Sikkerhed hos Crowdin

Crowdin er dedikeret til at følge industristandarder for sikkerhed, tryghed og fortrolighed.

Sikkerhedsstandarder

ISO/IEC 27001-certificeret

ISO/IEC 27001-certificeret

EU Persondataforordning (GDPR) overholdelse

EU Persondataforordning (GDPR) overholdelse

HIPAA-overholdelse

HIPAA-overholdelse

Kunder, som er underlagt HIPAA og ønsker at bruge Crowdin i forbindelse med beskyttede sundhedsoplysninger (PHI), skal underskrive Crowdin's Business Associate Agreement

Vores politikker

Vilkår og Betingelser Fortrolighedspolitik Informationssikkerhedspolitik Sårbarhedsanmeldelsespolitik
GDPR-overholdelse Cookie-erklæring HIPAA-ansvarsfraskrivelse

Interne sikkerhedsforanstaltninger

Organisatorisk sikkerhed

Crowdins Informationssikkerhedpolitik-krav omfatter hele Crowdin-organisationen og er obligatoriske for alle medarbejdere og for dem, som er involveret i de relevante forretningsprocesser. ISMS er bygget på tre søjler: Personer, processer og teknologi, med en omfattende implementering af en Zero Trust Architecture (ZTA). Zero Trust Architecture opererer efter princippet "aldrig tillid, altid verifikation", hvilket betyder, at adgang til ressourcer aldrig implicit er betroet baseret på placeringen af brugeren eller enheden. I stedet kræves streng identitetskontrol og kontinuerlig godkendelse af ethvert adgangsforsøg, uanset om dets oprindelse er inde på eller uden for netværksområdet. En Chief Information Security Officer (CISO) er ansvarlig for at sikre korrekt beskyttelse af informationsaktiver og -teknologier.

Sikkerhedsuddannelse og bevidstgørelse

Hos Crowdin gennemfører alle medarbejdere løbende sikkerheds- og bevidstgørelsesuddannelse i løbet af året. Hvert nyt teammedlem fuldfører grundlæggende sikkerhedsuddannelse inden for den første måneds ansættelse. Der udføres regelmæssig adgangsrevisioner, adgangskodeopdateringer og opereres efter princippet om det mindst privilegium. Rollespecifik sikkerhedsuddannelse er også påkrævet.

Hardwaresikkerhed

Alle medarbejderes enheder har krypterede harddiske. Kun den udpegede systemadministrator udfører hard- og softwareinstallation, opsætning eller ændringer. Levering til, fjernelse af udstyr fra datacenterfaciliteten er tilladt, logget og overvåget. Brugerspecifikke adgangsoplysninger (f. eks. bruger-ID/adgangskodepar mv.) kræves for at få adgang til arbejdsstationsudstyr, tjenester og apps.

  • BYOD (Bring Your Own Device) er begrænset. Sensitive data behandles kun på virksomhedsadministrerede enheder.
  • Virksomhedsadministrerede enheder er udstyret med MDM, binære autorisations- og overvågningssystemer, antivirussoftware og kontrollerede softwareopdateringer.
  • Obligatoriske hardwarenøgler - Adgang til virksomhedsdata styres af obligatoriske hardwarebaserede 2FA-nøgler.
  • Kontekstbevidst adgang - Adgang til virksomhedsdata er kun tilladt fra virksomhedsadministrerede enheder.
  • Lokalitetsbaserede adgangsrestriktioner håndhæves.
  • Binær godkendelse og monitorering - Kun hvidlistede binære filer kan eksekveres på medarbejderenheder.

Fysisk sikkerhed

Crowdins kontor overvåges og beskyttes af et alarmsystem, herunder brandalarmer. Closed-circuit (CCTV) kameraer er installeret på tværs af kontoret og optager ind- og udgange samt andre udpegede områder. Crowdins medarbejdere har ikke fysisk adgang til nogen del af af produktionsfaciliteter, da hele infrastrukturen er cloud-baseret. Sikre områder beskyttes med adgangskontrol, så kun godkendt personale tillades adgang.

Netværkssikkerhed

Interne netværk er pålagt restriktioner, segmenteret, adgangskodebeskyttet, og alle netværkssikkerhedsrelaterede begivenheder logges.

