Эта программа информационной безопасности («Программа безопасности») связана с тем, как Smartcat защищает информацию, полученную через веб-сайт, услуги и технологическую платформу Smartcat, расположенную по адресу https://www.smartcat.com/ («Платформа Smartcat»). Информация, которую вы предоставляете Smartcat, защищена, поскольку наша система безопасности соответствует отраслевым стандартам и требованиям. Программа безопасности распространяется как на физическую безопасность, так и на безопасность ИТ-систем приложения и инфраструктуры Smartcat.
Преданные сотрудники и подрядчики Smartcat прилагают все усилия для обеспечения безопасности информации, электронных устройств и сетевых ресурсов.
Для защиты информации Smartcat придерживается стандартных политик для ИТ-компаний, включая, помимо прочего, «Политику информационной безопасности», «План реагирования на инциденты», «Политику криптографии» и «Политику безопасного развития». Smartcat пересматривает эти политики не реже одного раза в год.
Smartcat использует центры обработки данных уровня IV в США, ЕС и Китае, управляемые AWS и Microsoft Azure, которые соответствуют требованиям SOC-1, SOC-2 и SOC-3.
Smartcat прошел независимый сторонний аудит и получил сертификат безопасности SOC 2 Type II.
Smartcat использует стороннего платежного провайдера, который соответствует стандарту PCI DSS уровня 1, что является высшим уровнем сертификации в рамках стандарта безопасности данных индустрии платежных карт.
Размещая свои данные в облаке, вы можете быть уверены в их сохранности. Злоумышленники не смогут получить к нему доступ, если ваш компьютер будет украден или заражен вирусом. Даже если ваш компьютер сломается, все ваши данные будут в безопасности и доступны для вас.
Все сотрудники Smartcat и третьи стороны, имеющие административный или привилегированный технический доступ к производственным системам и сетям Smartcat, должны пройти обучение по вопросам безопасности при приеме на работу и ежегодно в дальнейшем. Сотрудники и подрядчики осведомлены о соответствующих политиках и процедурах информационной безопасности.
План реагирования на инциденты Smartcat описывает внутренние процедуры, которые необходимо реализовать в случае возможного или фактического несанкционированного доступа к Smartcat или данным клиентов. В соответствии с требованиями SOC 2 план реагирования на инциденты ежегодно пересматривается и тестируется.
В случае угрозы непрерывности бизнеса Smartcat может восстановить данные с минимальными потерями в соответствии со следующими показателями:
Цель точки восстановления не более 24 часов
Целевое время восстановления не более 24 часов
Smartcat хранит журналы системы и приложений, а также активность пользователей в течение периода до 1 года.
Smartcat проводит регулярные тесты на проникновение, которые доступны клиентам или другим заинтересованным сторонам по запросу и при условии заключения дополнительного соглашения о неразглашении со Smartcat.
Для улучшения услуг и функций платформы Smartcat Smartcat использует сторонних субподрядчиков (партнеров и поставщиков), заключивших соглашение об обслуживании с положениями о конфиденциальности или отдельное соглашение о неразглашении информации со Smartcat.
Действия Smartcat по обеспечению конфиденциальности основаны на применимых законах стран, в которых работает Платформа Smartcat по всему миру, которые регулируют защиту персональных данных, включая, помимо прочего, GDPR. Конфиденциальность ваших данных гарантируется Условиями обслуживания Smartcat ( https://www.smartcat.com/terms/ ) и Политикой конфиденциальности Smartcat ( https://www.smartcat.com/privacy-policy/ ).
Ограниченное число сотрудников и подрядчиков Smartcat, имеющих доступ к персональным данным и информации, тщательно проверяются нашей командой безопасности и могут использовать ваши персональные данные только в рамках своей работы. Кроме того, доступ ограничен процедурами авторизации и инфраструктурой, что означает, что сотрудники с недостаточными правами не могут получить доступ к персональным данным.
Сотрудники и подрядчики Smartcat должны иметь действительный идентификатор, имя пользователя и пароль для доступа к корпоративным сетям. Кроме того, для доступа к критически важным бизнес-системам требуются VPN и многофакторная аутентификация.
