Witboek over beveiliging
Lees meer over hoe Deskpro ervoor zorgt dat de gegevens in uw helpdesk altijd veilig zijn, of u nu kiest voor cloud- of on-premise-implementatie.
BEVEILIGING
Of u uw helpdesk nu in de cloud of op locatie inzet, wij blijven ons inzetten voor de bescherming en beveiliging van uw gegevens.
De bescherming van uw gegevens is en is altijd onze prioriteit geweest. We begrijpen de waarde en gevoeligheid van uw privégegevens, dus implementeren we robuuste beveiligingsmaatregelen, ontworpen met de hoogste normen van betrouwbaarheid en betrouwbaarheid. Onze missie is eenvoudig: u absolute gemoedsrust bieden als het gaat om uw gegevensbeveiliging.
Deskpro streeft ernaar voortdurend de kennis van het zich ontwikkelende applicatiebeveiligingslandschap op peil te houden en ervoor te zorgen dat best practices op het gebied van beveiliging in de hele organisatie worden nageleefd.
We bieden klanten een breed scala aan aanpassingen, waaronder klanten die kunnen kiezen hoe ze Deskpro willen inzetten, in de cloud of op locatie (zelf gehost), en waar uw gegevens worden opgeslagen. Voor onze Cloud-hosting gebruiken we toonaangevende AWS.
De beveiligingspraktijk van Deskpro is erop gericht om ongeoorloofde toegang tot klantgegevens te voorkomen. We zijn altijd op zoek naar manieren waarop we de beveiliging van Deskpro kunnen verbeteren door uitgebreide stappen te ondernemen om risico's op te sporen en te beperken.
Er vinden regelmatig managementveiligheidsbeoordelingen plaats om alle gebieden aan te pakken waarvan wij denken dat deze verbeterd en verder beveiligd kunnen worden. De implementatie hiervan kan plaatsvinden door middel van nieuwe beveiligingscertificeringen, compliance of testen door derden om best practices te garanderen en de beveiliging in heel Deskpro te verbeteren.
Lees meer over hoe Deskpro ervoor zorgt dat de gegevens in uw helpdesk altijd veilig zijn, of u nu kiest voor cloud- of on-premise-implementatie.
GDPR is de grootste wijziging in de Europese wetgeving inzake gegevensprivacy in meer dan twintig jaar. Deskpro biedt tools in het product, evenals onze DPA, zodat u met Deskpro aan de AVG kunt voldoen.
Deskpro handhaaft een hoog beschikbaarheidsniveau op het cloudplatform, gemiddeld ruim 99,9%. U kunt de status van de cloudsoftware controleren op onze publiekelijk beschikbare statuspagina.
Onze datacenterprovider voor cloudservices (AWS) exploiteert ultramoderne datacenters die voldoen aan ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield en SOC 2 Type.
Geautomatiseerde branddetectie- en -blussystemen worden geïnstalleerd in netwerk-, mechanische en infrastructuurgebieden. Alle AWS-datacenters zijn gebouwd volgens N+1-redundantienormen.
Onze datacenterfaciliteiten beschikken over 24/7 personeel op locatie, fysieke toegangspunten tot serverruimtes die zijn voorzien van cameratoezicht, biometrische beveiligingsprocedures en 24-uurs bewaking om bescherming te bieden tegen ongeoorloofde toegang en fysieke inbreuken op de beveiliging. Ze vereisen ook antecedentenonderzoek voor alle werknemers als onderdeel van het pre-employment screeningproces.
De Global Security Operation Centers van AWS voeren 24/7 monitoring uit van de toegang tot datacenters, waarbij elektronische inbraakdetectiesystemen in de datalaag worden geïnstalleerd. Systemen worden voortdurend gemonitord door het Deskpro Security Team.
Deskpro biedt de implementatie van Cloud-accounts op datacenters in de VS, de EU of het VK. Klanten kunnen standaard kiezen in welke regio zij hun data exclusief willen hosten.
Enterprise-plan klanten kunnen ervoor kiezen om te hosten in 1 van de 22 landen over de hele wereld.
Elke faciliteit is uitgerust met een ononderbroken stroomvoorziening (UPS) en back-upgeneratoren in geval van stroomonderbreking.
Elk van onze datacenters heeft een gecontroleerde perimeterlaag met 24/7 on-site beveiligingsteams, beperkte en gecontroleerde fysieke toegang, multi-factor authenticatie, elektronische inbraakdetectiesystemen en deuralarmering.
Het beveiligingsteam van Deskpro is over de hele wereld verspreid. Ze bieden 24/7 monitoring en reactie op beveiligingsincidenten en waarschuwingen.
