Crowdin’de Güvenlik

Crowdin olarak güvenlik, güvenlik ve gizlilik için endüstri standartlarını takip etmeye kararlıyız.

Güvenlik standartları

ISO/IEC 27001 sertifikalı

ISO/IEC 27001 sertifikalı

AB Genel Veri Koruma Yönetmeliği (GDPR) uyumluluğu

AB Genel Veri Koruma Yönetmeliği (GDPR) uyumluluğu

HIPAA Uyumlu

HIPAA Uyumlu

HIPAA’ya tabi olan ve Crowdin’i Korunan Sağlık Bilgileri (PHI) ile bağlantılı olarak kullanmak isteyen müşteriler, Crowdin’in İş Ortağı Anlaşmasını imzalamak zorundadır

İlkelerimiz

Şartlar ve Koşullar Gizlilik İlkesi Bilgi Güvenliği İlkesi Güvenlik Açığı Bildirme İlkesi
GVKY Uyumluluğu Tanımlama Bilgisi Bildirimi HIPAA Feragatnamesi

İç Güvenlik Önlemleri

Kuruluş Güvenliği

Crowdin Bilgi Güvenliği İlkesi gereklilikleri tüm Crowdin kuruluşu için geçerlidir ve tüm çalışanlar ve bu iş süreçlerinde yer alanlar için zorunludur. BGYS üç temel üzerine inşa edilmiştir: Sıfır Güven Mimarisinin (ZTA) kapsamlı bir uygulamasıyla birlikte insanlar, süreçler ve teknoloji. Sıfır Güven Mimarisi "asla güvenme, her zaman doğrula" ilkesiyle çalışır; bu, kullanıcının veya cihazın konumuna bağlı olarak kaynaklara erişime hiçbir zaman örtülü olarak güvenilmeyeceği anlamına gelir. Bunun yerine, ağ çevresinin içinden veya dışından kaynaklanıp kaynaklanmadığına bakılmaksızın her erişim girişimi için katı kimlik doğrulaması ve sürekli kimlik doğrulaması gerekir. Bilgi varlıklarının ve teknolojilerinin uygun şekilde korunmasından bir Baş Bilgi Güvenliği Görevlisi (CISO) sorumludur.

Güvenlik Eğitimi ve Farkındalık

Crowdin’de, tüm çalışanlarımız yıl boyunca devam eden güvenlik ve farkındalık eğitimini tamamlar. Her yeni ekip üyesi, işe alınan ilk ay içinde temel güvenlik eğitimini tamamlar. Düzenli erişim denetimleri, parola güncellemeleri yapmakta ve en az yetki ilkesiyle faaliyet göstermekteyiz. Role özgü güvenlik eğitimi de gereklidir.

Donanım Güvenliği

Tüm çalışan cihazlarında şifreli sabit diskler vardır. Sadece atanan sistem yöneticisi donanım ve yazılım kurulumunu, yapılandırmayı veya değişikliği yürütür. Ekipmanın veri merkezi tesisine teslimi/oradan çıkarılması yetkilendirilir, günlüklenir ve izlenir. İş istasyonu ekipmanlarına, hizmetlerine ve uygulamalarına erişmek için kullanıcıya özgü erişim kimlik bilgileri (örn., kullanıcı kimliği/parola çifti vb.) gereklidir.

  • BYOD (Kendi Cihazınızı Getir) sınırlıdır. Hassas veriler sadece şirket tarafından yönetilen cihazlarda işlenir.
  • Şirket tarafından yönetilen cihazlar MDM, ikili yetkilendirme ve izleme sistemleri, antivirüs yazılımı ve denetimli yazılım güncellemeleri ile donatılmıştır.
  • Zorunlu Donanım Anahtarları - Şirket verilerine erişim, zorunlu donanım tabanlı 2FA anahtarlarıyla denetlenir.
  • Bağlama Duyarlı Erişim - Kurumsal verilere erişime sadece şirket tarafından yönetilen cihazlardan izin verilir.
  • Konum tabanlı erişim kısıtlamaları uygulanır.
  • İkili Yetkilendirme ve İzleme - Çalışanların cihazlarında sadece izinli listesine eklenen ikili dosyalar çalıştırılabilir.

Fiziksel Güvenlik

Crowdin’in bürosu bir alarm sistemi ile izlenmekte ve korunmakta ve yangın alarm sistemleri ile donatılmıştır. Büro genelinde kapalı devre (CCTV) kameralar kuruludur ve girişleri, çıkışları ve belirlenen diğer alanları yakalar. Crowdin çalışanları, bütün altyapımız bulutta olduğundan hiçbir üretim tesisimize fiziksel erişime sahip değillerdir. Güvenli alanlar giriş denetimleri ile korunur, böylece sadece yetkili personele giriş izni verilir.

Ağ Güvenliği

İç ağımız kısıtlanmış, bölümlenmiş, parola korumalıdır ve ağ güvenliğiyle ilgili tüm olaylar günlüklenir.

