Политики и практики за сигурност на Deskpro

• съоръжения

  Нашият доставчик на центрове за данни на облачни услуги (AWS) управлява най-съвременните, ISO27001, PCI DSS ниво 1, HIPAA, EU-US Privacy Shield и центрове за данни, съвместими с тип SOC 2.

  Автоматизираните системи за откриване и потушаване на пожар са инсталирани в мрежови, механични и инфраструктурни зони. Всички AWS центрове за данни са изградени по N+1 стандарти за резервиране.

• Сигурност на място

  Съоръженията на нашите центрове за данни разполагат с денонощен персонал на място, физически точки за достъп до сървърните стаи, покрити с видеонаблюдение, биометрични процедури за сигурност и денонощно наблюдение за наблюдение, за да се поддържа защита срещу неразрешено влизане и физически пробиви в сигурността. Те също така изискват проверки на миналото за всички служители като част от процеса на проверка преди наемане на работа.

• Мониторинг на сървъра

  Глобалните оперативни центрове за сигурност на AWS провеждат 24/7 наблюдение на дейностите по достъп до центъра за данни, като електронните системи за откриване на проникване са инсталирани в слоя данни. Системите се наблюдават постоянно от екипа по сигурността на Deskpro.

• Местоположения

  Deskpro предлага внедряване на облачни акаунти в центрове за данни, разположени в САЩ, ЕС или Обединеното кралство. Клиентите могат да избират в кой регион желаят ексклузивно да хостват своите данни, като стандарт.

  Корпоративен план клиентите могат да изберат да хостват в 1 от 22 страни по света.

• Непрекъсваемо захранване

  Всяко съоръжение е оборудвано с непрекъсваемо захранване (UPS) и резервни генератори в случай на прекъсване на захранването.

• Твърд периметър

  Всеки от нашите центрове за данни има контролиран периметърен слой с денонощни екипи за сигурност на място, ограничен и контролиран физически достъп, многофакторно удостоверяване, електронни системи за откриване на проникване и аларма на вратата.

• Специализиран екип по сигурността

  Екипът по сигурността на Deskpro е разпределен по целия свят. Те осигуряват 24/7 наблюдение и реакция при инциденти и сигнали за сигурност.

• Защитни стени

  Обществената мрежа на Deskpro е защитена от Cloudflare Enterprise, който филтрира целия входящ трафик от интернет. Публичните имейл сървъри са защитени от AWS Shield, който по подобен начин следи и филтрира входящия трафик от интернет. Не се предоставят други услуги или достъп до обществения интернет.

• Архитектура

  В рамките на вътрешната частна мрежа на Deskpro, която не е достъпна от публичния интернет, ние използваме групи за сигурност на AWS и IAM контроли, за да заключим комуникацията между компонентите, така че достъпът до услугите трябва да бъде предоставен изрично при необходимост. Ние правим невъзможно системите да взаимодействат една с друга, без ние изрично да го конфигурираме и планираме.

• Смекчаване на DDoS

  Системните одитни регистрационни файлове на Deskpro винаги се поддържат и проверяват за аномалии и ние използваме договорени доставчици на DDoS от трети страни за защита от разпределени атаки. Това включва както AWS Shield Guards, така и Cloudflare.

• Достъп с най-малко привилегии

  Достъпът до хостинг сървъри и живи среди се предоставя при достъп с най-малко привилегии. Много ограничен брой служители имат достъп до живи среди, които също изискват множество нива на достъп за сигурност.

• Реагиране на инциденти със сигурността (екип)

  Deskpro наблюдава облачната услуга 24/7 и разполага с екип за реагиране на повикване 24/7, за да реагира на инциденти със сигурността. Нашият хостинг доставчик, AWS, също така осигурява 24/7 глобално наблюдение и поддръжка за центровете за данни с множество местоположения, използвани за Deskpro Cloud.

• Сканиране на уязвимости

  Сканирането за уязвимости се извършва в мрежата, за да се идентифицират всички потенциално уязвими системи и позволява на екипа по сигурността бързо да прегледа всички слаби места.

