Deskpro のセキュリティ ポリシーと実践

• 設備

  当社のクラウド サービス データセンター プロバイダー (AWS) は、最先端の ISO27001、PCI DSS レベル 1、HIPAA、EU-US プライバシー シールド、および SOC 2 タイプに準拠したデータセンターを運営しています。

  自動火災検知および消火システムは、ネットワーク、機械、インフラストラクチャ分野に設置されています。すべての AWS データセンターは、N+1 冗長性標準に従って構築されています。

• オンサイトセキュリティ

  当社のデータセンター施設には、24 時間年中無休のオンサイトスタッフがおり、CCTV でカバーされるサーバー ルームへの物理的なアクセス ポイント、生体認証セキュリティ手順、および 24 時間体制の監視監視により、不正な侵入や物理的なセキュリティ侵害に対する保護を維持しています。また、雇用前の審査プロセスの一環として、すべての従業員の身元調査も義務付けられています。

• サーバー監視

  AWS のグローバル セキュリティ オペレーション センターは、データ層に電子侵入検知システムを設置し、データセンターへのアクセス活動を 24 時間年中無休で監視しています。システムは Deskpro セキュリティ チームによって常に監視されています。

• 所在地

  Deskpro は、米国、EU、英国のいずれかにあるデータ センターへのクラウド アカウントの展開を提供します。PortableText [components.type] is missing "span"。お客様は、標準として、データを排他的にホストするリージョンを選択できます。

  PortableText [components.type] is missing "span"エンタープライズプラン 顧客は世界 22 か国のうち 1 か国でホストすることを選択できます。

• 無停電電源装置

  各施設には、停電に備えて無停電電源装置 (UPS) とバックアップ発電機が備えられています。

• ハードペリメーター

  当社の各データ センターには、24 時間年中無休のオンサイト セキュリティ チームによる制御された境界層があり、物理的アクセスが制限され制御され、多要素認証、電子侵入検知システム、ドア警報が備えられています。

• 専任のセキュリティチーム

  Deskpro のセキュリティ チームは世界中に分散しています。年中無休で監視し、セキュリティ インシデントやアラートに対応します。

• ファイアウォール

  Deskpro の公開ネットワークは、インターネットからのすべての受信トラフィックをフィルタリングする Cloudflare Enterprise によって保護されています。公開電子メールサーバーは AWS Shield によって保護されており、インターネットからの受信トラフィックも同様に監視およびフィルタリングされます。公共のインターネットへの他のサービスやアクセスは提供されません。

• 建築

  パブリック インターネットからアクセスできない Deskpro の内部プライベート ネットワーク内では、AWS セキュリティ グループと IAM 制御を使用してコンポーネント間の通信をロックダウンしているため、サービスへのアクセスは必要に応じて明示的に許可する必要があります。システムを明示的に構成して計画しない限り、システムが相互に対話することは不可能になります。

• DDoS 軽減策

  Deskpro システム監査ログは常に維持され、異常がないかチェックされます。また、分散型攻撃から保護するために契約したサードパーティの DDoS プロバイダーを使用しています。これには、AWS Shield Guards と Cloudflare の両方が含まれます。

• 最小限の特権アクセス

  ホスティング サーバーとライブ環境へのアクセスは、最小限の特権アクセスで提供されます。ライブ環境にアクセスできる従業員の数は非常に限られており、複数レベルのセキュリティ アクセスも必要です。

• セキュリティインシデント対応 (チーム)

  Deskpro はクラウド サービスを 24 時間 365 日監視し、セキュリティ インシデントに対応するために 24 時間 365 日対応する対応チームを配置しています。当社のホスティングプロバイダーである AWS も、Deskpro Cloud に使用される複数拠点のデータセンターに対する 24 時間年中無休のグローバルな監視とサポートを提供します。

