Polisïau ac Arferion Diogelwch Deskpro

• Cyfleusterau

  Mae ein darparwr canolfan ddata gwasanaeth cwmwl (AWS) yn gweithredu canolfannau data o'r radd flaenaf, ISO27001, PCI DSS Lefel 1, HIPAA, Tarian Preifatrwydd UE-UDA, a SOC 2 Math.

  Mae systemau canfod ac atal tân awtomataidd yn cael eu gosod mewn meysydd rhwydweithio, mecanyddol a seilwaith. Mae holl ganolfannau data AWS wedi'u hadeiladu i safonau diswyddo N+1.

• Diogelwch ar y Safle

  Mae gan ein cyfleusterau canolfan ddata staff 24/7 ar y safle, pwyntiau mynediad corfforol i ystafelloedd gweinyddwyr sydd wedi'u cynnwys gan deledu cylch cyfyng, gweithdrefnau diogelwch biometrig, a monitro gwyliadwriaeth 24 awr y dydd i gynnal amddiffyniad rhag mynediad anawdurdodedig a thorri diogelwch corfforol. Maent hefyd yn gofyn am wiriadau cefndir ar gyfer pob cyflogai fel rhan o'r broses sgrinio cyn cyflogaeth.

• Monitro Gweinydd

  Mae Canolfannau Gweithredu Diogelwch Byd-eang AWS yn monitro gweithgareddau mynediad canolfannau data 24/7, gyda systemau canfod ymwthiad electronig wedi'u gosod yn yr haen ddata. Mae systemau'n cael eu monitro'n gyson gan Dîm Diogelwch Deskpro.

• Lleoliadau

  Mae Deskpro yn cynnig lleoli cyfrifon Cloud ar ganolfannau data sydd wedi'u lleoli naill ai yn yr UD, yr UE neu'r DUPortableText [components.type] is missing "span". Gall cwsmeriaid ddewis ym mha ranbarth y maent yn dymuno lletya eu data yn unig, fel safon.

  PortableText [components.type] is missing "span"Cynllun Menter gall cwsmeriaid ddewis cynnal mewn 1 o 22 o wledydd ledled y byd.

• Cyflenwad Pŵer Di-dor

  Mae gan bob cyfleuster gyflenwad pŵer di-dor (UPS) a generaduron wrth gefn rhag ofn y bydd aflonyddwch pŵer.

• Perimedr Caled

  Mae gan bob un o'n canolfannau Data Haen Perimedr a reolir gyda thimau diogelwch ar y safle 24/7, mynediad corfforol cyfyngedig a rheoledig, dilysu aml-ffactor, systemau canfod ymyrraeth electronig, a brawychu drysau.

• Tîm Diogelwch ymroddedig

  Mae Tîm Diogelwch Deskpro wedi'i ddosbarthu ledled y byd. Maent yn darparu monitro ac ymateb 24/7 i ddigwyddiadau a rhybuddion diogelwch.

• Muriau gwarchod

  Mae rhwydwaith Deskpro sy'n wynebu'r cyhoedd yn cael ei warchod gan Cloudflare Enterprise sy'n gweithredu i hidlo'r holl draffig sy'n dod i mewn o'r rhyngrwyd. Mae gweinyddwyr e-bost sy'n wynebu'r cyhoedd yn cael eu diogelu gan AWS Shield, sydd yn yr un modd yn monitro ac yn hidlo traffig sy'n dod i mewn o'r rhyngrwyd. Ni ddarperir unrhyw wasanaethau na mynediad eraill i'r rhyngrwyd cyhoeddus.

• Pensaernïaeth

  O fewn rhwydwaith preifat mewnol Deskpro, nad yw'n hygyrch o'r rhyngrwyd cyhoeddus, rydym yn cyflogi grwpiau diogelwch AWS a rheolyddion IAM i gloi cyfathrebu rhwng cydrannau, felly mae'n rhaid caniatáu mynediad at wasanaethau yn benodol yn ôl yr angen. Rydym yn ei gwneud yn amhosibl i systemau ryngweithio â'i gilydd heb i ni ei ffurfweddu'n benodol a chynllunio ar ei gyfer.

• Lliniaru DDoS

  Mae logiau archwilio system Deskpro bob amser yn cael eu cynnal a'u gwirio am anghysondebau, ac rydym yn defnyddio darparwyr DDoS trydydd parti dan gontract i amddiffyn rhag ymosodiadau gwasgaredig. Mae hyn yn cynnwys AWS Shield Guards a Cloudflare.

