Security without compromise
Enterprise-grade security you can trust. We are committed to the highest standards of safety and privacy to safeguard your data and confidentiality.
Trusted by companies worldwide
安全标准
Eu general data protection regulation (GDPR) compliance
Crowdin complies with GDPR, protecting personal data of EU residents in line with European privacy standards.
经过 ISO/IEC 27001 认证
Crowdin's Information Security Management System is certified under ISO/IEC 27001, ensuring strong protection and risk management for sensitive data.
HIPAA compliant
受 HIPAA 约束并希望将 Crowdin 用于受保护健康信息 (PHI) 的客户必须签署 Crowdin 的业务伙伴协议
Internal security measures
组织安全
Crowdin 信息安全政策要求适用于整个 Crowdin 组织,并且对所有员工和参与这些业务流程的人员都是强制性的。ISMS 建立在三大支柱之上:人员、流程和技术,并广泛实施零信任架构(ZTA)。零信任架构的运行原则是“从不信任,始终验证”,这意味着对资源的访问永远不会基于用户或设备的位置而隐式信任。相反,每次访问尝试都需要严格的身份验证和持续的身份验证,无论它是来自网络边界内部还是外部。首席信息安全官(CISO)负责确保信息资产和技术得到适当的保护。
安全培训和安全意识
At Crowdin, all employees complete ongoing security and awareness training throughout the year. Each new team member completes basic security training within the first month of hire. We conduct regular access audits, password updates and operate on the principle of the least privilege. Role-specific security training is also required.
硬件安全
所有员工设备都配有加密的硬盘驱动器。只有指定的系统管理员才能进行硬件和软件的安装、配置或更改。设备进出数据中心设施的交付、移除都经过授权、记录和监测。访问工作站设备、服务和应用程序需要特定于用户的访问凭据(如用户 ID/密码对等)。
- BYOD(自带设备)是受限的。敏感数据仅在公司管理的设备上处理。
- 公司托管的设备配备了 MDM、二进制授权和监控系统、防病毒软件以及受控软件更新。
- 强制硬件密钥 - 对公司数据的访问由基于硬件的强制两步验证密钥控制。
- 语境感知访问 - 仅允许从公司托管的设备访问公司数据。
- 强制执行基于位置的访问限制。
- 二进制授权和监测 - 只能在员工设备上执行列入允许名单的二进制文件。
物理环境安全
Crowdin 的办公室受到警报系统的监测和保护。整个办公室内安装了闭路摄像机并捕捉入口、出口及其他指定区域。Crowdin 雇员无法物理访问我们的任何生产设施,因为它们都在云端部署。安全区域受到进入管制,因此只允许经过授权的人员进入。
网络安全
我们的内网是受限、分区并受到密码保护的,且所有网络安全相关的事件都会被记录下来。
软件安全
Crowdin雇用了一个24/7/365的服务器专家团队,以保持我们的软件及其依赖的更新,消除潜在的安全漏洞。我们使用监测解决方案来防止和消除网站攻击。
- 软件允许名单 - 公司设备上只允许安装经批准的软件和浏览器插件。
- OAuth 应用程序控制 - 持续控制和监视有权访问公司数据的 OAuth 应用程序。
- 云服务访问是通过具有语境感知访问的 SAML 进行的。
事故响应
Crowdin 执行处理安全事件的协议,其中包括升级程序、快速缓解和事后处理。所有雇员都了解我们的政策。
员工审查
Crowdin 根据当地法律,对所有新员工、承包商或其他可以进入系统或网络或物理数据中心设施的个人进行背景调查。
第三方与供应商安全
Crowdin maintains vendor risk management practices to ensure third parties are scrutinized and maintain expected levels of security controls. View our List of Sub-processors.
Application security
安全、可靠的基础设施
Crowdin uses Amazon Web Services (AWS) data centers for our computing infrastructure, with geographical restrictions in place to ensure data processing is limited to specific countries to enhance security. AWS has ISO 27001 certification and has completed multiple SSAE 16 audits. For more information on AWS security measures, visit AWS Cloud Security page.
除了 AWS 提供的优势外,我们的应用程序还有其他内置的安全性功能:
- 双重验证
- 单点登录(SAML 2.0)
- REST API 身份验证 - 具有粒度权限控制的 API 令牌
- 基于角色的权限
- 备份和版本控制
- Password complexity standard enforcement
- Device Verification feature for additional account protection
PCI 义务
When you sign up for a paid Crowdin account, we do not store any of your billing information on our servers. All payments made to Crowdin are processed through our partner, FastSpring, which complies with the PCI Security Standard. For more information, please visit FastSpring's Risk Management + Compliance page.
正常运行时间
Check our past month stats at status.crowdin.com . You can request an SLA agreement as a separate service, for this contact us at onboarding@crowdin.com
数据访问
对客户数据的访问仅限于那些因工作需要而被授权的员工。这方面的一个例子是我们的支持团队。支持团队的代表可能只能访问解决客户提交的问题所需的文件或设置。
业务连续性和灾备恢复
我们已经制定了灾难恢复计划和业务连续性计划,并定期测试和更新它们。
渗透测试
Crowdin 每年都会进行由独立第三方安全审计公司进行的渗透测试。测试期间不会向公司泄露任何客户数据。企业客户可根据要求获得渗透测试结果摘要。
漏洞赏金计划
Crowdin 使用 HackerOne 来托管其漏洞赏金计划,该计划于 2024 年 7 月 17 日正式启动。该计划遵循 HackerOne 的标准计划指南,以确保结构化且有效的漏洞管理流程。目前,该计划是私密的,邀请一组精选的安全研究人员参与。
Still have questions about security?
If you have any questions about security at Crowdin or would like to submit a vulnerability report, please contact us at support@crowdin.com.
我们将与您一同评估这个问题,并充分解决任何顾虑。有关安全问题的电子邮件是最优先处理的。我们服务的安全和保密性是重中之重。