Niniejszy program bezpieczeństwa informacji („Program bezpieczeństwa”) dotyczy sposobu, w jaki Smartcat chroni informacje otrzymane za pośrednictwem strony internetowej, usług i platformy technologicznej Smartcat znajdującej się pod adresem https://www.smartcat.com/ („Platforma Smartcat”). Informacje, które podajesz Smartcat, są chronione, ponieważ nasz system bezpieczeństwa spełnia standardy branżowe i jest zgodny z przepisami. Program Bezpieczeństwa dotyczy zarówno bezpieczeństwa fizycznego, jak i bezpieczeństwa systemów informatycznych aplikacji i infrastruktury Smartcat.
Dedykowani pracownicy i kontrahenci Smartcat dokładają wszelkich starań, aby zapewnić bezpieczeństwo informacji, urządzeń elektronicznych i zasobów sieciowych.
Aby zabezpieczyć informacje, Smartcat przestrzega standardowych zasad dla firm IT, w tym między innymi „Polityki bezpieczeństwa informacji”, „Planu reagowania na incydenty”, „Polityki kryptografii” i „Polityki bezpiecznego rozwoju”. Smartcat dokonuje przeglądu tych zasad co najmniej raz w roku.
Smartcat korzysta z centrów danych Tier IV w USA, UE i Chinach, prowadzonych przez AWS i Microsoft Azure, które są zgodne z SOC-1, SOC-2 i SOC-3.
Smartcat przeszedł niezależny audyt strony trzeciej i otrzymał certyfikat bezpieczeństwa SOC 2 Typ II.
Smartcat korzysta z usług zewnętrznego dostawcy usług płatniczych, który jest zgodny ze standardem PCI DSS Level 1, który jest najwyższym poziomem certyfikacji w ramach standardu bezpieczeństwa danych branży kart płatniczych.
Lokując swoje dane w chmurze, masz pewność ich bezpieczeństwa. W przypadku kradzieży komputera lub narażenia go na działanie wirusa intruzi nie będą mogli uzyskać do niego dostępu. Nawet jeśli Twój komputer ulegnie awarii, wszystkie Twoje dane będą dla Ciebie bezpieczne i dostępne.
Wszyscy pracownicy Smartcat i osoby trzecie posiadające administracyjny lub uprzywilejowany dostęp techniczny do systemów i sieci produkcyjnych Smartcat muszą ukończyć szkolenie w zakresie świadomości bezpieczeństwa w momencie zatrudnienia, a następnie co roku. Pracownicy i kontrahenci są świadomi odpowiednich polityk i procedur bezpieczeństwa informacji.
Plan reagowania na incydenty Smartcat określa wewnętrzne procedury, które należy wdrożyć w przypadku możliwego lub faktycznego nieuprawnionego dostępu do danych Smartcat lub klienta. Zgodnie z wymogami SOC 2 plan reagowania na incydenty jest poddawany corocznemu przeglądowi i testowaniu.
W przypadku zagrożenia ciągłości działania Smartcat może odzyskać dane przy minimalnych stratach, zgodnie z następującymi wskaźnikami:
Cel przywracania punktu nie dłuższy niż 24 godziny
Docelowy czas przywracania nie dłuższy niż 24 godziny
Smartcat przechowuje logi systemowe i aplikacyjne oraz aktywność użytkowników, które przechowywane są przez okres do 1 roku.
Smartcat przeprowadza regularne testy penetracyjne, które są dostępne dla klientów lub innych zainteresowanych stron na żądanie i pod warunkiem dodatkowej umowy o zachowaniu poufności ze Smartcat.
Aby ulepszyć usługi i funkcje Platformy Smartcat, Smartcat korzysta z zewnętrznych podwykonawców (partnerów i dostawców), którzy zawarli umowę o świadczenie usług z klauzulami poufności lub odrębną umowę o zachowaniu poufności ze Smartcat.
Działania Smartcat w zakresie prywatności opierają się na przepisach prawa obowiązujących w miejscach, gdzie Platforma Smartcat działa na całym świecie, które regulują ochronę danych osobowych, w tym m.in. RODO. Prywatność Twoich danych gwarantują Warunki świadczenia usług Smartcat ( https://www.smartcat.com/terms/ ) i Polityka prywatności Smartcat ( https://www.smartcat.com/privacy-policy/ ).
Ograniczona liczba pracowników i wykonawców Smartcat, którzy mają dostęp do danych osobowych i informacji, jest dokładnie sprawdzana przez nasz zespół ds. bezpieczeństwa i może wykorzystywać Twoje dane osobowe wyłącznie w ramach swojej pracy. Dodatkowo dostęp jest ograniczony procedurami autoryzacyjnymi i infrastrukturą, co sprawia, że pracownicy o niewystarczających uprawnieniach nie mają dostępu do danych osobowych.
Pracownicy i kontrahenci Smartcat muszą posiadać ważny identyfikator, nazwę użytkownika i hasło, aby uzyskać dostęp do sieci korporacyjnych. Ponadto, aby uzyskać dostęp do krytycznych systemów biznesowych, wymagana jest sieć VPN i uwierzytelnianie wieloskładnikowe.