• Mynediad Braint Leiaf

  Darperir mynediad i weinyddion cynnal ac amgylcheddau byw ar y mynediad braint leiaf. Mae gan nifer gyfyngedig iawn o weithwyr fynediad i amgylcheddau byw, sydd hefyd angen lefelau lluosog o fynediad diogelwch.

• Ymateb i Ddigwyddiad Diogelwch (Tîm)

  Mae Deskpro yn monitro gwasanaeth cwmwl 24/7 ac mae ganddo dîm ymateb ar alwad 24/7 i ymateb i ddigwyddiadau diogelwch. Mae ein darparwr cynnal, AWS, hefyd yn darparu monitro byd-eang 24/7 a chefnogaeth ar gyfer y canolfannau data aml-leoliad a ddefnyddir ar gyfer Deskpro Cloud.

• Sganio Agored i Niwed

  Cynhelir sganio bregusrwydd ar draws y rhwydwaith i nodi unrhyw systemau a allai fod yn agored i niwed ac mae'n galluogi'r tîm diogelwch i adolygu unrhyw fannau gwan yn gyflym.

Datblygiad

• Diogelwch Bilio

  Nid yw Deskpro yn storio data cerdyn credyd. Rydym yn defnyddio gwasanaethau allanol sy'n cydymffurfio â PCI (Spreedly a Stripe) i ddarparu gwasanaethau bilio.

  Mae data eich cerdyn credyd yn mynd trwy ein gweinyddion am ennyd, ac am y rheswm hwn, rydym wedi'n gwirio i gydymffurfio â Safon Diogelwch Data'r Diwydiant Cardiau Talu (PCI DSS).

• Sicrwydd Ansawdd

  Mae gennym adran Sicrhau Ansawdd (SA) benodedig sy'n profi, adolygu a brysbennu ein sylfaen cod. Ar gyfer pob diweddariad neu ryddhad i'r feddalwedd, cynhelir profion gan dimau datblygu, cymorth a SA gyda dull aml-lefel.

• Amgylcheddau Gwahanol/Gwahanol

  Mae yna amgylcheddau ar wahân ar gyfer llwyfannu a phrofi. Mae'r amgylcheddau hyn wedi'u gwahanu'n rhesymegol ac yn ffisegol oddi wrth yr amgylchedd cynhyrchu byw. Ni ddefnyddir unrhyw ddata cwsmeriaid wrth brofi neu ddatblygu.

• Profi Treiddiad

  Mae Deskpro yn cael ei brofi gyda phrofion uned, archwilio dynol, profi treiddiad cymwysiadau, dadansoddiad statig, a phrofion swyddogaethol. Mae profion treiddiad trydydd parti hefyd yn cael eu cwblhau bob blwyddyn.

• Lliniaru Ymosodiadau Cyffredin (XSS, CSRF, SQLi)

  Mae Deskpro wedi'i adeiladu i liniaru fectorau ymosodiad cyffredin; megis ymosodiadau chwistrellu SQL ac ymosodiadau sgriptio traws-safle (XSS). Mae Deskpro Cloud hefyd yn manteisio ar Wal Dân Cais Gwe (WAF) gradd menter CloudFlare i rwystro neu herio ceisiadau amheus yn awtomatig.

Amgryptio

• Data yn Rest

  Mae'r holl ddata cwsmeriaid sy'n cael ei storio wedi'i amgryptio ar weinyddion AWS (gyda'r algorithm amgryptio AES-256).

• Data ar Gludiant

  Mae unrhyw ddata sy'n cael ei drosglwyddo i mewn ac allan o'r platfform Deskpro yn cael ei amgryptio dros y wifren yn unol ag arferion gorau'r diwydiant. Sicrheir traffig gwe dros HTTP gan CloudFlare gyda TLS 1.2 neu 1.3 gan ddefnyddio ystafelloedd seiffr profedig-diogel.

  Mwy o wybodaeth am SSL / TLS yn CloudFlarePortableText [components.type] is missing "span"

Meddalwedd

• Arwyddo Sengl

  Gall gweinyddwyr ffurfweddu opsiynau lluosog ar gyfer SSO i'r platfform Deskpro, gan gynnwys dilysu OneLogin, Okta, Azure, SAML, a JWT. Mae yna wahanol opsiynau ffurfweddu ar gael ar gyfer SSO sy'n eich galluogi i addasu sut mae'n rhyngweithio ag asiantau / cwsmeriaid.

