Seguridad en Crowdin

Seguridad organizativa

Los requisitos de la política de seguridad de información de Crowdin se aplican a toda la organización de Crowdin y son obligatorios para todos los empleados y aquellos que participan en estos procesos empresariales. El ISMS se basa en tres pilares: personas, procesos y tecnología, con una amplia implementación de una arquitectura de confianza cero (ZTA, por sus siglas en inglés). Esta arquitectura funciona bajo el principio de «nunca confiar, siempre verificar», significa que el acceso a los recursos nunca se confía implícitamente en base a la ubicación del usuario o del dispositivo. En su lugar, se requiere una verificación estricta de identidad y autenticación continua para cada intento de acceso, independientemente de si se origina desde dentro o fuera del perímetro de la red. Un Director de seguridad de la información es responsable de garantizar la protección adecuada de los activos y las tecnologías de la información.

Capacitación y conocimientos de Seguridad

En Crowdin, todos los empleados completan la formación continua de seguridad y conocimientos de un año de duración. Cada nuevo miembro del equipo completa la formación básica de seguridad durante el primer mes al ser contratado. Realizamos auditorías de acceso regularmente, actualizaciones de contraseñas y operamos con el principio de los privilegios más bajos. Además se necesita una capacitación de seguridad específica a cada oficio.

Seguridad de hardware

Todos los dispositivos de los empleados tienen discos duros cifrados. Solo el administrador del sistema designado realiza la instalación de hardware y software, así como su configuración o modificación. La entrega o eliminación de elementos del centro de datos al equipo está autorizada, registrada y supervisada. Las credenciales de acceso específicas del usuario (usuario y contraseña) son necesarias para acceder al equipo, así como a los servicios y aplicaciones de la estación de trabajo.

• Hay limitaciones para tus dispositivos personales. Los datos confidenciales solo se procesan en dispositivos administrados por la empresa.
• Los dispositivos administrados por la empresa están equipados con gestión de dispositivos móviles (MDM), sistemas de autorización y monitorización binaria, software antivirus y actualizaciones de software controladas.
• Claves de hardware obligatorio: El acceso a los datos de la empresa está controlado por claves 2FA que funcionan con hardware obligatorio.
• Acceso de conciencia contextual: Solo se permite acceso a datos corporativos desde dispositivos gestionados por la empresa.
• Se aplican restricciones de acceso basadas en la ubicación.
• Autorización y monitorización binaria: Solo se pueden ejecutar archivos binarios permitidos en dispositivos de empleados.

Seguridad física

La oficina de Crowdin está vigilada y protegida por un sistema de alarma y equipada con sistemas de alarma contraincendios. Las cámaras de circuito cerrado (CCTV) se instalan a través de la oficina y capturan entradas, salidas y otras zonas designadas. Los empleados de Crowdin no tienen acceso físico a ninguna de nuestras instalaciones de producción, ya que toda nuestra infraestructura está en la nube. Las zonas seguras están protegidas con controles de acceso, por lo que solo se permite entrar al personal autorizado.

Seguridad de red

Nuestra red interna está restringida, segmentada, protegida por contraseña y todos los eventos relacionados con la seguridad de red quedan registrados.

Seguridad de software

Crowdin emplea a un equipo de especialistas en servidores 24/7/365 para mantener al día nuestro software y sus dependencias, eliminando posibles vulnerabilidades de seguridad. Utilizamos soluciones de control para prevenir y bloquear ataques de la web.

• Lista de software permitido: Solo se permiten plugins de software y navegador aprobados en los dispositivos de la empresa.
• Control de aplicaciones OAuth: Las aplicaciones OAuth con acceso a los datos corporativos están bajo control y monitoreo constante.
• El acceso a los servicios de la nube se realiza a través de SAML con acceso de conciencia contextual.

Respuesta de incidentes

Crowdin implementa un protocolo para gestionar eventos de seguridad que incluye procedimientos de escalada, mitigación rápida y post mortem. Todos los empleados están informados de nuestras políticas.

Selección de empleados

Crowdin realiza comprobaciones en segundo plano de los nuevos empleados, contratistas u otras personas que tengan acceso a sistemas o a la red o a las instalaciones de centros de datos físicos, de acuerdo con las leyes locales.

Seguridad de terceros y proveedores

Crowdin mantiene prácticas de administración de riesgos, asegurando que se examina a los proveedores de terceros, manteniendo así los niveles de controles de seguridad y calidad esperados. Echa un vistazo a nuestra lista de subprocesadores.

Infraestructura segura y fiable

Crowdin utiliza centros de datos de Amazon Web Services (AWS) para nuestra infraestructura informática, con restricciones geográficas establecidas para garantizar el procesamiento de datos, limitada a países específicos para mejorar la seguridad. AWS tiene la certificación ISO 27001 y ha completado múltiples auditorías SSAE 16. Para obtener más información sobre sus medidas de seguridad, visita la página de Seguridad en la nube de AWS.

Además de los beneficios proporcionados por AWS, nuestra aplicación tiene características de seguridad incorporadas:

• Autenticación de dos factores
• Inicio único (SSO) por SAML 2.0
• Autenticación API REST: Token de API con control de permisos granular
• Permisos de oficios
• Copias de seguridad y versiones
• Crowdin impone un estándar de complejidad de contraseña
• La función de verificación del dispositivo proporciona una capa adicional de seguridad, protegiendo cuentas en caso de que una contraseña esté comprometida

Obligaciones PCI

Cuando te registras en una cuenta de pago de Crowdin, no guardamos ninguno de tus datos de facturación en nuestros servidores. Todos los pagos realizados a Crowdin pasan por nuestro socio, FastSpring, que cumplen con el estándar de seguridad PCI. Puedes encontrar más detalles sobre sus ajustes de seguridad en la página de administración de riesgos y conformidad de Stripe.

Actividad

Consulta nuestras estadísticas de los últimos meses en https://status.crowdin.com/. Puedes solicitar un acuerdo de SLA como un servicio independiente, para ello ponte en contacto con nosotros en onboarding@crowdin.com.

Acceso a datos

El acceso a los datos de los clientes está limitado a empleados autorizados que lo necesiten para su trabajo. Un ejemplo de esto es nuestro equipo de soporte. Los representantes del equipo de soporte solo pueden acceder a los archivos o ajustes necesarios para resolver problemas presentados por los clientes.

Continuidad de negocios y recuperación de desastres

Hemos desarrollado, probado y actualizado regularmente tanto un plan de recuperación de desastres como un plan de continuidad de negocios.

Pruebas de penetración

Crowdin realiza pruebas anuales de vulnerabilidad en privacidad, llevadas a cabo por una empresa independiente de auditoría de seguridad de terceros. Durante las pruebas no se expone ningún tipo de información del cliente a la empresa. El resumen de los resultados de dichas pruebas está disponible para los clientes de la empresa bajo petición.

Si tienes cualquier pregunta sobre seguridad en Crowdin o te gustaría informar de una vulnerabilidad, ponte en contacto con nosotros en support@crowdin.com.

Trabajaremos contigo para evaluar la cuestión y abordar plenamente cualquier situación. Los correos electrónicos sobre cuestiones de seguridad se tratan con la máxima prioridad. La protección y la seguridad de nuestro servicio son nuestras principales prioridades.