Sicherheitsrichtlinien und -praktiken von Deskpro

• Einrichtungen

  Unser Cloud-Service-Rechenzentrumsanbieter (AWS) betreibt hochmoderne, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield und SOC 2 Type konforme Rechenzentren.

  Automatisierte Branderkennungs- und -unterdrückungssysteme werden in Netzwerk-, Maschinen- und Infrastrukturbereichen installiert. Alle AWS-Rechenzentren sind nach N+1-Redundanzstandards aufgebaut.

• Sicherheit vor Ort

  Unsere Rechenzentrumseinrichtungen verfügen rund um die Uhr über Personal vor Ort, physische Zugangspunkte zu Serverräumen, die durch Videoüberwachung abgedeckt sind, biometrische Sicherheitsverfahren und Überwachungsüberwachung rund um die Uhr, um den Schutz vor unbefugtem Zutritt und physischen Sicherheitsverletzungen aufrechtzuerhalten. Sie verlangen außerdem Hintergrundüberprüfungen für alle Mitarbeiter im Rahmen des Screening-Prozesses vor der Einstellung.

• Serverüberwachung

  Die Global Security Operation Centers von AWS überwachen die Zugriffsaktivitäten auf Rechenzentren rund um die Uhr, wobei in der Datenschicht elektronische Systeme zur Erkennung von Eindringlingen installiert sind. Die Systeme werden ständig vom Deskpro-Sicherheitsteam überwacht.

• Standorte

  Deskpro bietet die Bereitstellung von Cloud-Konten in Rechenzentren in den USA, der EU oder im Vereinigten Königreich anPortableText [components.type] is missing "span". Kunden können standardmäßig auswählen, in welcher Region sie ihre Daten exklusiv hosten möchten.

  PortableText [components.type] is missing "span"Unternehmensplan Kunden können wählen, ob sie in einem von 22 Ländern weltweit hosten möchten.

• Unterbrechungsfreie Stromversorgung

  Jede Anlage ist mit einer unterbrechungsfreien Stromversorgung (USV) und Notstromgeneratoren für den Fall einer Stromunterbrechung ausgestattet.

• Harter Umfang

  Jedes unserer Rechenzentren verfügt über eine kontrollierte Perimeterschicht mit Sicherheitsteams vor Ort rund um die Uhr, eingeschränktem und kontrolliertem physischen Zugang, Multi-Faktor-Authentifizierung, elektronischen Systemen zur Einbrucherkennung und Türalarmierung.

• Engagiertes Sicherheitsteam

  Das Sicherheitsteam von Deskpro ist auf der ganzen Welt verteilt. Sie bieten rund um die Uhr Überwachung und Reaktion auf Sicherheitsvorfälle und -warnungen.

• Firewalls

  Das öffentlich zugängliche Netzwerk von Deskpro wird durch Cloudflare Enterprise geschützt, das den gesamten eingehenden Datenverkehr aus dem Internet filtert. Öffentlich zugängliche E-Mail-Server werden durch AWS Shield geschützt, das ebenfalls eingehenden Datenverkehr aus dem Internet überwacht und filtert. Es werden keine weiteren Dienste oder Zugang zum öffentlichen Internet bereitgestellt.

• Die Architektur

  Innerhalb des internen privaten Netzwerks von Deskpro, auf das nicht über das öffentliche Internet zugegriffen werden kann, verwenden wir AWS-Sicherheitsgruppen und IAM-Kontrollen, um die Kommunikation zwischen Komponenten zu sperren. Daher muss der Zugriff auf Dienste explizit nach Bedarf gewährt werden. Wir machen es unmöglich, dass Systeme miteinander interagieren, ohne dass wir dies explizit konfigurieren und planen.

• DDoS-Abwehr

  Die Systemüberwachungsprotokolle von Deskpro werden stets gepflegt und auf Anomalien überprüft. Zum Schutz vor verteilten Angriffen nutzen wir beauftragte DDoS-Drittanbieter. Dazu gehören sowohl AWS Shield Guards als auch Cloudflare.