• Dilysu Dau Ffactor (2FA)

  Mae Deskpro yn galluogi 2FA trwy eich darparwr SSO ar gyfer gweinyddwyr, asiantau a chwsmeriaid.

• API Diogelwch a Dilysu

  Mae API Deskpro yn API seiliedig ar REST sy'n rhedeg yn ddiogel dros HTTPS. Dim ond cwsmeriaid wedi'u dilysu all wneud ceisiadau API. Gellir gwneud Dilysiad API trwy OAuth, allweddi API, neu ddefnyddio tocynnau API byrhoedlog.

• Polisïau Cyfrinair Personol

  Gellir galluogi Polisïau Cyfrinair Addasadwy ar gyfer asiantau a chwsmeriaid. Mae hyn yn cynnwys y gallu i osod isafswm hyd cyfrinair, gwahardd ailddefnyddio cyfrinair, cymysgedd o rifau a nodau, a gorfodi cwsmeriaid i newid eu cyfrinair ar ôl cyfnod penodol o amser.

• Logiau Archwilio

  Cedwir logiau archwilio cynhwysfawr ar gyfer newidiadau a wneir gan weinyddwyr. Maent yn darparu cofnodion gan gynnwys math, gweithred, perfformiwr a stamp amser y cafodd ei gyflawni. Gall gweinyddwyr hefyd weld logiau gweithgaredd asiantau, gan ddangos gweithgaredd fel atebion tocynnau neu amser ar-lein.

• Uptime

  Mae Deskpro yn cynnal lefel uchel o argaeledd ar y platfform cwmwl, ar gyfartaledd dros 99.9%.

  Mae tudalen statws ar gael i'r cyhoedd, lle gallwch chi gwirio statws y meddalwedd cwmwl a'i gydrannau.

• Diswyddo

  Rydym yn defnyddio AWS gyda diswyddiadau dros o leiaf ddau barth argaeledd, gyda chronfeydd wrth gefn yn cynnig gwerth 35 diwrnod o adferiad pwynt-mewn-amser os oes angen. Mae copïau wrth gefn ychwanegol wedi'u hamgryptio oddi ar y safle yn cael eu diweddaru'n ddyddiol.

• Ymateb i Ddigwyddiadau Diogelwch

  Rydym wedi sefydlu gweithdrefnau a pholisïau o ran ymateb a chyfathrebu am ddigwyddiadau diogelwch gan ein Tîm Diogelwch.

  Bydd lefel y digwyddiad diogelwch yn pennu sut rydym yn cyfathrebu ac yn ymateb i'n cwsmeriaid. Os bydd digwyddiad diogelwch yn digwydd, byddwch yn cael eich diweddaru trwy ein tîm Llwyddiant Cwsmeriaid. Byddant wrth law i'ch helpu a'ch cefnogi drwy'r digwyddiad o ran diweddariadau.

  Mae ein holl weithdrefnau a pholisïau ynghylch ymateb i ddigwyddiadau diogelwch yn cael eu gwerthuso a’u diweddaru’n flynyddol o leiaf.

• Adfer ar ôl Trychineb a Chynllun Parhad Busnes

  Yn achos argyfwng neu ddigwyddiad critigol mewn unrhyw eiddo Deskpro, mae cynllun parhad busnes wedi'i roi ar waith.

  Crëwyd hwn fel y gallwn barhau i weithredu fel busnes i'n cwsmeriaid, ni waeth beth yw'r senario. Mae'r cynllun parhad busnes yn cael ei brofi a'i wirio'n flynyddol i weld a yw'n gymwys ac unrhyw welliannau ychwanegol y gellid eu gwneud.

Copïau wrth gefn

• Hyd Wrth Gefn

  Os nad ydych yn dymuno defnyddio Deskpro mwyach, rydym yn cynnal copïau wrth gefn o'ch cyfrifon am 60 diwrnod - ac ar ôl hynny caiff eich data ei ddileu'n llwyr o'n holl systemau.

• Nifer y copïau wrth gefn

  Mae copïau wrth gefn cynradd yn cynnig adferiad pwynt-mewn-amser am 35 diwrnod. Mae copïau wrth gefn oddi ar y safle wedi'u hamgryptio yn cael eu diweddaru'n ddyddiol.

Gwaredu

• Dileu Data

  Mae eich data yn cael ei ddileu yn ddiogel ar unwaith o'n prif storfeydd data ar gais. Mae copïau wrth gefn wedi'u hamgryptio o'ch data yn cael eu glanhau trwy gylchdroi wrth gefn rheolaidd bob 60 diwrnod.

