Sicherheits-Whitepaper
Erfahren Sie mehr darüber, wie Deskpro sicherstellt, dass die Daten in Ihrem Helpdesk immer sicher sind, unabhängig davon, ob Sie sich für die Bereitstellung in der Cloud oder vor Ort entscheiden.
SICHERHEIT
Unabhängig davon, ob Sie Ihren Helpdesk in der Cloud oder vor Ort bereitstellen, sind wir weiterhin dem Schutz und der Sicherheit Ihrer Daten verpflichtet.
Der Schutz Ihrer Daten war und ist für uns oberste Priorität. Wir sind uns des Werts und der Sensibilität Ihrer privaten Daten bewusst und implementieren daher robuste Sicherheitsmaßnahmen, die mit den höchsten Standards an Zuverlässigkeit und Vertrauenswürdigkeit entwickelt wurden. Unsere Mission ist einfach: Ihnen absolute Sicherheit zu bieten, wenn es um die Sicherheit Ihrer Daten geht.
Deskpro ist bestrebt, das Wissen über die sich entwickelnde Anwendungssicherheitslandschaft ständig aufrechtzuerhalten und sicherzustellen, dass bewährte Sicherheitspraktiken im gesamten Unternehmen eingehalten werden.
Wir bieten unseren Kunden eine Vielzahl von Anpassungsmöglichkeiten, einschließlich der Möglichkeit, zu wählen, wie Deskpro entweder in der Cloud oder vor Ort (selbst gehostet) bereitgestellt wird und wo Ihre Daten gespeichert werden. Für unser Cloud-Hosting nutzen wir branchenführendes AWS.
Die Sicherheitspraxis von Deskpro zielt darauf ab, jeglichen unbefugten Zugriff auf Kundendaten zu verhindern. Wir suchen ständig nach Möglichkeiten, wie wir die Sicherheit von Deskpro verbessern können, indem wir umfassende Maßnahmen ergreifen, um Risiken zu erkennen und zu mindern.
Regelmäßige Sicherheitsüberprüfungen des Managements prüfen alle Bereiche, die unserer Meinung nach verbessert und weiter gesichert werden können. Die Umsetzung kann durch neue Sicherheitszertifizierungen, Compliance oder Tests durch Dritte erfolgen, um Best Practices sicherzustellen und die Sicherheit im gesamten Deskpro zu verbessern.
Erfahren Sie mehr darüber, wie Deskpro sicherstellt, dass die Daten in Ihrem Helpdesk immer sicher sind, unabhängig davon, ob Sie sich für die Bereitstellung in der Cloud oder vor Ort entscheiden.
Die DSGVO ist die bedeutendste Änderung der europäischen Datenschutzgesetzgebung seit über 20 Jahren. Deskpro bietet Tools im Produkt sowie unsere DPA, sodass Sie mit Deskpro DSGVO-konform sein können.
Deskpro sorgt auf der Cloud-Plattform für eine hohe Verfügbarkeit von durchschnittlich über 99,9 %. Den Status der Cloud-Software können Sie auf unserer öffentlich zugänglichen Statusseite überprüfen.
Unser Cloud-Service-Rechenzentrumsanbieter (AWS) betreibt hochmoderne, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield und SOC 2 Type konforme Rechenzentren.
Automatisierte Branderkennungs- und -unterdrückungssysteme werden in Netzwerk-, Maschinen- und Infrastrukturbereichen installiert. Alle AWS-Rechenzentren sind nach N+1-Redundanzstandards aufgebaut.
Unsere Rechenzentrumseinrichtungen verfügen rund um die Uhr über Personal vor Ort, physische Zugangspunkte zu Serverräumen, die durch Videoüberwachung abgedeckt sind, biometrische Sicherheitsverfahren und Überwachungsüberwachung rund um die Uhr, um den Schutz vor unbefugtem Zutritt und physischen Sicherheitsverletzungen aufrechtzuerhalten. Sie verlangen außerdem Hintergrundüberprüfungen für alle Mitarbeiter im Rahmen des Screening-Prozesses vor der Einstellung.
Die Global Security Operation Centers von AWS überwachen die Zugriffsaktivitäten auf Rechenzentren rund um die Uhr, wobei in der Datenschicht elektronische Systeme zur Erkennung von Eindringlingen installiert sind. Die Systeme werden ständig vom Deskpro-Sicherheitsteam überwacht.
