heading
Próbaverzió

BIZTONSÁG

A Deskpro biztonsági szabályzatai és gyakorlatai

Akár a felhőben, akár az On-Premise-ben telepíti ügyfélszolgálatát, továbbra is elkötelezettek vagyunk adatai védelme és biztonsága mellett.

Megfelelőségi tanúsítványok és előírások

ISO 27001
ISO 27001
SOC 2 Type II
SOC 2 Type II
PCI
PCI
GDPR
GDPR
G-Cloud
G-Cloud
CSA
CSA
Cyber Essentials Plus
Cyber Essentials Plus
California Consumer Privacy Act
California Consumer Privacy Act

A Deskpro a biztonságot szem előtt tartva működik

Az Ön adatainak védelme prioritásunk volt és mindig is az volt. Tisztában vagyunk személyes adatainak értékével és érzékenységével, ezért robusztus biztonsági intézkedéseket vezetünk be, amelyeket a legmagasabb szintű megbízhatóság és megbízhatóság alapján terveztünk. Küldetésünk egyszerű – hogy teljes nyugalmat biztosítsunk az Ön adatbiztonságáról.

A Deskpro elkötelezett amellett, hogy folyamatosan fenntartsa az alkalmazások fejlődő biztonsági környezetével kapcsolatos ismereteit, és gondoskodjon arról, hogy a legjobb biztonsági gyakorlatokat az egész szervezetben betartsák.

A testreszabási lehetőségek széles skáláját kínáljuk ügyfeleinknek, beleértve azt is, hogy az ügyfelek megválaszthatják, hogyan telepítsék a Deskpro-t, akár a felhőben, akár az On-Premise-ben (saját üzemeltetésű), és hol tárolják az adatait. Felhőszolgáltatásunkhoz az iparágvezető AWS-t használjuk.

Tekintse meg az AWS biztonsági oldalát

Az adatok védelme

A Deskpro biztonsági gyakorlatának célja az ügyfelek adataihoz való jogosulatlan hozzáférés megakadályozása. Folyamatosan keressük azokat a módszereket, amelyekkel javíthatjuk a Deskpro biztonságát, és kimerítő lépéseket teszünk a kockázatok megtalálása és csökkentése érdekében.

Rendszeres vezetői biztonsági felülvizsgálatok vannak érvényben, hogy minden olyan területet megvizsgáljanak, amelyekről úgy gondoljuk, hogy javíthatók és tovább védhetők. Ennek megvalósítása lehet új biztonsági tanúsítvány, megfelelőség vagy harmadik fél által végzett tesztelés a legjobb gyakorlatok biztosítása és a biztonság javítása érdekében a Deskpro egészében.

  • 24 órás helyszíni biztonsági csapatok
  • Legkisebb privilégium hozzáférés
  • Teljes napi biztonsági másolatok
  • 256 bites Advanced Encryption Standard (AES)
  • Kéttényezős hitelesítés
  • Sebezhetőség vizsgálata
  • A gyakori támadások enyhítése
  • Éves penetrációs teszt

Biztonsági fehér könyv

Tudjon meg többet arról, hogy a Deskpro hogyan gondoskodik arról, hogy az ügyfélszolgálaton lévő adatok mindig biztonságban legyenek, függetlenül attól, hogy a felhő vagy a helyszíni telepítést választja.

GDPR megfelelőség

A GDPR az elmúlt 20 év legjelentősebb változása az európai adatvédelmi jogszabályokban. A Deskpro eszközöket biztosít a termékben, valamint a DPA-nkat, amelyek lehetővé teszik, hogy a Deskpro használatával GDPR-kompatibilis legyen.

Platform üzemidő

A Deskpro magas szintű rendelkezésre állást tart fenn a felhőplatformon, átlagosan 99,9% feletti. A felhőszoftver állapotát a nyilvánosan elérhető állapotoldalunkon ellenőrizheti.

Fizikai biztonság

  • Felszerelés

    Felhőszolgáltatási adatközpont-szolgáltatónk (AWS) a legmodernebb, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield és SOC 2 Type kompatibilis adatközpontokat üzemeltet.

