Este programa de seguridad de la información (el “Programa de Seguridad”) se relaciona con cómo Smartcat protege la información recibida a través del sitio web, los servicios y la plataforma tecnológica de Smartcat ubicados en https://www.smartcat.com/ (la “Plataforma Smartcat”). La información que proporciona Smartcat está protegida ya que nuestro sistema de seguridad cumple con los estándares y el cumplimiento de la industria. El Programa de seguridad se aplica tanto a la seguridad física como a la de los sistemas de TI de la aplicación y la infraestructura de Smartcat.
Los dedicados empleados y contratistas de Smartcat hacen todo lo posible para garantizar la seguridad de la información, los dispositivos electrónicos y los recursos de la red.
Para proteger la información, Smartcat se adhiere a políticas estándar para empresas de TI, que incluyen, entre otras, la “Política de seguridad de la información”, el “Plan de respuesta a incidentes”, la “Política de criptografía” y la “Política de desarrollo seguro”. Smartcat revisa estas políticas al menos una vez al año.
Smartcat utiliza centros de datos de nivel IV en los EE. UU., la UE y China, administrados por AWS y Microsoft Azure, que cumplen con SOC-1, SOC-2 y SOC-3.
Smartcat pasó una auditoría independiente de terceros y recibió un certificado de seguridad SOC 2 Tipo II.
Smartcat utiliza un proveedor de pago externo que cumple con PCI DSS Nivel 1, que es el nivel más alto de certificación dentro del Estándar de seguridad de datos de la industria de tarjetas de pago.
Al alojar tus datos en la nube, puedes estar seguro de su seguridad. Los intrusos no podrían acceder a él en caso de que su computadora sea robada o expuesta a un virus. Incluso si su computadora está rota, todos sus datos estarán seguros y disponibles para usted.
Todos los empleados de Smartcat y terceros con acceso administrativo o técnico privilegiado a los sistemas y redes de producción de Smartcat deben completar una capacitación en concientización sobre seguridad en el momento de la contratación y anualmente a partir de entonces. Los empleados y contratistas conocen las políticas y procedimientos de seguridad de la información pertinentes.
El plan de respuesta a incidentes de Smartcat describe los procedimientos internos que se implementarán en caso de un acceso no autorizado posible o real a Smartcat o a los datos del cliente. Siguiendo los requisitos de SOC 2, el plan de respuesta a incidentes se revisa y prueba anualmente.
En caso de una amenaza a la continuidad del negocio, Smartcat puede recuperar datos con pérdidas mínimas de acuerdo con los siguientes indicadores:
Punto de restauración Objetivo de no más de 24 horas
Tiempo de restauración Objetivo de no más de 24 horas
Smartcat almacena registros del sistema y de las aplicaciones, así como la actividad del usuario, que se mantienen por un período de hasta 1 año.
Smartcat lleva a cabo pruebas de penetración periódicas que están disponibles para los clientes u otras partes interesadas previa solicitud y sujetas a un acuerdo de confidencialidad adicional con Smartcat.
Para mejorar los servicios y funciones de la Plataforma Smartcat, Smartcat utiliza subcontratistas externos (socios y proveedores), que han firmado un acuerdo de servicio con cláusulas de confidencialidad o un acuerdo de confidencialidad separado con Smartcat.
Las actividades de privacidad de Smartcat se basan en las leyes aplicables donde opera la Plataforma Smartcat en todo el mundo, que rigen la protección de datos personales, incluido, entre otros, el RGPD. La privacidad de sus datos está garantizada por los Términos de servicio de Smartcat ( https://www.smartcat.com/terms/ ) y la Política de privacidad de Smartcat ( https://www.smartcat.com/privacy-policy/ ).
Nuestro equipo de seguridad verifica minuciosamente un número limitado de empleados y contratistas de Smartcat que tienen acceso a información y datos personales y solo pueden utilizar sus datos personales como parte de su trabajo. Además, el acceso está limitado por los procedimientos de autorización y la infraestructura, lo que significa que los empleados con derechos insuficientes no pueden acceder a los datos personales.
Los empleados y contratistas de Smartcat deben tener una identificación, nombre de usuario y contraseña válidos para acceder a las redes corporativas. Además, se requiere VPN y Multi-Factor Authentication para acceder a los sistemas comerciales críticos.