Yazılım Güvenliği

Crowdin, yazılımımızı ve bağımlılıklarını güncel tutmak ve olası güvenlik açıklarını ortadan kaldırmak için 7/24/365 sunucu uzmanlarından oluşan bir ekip istihdam eder. Site saldırılarını önlemek ve ortadan kaldırmak için izleme çözümleri kullanıyoruz.

  • Yazılım İzinli Listesine Ekleme - Şirket cihazlarında sadece onaylı yazılım ve tarayıcı eklentilerine izin verilir.
  • OAuth Uygulaması Denetimi - Kurumsal verilere erişimi olan OAuth uygulamaları sürekli olarak denetlenir ve izlenir.
  • Bulut hizmetlerine erişim, bağlama duyarlı erişime sahip SAML aracılığıyla gerçekleştirilir.

Olay Yanıtı

Crowdin, yükseltme prosedürlerini, hızlı azaltma ve ölüm sonrasını içeren güvenlik olaylarını işlemek için bir protokol uygular. Tüm çalışanlar ilkelerimizden haberdardır.

Çalışan İncelemesi

Crowdin, yerel yasalara uygun olarak sistemlere veya ağ ya da fiziksel veri merkezi tesislerine erişimi olan tüm yeni çalışanlar, yükleniciler veya diğer bireyler üzerinde arka plan denetimleri gerçekleştirir.

Üçüncü Taraf ve Tedarikçi Güvenliği

Crowdin, üçüncü tarafların titizlikle incelenmesini ve beklenen güvenlik denetimleri düzeylerini korumasını sağlamak için satıcı risk yönetimi uygulamalarını sürdürür. Alt işleyiciler listemizi görüntüleyin.

Uygulama Güvenliği

Güvenli, güvenilir altyapı

Crowdin, bilgi işlem altyapımız için Amazon Web Services (AWS) veri merkezlerini kullanıyor ve güvenliği artırmak amacıyla veri işlemenin belirli ülkelerle sınırlı olmasını sağlamak için coğrafi kısıtlamalar uygulanıyor. AWS, ISO 27001 sertifikasına sahiptir ve birden fazla SSAE 16 denetimini tamamlamıştır. Güvenlik önlemleri hakkında daha fazla bilgi için AWS Bulut Güvenliği sayfasını ziyaret edin.

Uygulamamız AWS tarafından sağlanan avantajlara ek olarak ek yerleşik güvenlik özelliklerine sahiptir:

  • İki Etkenli Kimlik Doğrulama
  • SAML 2.0 aracılığıyla Tek Oturum Açma
  • REST API Kimlik Doğrulaması - Ayrıntılı düzeyde izin denetimine sahip API belirteci
  • Rol tabanlı izinler
  • Yedeklemeler ve sürüm oluşturma
  • Crowdin parola karmaşıklığı standardını uygular
  • Cihaz Doğrulama özelliği, parolanın ele geçirilmesi durumunda hesapları koruyan ek bir güvenlik katmanı sağlar

PCI Yükümlülükleri

Ücretli bir Crowdin hesabına kaydolduğunuzda, fatura bilgilerinizin hiçbirini sunucularımızda saklamıyoruz. Crowdin’e yapılan tüm ödemeler ortağımız FastSpring’den geçer. PCI Güvenlik Standardı ile uyumludurlar. Güvenlik kurulumları hakkında daha fazla ayrıntı Stripe’ın Risk Management + Compliance sayfasında bulunabilir.

Çalışma süresi

https://status.crowdin.com/ adresindeki son ay istatistiklerimizi gözden geçirin. Ayrı bir hizmet olarak bir SLA sözleşmesi talep edebilirsiniz, bunun için onboarding@crowdin.com adresinden bizimle iletişime geçin

Verilere Erişim

Müşteri verilerine erişim, işi için bunu gerektiren yetkili çalışanlarla sınırlıdır. Bunun bir örneği Destek ekibimizdir. Destek ekibi temsilcileri sadece müşteriler tarafından gönderilen sorunları çözmek için gereken dosyalara veya ayarlara erişebilir.

İş Sürekliliği ve Olağanüstü Durum Kurtarma

Hem Olağanüstü Durum Kurtarma Planı hem de İş Sürekliliği Planını geliştirdik, düzenli olarak denedik ve güncelledik.

Sızma Denemesi

Crowdin, bağımsız, üçüncü taraf bir güvenlik denetim şirketi tarafından yıllık olarak gerçekleştirilen sızma denemelerini gerçekleştirir. Deneme sırasında hiçbir müşteri verisi şirketin eline geçmez. Sızma denemesi sonuçlarının bir özeti, talep üzerine kurumsal müşterilere sunulur.

Bize Ulaşın

Eğer Crowdin’de güvenlikle ilgili herhangi bir sorunuz varsa veya bir güvenlik açığı raporu göndermek isterseniz, lütfen support@crowdin.com adresinden bizimle iletişime geçin.

Sorunu değerlendirmek ve endişeleri tam olarak ele almak için sizinle birlikte çalışacağız. Güvenlik sorunlarıyla ilgili e-postalar en yüksek önceliğe sahip olarak ele alınır. Hizmetimizin güvenliği ve emniyeti en önemli önceliklerimizdir.