Políticas y prácticas de seguridad de Deskpro

• Instalaciones

  Nuestro proveedor de centros de datos de servicios en la nube (AWS) opera centros de datos de última generación que cumplen con ISO27001, PCI DSS Nivel 1, HIPAA, Escudo de privacidad UE-EE. UU. y tipo SOC 2.

  Se instalan sistemas automatizados de detección y extinción de incendios en áreas de redes, mecánicas y de infraestructura. Todos los centros de datos de AWS están construidos según los estándares de redundancia N+1.

• Seguridad en el sitio

  Las instalaciones de nuestro centro de datos cuentan con personal in situ las 24 horas del día, los 7 días de la semana, puntos de acceso físico a salas de servidores cubiertos por CCTV, procedimientos de seguridad biométrica y monitoreo de vigilancia las 24 horas para mantener la protección contra entradas no autorizadas y violaciones de seguridad física. También exigen verificaciones de antecedentes de todos los empleados como parte del proceso de evaluación previa al empleo.

• Monitoreo del servidor

  Los Centros de operaciones de seguridad global de AWS realizan un monitoreo las 24 horas del día, los 7 días de la semana, de las actividades de acceso al centro de datos, con sistemas electrónicos de detección de intrusiones instalados en la capa de datos. Los sistemas son monitoreados constantemente por el equipo de seguridad de Deskpro.

• Ubicaciones

  Deskpro ofrece implementación de cuentas en la nube en centros de datos ubicados en EE. UU., la UE o el Reino Unido*. Los clientes pueden elegir en qué región desean alojar exclusivamente sus datos, como estándar.

  *Los clientes del Plan Empresarial pueden elegir hospedar en 1 de 22 países alrededor del mundo.

• Fuente de poder ininterrumpible

  Cada instalación está equipada con un sistema de suministro de energía ininterrumpida (UPS) y generadores de respaldo en caso de un corte de energía.

• Perímetro duro

  Cada uno de nuestros centros de datos tiene una capa perimetral controlada con equipos de seguridad en el sitio las 24 horas, los 7 días de la semana, acceso físico restringido y controlado, autenticación multifactor, sistemas electrónicos de detección de intrusos y alarmas de puertas.

• Equipo de seguridad dedicado

  El equipo de seguridad de Deskpro está distribuido por todo el mundo. Proporcionan monitoreo y respuesta 24 horas al día, 7 días a la semana, a incidentes y alertas de seguridad.

• Cortafuegos

  La red pública de Deskpro está protegida por Cloudflare Enterprise, que actúa para filtrar todo el tráfico entrante de Internet. Los servidores de correo electrónico públicos están protegidos por AWS Shield, que de manera similar monitorea y filtra el tráfico entrante de Internet. No se proporcionan otros servicios ni acceso a la Internet pública.

• Arquitectura

  Dentro de la red privada interna de Deskpro, a la que no se puede acceder desde la Internet pública, empleamos grupos de seguridad de AWS y controles de IAM para bloquear la comunicación entre componentes, por lo que el acceso a los servicios debe otorgarse explícitamente según sea necesario. Hacemos imposible que los sistemas interactúen entre sí sin que lo configuremos y planifiquemos explícitamente.

• Mitigación de ataques DDoS

  Los registros de auditoría del sistema Deskpro siempre se mantienen y verifican para detectar anomalías, y utilizamos proveedores DDoS externos contratados para protegernos de ataques distribuidos. Esto incluye tanto AWS Shield Guards como Cloudflare.

• Acceso con privilegios mínimos

  El acceso a los servidores de hosting y entornos en vivo se proporciona con acceso con privilegios mínimos. Un número muy limitado de empleados tiene acceso a entornos en vivo, que también requieren múltiples niveles de acceso de seguridad.

• Respuesta a incidentes de seguridad (equipo)

  Deskpro monitorea el servicio en la nube las 24 horas del día, los 7 días de la semana y cuenta con un equipo de respuesta disponible las 24 horas del día, los 7 días de la semana para responder a incidentes de seguridad. Nuestro proveedor de hosting, AWS, también ofrece soporte y monitoreo global las 24 horas, los 7 días de la semana, para los centros de datos de múltiples ubicaciones utilizados para Deskpro Cloud.