Все учетные записи в системе изолированы, поэтому пользователи одной учетной записи не могут получить доступ к информации в другой. Это означает, что все лингвистические ресурсы доступны только вам и пользователям, которым вы авторизовали.
Для корпоративных клиентов мы можем настроить возможность управления пользователями через провайдера единого входа (SSO) компании. В настоящее время Smartcat поддерживает три основные системы аутентификации: ADFS, Azure AD и Okta. Подробнее см. в этой статье .
Меры физической безопасности офисов, помещений, бумажных документов и корпоративных ИТ-систем Smartcat применяются для защиты от краж, неправомерного использования, экологических угроз, несанкционированного доступа и других угроз конфиденциальности, целостности и доступности секретных данных и систем. Меры физического контроля следующие:
2 КПП;
Доступ к значку;
КАБЕЛЬНОЕ ТЕЛЕВИДЕНИЕ;
Круглосуточная охрана.
В случае серьезного сбоя, влияющего на доступность и/или безопасность офиса Smartcat, сотрудники и руководство определят и примут меры по смягчению последствий.
Меры безопасности для защиты резервных копий применяются в соответствии с конфиденциальностью или секретностью данных. Регулярно создаются резервные копии информации, программного обеспечения и системных образов для защиты от потери данных.
Резервное копирование на наши серверы и центры обработки данных настроено на ежедневное выполнение в рассматриваемых системах. Расписания резервного копирования поддерживаются в программном обеспечении резервного копирования.
Тестирование аварийного восстановления, включая тестирование процессов восстановления из резервных копий, проводится ежегодно.
Непрерывность информационной безопасности обеспечивается наряду с непрерывностью операционной деятельности.
Чтобы обеспечить правильное и эффективное использование криптографии для защиты конфиденциальности, подлинности и/или целостности информации, Smartcat использует криптографические ключи, т. е. цифровую подпись, шифрование и хэш.
Информация шифруется следующим образом:
Платформа использует протокол HTTPS/TLS для защиты данных при передаче между компьютером Пользователя и серверами Smartcat;
Для веб-сертификата Smartcat использует тип ключа цифровой подписи, алгоритм DSA или RSA PCKS#1, длина ключа 2048 бит;
Для веб-шифра Smartcat использует тип ключа шифрования, алгоритм AES, длину ключа 256 бит;
Для обеспечения конфиденциальности Smartcat использует тип ключа шифрования, алгоритм AES, длину ключа 256 бит;
Все пароли хранятся в хешированной и солевой форме (Bcrypt, PBKDF2 или scrypt, тип ключа ECDH; длина ключа не менее 256 бит), а несколько внешних авторизованных сервисов поддерживаются через OAuth 2.0. Все пароли в производственных файлах конфигурации зашифрованы, а сертификаты, необходимые для расшифровки конфигураций, устанавливаются на производственных машинах администраторами, к которым не могут получить доступ инженеры более низкого уровня.
Smartcat контролирует изменения в организации, бизнес-процессах, средствах обработки информации и системах, которые влияют на информационную безопасность в производственной среде и финансовых системах. Все существенные изменения в рассматриваемых системах документируются.
Процессы управления изменениями включают в себя:
Процессы планирования и тестирования изменений, включая меры по исправлению.
Документированное одобрение и авторизация руководства перед внесением изменений, которые могут оказать существенное влияние на информационную безопасность, операции или производственную платформу.
Заблаговременное уведомление об изменениях, включая графики и описание обоснованно ожидаемых последствий.
Документирование всех аварийных изменений и последующие проверки.
Процесс исправления неудачных изменений.
Чтобы гарантировать, что информационная безопасность спроектирована и реализована в течение жизненного цикла разработки приложений и информационных систем, Smartcat постоянно внедряет процедуры контроля изменений системы, контроль версий программного обеспечения, технические проверки приложений после внесения изменений в платформу, ограничения на изменения в пакетах программного обеспечения, безопасное проектирование системы. принципы, безопасная среда разработки, аутсорсинговая разработка, тестирование безопасности системы, приемочное тестирование системы и защита тестовых данных.