Questo programma di sicurezza delle informazioni (il "Programma di sicurezza") si riferisce al modo in cui Smartcat protegge le informazioni ricevute attraverso il sito Web, i servizi e la piattaforma tecnologica di Smartcat situati all'indirizzo https://www.smartcat.com/ (la "Piattaforma Smartcat"). Le informazioni fornite a Smartcat sono protette poiché il nostro sistema di sicurezza soddisfa gli standard e la conformità del settore. Il programma di sicurezza si applica sia alla sicurezza fisica che a quella dei sistemi IT dell'applicazione e dell'infrastruttura Smartcat.
I dipendenti e i collaboratori esterni di Smartcat fanno ogni sforzo per garantire la sicurezza delle informazioni, dei dispositivi elettronici e delle risorse di rete.
Per proteggere le informazioni, Smartcat aderisce alle politiche standard per le società IT, incluse ma non limitate a "Politica sulla sicurezza delle informazioni", "Piano di risposta agli incidenti", "Politica sulla crittografia" e "Politica sullo sviluppo sicuro". Smartcat rivede queste politiche almeno una volta l'anno.
Smartcat utilizza data center di livello IV negli Stati Uniti, nell'UE e in Cina, gestiti da AWS e Microsoft Azure, conformi a SOC-1, SOC-2 e SOC-3.
Smartcat ha superato un audit di terze parti indipendente e ha ricevuto un certificato di sicurezza SOC 2 di tipo II.
Smartcat utilizza un fornitore di servizi di pagamento di terze parti conforme allo standard PCI DSS Level 1, che è il più alto livello di certificazione all'interno dello standard di sicurezza dei dati del settore delle carte di pagamento.
Ospitando i tuoi dati nel cloud, puoi essere sicuro della loro sicurezza. Gli intrusi non sarebbero in grado di accedervi nel caso in cui il tuo computer venga rubato o esposto a un virus. Anche se il tuo computer è rotto, tutti i tuoi dati saranno al sicuro e disponibili per te.
Tutti i dipendenti Smartcat e le terze parti con accesso amministrativo o tecnico privilegiato ai sistemi e alle reti di produzione Smartcat devono completare la formazione sulla consapevolezza della sicurezza al momento dell'assunzione e successivamente ogni anno. I dipendenti e gli appaltatori sono a conoscenza delle politiche e delle procedure di sicurezza delle informazioni pertinenti.
Il piano di Incident Response di Smartcat delinea le procedure interne da attuare in caso di possibile o effettivo accesso non autorizzato a Smartcat o ai dati del cliente. In conformità ai requisiti SOC 2, il piano di risposta agli incidenti viene rivisto e testato su base annuale.
In caso di minaccia alla continuità aziendale, Smartcat può recuperare i dati con perdite minime in base ai seguenti indicatori:
Punto di ripristino Obiettivo di non più di 24 ore
Obiettivo tempo di ripristino non superiore a 24 ore
Smartcat memorizza i registri di sistema e delle applicazioni, nonché l'attività dell'utente, che vengono conservati per un periodo massimo di 1 anno.
Smartcat effettua regolarmente test di penetrazione che sono disponibili ai clienti o ad altre parti interessate su richiesta e soggetti a un ulteriore accordo di non divulgazione con Smartcat.
Per migliorare i servizi e le funzioni della piattaforma Smartcat, Smartcat utilizza subappaltatori terzi (partner e fornitori), che hanno stipulato un accordo di servizio con clausole di riservatezza o un accordo di non divulgazione separato con Smartcat.
Le attività sulla privacy di Smartcat si basano sulle leggi applicabili in cui opera la piattaforma Smartcat in tutto il mondo, che regolano la protezione dei dati personali, incluso ma non limitato al GDPR. La privacy dei tuoi dati è garantita dai Termini di servizio di Smartcat ( https://www.smartcat.com/terms/ ) e dall'Informativa sulla privacy di Smartcat ( https://www.smartcat.com/privacy-policy/ ).
Un numero limitato di dipendenti e appaltatori di Smartcat che hanno accesso a dati e informazioni personali vengono accuratamente controllati dal nostro team di sicurezza e possono utilizzare i tuoi dati personali solo come parte del loro lavoro. Inoltre, l'accesso è limitato dalle procedure e dall'infrastruttura di autorizzazione, il che significa che i dipendenti con diritti insufficienti non possono accedere ai dati personali.
I dipendenti e i collaboratori esterni di Smartcat devono disporre di un ID, nome utente e password validi per accedere alle reti aziendali. Inoltre, VPN e Multi-Factor Authentication sono necessarie per accedere ai sistemi aziendali critici.