• 脆弱性スキャン

  脆弱性スキャンはネットワーク全体で実行され、潜在的に脆弱なシステムを特定し、セキュリティ チームが弱点を迅速に確認できるようにします。

発達

• 請求セキュリティ

  Deskpro はクレジット カード データを保存しません。当社では、外部の PCI 準拠サービス (Spreedly および Stripe) を使用して課金サービスを提供しています。

  お客様のクレジット カード データは一時的に当社のサーバーを通過するため、当社は Payment Card Industry Data Security Standard (PCI DSS) に準拠していることが確認されています。

• 品質保証

  当社にはコードベースのテスト、レビュー、優先順位付けを行う専門の品質保証 (QA) 部門があります。ソフトウェアのアップデートまたはリリースごとに、開発、サポート、QA チームによってマルチレベルのアプローチでテストが実行されます。

• 個別/異なる環境

  ステージングとテストの両方に個別の環境があります。これらの環境は、実際の運用環境から論理的および物理的に分離されています。テストや開発では顧客データは使用されません。

• 侵入テスト

  Deskpro は、単体テスト、人間による監査、アプリケーション侵入テスト、静的分析、機能テストによってテストされます。サードパーティによる侵入テストも毎年実施されます。

• 一般的な攻撃の軽減 (XSS、CSRF、SQLi)

  Deskpro は、一般的な攻撃ベクトルを軽減するために構築されています。 SQL インジェクション攻撃やクロスサイト スクリプティング攻撃 (XSS) など。 Deskpro Cloud は、CloudFlare のエンタープライズ グレードの Web アプリケーション ファイアウォール (WAF) も利用して、疑わしいリクエストを自動的にブロックまたはチャレンジします。

暗号化

• 保存データ

  すべての顧客データは AWS サーバーに暗号化されて保存されます (AES-256 暗号化アルゴリズムを使用)。

• 転送中のデータ

  Deskpro プラットフォームとの間で送受信されるデータはすべて、業界のベスト プラクティスに従ってネットワーク上で暗号化されます。 HTTP 経由の Web トラフィックは、安全性が実証された暗号スイートを使用した TLS 1.2 または 1.3 を備えた CloudFlare によって保護されます。

  詳細については、 CloudFlareでのSSL/TLS。

ソフトウェア

• シングル・サインオン

  管理者は、OneLogin、Okta、Azure、SAML、JWT 認証など、Deskpro プラットフォームへの SSO の複数のオプションを構成できます。 SSO にはさまざまな構成オプションがあり、エージェント/顧客との対話方法をカスタマイズできます。

• 2 要素認証 (2FA)

  Deskpro は、管理者、エージェント、顧客に対して SSO プロバイダーを通じて 2FA を有効にします。

• APIのセキュリティと認証

  Deskpro API は、HTTPS 経由で安全に実行される REST ベースの API です。 API リクエストは認証済みの顧客のみが行うことができます。 API 認証は、OAuth、API キー、または有効期間の短い API トークンを使用して実行できます。

• カスタムパスワードポリシー

  カスタマイズ可能なパスワード ポリシーは、エージェントと顧客の両方に対して有効にすることができます。これには、パスワードの最小長の設定、パスワードの再利用、数字と文字の混合の禁止、一定期間後に顧客にパスワードの変更を強制する機能が含まれます。

• 監査ログ

  管理者による変更については、包括的な監査ログが保存されます。これらは、タイプ、アクション、実行者、実行されたタイムスタンプを含むレコードを提供します。管理者はエージェントのアクティビティ ログを表示して、チケットの返信やオンライン時間などのアクティビティを表示することもできます。

• 稼働時間

  Deskpro は、クラウド プラットフォーム上で平均 99.9% 以上の高レベルの可用性を維持します。

  一般に公開されているステータス ページがあります。 クラウド ソフトウェアのステータスを確認する およびそのコンポーネント。

• 冗長性

  当社では、少なくとも 2 つのアベイラビリティ ゾーンにわたる冗長性を備えた AWS を使用しており、必要に応じてデータベース バックアップにより 35 日分のポイントインタイム リカバリを提供します。追加の暗号化されたオフサイト バックアップは毎日更新されます。

