Безопасность

Обновление: 11 октября, 2016

Примечание

Мы хотели бы сохранить Crowdin надёжным и безопасным для всех. Если вы обнаружили уязвимость, мы высоко оценим вашу помощь в её ответственном раскрытии нам.

Публичное раскрытие уязвимости может подвергнуть опасности всё сообщество Crowdin. Если вы обнаружили возможную уязвимость, мы будем очень благодарны вам за сообщение о ней по электронной почте на support@crowdin.com. Мы будем работать с Вами, чтобы обнаружить и оценить сферу вопроса и полного устранения любых проблем. Любые сообщения о проблемах безопасности рассматриваются с наивысшим приоритетом, потому что защита и безопасность наших услуг — это наша главная забота.

Политика информирования об уязвимостях

Crowdin использует преимущества Amazon Web Services (AWS) для нашей вычислительной инфраструктуры. AWS имеют сертификацию ISO 27001 и прошли множество проверок SSAE 16. Если Вы хотите узнать больше подробностей о безопасности AWS, пожалуйста, обратитесь к http://aws.amazon.com/security/.

Физическая безопасность

  • Рабочая среда хостится в защищённых, сертифицированных по ISO27001 и SSAE16 центрах обработки данных.
  • Центры обработки данных оснащены цифровыми регистраторами, системами видеонаблюдения и охраняются охранниками на круглосуточной основе.
  • Сотрудники Crowdin не имеют физического доступа к какой-либо из наших производственных мощностей, поскольку вся наша инфраструктура целиком располагается в облаке.
  • Для доступа на территорию разработки используется PIN-код и биометрическое сканирование.
  • Камеры безопасности отслеживают всю территорию разработки.

Системная безопасность

  • Для блокирования несанкционированного доступа в систему используются услуги выделенных VPN, а также брандмауэр.
  • При установке систем используются ОС, усиленные обновлениями безопасности.
  • Для защиты системных служб применяется система предотвращения вторжений.

Эксплуатационная безопасность

  • Внутренние процессы в наших центрах обработки данных соответствуют требованиям сертификации Multi-Tier Cloud Security Standard (MTCS SS 584) Level-3 (CSP).
  • Наше программное обеспечение регулярно проверяется специалистами по безопасности.
  • Доступ к системам допущены и отслеживается для целей аудита.
  • Полностью документированы изменения процедур управления.
  • Политики безопасного уничтожения документов применяются ко всей чувствительной информации.

Безопасность программного обеспечения

У Crowdin имеется команда специалистов для обслуживания серверов в режиме 24/7/365, чтобы содержать наше программное обеспечение и его зависимости в актуальном состоянии, устраняя потенциальные уязвимости безопасности. Мы применяем широкий спектр решений для предотвращения вторжений, а также для мониторинга, чтобы предотвращать и устранять атаки на сайт. Код Crowdin, написанный нашими разработчиками, основан на передовых практиках и рекомендациях OWASP.

Коммуникация

Обмен всеми личными данными с Crowdin всегда производится по протоколу HTTPS (веб-интерфейс и клиент командной строки), используя имя пользователя Crowdin и пароль. Учётные данные не могут быть использованы для доступа к консоли или файловой системе. Все пользователи являются виртуальными (т.е. у них нет учётной записи на наших машинах), и ведётся контроль их доступа.

Файловая система и резервное копирование

На системном уровне сервера развёрнуты с дополнительными сетевыми картами, резервными блоками питания и избыточным дисковым хранилищем. В защищённых центрах обработки данных есть системы резервных энергогенераторов и ИБП для электропитания и различные точки входа для основных утилит и средств связи. Производится регулярное резервное копирование и копии хранятся оффлайн в различных центрах обработки данных Amazon AWS.

Доступ сотрудников

Никто из сотрудников Crowdin не имеет доступа к частным проектам, пока это не требуется для целей поддержки в соответствии с ролевой моделью системы. Сотрудники Crowdin не имеют физического доступа к любому наших производственных мощностей, как и вся наша инфраструктура в облаке.

Сотрудники службы поддержки могут входить в вашу учётную запись для того, чтобы решать и оказывать помощь в решении запросов поддержки. У сотрудников службы поддержки нет непосредственного доступа к данным клиентов. При решении вопроса команда поддержки имеет доступ только к необходимым файлам и настройкам.

Обеспечение безопасности

Мы защищаем ваш логин от атак прямого перебора, ограничивая скорость. Мы всегда отправляем данные для входа по протоколу SSL. Все пароли исключаются фильтром из всех наших учётных журналов и шифруются в базе данных однонаправленным методом, используя надёжные алгоритмы шифрования.

У нас есть сотрудники службы безопасности для помощи в выявлении и предотвращении атак по новым направлениям. Мы всегда тестируем новые функции, чтобы исключить потенциальные атаки, такие как XSS-, SQL-инъекции, защищая wiki-страницы и обеспечивая невозможность для Pages доступа к cookies.

Мы также проводим периодические и постоянные проверки безопасности Crowdin и его кода. Проверка безопасности является составной частью обеспечения качества кода Crowdin.

Безопасность банковских карт

When you sign up for a Crowdin’s paid account, we do not store any of your billing information on our servers. It’s handed off to PayPro Global and FastSpring, Crowdin payment processing gateways. They are compliant with PCI Security Standard and audited daily for required security.

Связаться с нами

Если у вас возникли какие ни-будь вопросы, замечания или комментарии по поводу безопасности Crowdin или вы хотите предоставить отчет об уязвимостях, пожалуйста свяжитесь с нами по адресу support@crowdin.com.