развитие

• Сигурност на таксуването

  Deskpro не съхранява данни за кредитни карти. Използваме външни PCI-съвместими услуги (Spreedly и Stripe), за да предоставяме услуги за таксуване.

  Данните за вашата кредитна карта моментално преминават през нашите сървъри и поради тази причина ние сме потвърдени като съвместими със стандарта за сигурност на данните в сектора на разплащателните карти (PCI DSS).

• Гарантиране на качеството

  Имаме специален отдел за осигуряване на качеството (QA), който тества, преглежда и сортира нашата кодова база. За всяка актуализация или версия на софтуера се извършва тестване от екипи за разработка, поддръжка и QA с многостепенен подход.

• Отделни/различни среди

  Има отделни среди както за поставяне, така и за тестване. Тези среди са отделени както логически, така и физически от средата за производство на живо. При тестване или разработка не се използват данни на клиенти.

• Тестване за проникване

  Deskpro е тестван с модулно тестване, човешки одит, тест за проникване на приложения, статичен анализ и функционални тестове. Тестовете за проникване на трети страни също се извършват всяка година.

• Намаляване на често срещаните атаки (XSS, CSRF, SQLi)

  Deskpro е създаден за смекчаване на обичайните вектори на атаки; като атаки с инжектиране на SQL и атаки със скриптове между сайтове (XSS). Deskpro Cloud също се възползва от корпоративната защитна стена за уеб приложения (WAF) на CloudFlare, за да блокира автоматично или предизвиква подозрителни заявки.

Шифроване

• Данни в покой

  Всички клиентски данни, съхранявани криптирани на AWS сървъри (с алгоритъм за криптиране AES-256).

• Данни в транзит

  Всички данни, които се предават към и от платформата Deskpro, се криптират по кабела в съответствие с най-добрите практики в индустрията. Уеб трафикът през HTTP е защитен от CloudFlare с TLS 1.2 или 1.3, като се използват доказано сигурни пакети за шифроване.

  Повече информация за SSL/TLS в CloudFlarePortableText [components.type] is missing "span"

Софтуер

• Единично влизане

  Администраторите могат да конфигурират множество опции за SSO към платформата Deskpro, включително OneLogin, Okta, Azure, SAML и JWT удостоверяване. Има различни опции за конфигурация, налични за SSO, които ви позволяват да персонализирате начина, по който взаимодейства с агенти/клиенти.

• Двуфакторно удостоверяване (2FA)

  Deskpro активира 2FA чрез вашия SSO доставчик за администратори, агенти и клиенти.

• Сигурност и удостоверяване на API

  API на Deskpro е базиран на REST API, който работи сигурно през HTTPS. Заявки за API могат да се правят само от проверени клиенти. API автентификацията може да се извърши чрез OAuth, API ключове или с помощта на краткотрайни API токени.

• Персонализирани правила за пароли

  Политиките за персонализиране на пароли могат да бъдат активирани както за агенти, така и за клиенти. Това включва възможност за задаване на минимална дължина на паролата, забрана за повторно използване на парола, комбинация от цифри и знаци и принуждаване на клиентите да променят паролата си след определен период от време.

• Одитни регистрационни файлове

  Съхраняват се изчерпателни регистрационни файлове за одит за промени, направени от администраторите. Те предоставят записи, включително тип, действие, изпълнител и клеймо за време, че е изпълнено. Дневниците на активността на агентите също могат да се преглеждат от администраторите, като показват активност като отговори на билети или онлайн време.

• Работно време

  Deskpro поддържа високо ниво на достъпност на облачната платформа, средно над 99,9%.

  Има публично достъпна страница за състоянието, където можете проверете състоянието на облачния софтуер и неговите компоненти.

• Съкращаване

  Ние използваме AWS с резервиране в поне две зони на достъпност, с резервни копия на база данни, предлагащи 35-дневно възстановяване в даден момент, ако е необходимо. Допълнителни криптирани резервни копия извън сайта се актуализират ежедневно.

• Реагиране на инциденти със сигурността

  Ние сме установили процедури и политики по отношение на реакцията и комуникацията относно инциденти със сигурността от нашия екип по сигурността.

