Politiques et pratiques de sécurité de Deskpro

• Installations

  Notre fournisseur de centres de données de services cloud (AWS) exploite des centres de données de pointe conformes aux normes ISO27001, PCI DSS niveau 1, HIPAA et Privacy Shield UE-États-Unis. Type USA et SOC 2.

  Des systèmes automatisés de détection et d'extinction d'incendie sont installés dans les zones de réseau, mécaniques et d'infrastructure. Tous les centres de données AWS sont construits selon les normes de redondance N+1.

• Sécurité des sites

  Nos installations de centre de données disposent d'un personnel sur site 24h/24 et 7j/7, de points d'accès physiques aux salles de serveurs couvertes par la vidéosurveillance, de procédures de sécurité biométriques et d'une surveillance 24h/24 pour maintenir la protection contre les entrées non autorisées et les violations de sécurité physique. Ils exigent également une vérification des antécédents de tous les employés dans le cadre du processus de sélection préalable à l'emploi.

• Surveillance du serveur

  Les centres d'opérations de sécurité mondiaux AWS effectuent une surveillance 24h/24 et 7j/7 des activités d'accès aux centres de données, avec des systèmes électroniques de détection d'intrusion installés au niveau de la couche de données. Les systèmes sont constamment surveillés par l'équipe de sécurité de Deskpro.

• Emplacements

  Deskpro propose le déploiement de comptes cloud dans des centres de données situés aux États-Unis, dans l'UE ou au Royaume-Uni*. Les clients peuvent choisir par défaut dans quelle région ils souhaitent héberger exclusivement leurs données.

  Les clients du Plan d'Enterprise Ils peuvent choisir de séjourner dans l’un des 22 pays à travers le monde.

• Alimentation sans interruption

  Chaque installation est équipée d'un système d'alimentation électrique sans interruption (UPS) et de générateurs de secours en cas de panne de courant.

• Périmètre dur

  Chacun de nos centres de données dispose d'une couche périmétrique contrôlée avec des équipes de sécurité sur site 24h/24 et 7j/7, un accès physique restreint et contrôlé, une authentification multifacteur, des systèmes électroniques de détection d'intrusion et des alarmes de porte.

• Équipe de sécurité dédiée

  L'équipe de sécurité de Deskpro est répartie dans le monde entier. Ils assurent une surveillance et une réponse 24h/24 et 7j/7 aux incidents et alertes de sécurité.

• Pare-feu

  Le réseau public de Deskpro est protégé par Cloudflare Enterprise, qui filtre tout le trafic Internet entrant. Les serveurs de messagerie publics sont protégés par AWS Shield, qui surveille et filtre de la même manière le trafic Internet entrant. Aucun autre service ni accès à l'Internet public n'est fourni.

• Architecture

  Au sein du réseau privé interne de Deskpro, qui n'est pas accessible depuis l'Internet public, nous utilisons des groupes de sécurité AWS et des contrôles IAM pour bloquer la communication entre les composants, de sorte que l'accès aux services doit être explicitement accordé en fonction des besoins. Nous rendons impossible l’interaction des systèmes les uns avec les autres sans que nous la configurions et la planifions explicitement.

• Atténuation des attaques DDoS

  Les journaux d'audit du système Deskpro sont toujours conservés et vérifiés pour déceler les anomalies, et nous faisons appel à des fournisseurs DDoS tiers sous contrat pour nous protéger contre les attaques distribuées. Cela inclut à la fois AWS Shield Guards et Cloudflare.

• Accès au moindre privilège

  L'accès aux serveurs d'hébergement et aux environnements en direct est fourni avec le moindre privilège. Un nombre très limité d'employés ont accès aux environnements en direct, qui nécessitent également plusieurs niveaux d'accès de sécurité.

• Réponse aux incidents de sécurité (équipe)

  Deskpro surveille le service cloud 24h/24 et 7j/7 et dispose d'une équipe d'intervention disponible 24h/24 et 7j/7 pour répondre aux incidents de sécurité. Notre fournisseur d'hébergement, AWS, propose également une surveillance et une assistance mondiales 24h/24 et 7j/7 pour les centres de données multi-sites utilisés pour Deskpro Cloud.

• Analyse des vulnérabilités

  L'analyse des vulnérabilités est effectuée sur l'ensemble du réseau pour identifier tout système potentiellement vulnérable et permet à l'équipe de sécurité d'examiner rapidement toute faiblesse.