    Automatizált tűzjelző és eloltó rendszereket telepítenek a hálózati, gépészeti és infrastrukturális területeken. Minden AWS adatközpont az N+1 redundancia szabvány szerint készült.

  • Helyszíni biztonság

    Adatközpontunk 24 órás helyszíni személyzettel, fizikai hozzáférési pontokkal rendelkezik a CCTV-vel lefedett szerverszobákhoz, biometrikus biztonsági eljárásokkal és éjjel-nappali felügyelettel rendelkezik az illetéktelen belépés és a fizikai biztonság megsértése elleni védelem fenntartása érdekében. A munkavállalás előtti szűrési folyamat részeként minden alkalmazott esetében előírják a háttérellenőrzést.

  • Szerver megfigyelés

    Az AWS Global Security Operation Centerei a hét minden napján, 24 órában figyelik az adatközpont-hozzáférési tevékenységeket, az adatrétegbe telepített elektronikus behatolásérzékelő rendszerekkel. A rendszereket a Deskpro biztonsági csapata folyamatosan felügyeli.

  • Helyszínek

    A Deskpro Cloud-fiókok telepítését kínálja az Egyesült Államokban, az EU-ban vagy az Egyesült Királyságban található adatközpontokban. Az ügyfelek alapesetben kiválaszthatják, hogy melyik régióban kívánják kizárólagosan tárolni adataikat.

    Vállalati terv az ügyfelek a világ 22 országa közül 1-ben választhatnak házigazdát.

  • Szünetmentes tápegység

    Minden létesítmény fel van szerelve szünetmentes tápegységgel (UPS) és tartalék generátorokkal áramkimaradás esetére.

  • Kemény kerület

    Minden adatközpontunk rendelkezik egy ellenőrzött kerületi réteggel, 24 órás helyszíni biztonsági csapatokkal, korlátozott és ellenőrzött fizikai hozzáféréssel, többtényezős hitelesítéssel, elektronikus behatolásérzékelő rendszerekkel és ajtóriasztóval.

Hálózati biztonság

  • Elkötelezett biztonsági csapat

    A Deskpro biztonsági csapata az egész világon megtalálható. A hét minden napján, 24 órában figyelik és reagálnak a biztonsági eseményekre és riasztásokra.

  • Tűzfalak

    A Deskpro nyilvános hálózatát a Cloudflare Enterprise védi, amely az internetről érkező összes bejövő forgalmat kiszűri. A nyilvános e-mail szervereket az AWS Shield védi, amely hasonlóan figyeli és szűri az internetről bejövő forgalmat. A nyilvános internethez más szolgáltatást vagy hozzáférést nem biztosítanak.

  • Építészet

    A Deskpro belső privát hálózatán belül, amely nem érhető el a nyilvános internetről, AWS biztonsági csoportokat és IAM vezérlőket alkalmazunk az összetevők közötti kommunikáció lezárására, így a szolgáltatásokhoz való hozzáférést kifejezetten igény szerint kell biztosítani. Lehetetlenné tesszük a rendszerek egymás közötti interakcióját anélkül, hogy ezt kifejezetten konfigurálnánk és megterveznénk.

  • DDoS mérséklése

    A Deskpro rendszerellenőrzési naplóit mindig karbantartja és ellenőrzi az anomáliákat, és szerződéses harmadik fél DDoS-szolgáltatókat használunk az elosztott támadások elleni védelem érdekében. Ide tartozik az AWS Shield Guard és a Cloudflare is.

  • Legkisebb privilégium hozzáférés

    A tárhelyszerverekhez és élő környezetekhez való hozzáférés a legkevesebb jogosultsággal történik. Nagyon korlátozott számú alkalmazott fér hozzá az élő környezethez, amely több szintű biztonsági hozzáférést is igényel.