  Нивото на инцидента със сигурността ще диктува начина, по който комуникираме и отговаряме на нашите клиенти. Ако възникне инцидент със сигурността, ще бъдете информирани чрез нашия екип за успех на клиентите. Те ще бъдат на разположение, за да ви помогнат и подкрепят по време на инцидента относно актуализациите.

  Всички наши процедури и политики относно реакцията при инциденти със сигурността се оценяват и актуализират поне веднъж годишно.

• План за възстановяване след бедствие и непрекъснатост на бизнеса

  В случай на спешен или критичен инцидент в което и да е помещение на Deskpro е въведен план за непрекъснатост на бизнеса.

  Това беше създадено, за да можем да продължим да функционираме като бизнес за нашите клиенти, независимо от сценария. Планът за непрекъснатост на бизнеса се тества и проверява ежегодно за приложимост и евентуални допълнителни подобрения, които могат да бъдат направени.

Архивиране

• Продължителност на архивирането

  Ако вече не желаете да използвате Deskpro, ние поддържаме резервни копия на вашите акаунти в продължение на 60 дни - след което вашите данни се изтриват напълно от всички наши системи.

• Брой резервни копия

  Първичните резервни копия предлагат възстановяване на момента за 35 дни. Криптираните резервни копия извън сайта се актуализират ежедневно.

Изхвърляне

• Изтриване на данни

  Вашите данни се изтриват по сигурен начин незабавно от нашите основни хранилища за данни при поискване. Шифрованите външни резервни копия на вашите данни се изчистват чрез редовна ротация на резервни копия на всеки 60 дни.

• Премахване на хардуер

  Всеки хардуер, който вече не се използва, се изтрива напълно и се изхвърля чрез регулирана услуга за изхвърляне в съответствие с ISO27001.

Сигурност на крайната точка

• Настройка на работна станция

  Преди някой да се присъедини към Deskpro като служител, неговата работна станция е настроена и конфигурирана да отговаря на всички наши политики за сигурност. Тези правила изискват всички работни станции да са конфигурирани на високо ниво и да отговарят на стандартите за сертифициране за сигурност като ISO27001 & Cyber ​​Essentials Plus.

  Всяка работна станция има криптирани данни в покой, силни пароли (управлявани от защитено хранилище за управление на пароли), активирано проследяване на местоположението и екрани, които се изключват автоматично, когато не са активни.

• Мониторинг

  Централната система за управление на SA се използва за наблюдение, проследяване и докладване на злонамерен софтуер, неоторизиран софтуер и сменяеми устройства за съхранение. Това е, за да се гарантира, че всички работни станции са актуални с корекции и сигурност. Също така имаме строга политика за несменяеми устройства за съхранение.

  Всички мобилни устройства (телефони или таблети), използвани за работни цели, са част от система за управление на мобилни устройства за проследяване на местоположението, сигурни пароли и SSO.

• Конфиденциалност

  Всички новоназначени се проверяват по време на процеса на наемане. При започване на работа в Deskpro служителите, изпълнителите и почистващите екипи са длъжни да подпишат споразумение за неразкриване и поверителност. Това също е удължен договор след напускане.

Достъп до чувствителна информация

• Провизия

  Само определени хора в организацията имат достъп до чувствителна информация. Той е на базата на необходимостта да се знае с разрешения, базирани на роли, за да се даде възможност на служителите да изпълняват работата си по най-добрия начин.

  Нашата политика за контрол на достъпа се прилага вътрешно и в рамките на Deskpro имаме множество нива на разрешение за сигурност. Някои видове достъп, като разширена поддръжка или сценарии за споделяне на екрана, се извършват на базата на споразумение между клиента.

• Удостоверяване

  За да увеличи още повече сигурността, Deskpro използва двуфакторно удостоверяване (2FA) за системи, които съдържат чувствителни или лични данни.

  Използването на Single Sign On (SSO) за служителите позволява на ръководството незабавно да деактивира или промени достъпа до всички приложения. Това се използва, когато служител напусне Deskpro или техният достъп трябва да бъде премахнат.