Deskpro bietet die Bereitstellung von Cloud-Konten in Rechenzentren in den USA, der EU oder im Vereinigten Königreich an
. Kunden können standardmäßig auswählen, in welcher Region sie ihre Daten exklusiv hosten möchten.Unternehmensplan Kunden können wählen, ob sie in einem von 22 Ländern weltweit hosten möchten.
Jede Anlage ist mit einer unterbrechungsfreien Stromversorgung (USV) und Notstromgeneratoren für den Fall einer Stromunterbrechung ausgestattet.
Jedes unserer Rechenzentren verfügt über eine kontrollierte Perimeterschicht mit Sicherheitsteams vor Ort rund um die Uhr, eingeschränktem und kontrolliertem physischen Zugang, Multi-Faktor-Authentifizierung, elektronischen Systemen zur Einbrucherkennung und Türalarmierung.
Das Sicherheitsteam von Deskpro ist auf der ganzen Welt verteilt. Sie bieten rund um die Uhr Überwachung und Reaktion auf Sicherheitsvorfälle und -warnungen.
Das öffentlich zugängliche Netzwerk von Deskpro wird durch Cloudflare Enterprise geschützt, das den gesamten eingehenden Datenverkehr aus dem Internet filtert. Öffentlich zugängliche E-Mail-Server werden durch AWS Shield geschützt, das ebenfalls eingehenden Datenverkehr aus dem Internet überwacht und filtert. Es werden keine weiteren Dienste oder Zugang zum öffentlichen Internet bereitgestellt.
Innerhalb des internen privaten Netzwerks von Deskpro, auf das nicht über das öffentliche Internet zugegriffen werden kann, verwenden wir AWS-Sicherheitsgruppen und IAM-Kontrollen, um die Kommunikation zwischen Komponenten zu sperren. Daher muss der Zugriff auf Dienste explizit nach Bedarf gewährt werden. Wir machen es unmöglich, dass Systeme miteinander interagieren, ohne dass wir dies explizit konfigurieren und planen.
Die Systemüberwachungsprotokolle von Deskpro werden stets gepflegt und auf Anomalien überprüft. Zum Schutz vor verteilten Angriffen nutzen wir beauftragte DDoS-Drittanbieter. Dazu gehören sowohl AWS Shield Guards als auch Cloudflare.
Der Zugriff auf Hosting-Server und Live-Umgebungen erfolgt mit den geringsten Berechtigungen. Eine sehr begrenzte Anzahl von Mitarbeitern hat Zugriff auf Live-Umgebungen, für die außerdem mehrere Sicherheitszugriffsebenen erforderlich sind.
Deskpro überwacht den Cloud-Service rund um die Uhr und verfügt rund um die Uhr über ein Reaktionsteam, das auf Sicherheitsvorfälle reagiert. Unser Hosting-Anbieter AWS bietet außerdem rund um die Uhr globale Überwachung und Support für die für Deskpro Cloud genutzten Rechenzentren mit mehreren Standorten.
Im gesamten Netzwerk werden Schwachstellenscans durchgeführt, um potenziell anfällige Systeme zu identifizieren und dem Sicherheitsteam eine schnelle Überprüfung aller Schwachstellen zu ermöglichen.
Deskpro speichert keine Kreditkartendaten. Für die Bereitstellung von Abrechnungsdienstleistungen nutzen wir externe PCI-konforme Dienste (Spreedly und Stripe).
Ihre Kreditkartendaten werden vorübergehend durch unsere Server geleitet. Aus diesem Grund sind wir nachweislich konform mit dem Payment Card Industry Data Security Standard (PCI DSS).
Wir verfügen über eine eigene Qualitätssicherungsabteilung (QA), die unsere Codebasis testet, überprüft und selektiert. Für jedes Update oder jede Veröffentlichung der Software werden Tests von Entwicklungs-, Support- und QA-Teams mit einem mehrstufigen Ansatz durchgeführt.
Es gibt separate Umgebungen für Staging und Tests. Diese Umgebungen sind sowohl logisch als auch physisch von der Live-Produktionsumgebung getrennt. Für Tests oder Entwicklung werden keine Kundendaten verwendet.
