Deskpros sikkerhetspolicyer og -praksis

• Fasiliteter

  Vår leverandør av skytjenester for datasenter (AWS) driver state-of-the-art, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield og SOC 2 Type-kompatible datasentre.

  Automatiserte branndeteksjons- og undertrykkingssystemer er installert i nettverks-, mekaniske- og infrastrukturområder. Alle AWS-datasentre er konstruert etter N+1-redundansstandarder.

• Sikkerhet på stedet

  Datasenterfasilitetene våre har 24/7 ansatte på stedet, fysiske tilgangspunkter til serverrom dekket av CCTV, biometriske sikkerhetsprosedyrer og døgnkontinuerlig overvåking for å opprettholde beskyttelsen mot uautorisert adgang og fysiske sikkerhetsbrudd. De krever også bakgrunnssjekker for alle ansatte som en del av screeningsprosessen før ansettelse.

• Serverovervåking

  AWS sine globale sikkerhetsoperasjonssentre utfører 24/7 overvåking av datasentertilgangsaktiviteter, med elektroniske inntrengningsdeteksjonssystemer installert i datalaget. Systemene overvåkes kontinuerlig av Deskpro Security Team.

• Steder

  Deskpro tilbyr distribusjon av Cloud-kontoer til datasentre i enten USA, EU eller Storbritannia. Kunder kan velge hvilken region de vil eksklusivt hoste dataene sine i, som standard.

  Enterprise Plan kunder kan velge å være vertskap i 1 av 22 land rundt om i verden.

• Avbruddsfri strømforsyning

  Hvert anlegg er utstyrt med en avbruddsfri strømforsyning (UPS) og backup generatorer i tilfelle strømbrudd.

• Hard omkrets

  Hvert av våre datasentre har et kontrollert perimeterlag med 24/7 sikkerhetsteam på stedet, begrenset og kontrollert fysisk tilgang, multifaktorautentisering, elektroniske inntrengningsdeteksjonssystemer og døralarm.

• Dedikert sikkerhetsteam

  Deskpros sikkerhetsteam er distribuert over hele verden. De gir 24/7 overvåking og respons på sikkerhetshendelser og varsler.

• Brannmurer

  Deskpros offentlige nettverk er beskyttet av Cloudflare Enterprise som fungerer for å filtrere all innkommende trafikk fra internett. Offentlige e-postservere er beskyttet av AWS Shield, som på samme måte overvåker og filtrerer innkommende trafikk fra internett. Ingen andre tjenester eller tilgang er gitt til det offentlige internett.

• Arkitektur

  Innenfor Deskpros interne private nettverk, som ikke er tilgjengelig fra det offentlige internett, bruker vi AWS-sikkerhetsgrupper og IAM-kontroller for å låse kommunikasjon mellom komponenter, så tilgang til tjenester må gis eksplisitt etter behov. Vi gjør det umulig for systemer å samhandle med hverandre uten at vi eksplisitt konfigurerer det og planlegger for det.

• DDoS-reduksjon

  Deskpro systemrevisjonslogger vedlikeholdes alltid og sjekkes for uregelmessigheter, og vi bruker kontrakterte tredjeparts DDoS-leverandører for å beskytte mot distribuerte angrep. Dette inkluderer både AWS Shield Guards og Cloudflare.

• Minst Privilege-tilgang

  Tilgang til vertsservere og live-miljøer er gitt med minst privilegert tilgang. Et svært begrenset antall ansatte har tilgang til levende miljøer, som også krever flere nivåer av sikkerhetstilgang.

• Respons på sikkerhetshendelser (team)

  Deskpro overvåker skytjeneste 24/7 og har et responsteam på vakt 24/7 for å svare på sikkerhetshendelser. Vår vertsleverandør, AWS, tilbyr også 24/7 global overvåking og støtte for multi-lokasjonsdatasentre som brukes for Deskpro Cloud.

• Sårbarhetsskanning

  Sårbarhetsskanning utføres på tvers av nettverket for å identifisere potensielt sårbare systemer og lar sikkerhetsteamet raskt gjennomgå eventuelle svake punkter.

Utvikling

• Faktureringssikkerhet

  Deskpro lagrer ikke kredittkortdata. Vi bruker eksterne PCI-kompatible tjenester (Spreedly og Stripe) for å tilby faktureringstjenester.