Todas las cuentas del sistema están aisladas, por lo que los usuarios de una cuenta no pueden acceder a la información de otra. Esto significa que todos los recursos lingüísticos solo están disponibles para usted y los usuarios que autorice.
Para los clientes corporativos, podemos configurar la capacidad de administrar usuarios a través del proveedor de inicio de sesión único (SSO) de la empresa. Smartcat actualmente admite tres sistemas de autenticación principales: ADFS, Azure AD y Okta. Para obtener más información, consulte este artículo .
Se aplican medidas de seguridad física para las oficinas, instalaciones, registros en papel y sistemas de TI corporativos de Smartcat para proteger contra robo, mal uso, amenazas ambientales, acceso no autorizado y otras amenazas a la confidencialidad, integridad y disponibilidad de datos y sistemas clasificados. Las medidas de control físico son las siguientes:
2 puestos de control;
acceso de credencial;
circuito cerrado de televisión;
Seguridad 24x7.
En caso de una interrupción importante que afecte la disponibilidad y/o seguridad de la oficina de Smartcat, el personal y la gerencia determinarán y aplicarán acciones de mitigación.
Las medidas de seguridad para proteger las copias de seguridad se aplican de acuerdo con la confidencialidad o sensibilidad de los datos. Las copias de seguridad de la información, el software y las imágenes del sistema se realizan periódicamente para proteger contra la pérdida de datos.
Las copias de seguridad de nuestros servidores y centros de datos están configuradas para ejecutarse diariamente en los sistemas dentro del alcance. Los programas de copia de seguridad se mantienen dentro del software de la aplicación de copia de seguridad.
Anualmente se realiza una prueba de recuperación ante desastres, que incluye una prueba de los procesos de restauración de copias de seguridad.
Se garantiza la continuidad de la seguridad de la información junto con la continuidad operativa.
Para garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información, Smartcat utiliza claves criptográficas, es decir, firma digital, cifrado y hash.
La información se cifra de la siguiente manera:
La Plataforma utiliza un protocolo HTTPS/TLS para proteger los datos en tránsito entre la computadora del Usuario y los servidores de Smartcat;
Para el certificado web, Smartcat utiliza un tipo de clave de firma digital, algoritmo DSA o RSA PCKS#1, longitud de clave de 2048 bits;
Para el cifrado web, Smartcat utiliza el tipo de clave de cifrado, algoritmo AES, longitud de clave de 256 bits;
Para confidencialidad, Smartcat utiliza el tipo de clave de cifrado, algoritmo AES, longitud de clave de 256 bits;
Todas las contraseñas se almacenan en formato hash y salado (Bcrypt, PBKDF2 o scrypt, tipo de clave ECDH; longitud de clave de al menos 256 bits), y se admiten varios servicios externos autorizados a través de OAuth 2.0. Todas las contraseñas en los archivos de configuración de producción están cifradas y los certificados necesarios para descifrar las configuraciones están instalados en las máquinas de producción por parte de los administradores, a los que no pueden acceder los ingenieros de nivel inferior.
Smartcat controla los cambios en la organización, los procesos comerciales, las instalaciones de procesamiento de información y los sistemas que afectan la seguridad de la información en el entorno de producción y los sistemas financieros. Todos los cambios significativos a los sistemas dentro del alcance están documentados.
Los procesos de gestión de cambios incluyen:
Procesos para la planificación y prueba de cambios, incluidas las medidas de remediación.
Aprobación y autorización administrativa documentada antes de proceder con cambios que puedan tener un impacto significativo en la seguridad de la información, las operaciones o la plataforma de producción.
Notificación anticipada de cambios, incluidos los horarios y una descripción de los efectos razonablemente anticipados.
Documentación de todos los cambios de emergencia y revisiones posteriores.
Un proceso para remediar cambios fallidos.
Para garantizar que la seguridad de la información se diseñe e implemente dentro del ciclo de vida de desarrollo de aplicaciones y sistemas de información, Smartcat implementa continuamente procedimientos de control de cambios del sistema, controles de versiones de software, revisiones técnicas de las aplicaciones después de realizar cambios de plataforma, restricciones a los cambios en los paquetes de software, ingeniería de sistemas seguros. principios, entornos de desarrollo seguros, desarrollo subcontratado, pruebas de seguridad del sistema, pruebas de aceptación del sistema y protección de datos de prueba.