Wszystkie konta w systemie są odizolowane, więc użytkownicy jednego konta nie mają dostępu do informacji na innym. Oznacza to, że wszystkie zasoby językowe są dostępne wyłącznie dla Ciebie i upoważnionych przez Ciebie użytkowników.
Dla klientów korporacyjnych możemy skonfigurować możliwość zarządzania użytkownikami za pośrednictwem firmowego dostawcy Single Sign-On (SSO). Smartcat obsługuje obecnie trzy główne systemy uwierzytelniania: ADFS, Azure AD i Okta. Aby uzyskać szczegółowe informacje, zapoznaj się z tym artykułem .
Fizyczne środki bezpieczeństwa w biurach, obiektach, dokumentacji papierowej i korporacyjnych systemach informatycznych Smartcat są stosowane w celu ochrony przed kradzieżą, niewłaściwym użyciem, zagrożeniami dla środowiska, nieautoryzowanym dostępem i innymi zagrożeniami dla poufności, integralności i dostępności tajnych danych i systemów. Środki kontroli fizycznej są następujące:
2 punkty kontrolne;
Dostęp do plakietki;
CCTV;
Bezpieczeństwo 24x7.
W przypadku poważnych zakłóceń mających wpływ na dostępność i/lub bezpieczeństwo biura Smartcat, personel i kierownictwo określą i zastosują działania łagodzące.
Środki bezpieczeństwa mające na celu ochronę kopii zapasowych stosowane są zgodnie z poufnością lub wrażliwością danych. Aby zabezpieczyć się przed utratą danych, regularnie tworzone są kopie zapasowe informacji, oprogramowania i obrazów systemu.
Kopie zapasowe na naszych serwerach i centrach danych są skonfigurowane tak, aby uruchamiać się codziennie w systemach objętych zakresem. Harmonogramy tworzenia kopii zapasowych są obsługiwane w oprogramowaniu do tworzenia kopii zapasowych.
Test odtwarzania po awarii, obejmujący test procesów przywracania kopii zapasowych, przeprowadzany jest raz w roku.
Zapewniona jest ciągłość bezpieczeństwa informacji i ciągłość działania.
Aby zapewnić prawidłowe i efektywne wykorzystanie kryptografii w celu ochrony poufności, autentyczności i/lub integralności informacji, Smartcat wykorzystuje klucze kryptograficzne, tj. podpis cyfrowy, szyfrowanie i skrót.
Informacje są szyfrowane w następujący sposób:
Platforma wykorzystuje protokół HTTPS/TLS w celu ochrony danych przesyłanych pomiędzy komputerem Użytkownika a serwerami Smartcat;
W przypadku certyfikatu internetowego Smartcat używa klucza podpisu cyfrowego, algorytmu DSA lub RSA PCKS#1, długość klucza 2048 bitów;
W przypadku szyfru internetowego Smartcat wykorzystuje typ klucza szyfrowania, algorytm AES, długość klucza 256 bitów;
Aby zapewnić poufność, Smartcat wykorzystuje typ klucza szyfrowania, algorytm AES, długość klucza 256 bitów;
Wszystkie hasła są przechowywane w postaci zaszyfrowanej i solonej (Bcrypt, PBKDF2 lub scrypt, typ klucza ECDH; długość klucza co najmniej 256 bitów), a kilka zewnętrznych autoryzowanych usług jest obsługiwanych przez OAuth 2.0. Wszystkie hasła w plikach konfiguracji produkcyjnej są szyfrowane, a certyfikaty wymagane do odszyfrowania konfiguracji są instalowane na maszynach produkcyjnych przez administratorów, do których nie mają dostępu inżynierowie niższego poziomu.
Smartcat kontroluje zmiany w organizacji, procesach biznesowych, urządzeniach do przetwarzania informacji i systemach, które wpływają na bezpieczeństwo informacji w środowisku produkcyjnym i systemach finansowych. Wszystkie istotne zmiany w systemach objętych zakresem są dokumentowane.
Procesy zarządzania zmianą obejmują:
Procesy planowania i testowania zmian, w tym środków zaradczych.
Udokumentowana zgoda i autoryzacja kierownictwa przed przystąpieniem do zmian, które mogą mieć znaczący wpływ na bezpieczeństwo informacji, operacje lub platformę produkcyjną.
Powiadomienie o zmianach z wyprzedzeniem, zawierające harmonogramy i opis racjonalnie przewidywanych skutków.
Dokumentacja wszystkich zmian awaryjnych i późniejszych przeglądów.
Proces korygowania nieudanych zmian.
Aby zapewnić, że bezpieczeństwo informacji jest projektowane i wdrażane w ramach cyklu życia aplikacji i systemów informatycznych, Smartcat stale wdraża procedury kontroli zmian w systemie, kontrolę wersji oprogramowania, przeglądy techniczne aplikacji po wprowadzeniu zmian w platformie, ograniczenia dotyczące zmian w pakietach oprogramowania, bezpieczną inżynierię systemu zasady, bezpieczne środowiska programistyczne, rozwój zlecany na zewnątrz, testowanie bezpieczeństwa systemu, testowanie akceptacyjne systemu i ochrona danych testowych.