Sécurité chez Crowdin

Sécurité organisationnelle

Les exigences de la politique de sécurité de l'information de Crowdin s'appliquent à l'ensemble de l'organisation et sont obligatoires pour tous les employés et les personnes impliquées dans les processus métiers concernés. Le système de gestion de la sécurité de l'information (SGSI) repose sur trois piliers : les personnes, les processus et la technologie, avec une mise en œuvre étendue d'une architecture Zero Trust (ZTA). L'architecture Zero Trust repose sur le principe « ne jamais faire confiance, toujours vérifier », ce qui signifie que l'accès aux ressources n'est jamais implicitement approuvé en fonction de la localisation de l'utilisateur ou de l'appareil. Au contraire, une vérification d'identité rigoureuse et une authentification continue sont requises pour chaque tentative d'accès, qu'elle provienne de l'intérieur ou de l'extérieur du réseau. Un responsable de la sécurité des systèmes d'information (RSSI) est chargé de garantir la protection adéquate des actifs et des technologies de l'information.

Formation et sensibilisation à la sécurité

Chez Crowdin, tous nos employés suivent une formation continue en sécurité et sensibilisation tout au long de l'année. Chaque nouveau membre de l'équipe suit une formation de base en sécurité dès son premier mois d'embauche. Nous effectuons des audits d'accès réguliers, mettons à jour les mots de passe et appliquons le principe du moindre privilège. Une formation en sécurité spécifique à chaque poste est également requise.

Sécurité matérielle

Tous les appareils des employés sont équipés de disques durs chiffrés. Seul l'administrateur système désigné est habilité à installer, configurer ou modifier le matériel et les logiciels. La livraison et le retrait du matériel vers/depuis le centre de données sont autorisés, consignés et surveillés. L'accès aux postes de travail, aux services et aux applications nécessite des identifiants de connexion spécifiques (par exemple, un nom d'utilisateur et un mot de passe).

• L’utilisation des appareils personnels (BYOD) est limitée. Les données sensibles sont traitées uniquement sur les appareils gérés par l’entreprise.
• Les appareils gérés par l'entreprise sont équipés de systèmes MDM, d'autorisation et de surveillance binaires, de logiciels antivirus et de mises à jour logicielles contrôlées.
• Clés matérielles obligatoires - L'accès aux données de l'entreprise est contrôlé par des clés 2FA matérielles obligatoires.
• Accès contextuel - L'accès aux données de l'entreprise est uniquement autorisé à partir d'appareils gérés par l'entreprise.
• Des restrictions d'accès basées sur la localisation sont appliquées.
• Autorisation et surveillance des fichiers binaires - Seuls les fichiers binaires figurant sur la liste autorisée peuvent être exécutés sur les appareils des employés.

Sécurité physique

Les bureaux de Crowdin sont sous surveillance et protégés par un système d'alarme et équipés de détecteurs d'incendie. Des caméras de vidéosurveillance sont installées dans tout le bâtiment et couvrent les entrées, les sorties et les autres zones désignées. Les employés de Crowdin n'ont aucun accès physique à nos sites de production, car toute notre infrastructure est hébergée dans le cloud. Les zones sécurisées sont protégées par des contrôles d'accès, garantissant ainsi que seul le personnel autorisé peut y accéder.

Sécurité du réseau

Notre réseau interne est restreint, segmenté, protégé par mot de passe et tous les événements liés à la sécurité du réseau sont enregistrés.

Sécurité des logiciels

Crowdin emploie une équipe de spécialistes serveurs disponibles 24h/24 et 7j/7 pour assurer la mise à jour de nos logiciels et de leurs dépendances, et ainsi éliminer les failles de sécurité potentielles. Nous utilisons des solutions de surveillance pour prévenir et neutraliser les attaques informatiques.

• Liste blanche des logiciels - Seuls les logiciels et plugins de navigateur approuvés sont autorisés sur les appareils de l'entreprise.
• Contrôle des applications OAuth - Les applications OAuth ayant accès aux données de l'entreprise sont contrôlées et surveillées en permanence.
• L'accès aux services cloud se fait via SAML avec un accès contextuel.