Het openbare netwerk van Deskpro wordt beschermd door Cloudflare Enterprise, dat al het binnenkomende verkeer van internet filtert. Publieke e-mailservers worden beschermd door AWS Shield, dat op dezelfde manier inkomend verkeer van internet controleert en filtert. Er worden geen andere diensten of toegang tot het openbare internet verleend.
Binnen het interne privénetwerk van Deskpro, dat niet toegankelijk is vanaf het openbare internet, maken we gebruik van AWS-beveiligingsgroepen en IAM-controles om de communicatie tussen componenten te vergrendelen, dus toegang tot services moet expliciet worden verleend op basis van behoefte. We maken het onmogelijk voor systemen om met elkaar te communiceren zonder dat we dit expliciet hebben geconfigureerd en gepland.
De systeemauditlogboeken van Deskpro worden altijd bijgehouden en gecontroleerd op afwijkingen, en we maken gebruik van gecontracteerde externe DDoS-providers om ons te beschermen tegen gedistribueerde aanvallen. Dit omvat zowel AWS Shield Guards als Cloudflare.
Toegang tot hostingservers en live-omgevingen wordt verleend via toegang met de minste bevoegdheden. Een zeer beperkt aantal werknemers heeft toegang tot live-omgevingen, waarvoor ook meerdere beveiligingsniveaus vereist zijn.
Deskpro houdt de cloudservice 24/7 in de gaten en heeft 24/7 een responsteam paraat om te reageren op beveiligingsincidenten. Onze hostingprovider, AWS, biedt ook 24/7 wereldwijde monitoring en ondersteuning voor de datacenters met meerdere locaties die worden gebruikt voor Deskpro Cloud.
Er wordt in het hele netwerk een kwetsbaarheidsscan uitgevoerd om potentieel kwetsbare systemen te identificeren en het beveiligingsteam in staat te stellen eventuele zwakke punten snel te beoordelen.
Deskpro slaat geen creditcardgegevens op. We gebruiken externe PCI-compatibele services (Spreedly en Stripe) om factureringsdiensten te leveren.
Uw creditcardgegevens passeren tijdelijk onze servers en om deze reden zijn wij geverifieerd als conform de Payment Card Industry Data Security Standard (PCI DSS).
We hebben een speciale afdeling Quality Assurance (QA) die onze codebasis test, beoordeelt en triageert. Voor elke update of release van de software worden tests uitgevoerd door ontwikkelings-, ondersteunings- en QA-teams met een aanpak op meerdere niveaus.
Er zijn aparte omgevingen voor zowel staging als testen. Deze omgevingen zijn zowel logisch als fysiek gescheiden van de live-productieomgeving. Er worden geen klantgegevens gebruikt bij het testen of ontwikkelen.
Deskpro wordt getest met unit-tests, menselijke audits, applicatie-penetratietests, statische analyse en functionele tests. Jaarlijks worden ook penetratietesten door derden uitgevoerd.
Deskpro is gebouwd om veelvoorkomende aanvalsvectoren te beperken; zoals SQL-injectieaanvallen en cross-site scripting-aanvallen (XSS). Deskpro Cloud maakt ook gebruik van de zakelijke Web Application Firewall (WAF) van CloudFlare om verdachte verzoeken automatisch te blokkeren of uit te dagen.
Alle klantgegevens worden gecodeerd opgeslagen op AWS-servers (met het AES-256-coderingsalgoritme).
Alle gegevens die naar en van het Deskpro-platform worden verzonden, worden via de draad gecodeerd in overeenstemming met de beste praktijken in de sector. Webverkeer via HTTP wordt beveiligd door CloudFlare met TLS 1.2 of 1.3 met behulp van bewezen veilige coderingssuites.
Meer informatie over SSL/TLS bij CloudFlare
Beheerders kunnen meerdere opties configureren voor SSO naar het Deskpro-platform, waaronder OneLogin-, Okta-, Azure-, SAML- en JWT-authenticatie. Er zijn verschillende configuratieopties beschikbaar voor SSO, zodat u de interactie met agenten/klanten kunt aanpassen.
Deskpro maakt 2FA mogelijk via uw SSO-provider voor beheerders, agenten en klanten.
De Deskpro API is een op REST gebaseerde API die veilig via HTTPS draait. API-verzoeken kunnen alleen worden gedaan door geverifieerde klanten. API-authenticatie kan worden gedaan via OAuth, API-sleutels of met behulp van kortstondige API-tokens.
Aanpasbaar wachtwoordbeleid kan worden ingeschakeld voor zowel agenten als klanten. Dit omvat de mogelijkheid om een minimale wachtwoordlengte in te stellen, hergebruik van wachtwoorden te verbieden, een combinatie van cijfers en tekens te gebruiken en klanten te dwingen hun wachtwoord na een bepaalde tijd te wijzigen.