Développement

• Sécurité de facturation

  Deskpro ne stocke pas les données de carte de crédit. Nous utilisons des services tiers conformes à la norme PCI (Spreedly et Stripe) pour fournir des services de facturation.

  Les données de votre carte de crédit transitent temporairement par nos serveurs et pour cette raison, nous sommes vérifiés comme étant conformes à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

• Assurance qualité

  Nous disposons d'un service d'assurance qualité (AQ) dédié qui teste, examine et note notre base de code. Pour chaque mise à jour ou version du logiciel, les équipes de développement, de support et d'assurance qualité effectuent des tests avec une approche multi-niveaux.

• Environnements séparés/différents

  Il existe des environnements distincts pour la préparation et les tests. Ces environnements sont à la fois logiquement et physiquement séparés de l’environnement de production en direct. Aucune donnée client n'est utilisée dans les tests ou le développement.

• Tests d'intrusion

  Deskpro est testé avec des tests unitaires, un audit humain, des tests d'intrusion d'applications, une analyse statique et des tests fonctionnels. Des tests d'intrusion tiers sont également effectués chaque année.

• Atténuer les attaques courantes (XSS, CSRF, SQLi)

  Deskpro a été créé pour atténuer les vecteurs d'attaque courants ; telles que les attaques par injection SQL et les attaques par script intersite (XSS). Deskpro Cloud exploite également le pare-feu d'application Web (WAF) de niveau entreprise de CloudFlare pour bloquer ou contester automatiquement les demandes suspectes.

Chiffrement

• Données stockées

  Toutes les données clients sont stockées cryptées sur les serveurs AWS (à l'aide de l'algorithme de cryptage AES-256).

• Données en transit

  Toutes les données transmises vers et depuis la plateforme Deskpro sont cryptées par fil conformément aux meilleures pratiques de l'industrie. Le trafic Web sur HTTP est protégé par CloudFlare avec TLS 1.2 ou 1.3 à l'aide de suites de chiffrement éprouvées.

  Plus d'informations sur SSL/TLS sur CloudFlare

Logiciel

• Authentification Unique

  Les administrateurs peuvent configurer plusieurs options pour SSO sur la plateforme Deskpro, notamment l'authentification OneLogin, Okta, Azure, SAML et JWT. Il existe différentes options de configuration disponibles pour SSO qui vous permettent de personnaliser la façon dont vous interagissez avec les agents/clients.

• Authentification à deux facteurs (2FA)

  Deskpro active le 2FA via votre fournisseur SSO pour les administrateurs, les agents et les clients.

• Sécurité et authentification des API

  L'API Deskpro est une API basée sur REST qui s'exécute en toute sécurité via HTTPS. Les requêtes API ne peuvent être effectuées que par des clients vérifiés. L'authentification API peut être effectuée via OAuth, des clés API ou via des jetons API de courte durée.

• Politiques de mot de passe personnalisées

  Des politiques de mot de passe personnalisables peuvent être activées pour les agents et les clients. Cela inclut la possibilité de définir une longueur minimale de mot de passe, d'interdire la réutilisation du mot de passe, une combinaison de chiffres et de caractères et de forcer les clients à modifier leur mot de passe après un certain temps.

• Journaux d'audit

  Des journaux d'audit complets sont conservés pour les modifications apportées par les administrateurs. Ils fournissent des enregistrements qui incluent le type, l'action, l'interprète et l'horodatage de son exécution. Les administrateurs peuvent également consulter les journaux d'activité des agents, qui affichent des activités telles que les réponses aux tickets ou le temps de connexion.

• Temps d'activité

  Deskpro maintient un niveau élevé de disponibilité sur la plateforme cloud, avec une moyenne supérieure à 99,9 %.

  Il existe une page d'état accessible au public, où vous pouvez vérifier l'état du logiciel cloud et ses composants.

• Redondance

  Nous utilisons AWS avec redondance dans au moins deux zones de disponibilité, avec des sauvegardes de bases de données offrant 35 jours de récupération à tout moment si nécessaire. Des sauvegardes externes cryptées supplémentaires sont mises à jour quotidiennement.

• Répondre aux incidents de sécurité

  Nous avons établi des procédures et des politiques concernant la réponse et la communication des incidents de sécurité par notre équipe de sécurité.

