Sicherheit

Aktualisiert am: 11. Oktober 2016

Hinweis

Wir möchten, dass Crowdin sicher und geschützt für alle ist. If you have discovered a security vulnerability, we would greatly appreciate your help in disclosing it to us in a responsible manner.

Öffentliches Aufdecken einer Schwachstelle kann die gesamte Gemeinschaft von Crowdin gefährden. If you have discovered a possible vulnerability, we would greatly appreciate you emailing us at support@crowdin.com. Wir werden mit Ihnen zusammenarbeiten, um den Bereich des Problems zu erkennen und zu bewerten und alle Bedenken auszuräumen. Any emails about security problems are treated with the highest priority because safety and security of our service are our primary concern.

Vulnerability Reporting Policy

Crowdin nutzt die Vorteile der Amazon Web Services (AWS) für seine Recheninfrastruktur. AWS has ISO 27001 certification and has completed multiple SSAE 16 audits. Wenn Sie mehr über die Sicherheit von AWS erfahren möchten, besuchen Sie bitte http://aws.amazon.com/security/.

Physische Sicherheit

  • Die Produktionsumgebung wird in ISO27001- und SSAE16-zertifizierten sicheren Rechenzentren gehostet.
  • Die Rechenzentren sind mit digitalen Aufnahmegeräten und CCTV-Systemen ausgestattet und werden rund um die Uhr von Sicherheitskräften überwacht.
  • Crowdin-Mitarbeiter haben keinen physischen Zugang zu unseren Produktionsstätten, da unsere gesamte Infrastruktur in der Cloud liegt.
  • Biometrisches Abtastverfahren und ein geheimer PIN-Code ermöglichen den Zugang zum Entwicklungsbereich.
  • Sicherheitskamera-Überwachung ist in allen Entwicklungsbereichen selbstverständlich.

Systemsicherheit

  • Dedizierte VPN-Dienste und Firewall werden verwendet, um unberechtigten Systemzugriff zu unterbinden.
  • Bei der Systeminstallation wird ein gehärtetes, gepatchtes Betriebssystem verwendet.
  • Eine Intrusion-Prevention-System wird verwendet, um Systemdienste zu schützen.

Betriebssicherheit

  • Die internen Prozesse in unseren Rechenzentren entsprechen den Anforderungen des Multi-Tier Cloud Security Standards (MTCS SS 584) Level-3 (CSP).
  • Unsere Software wird regelmäßig von Sicherheitsspezialisten überprüft.
  • Systemzugriffe werden zu Prüfzwecken zugelassen und protokolliert.
  • Vollständig dokumentierte Change-Management-Prozesse.
  • Für alle sensiblen Informationen werden Richtlinien zur sicheren Vernichtung von Dokumenten verwendet.

Softwaresicherheit

Crowdin beschäftigt ein Team von rund um die Uhr arbeitenden Serverspezialisten, um unsere Software und ihre Abhängigkeiten auf dem neuesten Stand zu halten und potenzielle Sicherheitslücken zu schließen. We use a wide range of intrusion prevention and monitoring solutions for preventing and eliminating attacks to the site. Crowdin code written by our developers based on OWASP best practices and recommendations.

Kommunikation

Alle privaten Daten, die mit Crowdin ausgetauscht werden, werden immer über HTTPS (Web-Interface und Kommandozeilen-Client) mit Crowdin-Nutzername und -Passwort übertragen. The login credentials can not be used to access a shell or the filesystem. All users are virtual (meaning they have no user account on our machines) and are access controlled.

Dateisystem und Sicherungen

Auf Systemebene werden die Server mit redundanten Netzwerkkarten, redundanten Stromversorgungen und redundantem Plattenspeicher eingesetzt. Secure data centers have generator backup systems and UPS for power and various entry points for key utilities and communication facilities. Regelmäßige Sicherungen werden in verschiedenen Amazon AWS-Rechenzentren durchgeführt und gespeichert.

Mitarbeiterzugang

Kein Crowdin-Mitarbeiter greift jemals auf private Projekte zu, es sei denn, dass dies für Support-Zwecke nach dem funktionsbasierten Modell des Systems erforderlich ist. Crowdin employees do not have physical access to any our production facilities, as whole our infrastructure is in the cloud.

Die Supportmitarbeiter können sich bei Ihrem Konto anmelden, um Supportanfragen zu lösen und bei der Lösung von Supportanfragen zu helfen. The support staff does not have direct access to customers data. Bei der Lösung eines Support-Problems hat das Support-Team nur Zugriff auf die benötigten Dateien und Einstellungen.

Aufrechterhaltung der Sicherheit

Wir schützen Ihr Nutzerkonto vor Brute-Force-Angriffen (Brachialangriffe) mit Anmeldebeschränkung. Wir übertragen die Zugangsdaten ausschließlich über SSL. All passwords are filtered from all our logs and are one-way encrypted in the database using reliable encryption algorithms.

Wir haben Sicherheitspersonal, das dabei hilft, neue Angriffsvektoren zu identifizieren und zu verhindern. We always test new features to rule out potential attacks, such as XSS-, SQL-injections protecting wikis and ensuring that Pages cannot access cookies.

We also make regular security tests and ongoing audits of Crowdin and its code. Security testing is a part of Crowdin code quality assurance.

Kreditkarten-Sicherheit

When you sign up for a Crowdin’s paid account, we do not store any of your billing information on our servers. It’s handed off to PayPro Global and FastSpring, Crowdin payment processing gateways. They are compliant with PCI Security Standard and audited daily for required security.

Uns kontaktieren

If you have any questions, concerns or comments about Crowdin security or would like to submit vulnerability report please, contact us at support@crowdin.com.