Crowdin 是安全的
在 Crowdin,我们致力于遵守安保和隐私方面的行业标准。
安全标准
经过 ISO/IEC 27001 认证
服从欧盟通用数据保护条例(GDPR)
遵循 HIPAA
受 HIPAA 约束并希望将 Crowdin 用于受保护健康信息 (PHI) 的客户必须签署 Crowdin 的业务伙伴协议
内部安全措施
组织安全
Crowdin 信息安全政策要求适用于整个 Crowdin 组织,并且对所有员工和参与这些业务流程的人员都是强制性的。ISMS 建立在三大支柱之上:人员、流程和技术,并广泛实施零信任架构(ZTA)。零信任架构的运行原则是“从不信任,始终验证”,这意味着对资源的访问永远不会基于用户或设备的位置而隐式信任。相反,每次访问尝试都需要严格的身份验证和持续的身份验证,无论它是来自网络边界内部还是外部。首席信息安全官(CISO)负责确保信息资产和技术得到适当的保护。
安全培训和安全意识
在 Crowdin,我们让所有员工在全年完成持续的安全和意识培训。每个新的团队成员在受雇的第一个月内完成基本的安全培训。我们定期进行访问审计、密码更新,并按照最小特权的原则运作。针对特定角色的安全培训也是必须的。
硬件安全
所有员工设备都配有加密的硬盘驱动器。只有指定的系统管理员才能进行硬件和软件的安装、配置或更改。设备进出数据中心设施的交付、移除都经过授权、记录和监测。访问工作站设备、服务和应用程序需要特定于用户的访问凭据(如用户 ID/密码对等)。
- BYOD(自带设备)是受限的。敏感数据仅在公司管理的设备上处理。
- 公司托管的设备配备了 MDM、二进制授权和监测系统、防病毒软件和受控软件更新。
- 强制硬件密钥 - 对公司数据的访问由基于硬件的强制两步验证密钥控制。
- 语境感知访问 - 仅允许从公司托管的设备访问公司数据。
- 强制执行基于位置的访问限制。
- 二进制授权和监测 - 只能在员工设备上执行列入允许名单的二进制文件。
物理环境安全
Crowdin 的办公室受到警报系统的监测和保护。整个办公室内安装了闭路摄像机并捕捉入口、出口及其他指定区域。Crowdin 雇员无法物理访问我们的任何生产设施,因为它们都在云端部署。安全区域受到进入管制,因此只允许经过授权的人员进入。
网络安全
我们的内网是受限、分区并受到密码保护的,且所有网络安全相关的事件都会被记录下来。
软件安全
Crowdin雇用了一个24/7/365的服务器专家团队,以保持我们的软件及其依赖的更新,消除潜在的安全漏洞。我们使用监测解决方案来防止和消除网站攻击。
- 软件允许名单 - 公司设备上只允许安装经批准的软件和浏览器插件。
- OAuth 应用程序控制 - 持续控制和监视有权访问公司数据的 OAuth 应用程序。
- 云服务访问是通过具有语境感知访问的 SAML 进行的。
事故响应
Crowdin 执行处理安全事件的协议,其中包括升级程序、快速缓解和事后处理。所有雇员都了解我们的政策。
员工审查
Crowdin 根据当地法律,对所有新员工、承包商或其他可以进入系统或网络或物理数据中心设施的个人进行背景调查。
第三方与供应商安全
Crowdin 坚持供应商风险管理措施,以确保第三方受到严格审查并保持预期的安全控制水平。 查看我们的 子数据处理者。
应用程序安全性
安全、可靠的基础设施
Crowdin 使用 Amazon Web Services (AWS) 数据中心作为我们的计算基础设施,并设置地理限制以确保数据处理仅限于特定国家/地区,从而增强安全性。AWS 已获得 ISO 27001 认证,并已完成多项 SSAE 16 审核。有关其安全措施的更多信息,请访问 AWS 云安全页面。AWS 云安全页面。
除了 AWS 提供的优势外,我们的应用程序还有其他内置的安全性功能:
- 双重验证
- 单点登录(SAML 2.0)
- REST API 身份验证 - 具有粒度权限控制的 API 令牌
- 基于角色的权限
- 备份和版本控制
- Crowdin 强制执行密码复杂性标准
- 设备验证功能提供了额外的安全保障,可在密码泄露的情况下保护账户
PCI 义务
当您注册付费 Crowdin 账户时,我们不会在我们的服务器上存储您的任何账单信息。所有支付给 Crowdin 的款项均通过我们的合作伙伴 FastSpring 进行。他们符合 PCI 安全标准。有关其安全设置的更多详细信息,请参阅 Stripe 的风险管理 + 合规性页面。
正常运行时间
请访问 https://status.crowdin.com/ 查看我们上个月的统计数据。您可以请求 SLA 协议作为一项单独的服务,为此请通过 onboarding@crowdin.com 与我们联系
数据访问
对客户数据的访问仅限于那些因工作需要而被授权的员工。这方面的一个例子是我们的支持团队。支持团队的代表可能只能访问解决客户提交的问题所需的文件或设置。
业务连续性和灾备恢复
我们已经制定了灾难恢复计划和业务连续性计划,并定期测试和更新它们。
渗透测试
Crowdin 每年都会进行由独立第三方安全审计公司进行的渗透测试。测试期间不会向公司泄露任何客户数据。企业客户可根据要求获得渗透测试结果摘要。
联系我们
如果您对 Crowdin 的安全性有任何疑问,或者想要提交漏洞报告,请通过 support@crowdin.com 与我们联系。
我们将与您一同评估这个问题,并充分解决任何顾虑。有关安全问题的电子邮件是最优先处理的。我们服务的安全和保密性是重中之重。