• Управление на пароли

  Като част от нашата вътрешна политика за пароли, Deskpro изисква всички служители да използват одобрен мениджър на пароли. Това е, за да се гарантира, че паролите са силни, съхраняват се на сигурно място, редовно се променят и не се използват повторно. Когато е необходимо, мениджърът на пароли предупреждава потребителите за всички потенциални рискове за паролата, за да поддържа високо ниво на сигурност на всички нива.

Управление на доставчици

• Под-сервизни организации

  За да работи Deskpro ефективно, ние разчитаме на под-сервизни организации, които да ни помогнат да предоставим нашата услуга.

  Когато избираме подходящ доставчик за необходимата услуга, ние предприемаме съответните стъпки, за да гарантираме, че сигурността и целостта на нашата платформа се поддържат. Всяка под-сервизна организация е строго проверена, тествана и проверена за сигурност, преди да бъде внедрена в Deskpro.

• Съответствие на доставчика

  Deskpro наблюдава ефективността на тези доставчици и те се преглеждат ежегодно, за да се потвърди, че тяхната постоянна сигурност и предпазни мерки се спазват. Преглед на a списък на нашите настоящи подсервизни организацииPortableText [components.type] is missing "span"

• Подпроцесори

  Във всяка ситуация, в която използването на една от тези под-сервизни организации може потенциално да повлияе на сигурността на Deskpro, ние предприемаме подходящи стъпки за смекчаване на риска. Това включва установяване на споразумения и гарантиране, че те са в съответствие със съответните сертификати или разпоредби, като GDPR.

Външно валидиране

• Одити за съответствие със сигурността

  Deskpro винаги активно търси, наблюдава и подобрява нашата настройка за сигурност. Това става чрез редовни проверки и оценки както от нашия екип за вътрешна сигурност, така и от оценители от трета страна.

  Всички резултати се споделят с мениджърския екип и се обсъждат задълбочено при прегледи на управлението на сигурността. Скорошните одити и сертификати за сигурност включват ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 и готовност за GDPR. Можете да видите нашия списък със сертификати в долната част на тази страница.

  Нашата политика за контрол на достъпа се прилага вътрешно и в рамките на Deskpro имаме множество нива на разрешение за сигурност. Някои видове достъп, като разширена поддръжка или сценарии за споделяне на екрана, се извършват на базата на споразумение между клиента.

• Тестване за проникване

  Независимо тестване за проникване от сертифицирана CREST CHECK трета страна се извършва най-малко веднъж годишно. Извършените тестове за проникване са фокусирани върху сигурността, инфраструктурата и продукта. Резултатите от тези тестове се споделят и се вземат предвид както екипите по сигурността, така и екипите за висше управление.

  Нашето годишно тестване също така включва сканиране за външна и вътрешна мрежова уязвимост със сертификат за Cyber ​​Essentials Plus. Всички тестове за проникване на трети страни се извършват от консултанти, сертифицирани по стандартите CREST.

• Водени от клиента одити

  Оценяваме, че при определени обстоятелства дадена организация може да изисква провеждането на допълнителни одити или тестове за проникване, преди да може да бъде направена покупката на Deskpro. Ние приветстваме клиентите да извършат свои собствени тестове за проникване в среда на Deskpro. Ако искате да уредите такъв, моля, свържете се с поддръжката за насрочване на това и за допълнителни цени.

• Отговорно разкриване

  Ако сте експерт или изследовател по сигурността и смятате, че сте открили проблем, свързан със сигурността в онлайн системите на Deskpro, ние оценяваме вашата помощ при разкриването на проблема пред нас по отговорен начин. Ние имаме Отговорно разкриване програма. Молим общността за изследване на сигурността да ни даде възможност да коригираме уязвимост, преди да я разкрием публично.

Сертифициране / Съответствие

• • ISO 27001
  • SOC 2 Тип II
  • Cyber ​​Essentials
  • Cyber ​​Essentials Plus
  • CSA звезда
  • GDPR
  • G-Cloud
  • PCI-DSS
  • CCPA
  • Стандартни договорни клаузи (SCC)