本信息安全计划(“安全计划”)涉及 Smartcat 如何保护通过位于https://www.smartcat.com/的 Smartcat 网站、服务和技术平台(“Smartcat 平台”)收到的信息。您提供的 Smartcat 信息受到保护,因为我们的安全系统符合行业标准和合规性。安全计划适用于 Smartcat 应用程序和基础设施的物理和 IT 系统安全。
Smartcat 的专职员工和承包商竭尽全力确保信息、电子设备和网络资源的安全。
为了确保信息安全,Smartcat 遵守 IT 公司的标准政策,包括但不限于“信息安全政策”、“事件响应计划”、“加密政策”和“安全开发政策”。Smartcat 至少每年审查一次这些政策。
Smartcat 在美国、欧盟和中国使用 Tier IV 数据中心,由 AWS 和 Microsoft Azure 运行,符合 SOC-1、SOC-2 和 SOC-3 标准。
Smartcat 通过了独立的第三方审核并获得了 SOC 2 Type II 安全证书。
Smartcat 使用符合 PCI DSS Level 1 标准的第三方支付提供商,这是支付卡行业数据安全标准中最高级别的认证。
通过将数据存储在云中,您可以确保其安全。如果您的计算机被盗或感染病毒,入侵者将无法访问它。即使您的计算机坏了,您的所有数据都将是安全的,可供您使用。
所有 Smartcat 员工和对 Smartcat 生产系统和网络具有管理或特权技术访问权限的第三方都必须在入职时以及此后每年完成安全意识培训。员工和承包商了解相关的信息安全政策和程序。
Smartcat 事件响应计划概述了在可能或实际未经授权访问 Smartcat 或客户数据时要实施的内部程序。根据 SOC 2 的要求,每年都会审查和测试事件响应计划。
当业务连续性受到威胁时,Smartcat 可以根据以下指标以最小的损失恢复数据:
不超过 24 小时的还原点目标
恢复时间目标不超过 24 小时
Smartcat 存储系统和应用程序日志以及用户活动,保存期限最长为 1 年。
Smartcat 会定期进行渗透测试,客户或其他相关方可根据要求进行测试,但须与 Smartcat 签订额外的保密协议。
为了增强 Smartcat 平台服务和功能,Smartcat 使用第三方分包商(合作伙伴和供应商),他们与 Smartcat 签订了包含保密条款的服务协议或单独的保密协议。
Smartcat 隐私活动基于 Smartcat 平台在世界各地运营所在地适用的法律,这些法律管辖个人数据的保护,包括但不限于 GDPR。Smartcat 服务条款 ( https://www.smartcat.com/terms/ ) 和 Smartcat 隐私政策 ( https://www.smartcat.com/privacy-policy/ ) 保证您的数据隐私。
我们的安全团队会对有限数量的有权访问个人数据和信息的 Smartcat 员工和承包商进行彻底检查,并且他们只能在工作中使用您的个人数据。此外,访问受授权程序和基础设施的限制,这意味着权限不足的员工无法访问个人数据。
Smartcat 员工和承包商必须拥有有效的 ID、用户名和密码才能访问公司网络。此外,访问关键业务系统需要 VPN 和多重身份验证。
系统中的所有账户都是独立的,因此一个账户的用户无法访问另一个账户的信息。这意味着所有语言资源仅供您和您授权的用户使用。
对于企业客户,我们可以配置通过公司的单点登录 (SSO) 提供商管理用户的能力。Smartcat 目前支持三大认证系统:ADFS、Azure AD 和 Okta。详情请参考这篇文章。
Smartcat 办公室、设施、纸质记录和企业 IT 系统采用物理安全措施,以防止盗窃、滥用、环境威胁、未经授权的访问以及其他对机密数据和系统的机密性、完整性和可用性的威胁。物理控制措施如下:
2个检查站;
徽章访问;
中央电视台;
24x7 安全。
如果发生重大中断,影响 Smartcat 办公室的可用性和/或安全性,工作人员和管理层将确定并采取缓解措施。
根据数据的机密性或敏感性采用保护备份的安全措施。定期备份信息、软件和系统映像以防止数据丢失。
我们的服务器和数据中心的备份配置为在范围内的系统上每天运行。备份计划在备份应用程序软件中维护。
每年进行一次灾难恢复测试,包括备份恢复过程测试。
在确保运营连续性的同时,也确保了信息安全的连续性。
为了确保正确有效地使用加密技术来保护信息的机密性、真实性和/或完整性,Smartcat 使用加密密钥,即数字签名、加密和哈希。
信息加密如下:
该平台使用 HTTPS/TLS 协议来保护在用户计算机和 Smartcat 服务器之间传输的数据;
对于web证书,Smartcat使用数字签名密钥类型,DSA或RSA PCKS#1算法,2048位密钥长度;
对于网络密码,Smartcat 使用加密密钥类型,AES 算法,256 位密钥长度;
为了保密,Smartcat使用加密密钥类型,AES算法,256位密钥长度;
所有密码都以散列和加盐形式存储(Bcrypt、PBKDF2 或 scrypt、ECDH 密钥类型;至少 256 位密钥长度),并且通过 OAuth 2.0 支持多种外部授权服务。生产配置文件中的所有密码都是加密的,解密配置所需的证书由管理员安装在生产机器上,下级工程师无法访问。
Smartcat 控制影响生产环境和财务系统信息安全的组织、业务流程、信息处理设施和系统的变更。记录范围内系统的所有重大变化。
变更管理流程包括:
规划和测试变更的流程,包括补救措施。
在进行可能对信息安全、运营或生产平台产生重大影响的更改之前,记录管理批准和授权。
提前通知变更,包括时间表和合理预期效果的描述。
所有紧急变更和后续审查的文件。
修复不成功更改的过程。
为了确保在应用程序和信息系统的开发生命周期内设计和实施信息安全,Smartcat 持续实施系统变更控制程序、软件版本控制、平台变更后的应用程序技术审查、软件包变更限制、安全系统工程原则、安全开发环境、外包开发、系统安全测试、系统验收测试和测试数据保护。