  Le niveau de l'incident de sécurité dictera la manière dont nous communiquons et répondons à nos clients. Si un incident de sécurité survient, notre équipe Customer Success vous tiendra informé. Ils seront disponibles pour vous aider et vous accompagner lors de l'incident concernant les mises à jour.

  Toutes nos procédures et politiques concernant la réponse aux incidents de sécurité sont évaluées et mises à jour au moins une fois par an.

• Plan de reprise après sinistre et de continuité des activités

  En cas d'urgence ou d'incident critique dans n'importe quelle installation Deskpro, un plan de continuité des activités a été mis en œuvre.

  Cela a été créé afin que nous puissions continuer à fonctionner comme une entreprise pour nos clients, quel que soit le scénario. Le plan de continuité des activités est testé et vérifié chaque année pour déterminer son applicabilité et toute amélioration supplémentaire pouvant être apportée.

Sauvegardes

• Durée de sauvegarde

  Si vous ne souhaitez plus utiliser Deskpro, nous conservons des copies de sauvegarde de vos comptes pendant 60 jours, après quoi vos données sont complètement supprimées de tous nos systèmes.

• Nombre de sauvegardes

  Les sauvegardes principales offrent une récupération ponctuelle pendant 35 jours. Les sauvegardes externes cryptées sont mises à jour quotidiennement.

Élimination

• Suprimmer les données

  Vos données sont immédiatement supprimées en toute sécurité de nos magasins de données principaux sur demande. Les sauvegardes hors site cryptées de vos données sont supprimées via une rotation de sauvegarde régulière tous les 60 jours.

• Supprimer le matériel

  Tout matériel qui n'est plus utilisé est soigneusement nettoyé et éliminé par un service d'élimination réglementé conformément à la conformité ISO27001.

Sécurité des points finaux

• Configuration du poste de travail

  Avant qu'une personne ne rejoigne Deskpro en tant qu'employé, son poste de travail est installé et configuré pour se conformer à toutes nos politiques de sécurité. Ces politiques exigent que tous les postes de travail soient configurés à un niveau élevé et répondent aux normes de certification de sécurité telles que ISO27001 et Cyber ​​​​Essentials Plus.

  Chaque poste de travail dispose de données cryptées au repos, de mots de passe forts (gérés par un coffre-fort sécurisé de gestion des mots de passe), d'un suivi de localisation activé et d'écrans qui s'éteignent automatiquement en cas d'inactivité.

• Surveillance

  Le système de gestion central SA est utilisé pour surveiller, suivre et signaler les logiciels malveillants, les logiciels non autorisés et les périphériques de stockage amovibles. Il s'agit de garantir que tous les postes de travail sont à jour avec les correctifs et la sécurité. Nous avons également une politique stricte concernant les périphériques de stockage non amovibles.

  Tous les appareils mobiles (téléphones ou tablettes) utilisés à des fins professionnelles font partie d'un système de gestion des appareils mobiles pour le suivi de la localisation, les mots de passe forts et le SSO.

• Confidentialité

  Tous les nouveaux employés sont sélectionnés lors du processus d'embauche. Dès le début du travail chez Deskpro, les employés, les entrepreneurs et les équipes de nettoyage doivent signer un accord de confidentialité et de non-divulgation. Il s'agit également d'un contrat d'après-mandat maintenu.

Accès aux informations sensibles

• Approvisionnement

  Seules certaines personnes au sein de l'organisation ont accès aux informations confidentielles. Il est basé sur le besoin de savoir avec des autorisations basées sur les rôles, pour permettre aux employés de faire leur travail au mieux de leurs capacités.

  Notre politique de contrôle d'accès est mise en œuvre en interne et au sein de Deskpro, nous avons plusieurs niveaux d'habilitation de sécurité. Certains accès, tels que l'assistance étendue ou les scénarios de partage d'écran, se font avec l'accord du client.

• Authentification

  Pour augmenter encore la sécurité, Deskpro utilise l'authentification à deux facteurs (2FA) pour les systèmes contenant des données personnelles ou sensibles.

  L'utilisation de l'authentification unique (SSO) pour les employés permet à la direction de désactiver ou de modifier instantanément l'accès à toutes les applications. Ceci est utilisé lorsqu'un employé quitte Deskpro ou que son accès doit être supprimé.

