Dieses Informationssicherheitsprogramm (das „Sicherheitsprogramm“) bezieht sich darauf, wie Smartcat die Informationen schützt, die es über die Website, Dienste und Technologieplattform von Smartcat unter https://www.smartcat.com/ (die „Smartcat-Plattform“) empfängt. Die Informationen, die Sie Smartcat zur Verfügung stellen, sind geschützt, da unser Sicherheitssystem Industriestandards und Compliance erfüllt. Das Sicherheitsprogramm gilt sowohl für die physische als auch für die IT-Systemsicherheit der Smartcat-Anwendung und -Infrastruktur.
Die engagierten Mitarbeiter und Vertragspartner von Smartcat unternehmen jede Anstrengung, um die Sicherheit von Informationen, elektronischen Geräten und Netzwerkressourcen zu gewährleisten.
Zur Sicherung von Informationen hält sich Smartcat an die Standardrichtlinien für IT-Unternehmen, einschließlich, jedoch nicht beschränkt auf die „Richtlinie zur Informationssicherheit“, den „Reaktionsplan für Vorfälle“, die „Kryptografierichtlinie“ und die „Richtlinie zur sicheren Entwicklung“. Smartcat überprüft diese Richtlinien mindestens einmal jährlich.
Smartcat verwendet Tier-IV-Rechenzentren in den USA, der EU und China, die von AWS und Microsoft Azure betrieben werden und SOC-1-, SOC-2- und SOC-3-konform sind.
Smartcat hat eine unabhängige Prüfung durch Dritte bestanden und ein SOC 2 Typ II-Sicherheitszertifikat erhalten.
Smartcat verwendet einen externen Zahlungsanbieter, der PCI DSS Level 1-konform ist, was die höchste Zertifizierungsstufe innerhalb des Payment Card Industry Data Security Standard darstellt.
Indem Sie Ihre Daten in der Cloud speichern, können Sie sicher sein, dass sie sicher sind. Eindringlinge könnten nicht darauf zugreifen, falls Ihr Computer gestohlen oder einem Virus ausgesetzt wird. Selbst wenn Ihr Computer kaputt geht, sind alle Ihre Daten sicher und für Sie verfügbar.
Alle Smartcat-Mitarbeiter und Drittparteien mit administrativem oder privilegiertem technischem Zugriff auf die Produktionssysteme und Netzwerke von Smartcat müssen bei der Einstellung und danach jährlich eine Schulung zum Thema Sicherheitsbewusstsein absolvieren. Mitarbeiter und Auftragnehmer sind sich der relevanten Informationssicherheitsrichtlinien und -verfahren bewusst.
Der Smartcat Incident Response-Plan beschreibt die internen Verfahren, die im Falle eines möglichen oder tatsächlichen unbefugten Zugriffs auf Smartcat- oder Kundendaten umgesetzt werden müssen. Gemäß den Anforderungen von SOC 2 wird der Incident-Response-Plan jährlich überprüft und getestet.
Im Falle einer Bedrohung der Geschäftskontinuität kann Smartcat Daten mit minimalen Verlusten gemäß den folgenden Indikatoren wiederherstellen:
Wiederherstellungspunkt Ziel von nicht mehr als 24 Stunden
Wiederherstellungszeit Ziel von nicht mehr als 24 Stunden
Smartcat speichert System- und Anwendungsprotokolle sowie Benutzeraktivitäten, die für einen Zeitraum von bis zu 1 Jahr aufbewahrt werden.
Smartcat führt regelmäßig Penetrationstests durch, die Kunden oder anderen interessierten Parteien auf Anfrage zur Verfügung stehen und einer zusätzlichen Geheimhaltungsvereinbarung mit Smartcat unterliegen.
Zur Verbesserung der Dienste und Funktionen der Smartcat-Plattform nutzt Smartcat Subunternehmer von Drittanbietern (Partner und Anbieter), die mit Smartcat einen Servicevertrag mit Vertraulichkeitsklauseln oder eine separate Geheimhaltungsvereinbarung abgeschlossen haben.
Die Datenschutzaktivitäten von Smartcat basieren auf den geltenden Gesetzen dort, wo die Smartcat-Plattform weltweit betrieben wird, die den Schutz personenbezogener Daten regeln, einschließlich, aber nicht beschränkt auf die DSGVO. Der Schutz Ihrer Daten wird durch die Smartcat Nutzungsbedingungen ( https://www.smartcat.com/terms/ ) und die Smartcat Datenschutzrichtlinie ( https://www.smartcat.com/privacy-policy/ ) garantiert.
Eine begrenzte Anzahl von Smartcat-Mitarbeitern und Vertragspartnern, die Zugriff auf personenbezogene Daten und Informationen haben, werden von unserem Sicherheitsteam gründlich überprüft und dürfen Ihre personenbezogenen Daten nur im Rahmen ihrer Arbeit verwenden. Darüber hinaus ist der Zugriff durch Berechtigungsverfahren und Infrastruktur eingeschränkt, was bedeutet, dass Mitarbeiter mit unzureichenden Rechten nicht auf personenbezogene Daten zugreifen können.
Mitarbeiter und Auftragnehmer von Smartcat müssen über eine gültige ID, einen Benutzernamen und ein Passwort verfügen, um auf die Unternehmensnetzwerke zugreifen zu können. Darüber hinaus sind VPN und Multi-Factor Authentication für den Zugriff auf geschäftskritische Systeme erforderlich.