Deskpro wird mit Unit-Tests, Human-Auditing, Anwendungs-Penetrationstests, statischen Analysen und Funktionstests getestet. Darüber hinaus werden jährlich Penetrationstests durch Dritte durchgeführt.
Deskpro wurde entwickelt, um gängige Angriffsvektoren abzuschwächen; wie SQL-Injection-Angriffe und Cross-Site-Scripting-Angriffe (XSS). Deskpro Cloud nutzt außerdem die Web Application Firewall (WAF) der Enterprise-Klasse von CloudFlare, um verdächtige Anfragen automatisch zu blockieren oder abzuwehren.
Alle Kundendaten werden verschlüsselt auf AWS-Servern gespeichert (mit dem AES-256-Verschlüsselungsalgorithmus).
Alle Daten, die in die und von der Deskpro-Plattform übertragen werden, werden gemäß den Best Practices der Branche über das Kabel verschlüsselt. Der Webverkehr über HTTP wird von CloudFlare mit TLS 1.2 oder 1.3 unter Verwendung bewährter sicherer Verschlüsselungssammlungen gesichert.
Weitere Informationen zu SSL/TLS bei CloudFlare
Administratoren können mehrere Optionen für SSO zur Deskpro-Plattform konfigurieren, einschließlich OneLogin-, Okta-, Azure-, SAML- und JWT-Authentifizierung. Für SSO stehen verschiedene Konfigurationsoptionen zur Verfügung, mit denen Sie die Interaktion mit Agenten/Kunden anpassen können.
Deskpro ermöglicht 2FA über Ihren SSO-Anbieter für Administratoren, Agenten und Kunden.
Die Deskpro-API ist eine REST-basierte API, die sicher über HTTPS ausgeführt wird. API-Anfragen können nur von verifizierten Kunden gestellt werden. Die API-Authentifizierung kann über OAuth, API-Schlüssel oder die Verwendung kurzlebiger API-Tokens erfolgen.
Anpassbare Passwortrichtlinien können sowohl für Agenten als auch für Kunden aktiviert werden. Dazu gehört die Möglichkeit, eine Mindestlänge für Passwörter festzulegen, die Wiederverwendung von Passwörtern, eine Kombination aus Zahlen und Zeichen zu verbieten und Kunden zu zwingen, ihr Passwort nach einer bestimmten Zeit zu ändern.
Für von Administratoren vorgenommene Änderungen werden umfassende Prüfprotokolle geführt. Sie stellen Aufzeichnungen bereit, einschließlich Typ, Aktion, Ausführender und Zeitstempel der Ausführung. Aktivitätsprotokolle für Agenten können auch von Administratoren eingesehen werden und zeigen Aktivitäten wie Ticketantworten oder Online-Zeit an.
Deskpro sorgt auf der Cloud-Plattform für eine hohe Verfügbarkeit von durchschnittlich über 99,9 %.
Es gibt eine öffentlich zugängliche Statusseite, auf der Sie dies tun können Überprüfen Sie den Status der Cloud-Software und seine Bestandteile.
Wir verwenden AWS mit Redundanz über mindestens zwei Verfügbarkeitszonen, wobei Datenbanksicherungen bei Bedarf eine punktuelle Wiederherstellung im Wert von 35 Tagen ermöglichen. Zusätzliche verschlüsselte Offsite-Backups werden täglich aktualisiert.
Wir haben Verfahren und Richtlinien für die Reaktion und Kommunikation unseres Sicherheitsteams auf Sicherheitsvorfälle festgelegt.
Das Ausmaß des Sicherheitsvorfalls bestimmt, wie wir mit unseren Kunden kommunizieren und reagieren. Sollte es zu einem Sicherheitsvorfall kommen, werden Sie über unser Customer Success-Team auf dem Laufenden gehalten. Sie stehen Ihnen mit Rat und Tat zur Seite und unterstützen Sie bei Aktualisierungen.
Alle unsere Verfahren und Richtlinien zur Reaktion auf Sicherheitsvorfälle werden mindestens einmal jährlich bewertet und aktualisiert.
Für den Fall eines Notfalls oder eines kritischen Vorfalls in einem Deskpro-Betriebsgelände wurde ein Geschäftskontinuitätsplan erstellt.