Er worden uitgebreide auditlogboeken bijgehouden voor wijzigingen die door beheerders zijn aangebracht. Ze bieden records inclusief type, actie, uitvoerder en tijdstempel waarop de uitvoering is uitgevoerd. Activiteitenlogboeken voor agenten kunnen ook door beheerders worden bekeken en tonen activiteiten zoals ticketantwoorden of online-tijd.
Deskpro handhaaft een hoog beschikbaarheidsniveau op het cloudplatform, gemiddeld ruim 99,9%.
Er is een openbaar beschikbare statuspagina waar u dit kunt doen controleer de status van de cloudsoftware en zijn componenten.
We gebruiken AWS met redundantie over ten minste twee beschikbaarheidszones, waarbij databaseback-ups indien nodig 35 dagen aan point-in-time herstel bieden. Extra gecodeerde externe back-ups worden dagelijks bijgewerkt.
We hebben procedures en beleid opgesteld met betrekking tot het reageren op en communiceren over beveiligingsincidenten van ons beveiligingsteam.
Het niveau van het beveiligingsincident zal bepalen hoe we communiceren en reageren op onze klanten. Als er zich een beveiligingsincident voordoet, wordt u op de hoogte gehouden via ons Customer Success-team. Zij staan voor u klaar om u tijdens het incident te helpen en te ondersteunen met betrekking tot updates.
Al onze procedures en beleidslijnen met betrekking tot het reageren op beveiligingsincidenten worden minimaal jaarlijks geëvalueerd en bijgewerkt.
In het geval van een noodgeval of kritiek incident op een Deskpro-locatie is er een bedrijfscontinuïteitsplan opgesteld.
Dit is in het leven geroepen zodat wij, ongeacht het scenario, als bedrijf voor onze klanten kunnen blijven functioneren. Jaarlijks wordt het bedrijfscontinuïteitsplan getoetst en gecontroleerd op toepasbaarheid en eventuele aanvullende verbeteringen.
Mocht u Deskpro niet langer willen gebruiken, dan bewaren wij gedurende 60 dagen back-ups van uw accounts - waarna uw gegevens volledig uit al onze systemen worden verwijderd.
Primaire back-ups bieden herstel op een bepaald tijdstip gedurende 35 dagen. Gecodeerde externe back-ups worden dagelijks bijgewerkt.
Uw gegevens worden op verzoek onmiddellijk veilig verwijderd uit onze primaire gegevensopslag. Gecodeerde externe back-ups van uw gegevens worden elke 60 dagen verwijderd via regelmatige back-uprotatie.
Alle hardware die niet langer in gebruik is, wordt volledig gewist en afgevoerd met behulp van een gereguleerde verwijderingsdienst in overeenstemming met ISO27001-naleving.
Voordat iemand als werknemer bij Deskpro komt werken, wordt zijn of haar werkstation zo ingesteld en geconfigureerd dat het voldoet aan al ons beveiligingsbeleid. Dit beleid vereist dat alle werkstations op een hoog niveau zijn geconfigureerd en voldoen aan beveiligingscertificeringsnormen zoals ISO27001 en Cyber Essentials Plus.
Op elk werkstation zijn de gegevens in rust versleuteld, zijn er sterke wachtwoorden (beheerd door een veilige wachtwoordbeheerkluis), is locatietracking ingeschakeld en worden schermen automatisch uitgeschakeld als ze niet worden gebruikt.
Het centrale beheersysteem van SA wordt gebruikt voor het monitoren, volgen en rapporteren van malware, ongeautoriseerde software en verwijderbare opslagapparaten. Dit is om ervoor te zorgen dat alle werkstations up-to-date zijn met patches en beveiliging. We hanteren ook een strikt beleid voor niet-verwijderbare opslagapparaten.
Alle mobiele apparaten (telefoons of tablets) die voor werkdoeleinden worden gebruikt, maken deel uit van een beheersysteem voor mobiele apparaten voor locatietracering, veilige wachtwoorden en SSO.
Alle nieuwe medewerkers worden tijdens het aanwervingsproces gescreend. Bij indiensttreding bij Deskpro zijn medewerkers, opdrachtnemers en schoonmaakploegen verplicht een geheimhoudings- en vertrouwelijkheidsovereenkomst te ondertekenen. Ook dit is een vast dienstverband na uitdiensttreding.
Alleen bepaalde mensen binnen de organisatie krijgen toegang tot gevoelige informatie. Het is op een need-to-know-basis met op rollen gebaseerde machtigingen, zodat medewerkers hun werk zo goed mogelijk kunnen uitvoeren.
