Бяспека ў Crowdin

Арганізацыйная бяспека

Патрабаванні палітыкі бяспекі звестак Crowdin датычацца ўсёй арганізацыі Crowdin і з'яўляюцца абавязковымі для ўсіх супрацоўнікаў і тых, хто ўдзельнічае ў гэтых бізнес-працэсах. ISMS заснавана на трох падмурках: людзях, працэсах і тэхналогіях, з шырокай рэалізацыяй архітэктуры нулявога даверу (ZTA). Архітэктура нулявога даверу працуе на прынцыпе "ніколі не давяраць, заўсёды правяраць", што азначае, што доступ да рэсурсаў ніколі не давяраецца прадвызначана на падставе месцазнаходжання карыстальніка або прылады. Наадварот, для кожнай спробы атрымання доступу патрабуюцца строгае спраўджанне асобы і пастаянная аўтэнтыфікацыя, незалежна ад таго, ці паходзіць яна знутры або звонку сеткі. Дырэктар службы інфармацыйнай бяспекі (CISO) адказвае за забеспячэнне належнай абароны інфармацыйных актываў і тэхналогій.

Навучанне і павышэнне дасведчанасці аб бяспецы

У Crowdin усе супрацоўнікі на працягу года праходзяць навучанне па пытаннях бяспекі і павышэння дасведчанасці. Кожны новы ўдзельнік завяршае базавае навучанне бяспецы на працягу першага месяца пасля найму. Мы праводзім рэгулярныя праверкі доступу, абнаўленні пароляў і працуем па прынцыпу мінімальных правоў. Таксама патрабуецца спецыфічнае навучанне бяспецы ў залежнасці ад ролі.

Апаратная бяспека

Усе прылады супрацоўнікаў маюць зашыфраваныя жорсткія дыскі. Толькі прызначаны сістэмны адміністратар выконвае ўсталёўку, канфігурацыю або змяненне абсталявання і праграмнага забеспячэння. Дастаўка, выдаленне абсталявання ў/з цэнтру апрацоўкі даных дазволены, рэгіструюцца і кантралюецца. Для доступу да абсталявання працоўнай станцыі, сэрвісаў і праграм абавязкова неабходны ўліковыя даныя карыстальніка (напрыклад, ідэнтыфікатар карыстальніка/пароль і г.д.).

• BYOD (Прынясіце сваю ўласную прыладу) абмежаваны. Канфідэнцыяльныя даныя апрацоўваюцца толькі на прыладах, якімі кіруе кампанія.
• Прылады, якія кіруюцца кампаніяй, абсталяваны MDM, бінарнымі сістэмамі аўтарызацыі і маніторынгу, антывірусным праграмным забеспячэннем і абнаўленнямі праграмнага забеспячэння, якія кантралююцца.
• Абавязковыя апаратныя ключы – доступ да даных кампаніі кантралюецца абавязковымі апаратнымі ключамі 2FA.
• Кантэкстна-залежны доступ – доступ да карпаратыўных даных дазволены толькі з кіраваных прылад кампаніі;
• Абмежаванні доступу на аснове размяшчэння прымяняюцца.
• Бінарная аўтарызацыя і маніторынг - Могуць быць выкананы толькі дазволеныя бінарныя файлы на прыладах супрацоўнікаў.

Фізічная бяспека

Офіс Crowdin кантралюецца і абараняецца сістэмай апавяшчэння і абсталяваны супрацьпажарнымі сістэмамі апавяшчэння. Камеры відэаназірання (CCTV) усталяваны па ўсім офісе і фіксуюць уваходы, выхады і іншыя вызначаныя зоны. Супрацоўнікі Crowdin не маюць фізічнага доступу да нашых вытворчых аб'ектаў, бо наша ўся інфраструктура знаходзіцца ў воблаку. Ахоўваемыя зоны абаронены сістэмамі кантролю доступу, таму толькі аўтарызаваныя асобы маюць дазвол на доступ.

Сеткавая бяспека

Наша ўнутраная сетка абмежавана, сегментавана, абаронена паролем, і ўсе падзеі, звязаныя з бяспекай сеткі, рэгіструюцца.

Бяспека праграмнага забеспячэння

У Crowdin працуе каманда спецыялістаў па серверах, якія працуюць кругласутачна, каб падтрымліваць наша праграмнае забеспячэнне і яго залежнасці ў актуальным стане, ліквідуючы патэнцыйныя ўразлівасці бяспекі. Мы выкарыстоўваем рашэнні для маніторынгу, каб прадухіліць і ліквідаваць атакі на нашы сайты.

• Спіс дазволенага праграмнага забеспячэння - толькі ўхваленае праграмнае забеспячэнне і ўбудовы для браўзераў дазволены на прыладах кампаніі.
• Кантроль OAuth-праграм - Праграмы OAuth з доступам да карпаратыўных даных пастаянна кантралююцца і адсочваюцца.
• Доступ да сэрвісаў воблака ажыццяўляецца праз SAML з кантэкстна-залежным доступам.

