Segurança no Crowdin

Segurança organizacional

Os requisitos da Política de Segurança de Informação Crowdin se aplicam a toda a organização Crowdin e são obrigatórios para todos os funcionários e todos os envolvidos nos processos de empresa. O ISMS baseia-se em três pilares: pessoas, processos e tecnologia, com uma implementação extensiva de uma Arquitetura Zero Trust (ZTA). A Arquitetura Zero Trust funciona com base no princípio "nunca confiar, sempre verificar", o que significa que o acesso a recursos nunca é implicitamente confiável com base na localização do usuário ou do dispositivo. Em vez disso, é necessária uma verificação rigorosa de identidade e uma autenticação contínua para cada tentativa de acesso, independente se ela é originária do perímetro dentro ou fora da rede. Um chefe de Segurança da Informação (CISO) é responsável por garantir a proteção adequada dos ativos e das tecnologias da informação.

Treinamento e Conscientização de Sanções

No Crowdin, temos todos os funcionários completam treinamento contínuo de segurança e sensibilização ao longo do ano. Todos os novos membros da equipe completam o treinamento básico de segurança durante o primeiro mês de contratação. Realizamos auditorias de acesso regulares, atualizações de senhas e operamos com base no princípio do mínimo privilégio. Treinamento de segurança específico por função também é necessário.

Nível de segurança do hardware

Todos os dispositivos dos funcionários possuem discos rígidos criptografados. Somente o administrador do sistema nomeado realiza a instalação de hardware e de software, configuração ou alteração. Entrega, remoção de equipamento para/do centro de dados é autorizada, registrada e monitorada. Credenciais de acesso específicas do usuário (por exemplo, . O par ID/senha do usuário, etc.) são necessárias para acessar equipamentos da estação de trabalho, serviços e aplicativos.

• BYOD (Traga o seu próprio dispositivo) é limitado. Dados confidenciais são processados apenas em dispositivos gerenciados pela empresa.
• Dispositivos gerenciados pela empresa estão equipados com MDM, autorização e monitoramento binário, software antivírus e atualizações controladas de software.
• Chaves de Hardware Obrigatórias - O acesso aos dados da empresa é controlado por chaves 2FA com base no hardware obrigatório.
• Acesso Baseado em Contexto - Acesso a dados corporativos é permitido somente a partir de dispositivos gerenciados pela empresa.
• As restrições de acesso baseadas na localização são aplicadas.
• Autorização e Monitoramento Binários - Somente arquivos binários permitidos podem ser executados em dispositivos de funcionários.

Segurança física

O escritório do Crowdin está monitorado e protegido por um sistema de alarme e equipado com sistemas de alarme de incêndio. As câmeras com circuito fechado (CCTV) são instaladas através das entradas de escritório e captura, saídas e outras áreas designadas. Os funcionários da Crowdin não têm acesso físico a nenhuma das nossas instalações de produção, já que toda a nossa infraestrutura está na nuvem. Áreas seguras estão protegidas com controlos de entrada, por isso só é permitido o acesso a pessoal autorizado.

Segurança de rede

Nossa rede interna está restrita, segmentada, protegida por senha e todos os eventos relacionados a segurança de rede são registrados.

Segurança do software

A Crowdin emprega uma equipe de especialistas de servidores 24/7/365 para manter o nosso software e suas dependências atualizadas, removendo potenciais vulnerabilidades de segurança. Nós usamos monitoramos soluções para prevenir e eliminar ataques do site.

• Lista de Permissões de Software - Apenas software aprovado e plugins de navegador são permitidos em dispositivos da empresa.
• Controle de app OAuth - Apps OAuth com acesso a dados corporativos são continuamente controlados e monitorados.
• O acesso aos serviços em nuvem é através do SAML com acesso consciente do contexto.

Resposta de Incidente

O Crowdin implementa um protocolo para lidar com eventos de segurança que inclui procedimentos de escalada, mitigação rápida e post mortem. Todos os funcionários são informados das nossas políticas.

Vetor de funcionário

O Crowdin realiza verificações de segundo plano de todos os novos funcionários, contratados, ou outros indivíduos que têm acesso a sistemas ou à rede ou instalações físicas de centros de dados em conformidade com as leis locais.

Segurança de terceiros e fornecedores

A Crowdin mantém as práticas de gerenciamento de riscos do fornecedor para garantir que terceiros sejam examinados e mantenham os níveis esperados de controles de segurança. Veja nossa lista de Sub-processadores.

Infraestrutura segura e confiável

Crowdin usa os centros de dados do Amazon Web Services (AWS) para a nossa infraestrutura de computação, com restrições geográficas em vigor para garantir que o processamento de dados se limite a países específicos para aumentar a segurança. A AWS possui certificação ISO 27001 e concluiu várias auditorias SSAE 16. Para obter mais informações sobre suas medidas de segurança, visite a página do AWS Cloud Security.

Além dos benefícios fornecidos pelo AWS, nosso aplicativo tem recursos adicionais integrados de segurança:

• Autenticação de Dois Fatores
• Login único via SAML 2.0
• Autenticação REST API - Token de API com controle de permissão granular
• Permissões baseadas em funções
• Backups e versão
• Crowdin impõe um padrão de complexidade de senha
• O recurso de Verificação de Dispositivo fornece uma camada adicional de segurança, protegendo as contas caso a senha esteja comprometida

Obrigações PCI

Quando você inscrever-se em uma conta paga do Crowdin, nós não armazenamos nenhuma das suas informações de pagamento em nossos servidores. Todos os pagamentos feitos no Crowdin passam pelo nosso parceiro, o FastSpring, que está em conformidade com o padrão de segurança PCI. Para mais informações, visite a página de Gerenciamento de risco + conformidade do FastSpring.

Tempo de atividade

Verifique as estatísticas do mês passado em https://status.crowdin.com/. Você pode solicitar um acordo de SLA como um serviço separado, entre em contato conosco em onboarding@crowdin.com

Acesso aos dados

O acesso aos dados do cliente é limitado a funcionários autorizados que precisam deles para seu trabalho. Um exemplo disso é a nossa equipe de Suporte. Os representantes da equipe de suporte podem ter acesso apenas aos arquivos ou configurações necessários para resolver problemas enviados pelos clientes.

Continuidade de Negócios e Recuperação de Desastres

Desenvolvemos, testamos e atualizamos regularmente um Plano de Recuperação de Desastres e um Plano de Continuidade de Negócios.

Teste de penetração

Crowdin anualmente realiza testes de intrusão por uma agência independente de auditoria de segurança de terceiros. Nenhum dado do cliente é exposto à agência durantes os testes de penetração. Um resumo das descobertas do teste está disponível para clientes corporativos mediante solicitação.

Programa de Recompensa por Falhas

A Crowdin utiliza HackerOne para hospedar seu Programa de Recompensas por falhas, que foi lançado oficialmente em 17 de julho de 2024. O programa segue as diretrizes padrão do Programa HackerOne para garantir um processo estruturado e eficaz de gerenciamento de vulnerabilidades. Atualmente, o programa é privado, convidando um grupo selecionado de pesquisadores da segurança para participar.

Se você tiver alguma dúvida sobre segurança no Crowdin ou quiser enviar um relatório de vulnerabilidade, entre em contato conosco em support@crowdin.com.

Trabalharemos com você para avaliar o problema e resolver todas as preocupações. E-mails sobre problemas de segurança são tratados com a mais alta prioridade. A sua segurança e a segurança do nosso serviço são as nossas principais prioridades.