  • Biztonsági incidensre adott válasz (csapat)

    A Deskpro a nap 24 órájában figyeli a felhőszolgáltatást, és a hét minden napján éjjel-nappal készenlétben reagál a biztonsági incidensekre. Tárhelyszolgáltatónk, az AWS a nap 24 órájában, a hét minden napján, a hét minden napján, globális felügyeletet és támogatást biztosít a Deskpro Cloudhoz használt többhelyes adatközpontokhoz.

  • Sebezhetőség vizsgálata

    A sebezhetőségi vizsgálatot a hálózaton keresztül végzik a potenciálisan sebezhető rendszerek azonosítása érdekében, és lehetővé teszi a biztonsági csapat számára, hogy gyorsan áttekintse a gyenge pontokat.

Platform- és termékbiztonság

Fejlesztés

  • Számlázási biztonság

    A Deskpro nem tárol hitelkártyaadatokat. A számlázási szolgáltatások biztosításához külső PCI-kompatibilis szolgáltatásokat (Spreedly és Stripe) használunk.

    Hitelkártya-adatai pillanatnyilag áthaladnak a szervereinken, ezért ellenőriztük, hogy megfelelünk a Payment Card Industry Data Security Standard (PCI DSS) szabványnak.

  • Minőségbiztosítás

    Van egy dedikált minőségbiztosítási (QA) részlegünk, amely teszteli, felülvizsgálja és besorolja kódbázisunkat. A szoftver minden frissítése vagy kiadása esetén a tesztelést fejlesztő, támogatási és minőségbiztosítási csapatok végzik többszintű megközelítéssel.

  • Külön/különböző környezetek

    Külön környezetek állnak rendelkezésre az előkészítéshez és a teszteléshez. Ezek a környezetek logikailag és fizikailag is elkülönülnek az élő produkciós környezettől. Az ügyféladatokat nem használjuk fel tesztelés vagy fejlesztés során.

  • Penetrációs vizsgálat

    A Deskpro-t egységteszttel, emberi auditálással, alkalmazáspenetrációs teszteléssel, statikus elemzéssel és funkcionális tesztekkel tesztelték. Harmadik fél penetrációs tesztelése is évente megtörténik.

  • A gyakori támadások mérséklése (XSS, CSRF, SQLi)

    A Deskpro a gyakori támadási vektorok mérséklésére készült; mint például az SQL injekciós támadások és a helyeken átívelő parancsfájl-támadások (XSS). A Deskpro Cloud a CloudFlare vállalati szintű webalkalmazási tűzfalát (WAF) is kihasználja a gyanús kérések automatikus blokkolására vagy kifogásolására.

Titkosítás

  • Adatok nyugalmi állapotban

    Az AWS szervereken tárolt összes ügyféladat titkosítva (AES-256 titkosítási algoritmussal).

  • Adattovábbítás

    A Deskpro platformra és onnan továbbított minden adat vezetékes titkosításra kerül az iparág legjobb gyakorlatainak megfelelően. A HTTP-n keresztüli webes forgalmat a CloudFlare védi TLS 1.2-vel vagy 1.3-mal, a bizonyítottan biztonságos titkosítási csomagok segítségével.

    További információ a SSL/TLS a CloudFlare-nélPortableText [components.type] is missing "span"

Szoftver

  • Egyszeri bejelentkezés

    A rendszergazdák több beállítást is beállíthatnak az egyszeri bejelentkezéshez a Deskpro platformon, beleértve a OneLogin, Okta, Azure, SAML és JWT hitelesítést. Különféle konfigurációs lehetőségek állnak rendelkezésre az egyszeri bejelentkezéshez, amelyek lehetővé teszik az ügynökök/ügyfelek közötti interakció testreszabását.

  • Kétfaktoros hitelesítés (2FA)

    A Deskpro lehetővé teszi a 2FA-t az egyszeri bejelentkezési szolgáltatón keresztül a rendszergazdák, ügynökök és ügyfelek számára.

  • API biztonság és hitelesítés

    A Deskpro API egy REST-alapú API, amely biztonságosan fut HTTPS-en keresztül. API-kérelmeket csak ellenőrzött ügyfelek nyújthatnak be. Az API-hitelesítés elvégezhető OAuth-on, API-kulcsokon keresztül vagy rövid élettartamú API-tokenek használatával.