• Zugriff mit den geringsten Privilegien

  Der Zugriff auf Hosting-Server und Live-Umgebungen erfolgt mit den geringsten Berechtigungen. Eine sehr begrenzte Anzahl von Mitarbeitern hat Zugriff auf Live-Umgebungen, für die außerdem mehrere Sicherheitszugriffsebenen erforderlich sind.

• Reaktion auf Sicherheitsvorfälle (Team)

  Deskpro überwacht den Cloud-Service rund um die Uhr und verfügt rund um die Uhr über ein Reaktionsteam, das auf Sicherheitsvorfälle reagiert. Unser Hosting-Anbieter AWS bietet außerdem rund um die Uhr globale Überwachung und Support für die für Deskpro Cloud genutzten Rechenzentren mit mehreren Standorten.

• Schwachstellenscan

  Im gesamten Netzwerk werden Schwachstellenscans durchgeführt, um potenziell anfällige Systeme zu identifizieren und dem Sicherheitsteam eine schnelle Überprüfung aller Schwachstellen zu ermöglichen.

Entwicklung

• Abrechnungssicherheit

  Deskpro speichert keine Kreditkartendaten. Für die Bereitstellung von Abrechnungsdienstleistungen nutzen wir externe PCI-konforme Dienste (Spreedly und Stripe).

  Ihre Kreditkartendaten werden vorübergehend durch unsere Server geleitet. Aus diesem Grund sind wir nachweislich konform mit dem Payment Card Industry Data Security Standard (PCI DSS).

• Qualitätskontrolle

  Wir verfügen über eine eigene Qualitätssicherungsabteilung (QA), die unsere Codebasis testet, überprüft und selektiert. Für jedes Update oder jede Veröffentlichung der Software werden Tests von Entwicklungs-, Support- und QA-Teams mit einem mehrstufigen Ansatz durchgeführt.

• Getrennte/verschiedene Umgebungen

  Es gibt separate Umgebungen für Staging und Tests. Diese Umgebungen sind sowohl logisch als auch physisch von der Live-Produktionsumgebung getrennt. Für Tests oder Entwicklung werden keine Kundendaten verwendet.

• Penetrationstests

  Deskpro wird mit Unit-Tests, Human-Auditing, Anwendungs-Penetrationstests, statischen Analysen und Funktionstests getestet. Darüber hinaus werden jährlich Penetrationstests durch Dritte durchgeführt.

• Abschwächung häufiger Angriffe (XSS, CSRF, SQLi)

  Deskpro wurde entwickelt, um gängige Angriffsvektoren abzuschwächen; wie SQL-Injection-Angriffe und Cross-Site-Scripting-Angriffe (XSS). Deskpro Cloud nutzt außerdem die Web Application Firewall (WAF) der Enterprise-Klasse von CloudFlare, um verdächtige Anfragen automatisch zu blockieren oder abzuwehren.

Verschlüsselung

• Daten im Ruhezustand

  Alle Kundendaten werden verschlüsselt auf AWS-Servern gespeichert (mit dem AES-256-Verschlüsselungsalgorithmus).

• Daten im Transport

  Alle Daten, die in die und von der Deskpro-Plattform übertragen werden, werden gemäß den Best Practices der Branche über das Kabel verschlüsselt. Der Webverkehr über HTTP wird von CloudFlare mit TLS 1.2 oder 1.3 unter Verwendung bewährter sicherer Verschlüsselungssammlungen gesichert.

  Weitere Informationen zu SSL/TLS bei CloudFlarePortableText [components.type] is missing "span"

Software

• Einmalige Anmeldung

  Administratoren können mehrere Optionen für SSO zur Deskpro-Plattform konfigurieren, einschließlich OneLogin-, Okta-, Azure-, SAML- und JWT-Authentifizierung. Für SSO stehen verschiedene Konfigurationsoptionen zur Verfügung, mit denen Sie die Interaktion mit Agenten/Kunden anpassen können.

• Zwei-Faktor-Authentifizierung (2FA)

  Deskpro ermöglicht 2FA über Ihren SSO-Anbieter für Administratoren, Agenten und Kunden.

