Seguridad en Crowdin
En Crowdin, estamos comprometidos a cumplir los estándares de industria en materia de protección, seguridad y privacidad.
Estándares de seguridad
Certificado ISO/IEC 27001
Normativa EU del reglamento general de protección de datos (GPDR)
En cumplimiento con la HIPAA
Los clientes que estén sujetos a la HIPAA y quieran utilizar Crowdin en relación a la ley de Información de Salud Protegida (PHI) de EE. UU. deben firmar el Acuerdo de Asociación Empresarial de Crowdin
Medidas de seguridad internas
Seguridad organizativa
Los requisitos de la política de seguridad de información de Crowdin se aplican a toda la organización de Crowdin y son obligatorios para todos los empleados y aquellos que participen en estos procesos empresariales. El ISMS se basa en tres pilares: personas, procesos y tecnología. Un director de seguridad de información (CIS, por sus siglas en inglés) es responsable de garantizar la protección adecuada de los activos y tecnologías de información.
Capacitación y conocimientos de Seguridad
En Crowdin, todos los empleados completan la formación continua de seguridad y conocimientos de un año de duración. Cada nuevo miembro del equipo completa la formación básica de seguridad durante el primer mes al ser contratado. Realizamos auditorías de acceso regularmente, actualizaciones de contraseñas y operamos con el principio de los privilegios más bajos. Además se necesita una capacitación de seguridad específica a cada oficio.
Seguridad de hardware
Todos los equipos portátiles de los empleados tienen discos duros cifrados. Solo el administrador del sistema designado realiza la instalación de hardware y software, así como su configuración o modificación. La entrega o eliminación del/al equipo del centro de datos está autorizada, registrada y supervisada. Las credenciales de acceso específicas del usuario (usuario y contraseña) son necesarias para acceder al equipo, así como a los servicios y aplicaciones de la estación de trabajo.
Seguridad física
La oficina de Crowdin está vigilada y protegida por un sistema de alarma y equipada con sistemas de alarma contraincendios. Las cámaras de circuito cerrado (CCTV) se instalan a través de la oficina y capturan entradas, salidas y otras zonas designadas. Los empleados de Crowdin no tienen acceso físico a ninguna de nuestras instalaciones de producción, ya que toda nuestra infraestructura está en la nube. Las zonas seguras están protegidas con controles de acceso, por lo que solo se permite entrar al personal autorizado.
Seguridad de red
Nuestra red interna está restringida, segmentada, protegida por contraseña y todos los eventos relacionados con la seguridad de red quedan registrados.
Seguridad de software
Crowdin emplea a un equipo de especialistas en servidores 24/7/365 para mantener al día nuestro software y sus dependencias, eliminando posibles vulnerabilidades de seguridad. Utilizamos soluciones de control para prevenir y bloquear ataques de la web.
Respuesta de incidentes
Crowdin implementa un protocolo para gestionar eventos de seguridad que incluye procedimientos de escalada, mitigación rápida y post mortem. Todos los empleados están informados de nuestras políticas.
Selección de empleados
Crowdin realiza comprobaciones en segundo plano de los nuevos empleados, contratistas u otras personas que tengan acceso a sistemas o a la red o a las instalaciones de centros de datos físicos, de acuerdo con las leyes locales.
Seguridad de terceros y proveedores
Crowdin mantiene prácticas de administración de riesgos, asegurando que se examina a los proveedores de terceros, manteniendo así los niveles de controles de seguridad y calidad esperados. Echa un vistazo a nuestra lista de subprocesadores.
Seguridad de aplicaciones
Infraestructura segura y fiable
Crowdin utiliza los centros de datos de Amazon Web Services (AWS) para nuestra infraestructura informática. AWS tiene la certificación ISO 27001 y ha completado varias auditorías SSAE 16. Para obtener más información sobre sus medidas de seguridad, visita la página Seguridad en la nube de AWS.
Además de los beneficios proporcionados por AWS, nuestra aplicación tiene características de seguridad incorporadas:
- Autenticación de dos factores
- Inicio único (SSO) por SAML 2.0
- Autenticación API con REST (clave API)
- Permisos de oficios
- Copias de seguridad y versiones
- Crowdin impone un estándar de complejidad de contraseña
Obligaciones PCI
Cuando te registras en una cuenta de pago de Crowdin, no guardamos ninguno de tus datos de facturación en nuestros servidores. Todos los pagos realizados a Crowdin pasan por nuestro socio, FastSpring, que cumplen con el estándar de seguridad PCI. Puedes encontrar más detalles sobre sus ajustes de seguridad en la página de administración de riesgos y conformidad de Stripe.
Actividad
Consulta nuestras estadísticas del último mes en https://status.crowdin.com/. Puedes solicitar un acuerdo de SLA como servicio independiente, para ello ponte en contacto con nosotros en onboarding@crowdin.com.
Acceso a datos
El acceso a los datos de los clientes está limitado a empleados autorizados que lo necesiten para su trabajo. Un ejemplo de esto es nuestro equipo de soporte. Los representantes del equipo de soporte solo pueden acceder a los archivos o ajustes necesarios para resolver problemas presentados por los clientes.
Continuidad de negocios y recuperación de desastres
Hemos desarrollado, probado y actualizado regularmente tanto un plan de recuperación de desastres como un plan de continuidad de negocios.
Pruebas de penetración
Crowdin realiza anualmente pruebas de penetración por parte de una agencia de terceros experta en seguridad. Durante la realización de dichas pruebas no se expone ningún dato de los clientes. Hay disponible un resumen de los resultados de las pruebas de penetración para los clientes de la empresa que los soliciten.
Contacta con nosotros
Si tienes cualquier pregunta sobre seguridad en Crowdin o te gustaría informar de una vulnerabilidad, ponte en contacto con nosotros en support@crowdin.com.
Trabajaremos contigo para evaluar la cuestión y abordar plenamente cualquier situación. Los correos electrónicos sobre cuestiones de seguridad se tratan con la máxima prioridad. La protección y la seguridad de nuestro servicio son nuestras principales prioridades.