасность в Crowdin

Организационная безопасность

Требования политики безопасности информации Crowdin применяются ко всей организации Crowdin и являются обязательными для всех сотрудников и тех, кто участвует в этих бизнес-процессах. ISMS построена на трех основных элементах: личности, процессы и технологии с обширной реализацией Zero Trust Architecture (ZTA). Нулевая архитектура работает по принципу «никогда не доверять, всегда проверять», означает, что доступ к ресурсам никогда не доверяется имплицитно на основе местоположения пользователя или устройства. Вместо этого требуется строгая идентификационная проверка и непрерывная аутентификация для каждой попытки доступа, независимо от того, происходит ли она изнутри или за пределами сетевого периметра. Главный сотрудник по информационной безопасности (ИСО) отвечает за обеспечение надлежащей защиты информационных активов и технологий.

Обучение и осведомлённость в области безопасности

В Crowdin все сотрудники в течение года проходят постоянное обучение по вопросам безопасности и осведомлённости. Каждый новый член команды проходит базовое обучение по безопасности в течение первого месяца после приёма на работу. Мы проводим регулярные проверки доступа, обновляем пароли и работаем по принципу наименьших привилегий. Также необходимо пройти обучение по вопросам безопасности в зависимости от роли.

Аппаратная безопасность

Ноутбуки всех работников оборудованы жёсткими дисками с функцией шифрования. Только отвественный системный администратор может осуществлять установку, конфигурацию или модификацию аппаратного и программного обеспечения. Операции с оборудованием в дата-центра (установка/удаление) отслеживаются, регистрируются и санкционируются. Для доступа к обоурдованию рабочиз станций, сервисам и приложениям требуются пользовательские учётные данные (например, пара ID пользователя/пароль, и т.д.).

• BYOD (Принеси свое устройство) ограничен. Чувствительные данные обрабатываются только на устройствах, управляемых компанией.
• Управляемые компанией устройства оснащены MDM, системой бинарной авторизации и мониторинга, антивирусным программным обеспечением и контролируемыми обновлениями программного обеспечения.
• Обязательные аппаратные ключи - Доступ к данным компании контролируется обязательными аппаратными 2FA-ключами.
• Доступ с учетом контекста - Доступ к корпоративным данным разрешен только с управляемых компанией устройств.
• Применяются ограничения доступа на основе местоположения.
• Бинарная авторизация и мониторинг - могут исполняться только разрешённые бинарные файлы на устройствах сотрудников.

Физическая охрана

Офис Crowdin'а находится под защитой системы сигнализации и оснащен системами пожарной сигнализации. Камеры закрытого контура (CCTV) устанавливаются по всему офису и записываются входы, выходные и другие выделенные помещения. Сотрудники Crowdin не имеют физического доступа к любому из наших производственных мощностей, как вся наша инфраструктура в облаке. Безопасные зоны защищены входным контролем, поэтому доступ разрешается только уполномоченному персоналу.

Сетевая безопасность

Наша внутренняя сеть ограничена, сегментирована, защищена паролем и регистрируются все события, связанные с безопасностью сети.

Безопасность программного обеспечения

В Crowdin работает команда специалистов 24/7/365 серверов, чтобы держать наше программное обеспечение и его зависимости в актуальном состоянии, устраняя потенциальные уязвимости безопасности. Мы используем решения мониторинга для предотвращения и устранения атак на объекты.

• Программное обеспечение - Только одобренное программное обеспечение и плагины для браузера разрешены на устройствах компании.
• Контроль приложений OAuth - Приложения OAuth с доступом к корпоративным данным постоянно контролируются и повторяться.
• Доступ к облачным службам осуществляется через SAML с контекстным доступом.

Реакция на инциденты

Crowdin реализует протокол для обработки событий безопасности, который включает процедуры эскалации, быструю нейтрализацию и сообщение. Все сотрудники информированы о наших политиках.

Проверка сотрудников

Crowdin проводит проверки на благонадежность всех новых сотрудников, подрядчиков или других лиц, имеющих доступ к системе или сети или физическим помещениям центра обработки данных в соответствии с местными законами.

Безопасность третьих лиц и агенств

Crowdin соблюдает практики управления рисками поставщиков, чтобы обеспечить надлежащий контроль третьих сторон и поддерживать ожидаемые уровни средств безопасности. Посмотрите наш Список субподрядчиков.

Безопасная, надежная инфраструктура

Crowdin использует облачные сервисы Amazon (AWS) для нашей вычислительной инфраструктуры, с географическими ограничениями, чтобы гарантировать, что обработка данных ограничена конкретными странами для повышения безопасности. AWS имеет сертификат ISO 27001 и прошел множество проверок SSAE. Для дополнительной информации о мерах безопасности AWS посетите страницу безопасности AWS.

В дополнение к преимуществам, предоставляемым AWS, наше приложение имеет дополнительные встроенные возможности безопасности:

• Двухфакторная аутентификация
• Единый вход через SAML 2.0
• Аутентификация API - токен API с детализированным контролем разрешений
• Права на основе ролей
• Резервные копии и управление версиями
• Crowdin устанавливает стандарт сложности паролей
• Функция верификации устройства предоставляет дополнительный уровень безопасности, защищая Учётные записи в случае компрометации пароля

Обязательства PCI

Когда вы подписываетесь на платную Учётную запись Crowdin, мы не храним никакую информацию о вашем биллинге на наших серверах. Все платежи, произведённые в пользу Crowdin, обрабатываются нашим партнёром, FastSpring, который соответствует Стандарту безопасности PCI. Для дополнительной информации, пожалуйста, посетите страницу FastSpring Управление рисками + Соответствие.

Время работы

Проверьте нашу статистику за последний месяц на сайте https://status.crowdin.com/. Вы можете запросить соглашение SLA в качестве отдельного сервиса, чтобы связаться с нами по адресу onboarding@crowdin.com

Доступ к данным

Доступ к данным клиентов ограничен авторизованными сотрудниками, которым это нужно для выполнения служебных обязанностей. Примером этого является наша команда поддержки. Представители команды поддержки могут иметь доступ только к файлам или настройкам, необходимым для решения вопросов, представленных клиентами.

Непрерывность бизнеса и аварийное восстановление

Мы разработали, регулярно тестируем и обновляем как Тариф восстановления после катастроф, так и Тариф бесперебойной работы бизнеса.

Тестирование на проникновение

Crowdin проводит ежегодное тестирование на проникновение, проводимое независимой компанией по аудиту безопасности. Во время тестирования данные клиентов не раскрываются компании. Резюме результатов тестирования на проникновение доступно корпоративным клиентам по запросу.

Программа "Охота за ошибками"

Crowdin использует HackerOne для размещения своей программы Bug Bounty, которая официально запущена 17 июля 2024 года. Программа соответствует стандартной программе HackerOne для обеспечения структурированного и эффективного процесса управления уязвимостями. В настоящее время программа является частной, приглашая к участию отдельную группу исследователей безопасности.

Если у вас возникли какие-нибудь вопросы, замечания или комментарии по поводу безопасности Crowdin или вы хотите предоставить отчет об уязвимостях, пожалуйста, свяжитесь с нами по адресу support@crowdin.com.

Мы будем работать с вами, чтобы оценить вопрос и полностью решить любые вопросы. Электронные письма о вопросах безопасности рассматриваются с высшим приоритетом. Безопасность и защита наших услуг являются нашими главными приоритетами.