Intervention en cas d'incident

Crowdin applique un protocole de gestion des incidents de sécurité comprenant des procédures d'escalade, une atténuation rapide et une analyse post-incident. Tous les employés sont informés de nos politiques.

Vérification des employés

Crowdin effectue des vérifications d'antécédents sur tous les nouveaux employés, sous-traitants ou autres personnes ayant accès aux systèmes, au réseau ou aux installations physiques du centre de données, conformément aux lois locales.

Sécurité des tiers et des fournisseurs

Crowdin applique des pratiques de gestion des risques liés aux fournisseurs afin de garantir que les tiers sont rigoureusement sélectionnés et respectent les niveaux de sécurité attendus. Consultez notre Liste des sous-traitants.

Infrastructure sécurisée et fiable

Crowdin utilise les centres de données d'Amazon Web Services (AWS) pour son infrastructure informatique, avec des restrictions géographiques afin de limiter le traitement des données à certains pays et ainsi renforcer la sécurité. AWS est certifié ISO 27001 et a passé avec succès plusieurs audits SSAE 16. Pour plus d'informations sur les mesures de sécurité d'AWS, consultez la page AWS Cloud Security.

Outre les avantages offerts par AWS, notre application possède des fonctionnalités de sécurité intégrées supplémentaires :

• Authentification à deux facteurs
• Authentification unique via SAML 2.0
• Authentification API REST - Jeton API avec contrôle d'autorisation granulaire
• Autorisations basées sur les rôles
• Sauvegardes et gestion des versions
• Crowdin impose une norme de complexité des mots de passe
• La fonction de vérification de l'appareil offre une couche de sécurité supplémentaire, protégeant les comptes en cas de compromission d'un mot de passe.

Obligations PCI

Lorsque vous souscrivez à un compte Crowdin payant, nous ne conservons aucune information relative à votre facturation sur nos serveurs. Tous les paiements effectués à Crowdin sont traités par notre partenaire, FastSpring, qui est conforme à la norme de sécurité PCI. Pour plus d'informations, veuillez consulter la page Gestion des risques et conformité de FastSpring.

Disponibilité

Consultez nos statistiques du mois dernier sur https://status.crowdin.com/. Vous pouvez demander un contrat de niveau de service (SLA) en tant que service distinct ; pour cela, contactez-nous à l'adresse [email protected]

Accès aux données

L'accès aux données clients est limité aux employés autorisés qui en ont besoin pour leurs fonctions. À titre d'exemple, notre équipe d'assistance n'a accès qu'aux fichiers ou paramètres nécessaires à la résolution des problèmes signalés par les clients.

Continuité des activités et reprise après sinistre

Nous avons élaboré, testé et mis à jour régulièrement un plan de reprise après sinistre et un plan de continuité des activités.

Tests d'intrusion

Crowdin effectue chaque année des tests d'intrusion réalisés par une société d'audit de sécurité indépendante. Aucune donnée client n'est divulguée à l'entreprise pendant les tests. Un résumé des résultats est disponible sur demande pour les clients entreprises.

Programme de primes aux bogues

Crowdin utilise HackerOne pour héberger son programme de primes aux bogues, lancé officiellement le 17 juillet 2024. Ce programme respecte les directives standard de HackerOne afin de garantir un processus de gestion des vulnérabilités structuré et efficace. Actuellement privé, il est réservé à un groupe restreint de chercheurs en sécurité.

Si vous avez des questions concernant la sécurité chez Crowdin ou si vous souhaitez soumettre un rapport de vulnérabilité, veuillez nous contacter à [email protected].

Nous collaborerons avec vous pour évaluer le problème et répondre pleinement à toutes vos préoccupations. Les courriels concernant les problèmes de sécurité sont traités en priorité absolue. La sécurité de notre service est notre priorité absolue.