• Escaneo de vulnerabilidades

  El escaneo de vulnerabilidades se realiza en toda la red para identificar cualquier sistema potencialmente vulnerable y permite al equipo de seguridad revisar rápidamente cualquier punto débil.

Desarrollo

• Seguridad de facturación

  Deskpro no almacena datos de tarjetas de crédito. Utilizamos servicios externos compatibles con PCI (Spreedly y Stripe) para proporcionar servicios de facturación.

  Los datos de su tarjeta de crédito pasan momentáneamente a través de nuestros servidores y, por esta razón, se verifica que cumplimos con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

• Seguro de calidad

  Contamos con un departamento de Garantía de Calidad (QA) dedicado que prueba, revisa y clasifica nuestro código base. Para cada actualización o versión del software, los equipos de desarrollo, soporte y control de calidad realizan pruebas con un enfoque multinivel.

• Ambientes separados/diferentes

  Hay entornos separados tanto para la preparación como para las pruebas. Estos entornos están separados tanto lógica como físicamente del entorno de producción en vivo. No se utilizan datos de clientes en pruebas o desarrollo.

• Pruebas de penetración

  Deskpro se prueba con pruebas unitarias, auditoría humana, pruebas de penetración de aplicaciones, análisis estático y pruebas funcionales. Las pruebas de penetración de terceros también se realizan anualmente.

• Mitigar ataques comunes (XSS, CSRF, SQLi)

  Deskpro se creó para mitigar los vectores de ataque comunes; como ataques de inyección SQL y ataques de secuencias de comandos entre sitios (XSS). Deskpro Cloud también aprovecha el firewall de aplicaciones web (WAF) de nivel empresarial de CloudFlare para bloquear o desafiar automáticamente solicitudes sospechosas.

Encriptación

• Los datos en reposo

  Todos los datos de los clientes se almacenan cifrados en servidores AWS (con el algoritmo de cifrado AES-256).

• Datos en tránsito

  Todos los datos que se transmiten hacia y desde la plataforma Deskpro se cifran por cable de acuerdo con las mejores prácticas de la industria. El tráfico web a través de HTTP está protegido por CloudFlare con TLS 1.2 o 1.3 utilizando conjuntos de cifrado de seguridad comprobada.

  Más información sobre SSL/TLS en CloudFlare.

Software

• Inicio de sesión único

  Los administradores pueden configurar múltiples opciones para SSO en la plataforma Deskpro, incluidas la autenticación OneLogin, Okta, Azure, SAML y JWT. Hay diferentes opciones de configuración disponibles para SSO que le permiten personalizar cómo interactúa con los agentes/clientes.

• Autenticación de dos factores (2FA)

  Deskpro habilita 2FA a través de su proveedor de SSO para administradores, agentes y clientes.

• Seguridad y autenticación de API

  La API Deskpro es una API basada en REST que se ejecuta de forma segura a través de HTTPS. Las solicitudes de API solo pueden ser realizadas por clientes verificados. La autenticación de API se puede realizar a través de OAuth, claves de API o mediante tokens de API de corta duración.

• Políticas de contraseña personalizadas

  Se pueden habilitar políticas de contraseña personalizables tanto para agentes como para clientes. Esto incluye la capacidad de establecer una longitud mínima de contraseña, prohibir la reutilización de contraseñas, una combinación de números y caracteres y obligar a los clientes a cambiar su contraseña después de un cierto período de tiempo.

• Registros de auditoría

  Se mantienen registros de auditoría completos para los cambios realizados por los administradores. Proporcionan registros que incluyen el tipo, la acción, el ejecutante y la marca de tiempo en que se ejecutó. Los administradores también pueden ver los registros de actividad de los agentes, que muestran actividad como respuestas a tickets o tiempo en línea.

• Tiempo de actividad

  Deskpro mantiene un alto nivel de disponibilidad en la plataforma en la nube, con un promedio superior al 99,9%.

  Existe una página de estado disponible públicamente, donde puedes verificar el estado del software en la nube y sus componentes.

• Redundancia

  Usamos AWS con redundancia en al menos dos zonas de disponibilidad, con copias de seguridad de bases de datos que ofrecen 35 días de recuperación en un momento dado si es necesario. Diariamente se actualizan copias de seguridad externas cifradas adicionales.