Рэагаванне на інцыдэнты

Crowdin рэалізуе пратакол апрацоўкі падзей бяспекі, які ўключае працэдуры эскалацыі, хуткае змякчэнне наступстваў і аналіз пасля іх. Усе супрацоўнікі праінфармаваны аб нашай палітыцы.

Праверка супрацоўнікаў

Crowdin праводзіць праверку ўсіх новых супрацоўнікаў, падрадчыкаў або іншых асоб, якія маюць доступ да сістэм, сеткі або фізічных цэнтраў апрацоўкі даных у адпаведнасці з мясцовымі законамі.

Бяспека трэціх асоб і агенцтваў

Crowdin падтрымлівае практыку кіравання рызыкамі агенцтваў перакладаў, каб гарантаваць пільную праверку трэціх асоб і падтрымліваць чаканы ўзровень кантролю бяспекі. Паглядзіце наш Спіс субпадрадчыкаў.

Бяспечная, надзейная інфраструктура

Crowdin выкарыстоўвае цэнтры апрацоўкі даных Amazon Web Services (AWS) для нашай вылічальнай інфраструктуры, з геаграфічнымі абмежаваннямі, якія гарантуюць, што апрацоўка даных абмяжоўваецца пэўнымі краінамі для павышэння бяспекі. AWS мае сертыфікацыю ISO 27001 і прайшло некалькі праверак SSAE 16. Каб атрымаць больш падрабязную інфармацыю аб мерах бяспекі AWS, наведайце старонку AWS Cloud Security.

Акрамя пераваг, якія прапануе AWS, наша праграма мае дадатковыя ўбудаваныя функцыі бяспекі:

• Двухфактарная аўтэнтыфікацыя
• Адзіны ўваход праз SAML 2.0;
• Аўтэнтыфікацыя REST API - токен API з дэталёвым кантролем дазволаў
• Дазволы на аснове роляў
• Рэзервовыя копіі і кіраванне версіямі
• Crowdin задае стандарт складанасці пароляў
• Магчымасць спраўджання прылады забяспечвае дадатковы ўзровень бяспекі, абараняючы ўліковыя запісы ў выпадку, калі пароль будзе скампраметаваны

Абавязкі PCI

Серверы Crowdin не захоўваць ніякіх білінгавых звестак пры рэгістрацыі платанага ўліковага запісу. Наш плацежны партнёр FastSpring адпавядае стандарту бяспекі PCI і ўсе плацяжы на карысць Crowdin апрацоўваюцца праз яго. Наведайце вэб-сайт FastSpring Кіраванне рызыкамі + Адпаведнасць, каб атрымаць дадатковыя звесткі па гэтым пытанні.

Час працы

Праверце нашы статыстычныя даныя за мінулы месяц на https://status.crowdin.com/. Вы можаце зрабіць запыт на пагадненне SLA як асобны сэрвіс, для гэтага звяжыцеся з намі па адрасе onboarding@crowdin.com

Доступ да даных

Доступ да даных кліентаў абмежаваны толькі для аўтарызаваных супрацоўнікаў, якім гэта неабходна для выканання сваёй працы. Прыкладам гэтага з'яўляецца наша каманда падтрымкі. Прадстаўнікі каманды могуць мець доступ толькі да файлаў або налад, неабходных для вырашэння праблем, пададзеных кліентамі.

Бесперапыннасць бізнесу і аварыйнае аднаўленне

Мы распрацавалі, рэгулярна правяраем і абнаўляем як план аварыйнага аднаўлення, так і план бесперапыннага бізнесу.

Тэставанне на пранікальнасць

Crowdin праводзіць штогадовае тэставанне на пранікненне, якое выконваецца незалежнай кампаніяй, якая займаецца праверкай бяспекі. Падчас тэставання кліенцкія даныя не раскрываюцца кампаніі. Рэзюмэ вынікаў тэставання на пранікненне даступна карпаратыўным кліентам па запыце.

Праграма ўзнагароджання за знаходжанне памылак

Crowdin выкарыстоўвае HackerOne для запуску сваёй праграмы ўзнагароджання за знаходжання памылак, якая афіцыйна стартавала 17 ліпеня 2024 года. Праграма адпавядае стандартным рэкамендацыям HackerOne, якія забяспечваюць структураваны і эфектыўны працэс кіравання ўразлівасцямі. На дадзены момант праграма з'яўляецца прыватнай і запрашае выбраную групу даследчыкаў у галіне бяспекі.

Адпраўце нам ліст на адрас электроннай пошты support@crowdin.com, калі ў вас ёсць пытанні адносна бяспекі ў Crowdin або вы хочаце паведаміць аб уразлівасці ў нашай сістэме.

Мы будзем працаваць з вамі, каб ацаніць праблему і паўнавартасна вырашыць усе заклапочанасці. Лісты электроннай пошты пра праблемы бяспекі разглядаюцца з найвышэйшым прыярытэтам. Бяспека і надзейнасць нашага сэрвісу з'яўляюцца нашымі галоўнымі прыярытэтамі.