Sikkerhed hos Crowdin

Crowdin er dedikeret til at følge industristandarder for sikkerhed, tryghed og fortrolighed.

Sikkerhedsstandarder

ISO/IEC 27001-certificeret

ISO/IEC 27001-certificeret

EU Persondataforordning (GDPR) overholdelse

EU Persondataforordning (GDPR) overholdelse

HIPAA-overholdelse

HIPAA-overholdelse

Kunder, som er underlagt HIPAA og ønsker at bruge Crowdin i forbindelse med beskyttede sundhedsoplysninger (PHI), skal underskrive Crowdin's Business Associate Agreement

Vores politikker

Vilkår og Betingelser Fortrolighedspolitik Informationssikkerhedspolitik Sårbarhedsanmeldelsespolitik
GDPR-overholdelse Cookie-erklæring HIPAA-ansvarsfraskrivelse

Interne sikkerhedsforanstaltninger

Organisatorisk sikkerhed

Crowdins Informationssikkerhedpolitik-krav omfatter hele Crowdin-organisationen og er obligatoriske for alle medarbejdere og for dem, som er involveret i de relevante forretningsprocesser. ISMS er bygget på tre søjler: Personer, processer og teknologi, med en omfattende implementering af en Zero Trust Architecture (ZTA). Zero Trust Architecture opererer efter princippet "aldrig tillid, altid verifikation", hvilket betyder, at adgang til ressourcer aldrig implicit er betroet baseret på placeringen af brugeren eller enheden. I stedet kræves streng identitetskontrol og kontinuerlig godkendelse af ethvert adgangsforsøg, uanset om dets oprindelse er inde på eller uden for netværksområdet. En Chief Information Security Officer (CISO) er ansvarlig for at sikre korrekt beskyttelse af informationsaktiver og -teknologier.

Sikkerhedsuddannelse og bevidstgørelse

Hos Crowdin gennemfører alle medarbejdere løbende sikkerheds- og bevidstgørelsesuddannelse i løbet af året. Hvert nyt teammedlem fuldfører grundlæggende sikkerhedsuddannelse inden for den første måneds ansættelse. Der udføres regelmæssig adgangsrevisioner, adgangskodeopdateringer og opereres efter princippet om det mindst privilegium. Rollespecifik sikkerhedsuddannelse er også påkrævet.

Hardwaresikkerhed

Alle medarbejderes enheder har krypterede harddiske. Kun den udpegede systemadministrator udfører hard- og softwareinstallation, opsætning eller ændringer. Levering til, fjernelse af udstyr fra datacenterfaciliteten er tilladt, logget og overvåget. Brugerspecifikke adgangsoplysninger (f. eks. bruger-ID/adgangskodepar mv.) kræves for at få adgang til arbejdsstationsudstyr, tjenester og apps.

  • BYOD (Bring Your Own Device) er begrænset. Sensitive data behandles kun på virksomhedsadministrerede enheder.
  • Virksomhedsadministrerede enheder er udstyret med MDM, binære autorisations- og overvågningssystemer, antivirussoftware og kontrollerede softwareopdateringer.
  • Obligatoriske hardwarenøgler - Adgang til virksomhedsdata styres af obligatoriske hardwarebaserede 2FA-nøgler.
  • Kontekstbevidst adgang - Adgang til virksomhedsdata er kun tilladt fra virksomhedsadministrerede enheder.
  • Lokalitetsbaserede adgangsrestriktioner håndhæves.
  • Binær godkendelse og monitorering - Kun hvidlistede binære filer kan eksekveres på medarbejderenheder.

Fysisk sikkerhed

Crowdins kontor overvåges og beskyttes af et alarmsystem, herunder brandalarmer. Closed-circuit (CCTV) kameraer er installeret på tværs af kontoret og optager ind- og udgange samt andre udpegede områder. Crowdins medarbejdere har ikke fysisk adgang til nogen del af af produktionsfaciliteter, da hele infrastrukturen er cloud-baseret. Sikre områder beskyttes med adgangskontrol, så kun godkendt personale tillades adgang.

Netværkssikkerhed

Interne netværk er pålagt restriktioner, segmenteret, adgangskodebeskyttet, og alle netværkssikkerhedsrelaterede begivenheder logges.