• API-Sicherheit und Authentifizierung

  Die Deskpro-API ist eine REST-basierte API, die sicher über HTTPS ausgeführt wird. API-Anfragen können nur von verifizierten Kunden gestellt werden. Die API-Authentifizierung kann über OAuth, API-Schlüssel oder die Verwendung kurzlebiger API-Tokens erfolgen.

• Benutzerdefinierte Passwortrichtlinien

  Anpassbare Passwortrichtlinien können sowohl für Agenten als auch für Kunden aktiviert werden. Dazu gehört die Möglichkeit, eine Mindestlänge für Passwörter festzulegen, die Wiederverwendung von Passwörtern, eine Kombination aus Zahlen und Zeichen zu verbieten und Kunden zu zwingen, ihr Passwort nach einer bestimmten Zeit zu ändern.

• Audit-Protokolle

  Für von Administratoren vorgenommene Änderungen werden umfassende Prüfprotokolle geführt. Sie stellen Aufzeichnungen bereit, einschließlich Typ, Aktion, Ausführender und Zeitstempel der Ausführung. Aktivitätsprotokolle für Agenten können auch von Administratoren eingesehen werden und zeigen Aktivitäten wie Ticketantworten oder Online-Zeit an.

• Betriebszeit

  Deskpro sorgt auf der Cloud-Plattform für eine hohe Verfügbarkeit von durchschnittlich über 99,9 %.

  Es gibt eine öffentlich zugängliche Statusseite, auf der Sie dies tun können Überprüfen Sie den Status der Cloud-Software und seine Bestandteile.

• Redundanz

  Wir verwenden AWS mit Redundanz über mindestens zwei Verfügbarkeitszonen, wobei Datenbanksicherungen bei Bedarf eine punktuelle Wiederherstellung im Wert von 35 Tagen ermöglichen. Zusätzliche verschlüsselte Offsite-Backups werden täglich aktualisiert.

• Reaktion auf Sicherheitsvorfälle

  Wir haben Verfahren und Richtlinien für die Reaktion und Kommunikation unseres Sicherheitsteams auf Sicherheitsvorfälle festgelegt.

  Das Ausmaß des Sicherheitsvorfalls bestimmt, wie wir mit unseren Kunden kommunizieren und reagieren. Sollte es zu einem Sicherheitsvorfall kommen, werden Sie über unser Customer Success-Team auf dem Laufenden gehalten. Sie stehen Ihnen mit Rat und Tat zur Seite und unterstützen Sie bei Aktualisierungen.

  Alle unsere Verfahren und Richtlinien zur Reaktion auf Sicherheitsvorfälle werden mindestens einmal jährlich bewertet und aktualisiert.

• Notfallwiederherstellungs- und Geschäftskontinuitätsplan

  Für den Fall eines Notfalls oder eines kritischen Vorfalls in einem Deskpro-Betriebsgelände wurde ein Geschäftskontinuitätsplan erstellt.

  Dies wurde geschaffen, damit wir unabhängig von der Situation weiterhin als Unternehmen für unsere Kunden funktionieren können. Der Geschäftskontinuitätsplan wird jährlich getestet und auf seine Anwendbarkeit und mögliche zusätzliche Verbesserungen überprüft.

Backups

• Sicherungsdauer

  Sollten Sie Deskpro nicht mehr nutzen wollen, bewahren wir 60 Tage lang Backups Ihrer Konten auf – danach werden Ihre Daten vollständig aus allen unseren Systemen gelöscht.

• Anzahl der Backups

  Primäre Backups bieten eine Point-in-Time-Wiederherstellung für 35 Tage. Verschlüsselte Offsite-Backups werden täglich aktualisiert.

Entsorgung

• Daten löschen

  Ihre Daten werden auf Anfrage sofort sicher aus unseren primären Datenspeichern gelöscht. Verschlüsselte Offsite-Backups Ihrer Daten werden durch regelmäßige Backup-Rotation alle 60 Tage gelöscht.

• Hardware entfernen

  Nicht mehr verwendete Hardware wird vollständig gelöscht und über einen regulierten Entsorgungsdienst gemäß ISO27001-Konformität entsorgt.