• Tynnu Caledwedd

  Mae unrhyw galedwedd nad yw'n cael ei ddefnyddio bellach yn cael ei sychu'n llwyr a'i waredu gan ddefnyddio gwasanaeth gwaredu rheoledig yn unol â chydymffurfiaeth ISO27001.

Diogelwch Endpoint

• Gosod Gweithfan

  Cyn i unrhyw un ymuno â Deskpro fel gweithiwr, mae eu gweithfan wedi'i sefydlu a'i ffurfweddu i gydymffurfio â'n holl bolisïau diogelwch. Mae'r polisïau hyn yn ei gwneud yn ofynnol i bob gweithfan gael ei ffurfweddu i lefel uchel a chydymffurfio â safonau ardystio diogelwch megis ISO27001 a Cyber ​​Essentials Plus.

  Mae gan bob gweithfan ddata wedi'i amgryptio wrth orffwys, cyfrineiriau cryf (a reolir gan gladdgell rheoli cyfrinair diogel), tracio lleoliad wedi'i alluogi a sgriniau'n diffodd yn awtomatig pan fyddant yn segur.

• Monitro

  Defnyddir system reoli ganolog yr SA i fonitro, olrhain ac adrodd ar faleiswedd, meddalwedd anawdurdodedig a dyfeisiau storio symudadwy. Mae hyn er mwyn sicrhau bod yr holl weithfannau wedi'u diweddaru o ran clytiau a diogelwch. Mae gennym hefyd bolisi dyfeisiau storio llym na ellir eu symud.

  Mae unrhyw ddyfeisiau symudol (ffonau neu dabledi) a ddefnyddir at ddibenion gwaith yn rhan o system rheoli dyfeisiau symudol ar gyfer olrhain lleoliad, cyfrineiriau diogel a SSO.

• Cyfrinachedd

  Mae pob llogi newydd yn cael ei sgrinio yn ystod y broses llogi. Ar ddechrau cyflogaeth yn Deskpro, mae'n ofynnol i weithwyr, contractwyr a chriwiau glanhau lofnodi Cytundeb Peidio â Datgelu a Chyfrinachedd. Mae hwn hefyd yn gontract ôl-gyflogaeth sydd wedi'i gynnal.

Mynediad Gwybodaeth Sensitif

• Darpariaeth

  Dim ond rhai pobl o fewn y sefydliad sy'n cael mynediad at wybodaeth sensitif. Mae ar sail angen-gwybod gyda chaniatâd yn seiliedig ar rôl, i alluogi gweithwyr i gyflawni eu swydd hyd eithaf eu gallu.

  Gweithredir ein polisi rheoli mynediad yn fewnol ac o fewn Deskpro mae gennym lefelau lluosog o gliriad diogelwch. Mae rhywfaint o fynediad, fel cefnogaeth estynedig neu senarios rhannu sgrin yn cael ei berfformio ar sail cytundeb cleient.

• Dilysu

  Er mwyn cynyddu'r diogelwch hyd yn oed ymhellach, mae Deskpro yn defnyddio Dilysiad Dau Ffactor (2FA) ar gyfer systemau sy'n cynnwys data sensitif neu bersonol.

  Mae defnyddio Arwyddo Sengl (SSO) ar gyfer gweithwyr yn galluogi rheolwyr i analluogi neu newid mynediad i bob rhaglen ar unwaith. Defnyddir hwn pan fydd gweithiwr yn gadael Deskpro neu pan fydd angen dileu eu mynediad.

• Rheoli Cyfrinair

  Fel rhan o'n polisi cyfrinair mewnol, mae Deskpro yn ei gwneud yn ofynnol i bob gweithiwr ddefnyddio rheolwr cyfrinair cymeradwy. Mae hyn er mwyn sicrhau bod cyfrineiriau'n gryf, yn cael eu cadw mewn lleoliad diogel, yn cael eu newid yn rheolaidd ac nad ydynt yn cael eu hailddefnyddio. Lle bo angen, mae'r rheolwr cyfrinair yn rhybuddio defnyddwyr am unrhyw risgiau cyfrinair posibl i gynnal diogelwch lefel uchel ar bob lefel.

Rheoli Gwerthwr

• Sefydliadau Is-wasanaeth

  Er mwyn i Deskpro redeg yn effeithlon, rydym yn dibynnu ar sefydliadau is-wasanaeth i'n helpu i ddarparu ein gwasanaeth.