• セキュリティインシデントへの対応

  当社では、セキュリティ チームからのセキュリティ インシデントへの対応と伝達に関する手順とポリシーを確立しています。

  セキュリティインシデントのレベルによって、当社が顧客とどのようにコミュニケーションし、対応するかが決まります。セキュリティ インシデントが発生した場合は、カスタマー サクセス チームを通じて最新情報が常に提供されます。アップデートに関するインシデントが発生した場合でも、サポートを提供いたします。

  セキュリティ インシデントへの対応に関するすべての手順とポリシーは、少なくとも年に一度評価され、更新されます。

• 災害復旧および事業継続計画

  Deskpro の施設で緊急または重大なインシデントが発生した場合に備えて、事業継続計画が策定されています。

  これは、どのようなシナリオであっても、お客様のビジネスとして機能し続けるために作成されました。事業継続計画は、適用可能性と追加の改善点について毎年テストおよびチェックされます。

バックアップ

• バックアップ期間

  Deskpro の使用を希望されなくなった場合、当社はお客様のアカウントのバックアップを 60 日間保持します。その後、お客様のデータはすべてのシステムから完全に削除されます。

• バックアップの数

  プライマリ バックアップでは、35 日間のポイントインタイム リカバリが提供されます。暗号化されたオフサイト バックアップは毎日更新されます。

廃棄

• データの削除

  お客様のデータは、リクエストに応じて当社のプライマリ データ ストアから直ちに安全に削除されます。データの暗号化されたオフサイト バックアップは、60 日ごとの定期的なバックアップ ローテーションによって消去されます。

• ハードウェアの取り外し

  使用されなくなったハードウェアは完全に消去され、ISO27001 準拠に従って規制された廃棄サービスを使用して廃棄されます。

エンドポイントセキュリティ

• ワークステーションのセットアップ

  Deskpro に従業員として参加する前に、ワークステーションはすべてのセキュリティ ポリシーに準拠するようにセットアップおよび構成されます。これらのポリシーでは、すべてのワークステーションが高レベルに構成され、ISO27001 や Cyber​​ Essentials Plus などのセキュリティ認証標準に準拠することが求められます。

  各ワークステーションには保存時のデータが暗号化され、強力なパスワード (安全なパスワード管理ボールトによって管理) が設定され、位置追跡が有効になり、アイドル時には画面が自動的にオフになります。

• 監視

  SA 中央管理システムは、マルウェア、未承認のソフトウェア、およびリムーバブル ストレージ デバイスを監視、追跡、レポートするために使用されます。これは、すべてのワークステーションがパッチとセキュリティで最新の状態であることを保証するためです。また、リムーバブル不可のストレージ デバイスについても厳格なポリシーを設けています。

  仕事目的で使用されるモバイル デバイス (電話またはタブレット) は、位置追跡、安全なパスワード、および SSO のためのモバイル デバイス管理システムの一部です。

• 機密保持

  すべての新入社員は採用プロセス中に検査を受けます。 Deskpro での雇用開始に際し、従業員、請負業者、清掃員は機密保持契約に署名する必要があります。これは雇用後の契約でもあります。

機密情報へのアクセス

• プロビジョニング

  組織内の特定の人のみが機密情報へのアクセスを許可されます。これは、従業員が自分の能力を最大限に発揮して仕事を遂行できるように、役割ベースの権限を備えた必知事項に基づいています。

  当社のアクセス制御ポリシーは内部で実装されており、Deskpro 内では複数のレベルのセキュリティ クリアランスを持っています。延長サポートや画面共有シナリオなどの一部のアクセスは、クライアントの合意に基づいて実行されます。

• 認証

  セキュリティをさらに強化するために、Deskpro は機密データや個人データを含むシステムに 2 要素認証 (2FA) を使用します。

  従業員にシングル サインオン (SSO) を使用すると、管理者はすべてのアプリケーションへのアクセスを即座に無効化または変更できます。これは、従業員が Deskpro を退職する場合、または従業員のアクセス権を削除する必要がある場合に使用されます。