Ons toegangscontrolebeleid wordt intern geïmplementeerd en binnen Deskpro hebben we meerdere niveaus van veiligheidsmachtiging. Sommige toegang, zoals uitgebreide ondersteuning of scenario's voor het delen van schermen, wordt uitgevoerd op basis van klantovereenkomst.
Om de veiligheid nog verder te verhogen maakt Deskpro gebruik van Two Factor Authentication (2FA) voor systemen die gevoelige of persoonlijke gegevens bevatten.
Door het gebruik van Single Sign On (SSO) voor medewerkers kan het management de toegang tot alle applicaties onmiddellijk uitschakelen of wijzigen. Dit wordt gebruikt wanneer een medewerker Deskpro verlaat of de toegang moet worden verwijderd.
Als onderdeel van ons interne wachtwoordbeleid vereist Deskpro dat alle medewerkers een goedgekeurde wachtwoordbeheerder gebruiken. Dit is om ervoor te zorgen dat wachtwoorden sterk zijn, op een veilige locatie worden bewaard, regelmatig worden gewijzigd en niet opnieuw worden gebruikt. Waar nodig waarschuwt de wachtwoordbeheerder gebruikers voor eventuele wachtwoordrisico's om de beveiliging op alle niveaus te handhaven.
Om Deskpro efficiënt te laten werken, vertrouwen we op subserviceorganisaties die ons helpen onze service te leveren.
Bij het selecteren van een geschikte leverancier voor een vereiste dienst nemen we de juiste stappen om ervoor te zorgen dat de veiligheid en integriteit van ons platform behouden blijven. Elke subserviceorganisatie wordt zwaar onder de loep genomen, getest en op veiligheid gecontroleerd voordat deze in Deskpro wordt geïmplementeerd.
Deskpro houdt toezicht op de effectiviteit van deze leveranciers en ze worden jaarlijks beoordeeld om te bevestigen dat hun voortdurende veiligheid en waarborgen worden nageleefd. Bekijk een lijst van onze huidige subserviceorganisaties
In elke situatie waarin het gebruik van een van deze subserviceorganisaties mogelijk van invloed zou kunnen zijn op de veiligheid van Deskpro, ondernemen we passende stappen om het risico te beperken. Dit omvat onder meer het maken van overeenkomsten en het garanderen dat deze voldoen aan relevante certificeringen of regelgeving, zoals de AVG.
Deskpro is altijd actief bezig met het zoeken, monitoren en verbeteren van onze beveiligingsinstellingen. Dit gebeurt via regelmatige controles en beoordelingen door zowel ons interne beveiligingsteam als externe beoordelaars.
Alle resultaten worden gedeeld met het managementteam en diepgaand besproken tijdens de security management reviews. Recente beveiligingsaudits en certificeringen omvatten ISO27001, PCI, Cyber Essentials Plus, CSA Star, G-Cloud 12 en GDPR Readiness. Onderaan deze pagina kunt u onze lijst met certificaten bekijken.
Ons toegangscontrolebeleid wordt intern geïmplementeerd en binnen Deskpro hebben we meerdere niveaus van veiligheidsmachtiging. Sommige toegang, zoals uitgebreide ondersteuning of scenario's voor het delen van schermen, wordt uitgevoerd op basis van klantovereenkomst.
Onafhankelijke penetratietesten door een gecertificeerde CREST CHECK derde partij worden minimaal jaarlijks uitgevoerd. De uitgevoerde penetratietesten zijn gericht op beveiliging, infrastructuur en product. De resultaten van deze tests worden gedeeld en er wordt actie op ondernomen door zowel het beveiligingsteam als het hogere managementteam.
Onze jaarlijkse tests omvatten ook scans van zowel externe als interne netwerkkwetsbaarheid, met certificering voor Cyber Essentials Plus. Alle penetratietests van derden worden uitgevoerd door consultants die gecertificeerd zijn volgens de CREST-normen.
Wij begrijpen dat een organisatie in bepaalde omstandigheden mogelijk verdere audits of penetratietests nodig heeft voordat de aanschaf van Deskpro kan worden gedaan. We verwelkomen klanten om hun eigen penetratietesten uit te voeren op een Deskpro-omgeving. Als u er een wilt regelen, neem dan contact op met de ondersteuning om dit te plannen en voor verdere prijzen.
Als u een beveiligingsexpert of onderzoeker bent en denkt dat u een beveiligingsprobleem met de onlinesystemen van Deskpro hebt ontdekt, stellen wij uw hulp bij het op verantwoorde wijze aan ons bekendmaken van het probleem op prijs. We hebben een Verantwoorde openbaarmaking programma. We vragen de veiligheidsonderzoeksgemeenschap om ons de kans te geven een kwetsbaarheid te corrigeren voordat deze openbaar wordt gemaakt.