  Wrth ddewis gwerthwr addas ar gyfer gwasanaeth gofynnol, rydym yn cymryd y camau priodol i sicrhau bod diogelwch a chywirdeb ein platfform yn cael eu cynnal. Mae pob sefydliad is-wasanaeth yn cael ei graffu'n drylwyr, ei brofi a'i wirio'n ddiogel cyn ei weithredu yn Deskpro.

• Cydymffurfiad Gwerthwr

  Mae Deskpro yn monitro effeithiolrwydd y gwerthwyr hyn ac fe'u hadolygir yn flynyddol i gadarnhau eu diogelwch parhaus a bod mesurau diogelu yn cael eu cynnal. Gwel a rhestr o'n sefydliadau is-wasanaeth presennolPortableText [components.type] is missing "span"

• Is-broseswyr

  Mewn unrhyw sefyllfa lle gallai defnyddio un o’r sefydliadau is-wasanaeth hyn o bosibl effeithio ar ddiogelwch Deskpro, rydym yn cymryd camau priodol i liniaru’r risg. Mae hyn yn cynnwys sefydlu cytundebau a sicrhau eu bod yn cydymffurfio ag ardystiadau neu reoliadau perthnasol, megis GDPR.

Dilysu Allanol

• Archwiliadau Cydymffurfiaeth Diogelwch

  Mae Deskpro bob amser wrthi'n chwilio, yn monitro ac yn gwella ein trefniadau diogelwch. Gwneir hyn trwy wiriadau ac asesiadau rheolaidd gan ein tîm diogelwch mewnol ac aseswyr trydydd parti.

  Rhennir yr holl ganlyniadau gyda'r tîm rheoli a'u trafod yn fanwl mewn adolygiadau rheoli diogelwch. Mae archwiliadau ac ardystiadau diogelwch diweddar yn cynnwys ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 a Parodrwydd GDPR. Gallwch weld ein rhestr o dystysgrifau ar waelod y dudalen hon.

  Gweithredir ein polisi rheoli mynediad yn fewnol ac o fewn Deskpro mae gennym lefelau lluosog o gliriad diogelwch. Mae rhywfaint o fynediad, fel cefnogaeth estynedig neu senarios rhannu sgrin yn cael ei berfformio ar sail cytundeb cleient.

• Profi Treiddiad

  Cynhelir profion treiddiad annibynnol gan drydydd parti ardystiedig CREST CHECK yn flynyddol o leiaf. Mae'r profion treiddiad a gyflawnir yn canolbwyntio ar ddiogelwch, seilwaith a chynnyrch. Rhennir canlyniadau'r profion hyn a gweithredir arnynt gan y timau Diogelwch a Rheoli Uwch.

  Mae ein profion blynyddol hefyd yn cynnwys sganiau bregusrwydd rhwydwaith allanol a mewnol, gydag ardystiad ar gyfer Cyber ​​Essentials Plus. Mae pob prawf treiddiad trydydd parti yn cael ei gynnal gan ymgynghorwyr sydd wedi'u hardystio i safonau CREST.

• Archwiliadau a yrrir gan Gwsmeriaid

  Rydym yn gwerthfawrogi, mewn rhai amgylchiadau, y gall sefydliad ofyn am archwiliadau pellach neu brofion treiddiad, cyn y gellir prynu Deskpro. Rydym yn croesawu cwsmeriaid i berfformio eu profion treiddiad eu hunain ar amgylchedd Deskpro. Os hoffech drefnu un, cysylltwch â'r tîm cymorth ar gyfer amserlennu hyn, ac i gael prisiau pellach.

• Datgeliad Cyfrifol

  Os ydych chi'n arbenigwr diogelwch neu'n ymchwilydd, a'ch bod yn credu eich bod wedi darganfod problem sy'n ymwneud â diogelwch gyda systemau ar-lein Deskpro, rydym yn gwerthfawrogi eich cymorth i ddatgelu'r mater i ni mewn modd cyfrifol. Mae gennym ni a Datgeliad Cyfrifol rhaglen. Gofynnwn i'r gymuned ymchwil diogelwch roi cyfle i ni gywiro bregusrwydd cyn ei ddatgelu'n gyhoeddus.

Ardystio / Cydymffurfiaeth

• • ISO 27001
  • SOC 2 Math II
  • Hanfodion Seiber
  • Cyber ​​Essentials Plus
  • Seren CSA
  • GDPR
  • G-Cwmwl
  • PCI-DSS
  • CCPA
  • Cymalau Cytundebol Safonol (SCC)