Безпека

Оновлення: 11 жовтень, 2016

Примітка

Ми хотіли б тримати Crowdin безпечним і захищеним для всіх. Якщо ви виявили уразливість, ми високо оцінимо вашу допомогу в її відповідальному розкритті нам.

Публічне розкриття уразливості може поставити всю спільноту Crowdin під загрозу. Якщо ви виявили можливу уразливість, ми будемо дуже вдячні вам за повідомлення про неї по електронній пошті на support@crowdin.com. Ми будемо працювати з Вами, щоб виявити і оцінити сферу питання і повного усунення будь-яких проблем. Будь-які повідомлення про проблеми безпеки розглядаються з найвищим пріоритетом, тому що захист і безпеку наших послуг - це наша головна турбота.

Політика інформування про вразливості

Crowdin використовує переваги Amazon Web Services (AWS) для нашої обчислювальної інфраструктури. AWS мають сертифікацію ISO 27001 та пройшли безліч перевірок SSAE 16. If you want to more detail on AWS security, please refer to http://aws.amazon.com/security/.

Фізична безпека

  • Робоче середовище хоститься в захищених, сертифікованих по ISO27001 і SSAE16 центрах обробки даних.
  • Центри обробки даних оснащені цифровими реєстраторами, системами відеоспостереження та охороняються охоронцями на цілодобовій основі.
  • Співробітники Crowdin не мають фізичного доступу до будь-якої з наших виробничих потужностей, оскільки вся наша інфраструктура цілком розташовується в хмарі.
  • Для доступу на територію розробки використовується PIN-код і біометричне сканування.
  • Камери безпеки відстежують всю територію розробки.

Системна безпека

  • Для блокування несанкціонованого доступу в систему використовуються послуги виділених VPN, а також брандмауер.
  • При встановленні систем використовуються ОС з посиленими оновленнями безпеки.
  • Для захисту системних служб застосовується система запобігання вторгнень.

Експлуатаційна безпека

  • Внутрішні процеси в наших центрах обробки даних відповідають вимогам сертифікації Multi-Tier Cloud Security Standard (MTCS SS 584) Level-3 (CSP).
  • Наше програмне забезпечення регулярно перевіряється фахівцями з безпеки.
  • Доступ до систем контролюється і відстежується для цілей аудиту.
  • Повністю документовані зміни процедур управління.
  • Політики безпечного знищення документів застосовуються до всієї чутливої інформації.

Безпека програмного забезпечення

У Crowdin є команда фахівців для обслуговування серверів в режимі 24/7/365, щоб утримувати наше програмне забезпечення і його залежності в актуальному стані, усуваючи потенційні уразливості безпеки. Ми застосовуємо широкий спектр рішень для запобігання вторгнень, а також для моніторингу, щоб запобігати і усувати атаки на сайт. Код Crowdin, написаний нашими розробниками, заснований на передових практиках і рекомендаціях OWASP.

Комунікація

Обмін усіма особистими даними з Crowdin завжди проводиться по протоколу HTTPS (веб-інтерфейс і клієнт командного рядка), використовуючи ім’я користувача Crowdin і пароль. Облікові дані не можуть бути використані для доступу до консолі або файлової системи. Всі користувачі є віртуальними (тобто у них немає облікового запису на наших машинах), і ведеться контроль їх доступу.

Файлова система та резервне копіювання

На системному рівні сервера розгорнуті з додатковими мережевими картами, резервними блоками живлення і надлишковим дисковим сховищем. У захищених центрах обробки даних є системи резервних енергогенераторів і ІБП для електроживлення і різні точки входу для основних і допоміжних пристроїв зв’язку. Проводиться регулярне резервне копіювання і копії зберігаються оффлайн в різних центрах обробки даних Amazon AWS.

Доступ співробітників

Ніхто зі співробітників Crowdin не має доступу до приватних проектів, поки це не потрібно для цілей підтримки відповідно до рольової моделі системи. Співробітники Crowdin не мають фізичного доступу до будь-якої з наших виробничих потужності, так як вся наша інфраструктура в хмарі.

Співробітники служби підтримки можуть входити в ваш обліковий запис для того, щоб вирішувати і надавати допомогу у вирішенні запитів підтримки. У співробітників служби підтримки немає безпосереднього доступу до даних клієнтів. При вирішенні питання команда підтримки має доступ тільки до необхідних файлів і налаштувань.

Забезпечення безпеки

Ми захищаємо Ваш Логін від атак прямого перебору, обмежуючи швидкість. Ми завжди відправляємо дані для входу по протоколу SSL. Всі паролі виключаються фільтром з усіх наших облікових журналів і шифруються в базі даних односпрямованим методом, використовуючи надійні алгоритми шифрування.

У нас є співробітники служби безпеки для допомоги у виявленні та запобіганні атак з нових напрямків. Ми завжди тестуємо нові функції, щоб виключити потенційні атаки, такі як XSS-, SQL-ін’єкції, захищаючи wiki-сторінки і забезпечуючи неможливість для сторінок доступу до кукі.

Ми також проводимо періодичні і постійні перевірки безпеки Crowdin і його коду. Перевірка безпеки є складовою частиною забезпечення якості коду Crowdin.

Безпека банківських карт

Коли ви реєструєте платний обліковий запис Crowdin, ми взагалі не зберігаємо будь-які ваші платіжні дані на наших серверах. Вона передається до шлюзів обробки платежів FastSpring, Crowdin. Компанія PayPro Global відповідає стандарту безпеки PCI і щодня перевіряється на відповідність необхідним нормам безпеки.

Зв’язатися з нами

Якщо у вас виникли будь-які запитання, зауваження або коментарі з приводу безпеки Crowdin або ви хочете надати звіт про уразливість, будь ласка зв’яжіться з нами за адресою support@crowdin.com.