  • Egyéni jelszó házirendek

    A testreszabható jelszó házirendek engedélyezhetők mind az ügynökök, mind az ügyfelek számára. Ez magában foglalja a jelszó minimális hosszának beállítását, a jelszó-újrahasználat tiltását, a számok és karakterek keverékét, valamint arra kényszeríti az ügyfeleket, hogy bizonyos idő elteltével módosítsák jelszavukat.

  • Ellenőrzési naplók

    Az adminisztrátorok által végrehajtott változtatásokról átfogó auditnaplókat vezetünk. Rekordokat biztosítanak, beleértve a típust, a műveletet, az előadót és a végrehajtás időbélyegét. Az ügynökök tevékenységi naplóit az adminisztrátorok is megtekinthetik, és megjeleníthetik a tevékenységeket, például a jegyekre adott válaszokat vagy az online időt.

Elérhetőség és biztonsági események

  • Üzemidő

    A Deskpro magas szintű rendelkezésre állást tart fenn a felhőplatformon, átlagosan 99,9% feletti.

    Van egy nyilvánosan elérhető állapotoldal, ahol megteheti ellenőrizze a felhőszoftver állapotát és összetevői.

  • Redundancia

    Az AWS-t redundanciával használjuk legalább két rendelkezésre állási zónában, és az adatbázis-mentések 35 napos, pontszerű helyreállítást kínálnak, ha szükséges. A további titkosított külső biztonsági mentések naponta frissülnek.

  • Reagálás a biztonsági eseményekre

    Eljárásokat és szabályzatokat dolgoztunk ki a biztonsági incidensekre vonatkozó válaszadásra és kommunikációra vonatkozóan biztonsági csapatunk részéről.

    A biztonsági incidens szintje határozza meg, hogyan kommunikálunk és hogyan reagálunk ügyfeleinkkel. Ha biztonsági incidens történik, akkor Ügyfélszolgálati csapatunk folyamatosan tájékoztatja Önt. Ők készen állnak, hogy segítsenek és támogassanak a frissítésekkel kapcsolatos incidens során.

    A biztonsági eseményekre való reagálással kapcsolatos összes eljárásunkat és szabályzatunkat legalább évente értékeljük és frissítjük.

  • Katasztrófa utáni helyreállítási és üzletmenet-folytonossági terv

    Vészhelyzet vagy kritikus incidens esetén a Deskpro bármely telephelyén üzletmenet-folytonossági tervet dolgoztak ki.

    Ezt azért hoztuk létre, hogy továbbra is üzletként működhessünk ügyfeleink számára, a forgatókönyvtől függetlenül. Az üzletmenet-folytonossági tervet évente tesztelik és ellenőrzik az alkalmazhatóság és az esetleges további fejlesztések szempontjából.

Adatmegőrzés és selejtezés

Biztonsági mentések

  • Biztonsági mentés időtartama

    Ha már nem szeretné használni a Deskpro-t, fiókjairól 60 napig biztonsági másolatot készítünk – ezt követően adatait teljes mértékben töröljük minden rendszerünkből.

  • Biztonsági másolatok száma

    Az elsődleges biztonsági mentések 35 napig pontos helyreállítást tesznek lehetővé. A titkosított külső biztonsági mentések naponta frissülnek.

Ártalmatlanítás

  • Adatok törlése

    Adatait kérésre azonnal biztonságosan töröljük elsődleges adattárainkból. Az adatok titkosított, külső helyszínről készült biztonsági másolatait rendszeres, 60 naponkénti biztonsági mentési rotációval töröljük.

  • Hardver eltávolítása

    A már használaton kívüli hardvereket teljesen letöröljük, és az ISO27001 szabványnak megfelelő ártalmatlanítási szolgáltatással ártalmatlanítják.