Dies wurde geschaffen, damit wir unabhängig von der Situation weiterhin als Unternehmen für unsere Kunden funktionieren können. Der Geschäftskontinuitätsplan wird jährlich getestet und auf seine Anwendbarkeit und mögliche zusätzliche Verbesserungen überprüft.
Sollten Sie Deskpro nicht mehr nutzen wollen, bewahren wir 60 Tage lang Backups Ihrer Konten auf – danach werden Ihre Daten vollständig aus allen unseren Systemen gelöscht.
Primäre Backups bieten eine Point-in-Time-Wiederherstellung für 35 Tage. Verschlüsselte Offsite-Backups werden täglich aktualisiert.
Ihre Daten werden auf Anfrage sofort sicher aus unseren primären Datenspeichern gelöscht. Verschlüsselte Offsite-Backups Ihrer Daten werden durch regelmäßige Backup-Rotation alle 60 Tage gelöscht.
Nicht mehr verwendete Hardware wird vollständig gelöscht und über einen regulierten Entsorgungsdienst gemäß ISO27001-Konformität entsorgt.
Bevor jemand als Mitarbeiter bei Deskpro einsteigt, wird sein Arbeitsplatz so eingerichtet und konfiguriert, dass er allen unseren Sicherheitsrichtlinien entspricht. Diese Richtlinien erfordern, dass alle Workstations auf einem hohen Niveau konfiguriert sind und Sicherheitszertifizierungsstandards wie ISO27001 und Cyber Essentials Plus entsprechen.
Auf jeder Workstation sind die Daten im Ruhezustand verschlüsselt, sie verfügen über sichere Passwörter (verwaltet durch einen sicheren Passwortverwaltungs-Tresor), die Standortverfolgung ist aktiviert und die Bildschirme schalten sich bei Inaktivität automatisch ab.
Das zentrale Managementsystem von SA dient der Überwachung, Verfolgung und Berichterstattung über Malware, nicht autorisierte Software und Wechselspeichergeräte. Dadurch soll sichergestellt werden, dass alle Workstations mit Patches und Sicherheit auf dem neuesten Stand sind. Wir haben auch eine strikte Richtlinie für nicht austauschbare Speichergeräte.
Alle beruflich genutzten Mobilgeräte (Telefone oder Tablets) sind Teil eines Mobilgeräteverwaltungssystems zur Standortverfolgung, sicheren Passwörtern und SSO.
Alle Neueinstellungen werden während des Einstellungsprozesses überprüft. Bei Arbeitsbeginn bei Deskpro müssen Mitarbeiter, Auftragnehmer und Reinigungskräfte eine Geheimhaltungs- und Vertraulichkeitsvereinbarung unterzeichnen. Hierbei handelt es sich ebenfalls um einen aufrecht erhaltenen Vertrag nach Beendigung des Arbeitsverhältnisses.
Nur bestimmte Personen innerhalb der Organisation erhalten Zugriff auf vertrauliche Informationen. Es erfolgt auf einer „Need-to-know“-Basis mit rollenbasierten Berechtigungen, damit Mitarbeiter ihre Arbeit bestmöglich ausführen können.
Unsere Zugangskontrollrichtlinie wird intern umgesetzt und innerhalb von Deskpro verfügen wir über mehrere Stufen der Sicherheitsfreigabe. Einige Zugriffe, wie z. B. erweiterter Support oder Bildschirmfreigabeszenarien, erfolgen auf Basis einer Kundenvereinbarung.
Um die Sicherheit noch weiter zu erhöhen, verwendet Deskpro die Zwei-Faktor-Authentifizierung (2FA) für Systeme, die sensible oder persönliche Daten enthalten.
Der Einsatz von Single Sign On (SSO) für Mitarbeiter ermöglicht es dem Management, den Zugriff auf alle Anwendungen sofort zu deaktivieren oder zu ändern. Dies wird verwendet, wenn ein Mitarbeiter Deskpro verlässt oder sein Zugriff entfernt werden muss.
Als Teil unserer internen Passwortrichtlinie verlangt Deskpro von allen Mitarbeitern, einen zugelassenen Passwort-Manager zu verwenden. Dadurch soll sichergestellt werden, dass Passwörter sicher sind, an einem sicheren Ort aufbewahrt, regelmäßig geändert und nicht wiederverwendet werden. Bei Bedarf warnt der Passwort-Manager Benutzer vor potenziellen Passwortrisiken, um auf allen Ebenen ein hohes Maß an Sicherheit zu gewährleisten.