Tutti gli account nel sistema sono isolati, quindi gli utenti di un account non possono accedere alle informazioni di un altro. Ciò significa che tutte le risorse linguistiche sono disponibili solo per te e per gli utenti che autorizzi.
Per i clienti aziendali, possiamo configurare la capacità di gestire gli utenti tramite il provider Single Sign-On (SSO) dell'azienda. Smartcat attualmente supporta tre principali sistemi di autenticazione: ADFS, Azure AD e Okta. Per i dettagli, fare riferimento a questo articolo .
Le misure di sicurezza fisica per gli uffici, le strutture, i registri cartacei e i sistemi IT aziendali di Smartcat vengono applicate per proteggere da furti, usi impropri, minacce ambientali, accesso non autorizzato e altre minacce alla riservatezza, all'integrità e alla disponibilità di dati e sistemi classificati. Le misure di controllo fisico sono le seguenti:
2 posti di blocco;
Accesso al badge;
videosorveglianza;
Sicurezza 24 ore su 24, 7 giorni su 7.
In caso di grave interruzione che incida sulla disponibilità e/o sulla sicurezza dell'ufficio Smartcat, il personale e la direzione determineranno e applicheranno azioni di mitigazione.
Le misure di sicurezza per proteggere i backup vengono applicate in conformità con la riservatezza o la sensibilità dei dati. Copie di backup di informazioni, software e immagini di sistema vengono eseguite regolarmente per proteggersi dalla perdita di dati.
I backup sui nostri server e data center sono configurati per essere eseguiti quotidianamente sui sistemi interessati. Le pianificazioni di backup vengono mantenute all'interno del software dell'applicazione di backup.
Su base annuale viene eseguito un test di ripristino di emergenza, incluso un test dei processi di ripristino del backup.
È assicurata la continuità della sicurezza delle informazioni insieme alla continuità operativa.
Per garantire un uso corretto ed efficace della crittografia per proteggere la riservatezza, l'autenticità e/o l'integrità delle informazioni, Smartcat utilizza chiavi crittografiche, ovvero firma digitale, crittografia e hash.
Le informazioni vengono crittografate come segue:
La Piattaforma utilizza un protocollo HTTPS/TLS per proteggere i dati in transito tra il computer dell'Utente ei server Smartcat;
Per il certificato Web, Smartcat utilizza un tipo di chiave di firma digitale, algoritmo DSA o RSA PCKS#1, lunghezza della chiave di 2048 bit;
Per la cifratura web, Smartcat utilizza il tipo di chiave di crittografia, l'algoritmo AES, la lunghezza della chiave a 256 bit;
Per la riservatezza, Smartcat utilizza il tipo di chiave di crittografia, l'algoritmo AES, la lunghezza della chiave a 256 bit;
Tutte le password sono archiviate in forma hash e salata (Bcrypt, PBKDF2 o scrypt, tipo di chiave ECDH; lunghezza della chiave di almeno 256 bit) e diversi servizi autorizzati esterni sono supportati tramite OAuth 2.0. Tutte le password nei file di configurazione di produzione sono crittografate e i certificati necessari per decrittografare le configurazioni vengono installati sulle macchine di produzione dagli amministratori, a cui non possono accedere i tecnici di livello inferiore.
Smartcat controlla le modifiche all'organizzazione, ai processi aziendali, alle strutture di elaborazione delle informazioni e ai sistemi che influiscono sulla sicurezza delle informazioni nell'ambiente di produzione e nei sistemi finanziari. Tutte le modifiche significative ai sistemi in ambito sono documentate.
I processi di gestione del cambiamento includono:
Processi per la pianificazione e il test delle modifiche, comprese le misure correttive.
Approvazione e autorizzazione gestionale documentata prima di procedere con modifiche che potrebbero avere un impatto significativo sulla sicurezza delle informazioni, sulle operazioni o sulla piattaforma di produzione.
Preavviso delle modifiche, compresi i programmi e una descrizione degli effetti ragionevolmente previsti.
Documentazione di tutte le modifiche di emergenza e revisioni successive.
Un processo per correggere le modifiche non riuscite.
Per garantire che la sicurezza delle informazioni sia progettata e implementata nell'ambito del ciclo di vita dello sviluppo di applicazioni e sistemi informativi, Smartcat implementa continuamente procedure di controllo delle modifiche del sistema, controlli della versione del software, revisioni tecniche delle applicazioni dopo aver apportato modifiche alla piattaforma, restrizioni sulle modifiche ai pacchetti software, ingegneria di sistema sicura principi, ambienti di sviluppo sicuri, sviluppo in outsourcing, test di sicurezza del sistema, test di accettazione del sistema e protezione dei dati di test.