Безопасность

Обновление: 11 октября, 2016

Примечание

Мы хотели бы сохранить Crowdin надёжным и безопасным для всех. Если вы обнаружили уязвимость, мы высоко оценим вашу помощь в её ответственном раскрытии нам.

Публичное раскрытие уязвимости может подвергнуть опасности всё сообщество Crowdin. Если вы обнаружили возможную уязвимость, мы будем очень благодарны вам за сообщение о ней по электронной почте на support@crowdin.com. Мы будем работать с Вами, чтобы обнаружить и оценить сферу вопроса и полного устранения любых проблем. Любые сообщения о проблемах безопасности рассматриваются с наивысшим приоритетом, потому что защита и безопасность наших услуг — это наша главная забота.

Политика информирования об уязвимостях

Crowdin использует преимущества Amazon Web Services (AWS) для нашей вычислительной инфраструктуры. AWS имеют сертификацию ISO 27001 и прошли множество проверок SSAE 16. Если Вы хотите узнать больше подробностей о безопасности AWS, пожалуйста, обратитесь к http://aws.amazon.com/security/.

Физическая безопасность

  • Рабочая среда хостится в защищённых, сертифицированных по ISO27001 и SSAE16 центрах обработки данных.
  • Центры обработки данных оснащены цифровыми регистраторами, системами видеонаблюдения и охраняются охранниками на круглосуточной основе.
  • Сотрудники Crowdin не имеют физического доступа к какой-либо из наших производственных мощностей, поскольку вся наша инфраструктура целиком располагается в облаке.
  • Для доступа на территорию разработки используется PIN-код и биометрическое сканирование.
  • Камеры безопасности отслеживают всю территорию разработки.

Системная безопасность

  • Для блокирования несанкционированного доступа в систему используются услуги выделенных VPN, а также брандмауэр.
  • При установке систем используются ОС с усиленными обновлениями безопасности.
  • Для защиты системных служб применяется система предотвращения вторжений.

Эксплуатационная безопасность

  • Внутренние процессы в наших центрах обработки данных соответствуют требованиям сертификации Multi-Tier Cloud Security Standard (MTCS SS 584) Level-3 (CSP).
  • Наше программное обеспечение регулярно проверяется специалистами по безопасности.
  • Доступ к системам контролируется и отслеживается для целей аудита.
  • Полностью документированы изменения процедур управления.
  • Политики безопасного уничтожения документов применяются ко всей чувствительной информации.

Безопасность программного обеспечения

У Crowdin имеется команда специалистов для обслуживания серверов в режиме 24/7/365, чтобы содержать наше программное обеспечение и его зависимости в актуальном состоянии, устраняя потенциальные уязвимости безопасности. Мы применяем широкий спектр решений для предотвращения вторжений, а также для мониторинга, чтобы предотвращать и устранять атаки на сайт. Код Crowdin, написанный нашими разработчиками, основан на передовых практиках и рекомендациях OWASP.

Коммуникация

Обмен всеми личными данными с Crowdin всегда производится по протоколу HTTPS (веб-интерфейс и клиент командной строки), используя имя пользователя Crowdin и пароль. Учётные данные не могут быть использованы для доступа к консоли или файловой системе. Все пользователи являются виртуальными (т.е. у них нет учётной записи на наших машинах), и ведётся контроль их доступа.

Файловая система и резервное копирование

На системном уровне сервера развёрнуты с дополнительными сетевыми картами, резервными блоками питания и избыточным дисковым хранилищем. В защищённых центрах обработки данных есть системы резервных энергогенераторов и ИБП для электропитания и различные точки входа для основных и вспомогательных устройств связи. Производится регулярное резервное копирование и копии хранятся оффлайн в различных центрах обработки данных Amazon AWS.

Доступ сотрудников

Никто из сотрудников Crowdin не имеет доступа к частным проектам, пока это не требуется для целей поддержки в соответствии с ролевой моделью системы. Сотрудники Crowdin не имеют физического доступа к любой из наших производственных мощности, так как вся наша инфраструктура в облаке.

Сотрудники службы поддержки могут входить в вашу учётную запись для того, чтобы решать и оказывать помощь в решении запросов поддержки. У сотрудников службы поддержки нет непосредственного доступа к данным клиентов. При решении вопроса команда поддержки имеет доступ только к необходимым файлам и настройкам.

Обеспечение безопасности

Мы защищаем ваш логин от атак прямого перебора, ограничивая скорость. Мы всегда отправляем данные для входа по протоколу SSL. Все пароли исключаются фильтром из всех наших учётных журналов и шифруются в базе данных однонаправленным методом, используя надёжные алгоритмы шифрования.

У нас есть сотрудники службы безопасности для помощи в выявлении и предотвращении атак по новым направлениям. Мы всегда тестируем новые функции, чтобы исключить потенциальные атаки, такие как XSS-, SQL-инъекции, защищая wiki-страницы и обеспечивая невозможность для страниц доступа к куки.

Мы также проводим периодические и постоянные проверки безопасности Crowdin и его кода. Проверка безопасности является составной частью обеспечения качества кода Crowdin.

Безопасность банковских карт

Когда вы регистрируете платную учётную запись Crowdin, мы вообще не сохраняем какие-либо ваши платёжные данные на наших серверах. Они передаются через шлюзы обработки платежей PayPro Global и FastSpring. Компания PayPro Global соответствует стандарту безопасности PCI и ежедневно проверяется на соответствие требуемым нормам безопасности.

Связаться с нами

Если у вас возникли какие либо вопросы, замечания или комментарии по поводу безопасности Crowdin или вы хотите предоставить отчет об уязвимостях, пожалуйста свяжитесь с нами по адресу support@crowdin.com.