Damit Deskpro effizient funktioniert, sind wir auf Sub-Service-Organisationen angewiesen, die uns bei der Erbringung unserer Dienstleistungen unterstützen.
Bei der Auswahl eines geeigneten Anbieters für einen erforderlichen Dienst ergreifen wir die entsprechenden Schritte, um sicherzustellen, dass die Sicherheit und Integrität unserer Plattform gewahrt bleibt. Jede Unterdienstorganisation wird vor der Implementierung in Deskpro eingehend geprüft, getestet und auf Sicherheit überprüft.
Deskpro überwacht die Wirksamkeit dieser Anbieter und sie werden jährlich überprüft, um zu bestätigen, dass ihre kontinuierliche Sicherheit und Schutzmaßnahmen eingehalten werden. Sehen Sie sich a an Liste unserer aktuellen Sub-Service-Organisationen
In jeder Situation, in der die Nutzung einer dieser Unterdienstorganisationen möglicherweise Auswirkungen auf die Sicherheit von Deskpro haben könnte, ergreifen wir geeignete Maßnahmen, um das Risiko zu mindern. Dazu gehört die Erstellung von Vereinbarungen und die Sicherstellung, dass diese mit relevanten Zertifizierungen oder Vorschriften wie der DSGVO konform sind.
Deskpro sucht, überwacht und verbessert ständig aktiv unsere Sicherheitseinstellungen. Dies geschieht durch regelmäßige Kontrollen und Bewertungen sowohl durch unser internes Sicherheitsteam als auch durch externe Gutachter.
Alle Ergebnisse werden dem Managementteam mitgeteilt und im Rahmen von Sicherheitsmanagementüberprüfungen ausführlich besprochen. Zu den jüngsten Sicherheitsaudits und Zertifizierungen gehören ISO27001, PCI, Cyber Essentials Plus, CSA Star, G-Cloud 12 und DSGVO Readiness. Unsere Zertifikatsliste finden Sie unten auf dieser Seite.
Unsere Zugangskontrollrichtlinie wird intern umgesetzt und innerhalb von Deskpro verfügen wir über mehrere Stufen der Sicherheitsfreigabe. Einige Zugriffe, wie z. B. erweiterter Support oder Bildschirmfreigabeszenarien, erfolgen auf Basis einer Kundenvereinbarung.
Mindestens einmal jährlich werden unabhängige Penetrationstests durch einen zertifizierten CREST CHECK-Drittanbieter durchgeführt. Die durchgeführten Penetrationstests konzentrieren sich auf Sicherheit, Infrastruktur und Produkt. Die Ergebnisse dieser Tests werden sowohl vom Sicherheitsteam als auch vom übergeordneten Managementteam geteilt und darauf reagiert.
Zu unseren jährlichen Tests gehören auch externe und interne Netzwerk-Schwachstellenscans mit der Zertifizierung „Cyber Essentials Plus“. Alle Penetrationstests von Drittanbietern werden von nach CREST-Standards zertifizierten Beratern durchgeführt.
Wir sind uns darüber im Klaren, dass eine Organisation unter bestimmten Umständen die Durchführung weiterer Audits oder Penetrationstests verlangen kann, bevor der Kauf von Deskpro getätigt werden kann. Wir laden Kunden ein, ihre eigenen Penetrationstests in einer Deskpro-Umgebung durchzuführen. Wenn Sie einen Termin vereinbaren möchten, wenden Sie sich bitte an den Support, um dies zu vereinbaren und weitere Preise zu erfahren.
Wenn Sie ein Sicherheitsexperte oder -forscher sind und glauben, dass Sie ein sicherheitsrelevantes Problem mit den Online-Systemen von Deskpro entdeckt haben, freuen wir uns über Ihre Hilfe bei der verantwortungsvollen Offenlegung des Problems gegenüber uns. Wir haben ein Verantwortungsvolle Offenlegung Programm. Wir bitten die Sicherheitsforschungsgemeinschaft, uns die Möglichkeit zu geben, eine Schwachstelle zu beheben, bevor wir sie öffentlich bekannt geben.