Alle Konten im System sind isoliert, sodass Benutzer eines Kontos nicht auf die Informationen eines anderen Kontos zugreifen können. Das bedeutet, dass alle Sprachressourcen nur Ihnen und den von Ihnen autorisierten Benutzern zur Verfügung stehen.
Für Firmenkunden können wir die Möglichkeit konfigurieren, Benutzer über den Single Sign-On (SSO)-Anbieter des Unternehmens zu verwalten. Smartcat unterstützt derzeit drei große Authentifizierungssysteme: ADFS, Azure AD und Okta. Einzelheiten finden Sie in diesem Artikel .
Es werden physische Sicherheitsmaßnahmen für die Büros, Einrichtungen, Papierunterlagen und IT-Systeme des Unternehmens von Smartcat ergriffen, um vor Diebstahl, Missbrauch, Umweltgefahren, unbefugtem Zugriff und anderen Bedrohungen der Vertraulichkeit, Integrität und Verfügbarkeit vertraulicher Daten und Systeme zu schützen. Die physischen Kontrollmaßnahmen sind wie folgt:
2 Kontrollpunkte;
Ausweiszugang;
Videoüberwachung;
Sicherheit rund um die Uhr.
Im Falle einer größeren Störung, die die Verfügbarkeit und/oder Sicherheit des Smartcat-Büros beeinträchtigt, werden Mitarbeiter und Management Abhilfemaßnahmen festlegen und anwenden.
Sicherheitsmaßnahmen zum Schutz von Backups werden entsprechend der Vertraulichkeit oder Sensibilität der Daten angewendet. Zum Schutz vor Datenverlust werden regelmäßig Sicherungskopien von Informationen, Software und Systemabbildern erstellt.
Backups auf unseren Servern und in unseren Rechenzentren werden so konfiguriert, dass sie täglich auf den betroffenen Systemen ausgeführt werden. Die Backup-Zeitpläne werden in der Backup-Anwendungssoftware verwaltet.
Einmal jährlich wird ein Notfallwiederherstellungstest durchgeführt, der auch einen Test der Prozesse zur Wiederherstellung der Sicherungen umfasst.
Die Kontinuität der Informationssicherheit wird zusammen mit der Betriebskontinuität gewährleistet.
Um einen ordnungsgemäßen und effektiven Einsatz der Kryptografie zum Schutz der Vertraulichkeit, Authentizität und/oder Integrität von Informationen zu gewährleisten, verwendet Smartcat kryptografische Schlüssel, d. h. digitale Signaturen, Verschlüsselung und Hashes.
Informationen werden wie folgt verschlüsselt:
Die Plattform verwendet ein HTTPS/TLS-Protokoll, um Daten bei der Übertragung zwischen dem Computer des Benutzers und Smartcat-Servern zu schützen;
Für das Webzertifikat verwendet Smartcat einen digitalen Signaturschlüsseltyp, DSA- oder RSA-PCKS#1-Algorithmus, 2048-Bit-Schlüssellänge;
Für die Webverschlüsselung verwendet Smartcat den Verschlüsselungsschlüsseltyp, den AES-Algorithmus, eine Schlüssellänge von 256 Bit;
Aus Vertraulichkeitsgründen verwendet Smartcat einen Verschlüsselungsschlüsseltyp, AES-Algorithmus, 256-Bit-Schlüssellänge;
Alle Passwörter werden in gehashter und gesalzter Form gespeichert (Bcrypt, PBKDF2 oder scrypt, ECDH-Schlüsseltyp; mindestens 256 Bit Schlüssellänge), und mehrere externe autorisierte Dienste werden über OAuth 2.0 unterstützt. Alle Passwörter in den Produktionskonfigurationsdateien werden verschlüsselt, und die zum Entschlüsseln von Konfigurationen erforderlichen Zertifikate werden von Administratoren auf den Produktionsmaschinen installiert, auf die untergeordnete Techniker nicht zugreifen können.
Smartcat kontrolliert Änderungen an der Organisation, den Geschäftsprozessen, den Informationsverarbeitungseinrichtungen und -systemen, die die Informationssicherheit in der Produktionsumgebung und den Finanzsystemen betreffen. Alle wesentlichen Änderungen an den betroffenen Systemen werden dokumentiert.
Zu den Änderungsmanagementprozessen gehören:
Prozesse zum Planen und Testen von Änderungen, einschließlich Korrekturmaßnahmen.
Dokumentierte Genehmigung und Autorisierung durch das Management, bevor mit Änderungen fortgefahren wird, die erhebliche Auswirkungen auf die Informationssicherheit, den Betrieb oder die Produktionsplattform haben können.
Vorankündigung von Änderungen, einschließlich Zeitplänen und einer Beschreibung vernünftigerweise zu erwartender Auswirkungen.
Dokumentation aller Notfalländerungen und anschließender Überprüfungen.
Ein Prozess zum Korrigieren fehlgeschlagener Änderungen.
Um sicherzustellen, dass Informationssicherheit innerhalb des Entwicklungslebenszyklus von Anwendungen und Informationssystemen entworfen und implementiert wird, implementiert Smartcat kontinuierlich Verfahren zur Systemänderungssteuerung, Softwareversionskontrollen, technische Überprüfungen von Anwendungen nach Plattformänderungen, Beschränkungen für Änderungen an Softwarepaketen, Prinzipien der sicheren Systemtechnik, sichere Entwicklungsumgebungen, ausgelagerte Entwicklung, Systemsicherheitstests, Systemabnahmetests und Schutz von Testdaten.