Endpunktsicherheit

• Einrichtung des Arbeitsplatzes

  Bevor jemand als Mitarbeiter bei Deskpro einsteigt, wird sein Arbeitsplatz so eingerichtet und konfiguriert, dass er allen unseren Sicherheitsrichtlinien entspricht. Diese Richtlinien erfordern, dass alle Workstations auf einem hohen Niveau konfiguriert sind und Sicherheitszertifizierungsstandards wie ISO27001 und Cyber ​​Essentials Plus entsprechen.

  Auf jeder Workstation sind die Daten im Ruhezustand verschlüsselt, sie verfügen über sichere Passwörter (verwaltet durch einen sicheren Passwortverwaltungs-Tresor), die Standortverfolgung ist aktiviert und die Bildschirme schalten sich bei Inaktivität automatisch ab.

• Überwachung

  Das zentrale Managementsystem von SA dient der Überwachung, Verfolgung und Berichterstattung über Malware, nicht autorisierte Software und Wechselspeichergeräte. Dadurch soll sichergestellt werden, dass alle Workstations mit Patches und Sicherheit auf dem neuesten Stand sind. Wir haben auch eine strikte Richtlinie für nicht austauschbare Speichergeräte.

  Alle beruflich genutzten Mobilgeräte (Telefone oder Tablets) sind Teil eines Mobilgeräteverwaltungssystems zur Standortverfolgung, sicheren Passwörtern und SSO.

• Vertraulichkeit

  Alle Neueinstellungen werden während des Einstellungsprozesses überprüft. Bei Arbeitsbeginn bei Deskpro müssen Mitarbeiter, Auftragnehmer und Reinigungskräfte eine Geheimhaltungs- und Vertraulichkeitsvereinbarung unterzeichnen. Hierbei handelt es sich ebenfalls um einen aufrecht erhaltenen Vertrag nach Beendigung des Arbeitsverhältnisses.

Zugriff auf sensible Informationen

• Bereitstellung

  Nur bestimmte Personen innerhalb der Organisation erhalten Zugriff auf vertrauliche Informationen. Es erfolgt auf einer „Need-to-know“-Basis mit rollenbasierten Berechtigungen, damit Mitarbeiter ihre Arbeit bestmöglich ausführen können.

  Unsere Zugangskontrollrichtlinie wird intern umgesetzt und innerhalb von Deskpro verfügen wir über mehrere Stufen der Sicherheitsfreigabe. Einige Zugriffe, wie z. B. erweiterter Support oder Bildschirmfreigabeszenarien, erfolgen auf Basis einer Kundenvereinbarung.

• Authentifizierung

  Um die Sicherheit noch weiter zu erhöhen, verwendet Deskpro die Zwei-Faktor-Authentifizierung (2FA) für Systeme, die sensible oder persönliche Daten enthalten.

  Der Einsatz von Single Sign On (SSO) für Mitarbeiter ermöglicht es dem Management, den Zugriff auf alle Anwendungen sofort zu deaktivieren oder zu ändern. Dies wird verwendet, wenn ein Mitarbeiter Deskpro verlässt oder sein Zugriff entfernt werden muss.

• Passwortverwaltung

  Als Teil unserer internen Passwortrichtlinie verlangt Deskpro von allen Mitarbeitern, einen zugelassenen Passwort-Manager zu verwenden. Dadurch soll sichergestellt werden, dass Passwörter sicher sind, an einem sicheren Ort aufbewahrt, regelmäßig geändert und nicht wiederverwendet werden. Bei Bedarf warnt der Passwort-Manager Benutzer vor potenziellen Passwortrisiken, um auf allen Ebenen ein hohes Maß an Sicherheit zu gewährleisten.

Lieferantenmanagement

• Sub-Service-Organisationen

  Damit Deskpro effizient funktioniert, sind wir auf Sub-Service-Organisationen angewiesen, die uns bei der Erbringung unserer Dienstleistungen unterstützen.

  Bei der Auswahl eines geeigneten Anbieters für einen erforderlichen Dienst ergreifen wir die entsprechenden Schritte, um sicherzustellen, dass die Sicherheit und Integrität unserer Plattform gewahrt bleibt. Jede Unterdienstorganisation wird vor der Implementierung in Deskpro eingehend geprüft, getestet und auf Sicherheit überprüft.