  Kredittkortdataene dine passerer et øyeblikk gjennom serverne våre, og av denne grunn er vi bekreftet som PCI DSS-kompatible med Payment Card Industry Data Security Standard.

• Kvalitetssikring

  Vi har en dedikert kvalitetssikringsavdeling (QA) som tester, vurderer og tester kodebasen vår. For hver oppdatering eller utgivelse av programvaren utføres testing av utviklings-, støtte- og kvalitetskontrollteam med en tilnærming på flere nivåer.

• Separate/forskjellige miljøer

  Det er egne miljøer for både iscenesettelse og testing. Disse miljøene er atskilt både logisk og fysisk fra live-produksjonsmiljøet. Ingen kundedata brukes i testing eller utvikling.

• Penetrasjonstesting

  Deskpro er testet med enhetstesting, menneskelig revisjon, applikasjonspenetrasjonstesting, statisk analyse og funksjonstester. Tredjeparts penetrasjonstesting gjennomføres også på årsbasis.

• Redusere vanlige angrep (XSS, CSRF, SQLi)

  Deskpro er bygget for å redusere vanlige angrepsvektorer; som SQL-injeksjonsangrep og cross-site scripting angrep (XSS). Deskpro Cloud drar også nytte av CloudFlare sin enterprise-grade Web Application Firewall (WAF) for å automatisk blokkere eller utfordre mistenkelige forespørsler.

Kryptering

• Data i hvile

  Alle kundedata lagret kryptert på AWS-servere (med AES-256-krypteringsalgoritmen).

• Data i transitt

  Alle data som overføres til og fra Deskpro-plattformen er kryptert over ledningen i tråd med beste praksis i bransjen. Netttrafikk over HTTP er sikret av CloudFlare med TLS 1.2 eller 1.3 ved bruk av velprøvde sikre chiffersuiter.

  Mer informasjon om SSL/TLS hos CloudFlarePortableText [components.type] is missing "span"

Programvare

• Enkel pålogging

  Administratorer kan konfigurere flere alternativer for SSO til Deskpro-plattformen, inkludert OneLogin, Okta, Azure, SAML og JWT-autentisering. Det er forskjellige konfigurasjonsalternativer tilgjengelig for SSO som lar deg tilpasse hvordan den samhandler med agenter/kunder.

• Tofaktorautentisering (2FA)

  Deskpro aktiverer 2FA gjennom SSO-leverandøren din for administratorer, agenter og kunder.

• API-sikkerhet og autentisering

  Deskpro API er et REST-basert API som kjører sikkert over HTTPS. API-forespørsler kan bare gjøres av bekreftede kunder. API-autentisering kan gjøres gjennom OAuth, API-nøkler eller ved å bruke kortvarige API-tokens.

• Egendefinerte passordregler

  Tilpassbare passordpolicyer kan aktiveres for både agenter og kunder. Dette inkluderer muligheten til å angi minimum passordlengde, forby gjenbruk av passord, en blanding av tall og tegn, og tvinge kunder til å endre passordet etter en viss tid.

• Revisjonslogger

  Omfattende revisjonslogger føres for endringer gjort av administratorer. De gir poster inkludert type, handling, utøver og tidsstempel for at den ble utført. Aktivitetslogger for agenter kan også sees av administratorer, som viser aktivitet som billettsvar eller online tid.

• Oppetid

  Deskpro opprettholder et høyt tilgjengelighetsnivå på skyplattformen, i gjennomsnitt over 99,9 %.

  Det er en offentlig tilgjengelig statusside, hvor du kan sjekk statusen til skyprogramvaren og dens komponenter.

• Overflødighet

  Vi bruker AWS med redundans over minst to tilgjengelighetssoner, med sikkerhetskopiering av databaser som tilbyr 35-dagers gjenoppretting på tidspunktet om nødvendig. Ytterligere krypterte sikkerhetskopier utenfor stedet oppdateres daglig.

• Reaksjon på sikkerhetshendelser

  Vi har etablert prosedyrer og retningslinjer med hensyn til å svare og kommunisere om sikkerhetshendelser fra sikkerhetsteamet vårt.