Softwaresikkerhed

På 24/7/365-basis beskæftiger Crowdin et team af serverspecialister mhp. at holde software og deres afhængigheder opdaterede og fjerne potentielle sikkerhedsrisici. Overvågningsløsninger er implementeret mhp. at imødegå ethvert webstedsangreb.

  • Softwarehvidlistning - Kun godkendt software og webbrowserplugins er tilladt på virksomhedsenheder.
  • OAuth app-kontrol - OAuth-apps med adgang til virksomhedsdata kontrolleres og monitoreres kontinuerligt.
  • Cloud-tjenesters adgang er via SAML med kontekstbevidst adgang.

Hændelsesrespons

Crowdin implementerer en håndteringsprotokol for sikkerhedshændelser, som omfatter eskaleringsprocedurer, hurtig afbødning og post mortem. Alle medarbejdere er informeret om vores politikker.

Medarbejdervurdering

Crowdin foretager i overensstemmelse med lokal lovgivning baggrundstjek af alle nye medarbejdere, entreprenører og andre personer, som har adgang til systemer, netværket eller fysiske datacenterfaciliteter.

Tredjeparts- og Leverandørsikkerhed

Crowdin opretholder leverandørrisikostyringspraksis for at sikre, at tredjeparter undersøges og opretholder forventede niveauer af sikkerhedskontrol. Se Liste over underbehandlere.

Applikationssikkerhed

Sikker og pålidelig infrastruktur

Crowdin benytter Amazon Web Services-datacentre (AWS) til vores computerinfrastruktur med implementeret geografiske restriktioner for at sikre, at databehandlingen begrænses til bestemte lande mhp. øget sikkerhed. AWS har ISO 27001-certificering og har gennemført flere SSAE 16-inspektioner. For mere information om deres sikkerhedsforanstaltninger, besøg AWS Cloud Security-siden – AWS Cloud Security side.

Udover fordelene med AWS, har vores applikation yderligere indbyggede sikkerhedsfunktioner:

  • To-faktor autentificering
  • Single Sign On via SAML 2.0
  • REST API-godkendelse - API-token med granuleret tilladelseskontrol
  • Rollebaserede tilladelser
  • Sikkerhedskopier og versionering
  • Crowdin håndhæver en adgangskodekompleksitets standard
  • En enhedsbekræftelsesfunktion giver et ekstra lag af sikkerhed, og beskytter konti i tilfælde af en kompromitteret adgangskode

PCI-forpligtelser

Ved registrering af en betalt Crowdin-konto, lagres ingen kundefaktureringsoplysninger på virksomhedens servere. Alle betalinger til Crowdin går gennem finanspartneren FastSpring, der overholder PCI Security Standard. Flere detaljer om deres sikkerhedsopsætning kan findes på Stripes side Risk Management + Compliance.

Oppetid

Tjek seneste måneds statistik på https://status.crowdin.com/. Der kan anmodes om en SLA-aftale som en separat tjeneste. For dette, kontakt os via onboarding@crowdin.com

Dataadgang

Kundedataadgang er begrænset til godkendte medarbejdere i arbejdsmæssig relation. Et eksempel på dette er supportteamet. Supportteammedarbejdere kan kun have adgang til de filer eller indstillinger, som er nødvendige for at løse problematikker indsendt af kunderne.

Forretningskontinuitet og Disaster Recovery

Der er implementeret planer for både Disaster Recovery og Forretningskontinuitet, som regelmæssigt aftestes og opdateres.

Penetrationstest

Crowdin foretager årligt penetrationstestning udført af et uafhængigt, tredjeparts sikkerhedsfirma. Ingen kundedata tilgængeliggøres for firmaet under testningen. En oversigt over penetrationstestresultaterne er tilgængelige for Enterprise-kunder på foranledning.

Kontakt os

Ved spørgsmål om sikkerhed på Crowdin eller ønske om at indsende en sårbarhedsanmeldelse, kontakt venligst supportteamet via support@crowdin.com.

Der vil blive samarbejdet med kunden om at vurdere problematikken og behandle evt. bekymringer fuldt ud. E-mails om sikkerhedsproblemematikker behandles med højeste prioritet. Tryghed og sikkerhed for vores tjeneste er topprioriteter.