• Lieferanten-Compliance

  Deskpro überwacht die Wirksamkeit dieser Anbieter und sie werden jährlich überprüft, um zu bestätigen, dass ihre kontinuierliche Sicherheit und Schutzmaßnahmen eingehalten werden. Sehen Sie sich a an Liste unserer aktuellen Sub-Service-OrganisationenPortableText [components.type] is missing "span"

• Unterauftragsverarbeiter

  In jeder Situation, in der die Nutzung einer dieser Unterdienstorganisationen möglicherweise Auswirkungen auf die Sicherheit von Deskpro haben könnte, ergreifen wir geeignete Maßnahmen, um das Risiko zu mindern. Dazu gehört die Erstellung von Vereinbarungen und die Sicherstellung, dass diese mit relevanten Zertifizierungen oder Vorschriften wie der DSGVO konform sind.

Externe Validierung

• Sicherheits-Compliance-Audits

  Deskpro sucht, überwacht und verbessert ständig aktiv unsere Sicherheitseinstellungen. Dies geschieht durch regelmäßige Kontrollen und Bewertungen sowohl durch unser internes Sicherheitsteam als auch durch externe Gutachter.

  Alle Ergebnisse werden dem Managementteam mitgeteilt und im Rahmen von Sicherheitsmanagementüberprüfungen ausführlich besprochen. Zu den jüngsten Sicherheitsaudits und Zertifizierungen gehören ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 und DSGVO Readiness. Unsere Zertifikatsliste finden Sie unten auf dieser Seite.

  Unsere Zugangskontrollrichtlinie wird intern umgesetzt und innerhalb von Deskpro verfügen wir über mehrere Stufen der Sicherheitsfreigabe. Einige Zugriffe, wie z. B. erweiterter Support oder Bildschirmfreigabeszenarien, erfolgen auf Basis einer Kundenvereinbarung.

• Penetrationstests

  Mindestens einmal jährlich werden unabhängige Penetrationstests durch einen zertifizierten CREST CHECK-Drittanbieter durchgeführt. Die durchgeführten Penetrationstests konzentrieren sich auf Sicherheit, Infrastruktur und Produkt. Die Ergebnisse dieser Tests werden sowohl vom Sicherheitsteam als auch vom übergeordneten Managementteam geteilt und darauf reagiert.

  Zu unseren jährlichen Tests gehören auch externe und interne Netzwerk-Schwachstellenscans mit der Zertifizierung „Cyber ​​Essentials Plus“. Alle Penetrationstests von Drittanbietern werden von nach CREST-Standards zertifizierten Beratern durchgeführt.

• Kundenorientierte Audits

  Wir sind uns darüber im Klaren, dass eine Organisation unter bestimmten Umständen die Durchführung weiterer Audits oder Penetrationstests verlangen kann, bevor der Kauf von Deskpro getätigt werden kann. Wir laden Kunden ein, ihre eigenen Penetrationstests in einer Deskpro-Umgebung durchzuführen. Wenn Sie einen Termin vereinbaren möchten, wenden Sie sich bitte an den Support, um dies zu vereinbaren und weitere Preise zu erfahren.

• Verantwortungsvolle Offenlegung

  Wenn Sie ein Sicherheitsexperte oder -forscher sind und glauben, dass Sie ein sicherheitsrelevantes Problem mit den Online-Systemen von Deskpro entdeckt haben, freuen wir uns über Ihre Hilfe bei der verantwortungsvollen Offenlegung des Problems gegenüber uns. Wir haben ein Verantwortungsvolle Offenlegung Programm. Wir bitten die Sicherheitsforschungsgemeinschaft, uns die Möglichkeit zu geben, eine Schwachstelle zu beheben, bevor wir sie öffentlich bekannt geben.

Zertifizierung / Compliance

• • ISO 27001
  • SOC 2 Typ II
  • Cyber-Grundlagen
  • Cyber ​​Essentials Plus
  • CSA-Star
  • DSGVO
  • G-Cloud
  • PCI-DSS
  • CCPA
  • Standardvertragsklauseln (SCC)