• Respondiendo a incidentes de seguridad

  Hemos establecido procedimientos y políticas con respecto a responder y comunicar sobre incidentes de seguridad por parte de nuestro Equipo de Seguridad.

  El nivel del incidente de seguridad dictará cómo nos comunicamos y respondemos a nuestros clientes. Si ocurre un incidente de seguridad, nuestro equipo de Éxito del Cliente lo mantendrá informado. Estarán disponibles para ayudarlo y apoyarlo durante el incidente con respecto a las actualizaciones.

  Todos nuestros procedimientos y políticas con respecto a la respuesta a incidentes de seguridad se evalúan y actualizan al menos una vez al año.

• Plan de recuperación ante desastres y continuidad del negocio

  En caso de emergencia o incidente crítico en cualquier instalación de Deskpro, se ha implementado un plan de continuidad del negocio.

  Esto fue creado para que podamos seguir funcionando como un negocio para nuestros clientes, sin importar el escenario. El plan de continuidad del negocio se prueba y verifica anualmente para determinar su aplicabilidad y cualquier mejora adicional que pueda realizarse.

Copias de Seguridad

• Duración de la copia de seguridad

  Si ya no desea utilizar Deskpro, mantenemos copias de seguridad de sus cuentas durante 60 días, después de los cuales sus datos se eliminan por completo de todos nuestros sistemas.

• Número de copias de seguridad

  Las copias de seguridad primarias ofrecen recuperación en un momento dado durante 35 días. Las copias de seguridad externas cifradas se actualizan diariamente.

Eliminación

• Eliminar datos

  Sus datos se eliminan de forma segura inmediatamente de nuestros almacenes de datos principales cuando lo solicite. Las copias de seguridad externas cifradas de sus datos se eliminan mediante una rotación regular de copias de seguridad cada 60 días.

• Quitar hardware

  Cualquier hardware que ya no esté en uso se limpia completamente y se elimina mediante un servicio de eliminación regulado de acuerdo con el cumplimiento de ISO27001.

Seguridad de Punto Final

• Configuración de la estación de trabajo

  Antes de que alguien se una a Deskpro como empleado, su estación de trabajo se configura y configura para cumplir con todas nuestras políticas de seguridad. Estas políticas requieren que todas las estaciones de trabajo estén configuradas a un alto nivel y cumplan con estándares de certificación de seguridad como ISO27001 y Cyber ​​Essentials Plus.

  Cada estación de trabajo tiene datos cifrados en reposo, contraseñas seguras (administradas por una bóveda segura de administración de contraseñas), seguimiento de ubicación habilitado y pantallas que se apagan automáticamente cuando están inactivas.

• Supervisión

  El sistema de gestión central SA se utiliza para monitorear, rastrear e informar sobre malware, software no autorizado y dispositivos de almacenamiento extraíbles. Esto es para garantizar que todas las estaciones de trabajo estén actualizadas con parches y seguridad. También tenemos una política estricta sobre dispositivos de almacenamiento no extraíbles.

  Todos los dispositivos móviles (teléfonos o tabletas) utilizados con fines laborales forman parte de un sistema de gestión de dispositivos móviles para seguimiento de ubicación, contraseñas seguras y SSO.

• Confidencialidad

  Todos los nuevos empleados son evaluados durante el proceso de contratación. Al comenzar a trabajar en Deskpro, los empleados, contratistas y equipos de limpieza deben firmar un acuerdo de confidencialidad y no divulgación. Este también es un contrato post-empleo mantenido.

Acceso a Información Sensible

• Aprovisionamiento

  Sólo determinadas personas dentro de la organización tienen acceso a información confidencial. Se basa en la necesidad de saber con permisos basados ​​en roles, para permitir que los empleados realicen su trabajo lo mejor que puedan.

  Nuestra política de control de acceso se implementa internamente y dentro de Deskpro tenemos múltiples niveles de autorización de seguridad. Algunos accesos, como soporte extendido o escenarios de uso compartido de pantalla, se realizan según el acuerdo del cliente.

• Autenticación

  Para aumentar aún más la seguridad, Deskpro utiliza la autenticación de dos factores (2FA) para sistemas que contienen datos personales o confidenciales.