  Nivået på sikkerhetshendelsen vil diktere hvordan vi kommuniserer og reagerer på kundene våre. Hvis en sikkerhetshendelse inntreffer, vil du bli holdt oppdatert via vårt kundesuksessteam. De vil være til stede for å hjelpe og støtte deg gjennom hendelsen angående oppdateringer.

  Alle våre prosedyrer og retningslinjer for å svare på sikkerhetshendelser blir evaluert og oppdatert på minst en årlig basis.

• Katastrofegjenoppretting og forretningskontinuitetsplan

  I tilfelle av en nødssituasjon eller kritisk hendelse i ethvert Deskpro-lokale, har en forretningskontinuitetsplan blitt på plass.

  Dette ble opprettet for at vi skal kunne fortsette å fungere som en virksomhet for våre kunder, uansett scenario. Forretningskontinuitetsplanen testes og kontrolleres på årlig basis for anvendelighet og eventuelle ytterligere forbedringer som kan gjøres.

Sikkerhetskopier

• Varighet for sikkerhetskopiering

  Skulle du ikke lenger ønske å bruke Deskpro, vedlikeholder vi sikkerhetskopier av kontoene dine i 60 dager – deretter slettes dataene dine fullstendig fra alle våre systemer.

• Antall sikkerhetskopier

  Primære sikkerhetskopier tilbyr punkt-i-tidsgjenoppretting i 35 dager. Krypterte sikkerhetskopier utenfor nettstedet oppdateres daglig.

Avhending

• Sletting av data

  Dine data slettes på en sikker måte umiddelbart fra våre primære datalagre på forespørsel. Krypterte sikkerhetskopier utenfor stedet av dataene dine blir slettet gjennom vanlig sikkerhetskopiering hver 60. dag.

• Fjerning av maskinvare

  Eventuell maskinvare som ikke lenger er i bruk, tørkes fullstendig og kastes ved bruk av regulert avhendingstjeneste i samsvar med ISO27001-samsvar.

Endpoint Security

• Oppsett av arbeidsstasjon

  Før noen slutter seg til Deskpro som ansatt, er arbeidsstasjonen deres satt opp og konfigurert for å overholde alle våre sikkerhetspolicyer. Disse retningslinjene krever at alle arbeidsstasjoner er konfigurert til et høyt nivå og overholder sikkerhetssertifiseringsstandarder som ISO27001 og Cyber ​​Essentials Plus.

  Hver arbeidsstasjon har data kryptert i hvile, sterke passord (administrert av et sikkert passordadministrasjonshvelv), posisjonssporing aktivert og skjermer som slår seg automatisk av når de er inaktive.

• Overvåkning

  SA sentralt styringssystem brukes til å overvåke, spore og rapportere om skadelig programvare, uautorisert programvare og flyttbare lagringsenheter. Dette for å sikre at alle arbeidsstasjoner er oppdatert med patcher og sikkerhet. Vi har også en streng policy for ikke-flyttbare lagringsenheter.

  Eventuelle mobile enheter (telefoner eller nettbrett) som brukes til jobbformål, er en del av et administrasjonssystem for mobilenheter for posisjonssporing, sikre passord og SSO.

• konfidensialitet

  Alle nyansettelser gjennomgås under ansettelsesprosessen. Ved oppstart av ansettelse hos Deskpro må ansatte, entreprenører og rengjøringsmannskaper signere en taushetserklæring og konfidensialitetsavtale. Dette er også en opprettholdt etterlønnskontrakt.

Tilgang til sensitiv informasjon

• Provisjon

  Bare enkelte personer i organisasjonen får tilgang til sensitiv informasjon. Det er på et behov for å vite-basis med rollebaserte tillatelser, for å sette ansatte i stand til å utføre jobben sin etter beste evne.

  Vår tilgangskontrollpolicy implementeres internt og innen Deskpro har vi flere nivåer av sikkerhetsklarering. Noe tilgang, for eksempel utvidet støtte eller scenarier for skjermdeling, utføres på basis av klientavtale.

• Autentisering

  For å øke sikkerheten ytterligere, bruker Deskpro Two Factor Authentication (2FA) for systemer som inneholder sensitive eller personlige data.

  Bruken av Single Sign On (SSO) for ansatte gjør det mulig for ledelsen å deaktivere eller endre tilgang til alle applikasjoner umiddelbart. Dette brukes når en ansatt forlater Deskpro eller deres tilgang må fjernes.