• Gestion des mots de passe

  Dans le cadre de notre politique de mot de passe interne, Deskpro exige que tous les employés utilisent un gestionnaire de mots de passe approuvé. Il s'agit de garantir que les mots de passe sont sécurisés, conservés dans un endroit sécurisé, modifiés régulièrement et non réutilisés. Si nécessaire, le gestionnaire de mots de passe alerte les utilisateurs de tout risque potentiel lié aux mots de passe afin de maintenir un haut niveau de sécurité à tous les niveaux.

Gestion des fournisseurs

• Organisations de sous-services

  Pour que Deskpro fonctionne efficacement, nous comptons sur des organisations de sous-services pour nous aider à fournir notre service.

  Lors de la sélection d'un fournisseur approprié pour un service requis, nous prenons les mesures appropriées pour garantir le maintien de la sécurité et de l'intégrité de notre plateforme. Chaque organisation de sous-services est minutieusement examinée, testée et vérifiée en matière de sécurité avant d'être déployée sur Deskpro.

• Conformité des fournisseurs

  Deskpro surveille l'efficacité de ces fournisseurs et les examine chaque année pour confirmer que leur sécurité et leurs garanties continues sont maintenues.

  Pour en voir un liste de nos organisations de sous-services actuellesPortableText [components.type] is missing "span"

• Sous-traitants

  Dans toute situation où l'utilisation de l'une de ces organisations de sous-services pourrait potentiellement avoir un impact sur la sécurité de Deskpro, nous prenons les mesures appropriées pour atténuer le risque. Cela inclut l'établissement d'accords et la garantie qu'ils sont conformes aux certifications ou réglementations pertinentes, telles que le RGPD.

Validation externe

• Audits de conformité de sécurité

  Deskpro recherche, surveille et améliore toujours activement nos paramètres de sécurité. Cela se fait grâce à des contrôles et des évaluations réguliers effectués à la fois par notre équipe de sécurité interne et par des évaluateurs externes.

  Tous les résultats sont partagés avec l’équipe de direction et analysés en profondeur lors des revues de gestion de la sécurité. Les audits et certifications de sécurité récents incluent ISO27001, PCI, Cyber ​​​​Essentials Plus, CSA Star, G-Cloud 12 et GDPR Readiness. Vous pouvez voir notre liste de certificats au bas de cette page.

  Notre politique de contrôle d'accès est mise en œuvre en interne et au sein de Deskpro, nous avons plusieurs niveaux d'habilitation de sécurité. Certains accès, tels que l'assistance étendue ou les scénarios de partage d'écran, se font avec l'accord du client.

• Tests d'intrusion

  Des tests d'intrusion indépendants par un tiers certifié CREST CHECK sont effectués au moins une fois par an. Les tests d'intrusion réalisés sont axés sur la sécurité, l'infrastructure et le produit. Les résultats de ces tests sont partagés et exploités par les équipes Sécurité et Direction Générale.

  Nos tests annuels comprennent également des analyses de vulnérabilités des réseaux internes et externes, avec la certification Cyber ​​​​Essentials Plus. Tous les tests d'intrusion tiers sont effectués par des consultants certifiés selon les normes CREST.

• Audits axés sur le client

  Nous comprenons que dans certaines circonstances, une organisation peut exiger que des audits ou des tests d'intrusion supplémentaires soient effectués avant de pouvoir acheter Deskpro. Nous invitons les clients à effectuer leurs propres tests d'intrusion dans un environnement Deskpro. Si vous souhaitez en planifier un, veuillez contacter l'assistance pour planifier et en savoir plus sur les tarifs.

• Divulgation responsable

  Si vous êtes un expert ou un chercheur en sécurité et pensez avoir découvert un problème lié à la sécurité avec les systèmes en ligne Deskpro, nous apprécions votre aide pour nous signaler le problème de manière responsable. Nous avons un programme Divulgation responsable. Nous demandons à la communauté des chercheurs en sécurité de nous donner la possibilité de corriger une vulnérabilité avant de la divulguer publiquement.

Certification et conformité

• • OIN 27001
  • SOC2 Type II
  • Cyber ​​​​essentiels
  • Cyber ​​​​Essentials Plus
  • Étoile CSA
  • RGPD
  • Nuage G
  • PCI DSS
  • CCPA
  • Clauses contractuelles types (CCS)