Szervezeti biztonság

Endpoint Security

  • Munkaállomás beállítása

    Mielőtt bárki alkalmazottként csatlakozna a Deskprohoz, munkaállomását úgy állítják be és konfigurálják, hogy megfeleljen az összes biztonsági szabályzatunknak. Ezek a házirendek megkövetelik, hogy minden munkaállomás magas szinten legyen konfigurálva, és megfeleljen a biztonsági tanúsítási szabványoknak, mint például az ISO27001 és a Cyber ​​Essentials Plus.

    Minden munkaállomáson titkosított adatok állnak rendelkezésre nyugalmi állapotban, erős jelszavak vannak (biztonságos jelszókezelő tárolóval kezelve), engedélyezve van a helykövetés, és a képernyők automatikusan kikapcsolnak, amikor tétlen.

  • Monitoring

    Az SA központi felügyeleti rendszere a rosszindulatú programok, a jogosulatlan szoftverek és a cserélhető tárolóeszközök figyelésére, nyomon követésére és jelentésére szolgál. Ezzel biztosítható, hogy minden munkaállomás naprakész legyen a javításokkal és a biztonsággal. Szigorú, nem eltávolítható tárolóeszközökre vonatkozó szabályzatunk is van.

    A munkahelyi célokra használt mobileszközök (telefonok vagy táblagépek) a helymeghatározást, a biztonságos jelszavakat és az egyszeri bejelentkezést biztosító mobileszköz-kezelő rendszer részét képezik.

  • Titoktartás

    A felvételi folyamat során minden új alkalmazottat átvizsgálnak. A Deskpronál történő munkaviszony megkezdésekor az alkalmazottaknak, a vállalkozóknak és a takarítócsapatoknak titoktartási és titoktartási megállapodást kell aláírniuk. Ez is egy feltartott munkaviszony utáni szerződés.

Érzékeny információk hozzáférése

  • Ellátás

    A szervezeten belül csak bizonyos személyek férhetnek hozzá az érzékeny információkhoz. Szükséges alapon, szerepalapú engedélyekkel, hogy az alkalmazottak a legjobb tudásuk szerint végezhessék munkájukat.

    Hozzáférés-szabályozási szabályzatunkat belsőleg hajtjuk végre, és a Deskpro-n belül több szintű biztonsági tanúsítványunk van. Egyes hozzáférések, például a kiterjesztett támogatás vagy a képernyőmegosztási forgatókönyvek ügyfél-megállapodás alapján történnek.

  • Hitelesítés

    A biztonság további növelése érdekében a Deskpro kétfaktoros hitelesítést (2FA) használ az érzékeny vagy személyes adatokat tartalmazó rendszerekhez.

    Az egyszeri bejelentkezés (SSO) alkalmazása lehetővé teszi a menedzsment számára, hogy azonnal letiltsák vagy módosítsák az összes alkalmazáshoz való hozzáférést. Ez akkor használatos, ha egy alkalmazott elhagyja a Deskpro-t, vagy meg kell szüntetni a hozzáférését.

  • Jelszókezelés

    Belső jelszószabályzatunk részeként a Deskpro minden alkalmazotttól megköveteli, hogy jóváhagyott jelszókezelőt használjanak. Ennek célja annak biztosítása, hogy a jelszavak erősek legyenek, biztonságos helyen legyenek, rendszeresen cseréljék és ne használják fel újra. Szükség esetén a jelszókezelő figyelmezteti a felhasználókat a lehetséges jelszókockázatokra, hogy minden szinten magas szintű biztonságot tartson fenn.

Vendor Management

  • Alszolgáltatási szervezetek

    A Deskpro hatékony működése érdekében alszolgáltatási szervezetekre támaszkodunk, hogy segítsenek szolgáltatásaink nyújtásában.

    Amikor kiválasztunk egy megfelelő szállítót a kívánt szolgáltatáshoz, megtesszük a megfelelő lépéseket platformunk biztonságának és integritásának megőrzése érdekében. Minden alszolgáltatási szervezetet alaposan átvizsgálnak, tesztelnek és biztonsági ellenőrzésnek vetnek alá a Deskpro-ba való bevezetés előtt.