• Passordbehandling

  Som en del av vår interne passordpolicy krever Deskpro at alle ansatte bruker en godkjent passordbehandler. Dette er for å sikre at passord er sterke, oppbevart på et sikkert sted, regelmessig endret og ikke gjenbrukt. Der det er nødvendig, varsler passordbehandleren brukere om potensielle passordrisikoer for å opprettholde høy sikkerhet på alle nivåer.

Leverandøradministrasjon

• Undertjenesteorganisasjoner

  For at Deskpro skal kjøre effektivt, er vi avhengige av at undertjenesteorganisasjoner hjelper oss med å levere tjenesten vår.

  Når vi velger en passende leverandør for en nødvendig tjeneste, tar vi de nødvendige skritt for å sikre at sikkerheten og integriteten til plattformen vår opprettholdes. Hver undertjenesteorganisasjon blir grundig gransket, testet og sikkerhetssjekket før de implementeres i Deskpro.

• Leverandøroverholdelse

  Deskpro overvåker effektiviteten til disse leverandørene, og de gjennomgås årlig for å bekrefte at deres fortsatte sikkerhet og sikkerhetstiltak opprettholdes. Vis en liste over våre nåværende undertjenesteorganisasjonerPortableText [components.type] is missing "span"

• Underbehandlere

  I enhver situasjon der bruken av en av disse undertjenesteorganisasjonene potensielt kan påvirke sikkerheten til Deskpro, tar vi passende skritt for å redusere risikoen. Dette inkluderer å etablere avtaler og sikre at de er i samsvar med relevante sertifiseringer eller forskrifter, som for eksempel GDPR.

Ekstern validering

• Sikkerhetsoverholdelsesrevisjon

  Deskpro søker, overvåker og forbedrer alltid vårt sikkerhetsoppsett aktivt. Dette er gjennom regelmessige kontroller og vurderinger fra både vårt interne sikkerhetsteam og tredjepartsbedømmere.

  Alle resultater deles med ledergruppen og diskuteres i dybden ved gjennomgang av sikkerhetsstyringen. Nylige sikkerhetsrevisjoner og sertifiseringer inkluderer ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 og GDPR-beredskap. Du kan se vår liste over sertifikater nederst på denne siden.

  Vår tilgangskontrollpolicy implementeres internt og innen Deskpro har vi flere nivåer av sikkerhetsklarering. Noe tilgang, for eksempel utvidet støtte eller scenarier for skjermdeling, utføres på basis av klientavtale.

• Penetrasjonstesting

  Uavhengig penetrasjonstesting av en sertifisert CREST CHECK tredjepart utføres på minst en årlig basis. Penetrasjonstestene som utføres er fokusert på sikkerhet, infrastruktur og produkt. Resultatene av disse testene deles og følges opp av både sikkerhets- og høyere ledelsesteam.

  Vår årlige testing inkluderer også både eksterne og interne nettverkssårbarhetsskanninger, med sertifisering for Cyber ​​Essentials Plus. Alle tredjeparts penetrasjonstester utføres av konsulenter sertifisert etter CREST-standarder.

• Kundedrevne revisjoner

  Vi setter pris på at en organisasjon under visse omstendigheter kan kreve at ytterligere revisjoner eller penetrasjonstesting utføres før kjøpet av Deskpro kan foretas. Vi ønsker kunder velkommen til å utføre sin egen penetrasjonstesting i et Deskpro-miljø. Hvis du ønsker å arrangere en, vennligst kontakt support for å planlegge dette, og for ytterligere priser.

• Ansvarlig avsløring

  Hvis du er en sikkerhetsekspert eller -forsker, og du mener at du har oppdaget et sikkerhetsrelatert problem med Deskpros nettbaserte systemer, setter vi pris på din hjelp til å avsløre problemet til oss på en ansvarlig måte. Vi har en Ansvarlig avsløring program. Vi ber sikkerhetsforskningsmiljøet om å gi oss en mulighet til å rette opp en sårbarhet før vi avslører den offentlig.

Sertifisering / Samsvar

• • ISO 27001
  • SOC 2 Type II
  • Cyber ​​Essentials
  • Cyber ​​Essentials Plus
  • CSA Star
  • GDPR
  • G-Cloud
  • PCI-DSS
  • CCPA
  • Standard kontraktuelle klausuler (SCC)