• パスワード管理

  社内パスワード ポリシーの一環として、Deskpro ではすべての従業員に承認済みのパスワード マネージャーを使用することを義務付けています。これは、パスワードが強力で、安全な場所に保管され、定期的に変更され、再利用されないようにするためです。必要に応じて、パスワード マネージャーは潜在的なパスワードのリスクをユーザーに警告し、あらゆるレベルで高レベルのセキュリティを維持します。

ベンダー管理

• サブサービス組織

  Deskpro を効率的に運営するために、サービスの提供を支援するサブサービス組織に依存しています。

  必要なサービスに適切なベンダーを選択する際、当社はプラットフォームのセキュリティと完全性が確実に維持されるように適切な措置を講じます。すべてのサブサービス組織は、Deskpro に実装される前に、厳しく精査、テスト、セキュリティ チェックを受けます。

• ベンダーのコンプライアンス

  Deskpro はこれらのベンダーの有効性を監視しており、継続的なセキュリティと安全対策が維持されていることを確認するために毎年レビューされます。見る 現在のサブサービス組織のリスト。

• 副処理者

  これらのサブサービス組織のいずれかの使用が Deskpro のセキュリティに影響を与える可能性がある状況では、リスクを軽減するために適切な措置を講じます。これには、契約を確立し、GDPR などの関連する認証や規制に準拠していることを確認することが含まれます。

外部検証

• セキュリティコンプライアンス監査

  Deskpro は常にセキュリティ設定を積極的に調査、監視、改善しています。これは、社内セキュリティ チームとサードパーティ評価者の両方による定期的なチェックと評価によって行われます。

  すべての結果は管理チームと共有され、セキュリティ管理レビューで徹底的に議論されます。最近のセキュリティ監査と認証には、ISO27001、PCI、Cyber​​ Essentials Plus、CSA Star、G-Cloud 12、GDPR Readiness などがあります。このページの下部にある証明書のリストをご覧ください。

  当社のアクセス制御ポリシーは内部で実装されており、Deskpro 内では複数のレベルのセキュリティ クリアランスを持っています。延長サポートや画面共有シナリオなどの一部のアクセスは、クライアントの合意に基づいて実行されます。

• 侵入テスト

  認定された CREST CHECK サードパーティによる独立した侵入テストが、少なくとも年に一度実施されます。実行される侵入テストは、セキュリティ、インフラストラクチャ、製品に焦点を当てています。これらのテストの結果は、セキュリティ チームと上級管理チームの両方によって共有され、それに基づいて処理されます。

  当社の年次テストには、外部および内部の両方のネットワーク脆弱性スキャンも含まれており、Cyber​​ Essentials Plus の認定を受けています。すべてのサードパーティ侵入テストは、CREST 標準に認定されたコンサルタントによって実行されます。

• 顧客主導の監査

  特定の状況では、組織は Deskpro を購入する前に、さらなる監査や侵入テストの実施を要求する場合があることを理解しています。お客様が Deskpro 環境で独自の侵入テストを実行することを歓迎します。手配をご希望の場合は、スケジュールおよび詳細な価格についてサポートにお問い合わせください。

• 責任ある開示

  あなたがセキュリティの専門家または研究者で、Deskpro のオンライン システムにセキュリティ関連の問題を発見したと思われる場合は、責任を持って問題を当社に開示していただくようご協力をお願いいたします。私たちには、 責任ある開示 プログラム。私たちはセキュリティ研究コミュニティに対し、脆弱性を一般に公開する前に修正する機会を与えていただくようお願いしています。

認証/コンプライアンス

• • ISO27001
  • SOC 2 タイプ II
  • サイバー必需品
  • サイバーエッセンシャルプラス
  • CSA スター
  • GDPR
  • Gクラウド
  • PCI-DSS
  • CCPA
  • 標準契約条項 (SCC)