  • Szállítói megfelelőség

    A Deskpro figyelemmel kíséri ezeknek a szállítóknak a hatékonyságát, és évente felülvizsgálja őket, hogy megbizonyosodjon arról, hogy folyamatos biztonságukat és védintézkedéseiket betartják. Megtekintés a jelenlegi alszolgáltató szervezeteink listájaPortableText [components.type] is missing "span"

  • Alfeldolgozók

    Minden olyan helyzetben, amikor ezen alszolgáltatási szervezetek valamelyikének használata potenciálisan hatással lehet a Deskpro biztonságára, megtesszük a megfelelő lépéseket a kockázat mérséklésére. Ez magában foglalja a megállapodások létrehozását és annak biztosítását, hogy azok megfeleljenek a vonatkozó tanúsítványoknak vagy előírásoknak, például a GDPR-nak.

Külső érvényesítés

  • Biztonsági megfelelőségi auditok

    A Deskpro mindig aktívan keresi, figyeli és fejleszti biztonsági beállításainkat. Ez a belső biztonsági csapatunk és a külső értékelők rendszeres ellenőrzése és értékelése révén történik.

    Az összes eredményt megosztják a vezetőséggel, és a biztonsági menedzsment áttekintése során részletesen megvitatják. A legutóbbi biztonsági auditok és tanúsítványok közé tartozik az ISO27001, a PCI, a Cyber ​​Essentials Plus, a CSA Star, a G-Cloud 12 és a GDPR-készültség. Tanúsítványaink listáját az oldal alján tekintheti meg.

    Hozzáférés-szabályozási szabályzatunkat belsőleg hajtjuk végre, és a Deskpro-n belül több szintű biztonsági tanúsítványunk van. Egyes hozzáférések, például a kiterjesztett támogatás vagy a képernyőmegosztási forgatókönyvek ügyfél-megállapodás alapján történnek.

  • Penetrációs vizsgálat

    A CREST CHECK tanúsítvánnyal rendelkező harmadik fél által végzett független penetrációs tesztelést legalább évente elvégzik. Az elvégzett penetrációs tesztek a biztonságra, az infrastruktúrára és a termékre összpontosítanak. Ezeknek a teszteknek az eredményeit a biztonsági és a felső vezetési csoport egyaránt megosztja, és az alapján jár el.

    Éves tesztelésünk külső és belső hálózati sebezhetőségi vizsgálatokat is magában foglal, a Cyber ​​Essentials Plus tanúsítvánnyal. Minden harmadik féltől származó penetrációs tesztet a CREST szabványok szerint tanúsított tanácsadók végeznek.

  • Ügyfélvezérelt auditok

    Tisztában vagyunk vele, hogy bizonyos körülmények között a szervezet további auditokat vagy penetrációs teszteket írhat elő a Deskpro megvásárlása előtt. Szeretettel várjuk az ügyfeleket, hogy saját behatolási teszteket végezzenek Deskpro környezetben. Ha szeretne egyet megszervezni, kérjük, vegye fel a kapcsolatot az ügyfélszolgálattal az ütemezéssel és a további árakkal kapcsolatban.

  • Felelős nyilvánosságra hozatal

    Ha Ön biztonsági szakértő vagy kutató, és úgy gondolja, hogy biztonsággal kapcsolatos problémát fedezett fel a Deskpro online rendszereivel kapcsolatban, nagyra értékeljük, hogy segít nekünk a probléma felelősségteljes feltárásában. Nekünk van Felelős nyilvánosságra hozatal program. Arra kérjük a biztonságkutató közösséget, hogy adjon lehetőséget a sebezhetőség kijavítására, mielőtt nyilvánosságra hozzuk azt.

Tanúsítás / Megfelelőség

    • ISO 27001
    • SOC 2 Type II
    • Cyber ​​Essentials
    • Cyber ​​Essentials Plus
    • CSA csillag
    • GDPR
    • G-Cloud
    • PCI-DSS
    • CCPA
    • Szabványos szerződési feltételek (SCC)