Softwaresikkerhed

På 24/7/365-basis beskæftiger Crowdin et team af serverspecialister mhp. at holde software og deres afhængigheder opdaterede og fjerne potentielle sikkerhedsrisici. Overvågningsløsninger er implementeret mhp. at imødegå ethvert webstedsangreb.

  • Softwarehvidlistning - Kun godkendt software og webbrowserplugins er tilladt på virksomhedsenheder.
  • OAuth app-kontrol - OAuth-apps med adgang til virksomhedsdata kontrolleres og monitoreres kontinuerligt.
  • Cloud-tjenesters adgang er via SAML med kontekstbevidst adgang.

Hændelsesrespons

Crowdin implementerer en håndteringsprotokol for sikkerhedshændelser, som omfatter eskaleringsprocedurer, hurtig afbødning og post mortem. Alle medarbejdere er informeret om vores politikker.

Medarbejdervurdering

Crowdin foretager i overensstemmelse med lokal lovgivning baggrundstjek af alle nye medarbejdere, entreprenører og andre personer, som har adgang til systemer, netværket eller fysiske datacenterfaciliteter.

Tredjeparts- og Leverandørsikkerhed

Crowdin opretholder leverandørrisikostyringspraksis for at sikre, at tredjeparter undersøges og opretholder forventede niveauer af sikkerhedskontrol. Se Liste over underbehandlere.

Applikationssikkerhed

Sikker og pålidelig infrastruktur

Crowdin uses Amazon Web Services (AWS) data centers for our computing infrastructure, with geographical restrictions in place to ensure data processing is limited to specific countries to enhance security. AWS has ISO 27001 certification and has completed multiple SSAE 16 audits. For more information on AWS security measures, visit AWS Cloud Security page.

Udover fordelene med AWS, har vores applikation yderligere indbyggede sikkerhedsfunktioner:

  • To-faktor autentificering
  • Single Sign On via SAML 2.0
  • REST API-godkendelse - API-token med granuleret tilladelseskontrol
  • Rollebaserede tilladelser
  • Sikkerhedskopier og versionering
  • Crowdin håndhæver en adgangskodekompleksitets standard
  • En enhedsbekræftelsesfunktion giver et ekstra lag af sikkerhed, og beskytter konti i tilfælde af en kompromitteret adgangskode

PCI-forpligtelser

When you sign up for a paid Crowdin account, we do not store any of your billing information on our servers. All payments made to Crowdin are processed through our partner, FastSpring, which complies with the PCI Security Standard. For more information, please visit FastSpring’s Risk Management + Compliance page.

Oppetid

Tjek seneste måneds statistik på https://status.crowdin.com/. Der kan anmodes om en SLA-aftale som en separat tjeneste. For dette, kontakt os via onboarding@crowdin.com

Dataadgang

Kundedataadgang er begrænset til godkendte medarbejdere i arbejdsmæssig relation. Et eksempel på dette er supportteamet. Supportteammedarbejdere kan kun have adgang til de filer eller indstillinger, som er nødvendige for at løse problematikker indsendt af kunderne.

Forretningskontinuitet og Disaster Recovery

Der er implementeret planer for både Disaster Recovery og Forretningskontinuitet, som regelmæssigt aftestes og opdateres.

Penetrationstest

Crowdin foretager årligt penetrationstestning udført af et uafhængigt, tredjeparts sikkerhedsfirma. Ingen kundedata tilgængeliggøres for firmaet under testningen. En oversigt over penetrationstestresultaterne er tilgængelige for Enterprise-kunder på foranledning.

Bug Bounty Program

Crowdin uses HackerOne to host its Bug Bounty Program, which officially launched on July 17th, 2024. The program follows HackerOne’s Standard Program guidelines to ensure a structured and effective vulnerability management process. Currently, the program is private, inviting a select group of security researchers to participate.

Kontakt os

Ved spørgsmål om sikkerhed på Crowdin eller ønske om at indsende en sårbarhedsanmeldelse, kontakt venligst supportteamet via support@crowdin.com.

Der vil blive samarbejdet med kunden om at vurdere problematikken og behandle evt. bekymringer fuldt ud. E-mails om sikkerhedsproblemematikker behandles med højeste prioritet. Tryghed og sikkerhed for vores tjeneste er topprioriteter.