  El uso de inicio de sesión único (SSO) para los empleados permite a la administración deshabilitar o cambiar el acceso a todas las aplicaciones al instante. Esto se utiliza cuando un empleado abandona Deskpro o es necesario eliminar su acceso.

• Gestión de contraseñas

  Como parte de nuestra política interna de contraseñas, Deskpro exige que todos los empleados utilicen un administrador de contraseñas aprobado. Esto es para garantizar que las contraseñas sean seguras, se mantengan en un lugar seguro, se cambien periódicamente y no se reutilicen. Cuando es necesario, el administrador de contraseñas alerta a los usuarios sobre cualquier riesgo potencial de contraseña para mantener un alto nivel de seguridad en todos los niveles.

Gestión de Proveedores

• Organizaciones de subservicio

  Para que Deskpro funcione de manera eficiente, confiamos en organizaciones de subservicios para ayudarnos a ofrecer nuestro servicio.

  Al seleccionar un proveedor adecuado para un servicio requerido, tomamos las medidas adecuadas para garantizar que se mantengan la seguridad y la integridad de nuestra plataforma. Cada organización de subservicio es minuciosamente examinada, probada y comprobada de seguridad antes de implementarse en Deskpro.

• Cumplimiento del proveedor

  Deskpro monitorea la efectividad de estos proveedores y los revisa anualmente para confirmar que se mantienen su seguridad y salvaguardas continuas.

  Ver una lista de nuestras organizaciones de sub-servicios actuales.

• Subprocesadores

  En cualquier situación en la que el uso de una de estas organizaciones de subservicios pueda afectar potencialmente la seguridad de Deskpro, tomamos las medidas adecuadas para mitigar el riesgo. Esto incluye establecer acuerdos y garantizar que cumplan con las certificaciones o regulaciones pertinentes, como el RGPD.

Validación Externa

• Auditorías de cumplimiento de seguridad

  Deskpro siempre está buscando, monitoreando y mejorando activamente nuestra configuración de seguridad. Esto se realiza a través de controles y evaluaciones periódicas tanto de nuestro equipo de seguridad interno como de evaluadores externos.

  Todos los resultados se comparten con el equipo de gestión y se analizan en profundidad en las revisiones de gestión de seguridad. Las auditorías y certificaciones de seguridad recientes incluyen ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 y GDPR Readiness. Puede ver nuestra lista de certificados al final de esta página.

  Nuestra política de control de acceso se implementa internamente y dentro de Deskpro tenemos múltiples niveles de autorización de seguridad. Algunos accesos, como soporte extendido o escenarios de uso compartido de pantalla, se realizan según el acuerdo del cliente.

• Pruebas de penetración

  Las pruebas de penetración independientes realizadas por un tercero certificado por CREST CHECK se llevan a cabo al menos una vez al año. Las pruebas de penetración realizadas están enfocadas a seguridad, infraestructura y producto. Los resultados de estas pruebas son compartidos y actuados por los equipos de Seguridad y de Alta Dirección.

  Nuestras pruebas anuales también incluyen escaneos de vulnerabilidades de redes internas y externas, con certificación Cyber ​​Essentials Plus. Todas las pruebas de penetración de terceros las llevan a cabo consultores certificados según los estándares CREST.

• Auditorías impulsadas por el cliente

  Sabemos que, en determinadas circunstancias, una organización puede requerir la realización de más auditorías o pruebas de penetración antes de poder realizar la compra de Deskpro. Invitamos a los clientes a realizar sus propias pruebas de penetración en un entorno Deskpro. Si desea programar uno, comuníquese con el soporte para programarlo y conocer más precios.

• Divulgación responsable

  Si es un experto en seguridad o un investigador y cree que ha descubierto un problema relacionado con la seguridad con los sistemas en línea de Deskpro, agradecemos su ayuda para informarnos del problema de manera responsable. Tenemos un programa de Divulgación Responsable. Solicitamos a la comunidad de investigación de seguridad que nos brinde la oportunidad de corregir una vulnerabilidad antes de revelarla públicamente.

Certificación y Cumplimiento

• • ISO 27001
  • SOC 2 Tipo II
  • Esenciales cibernéticos
  • Ciber Esenciales Plus
  • Estrella CSA
  • RGPD
  • Nube G
  • PCI-DSS
  • CCPA
  • Cláusulas contractuales tipo (CCE)