Deskpro의 보안 정책 및 관행

• 시설

  당사의 클라우드 서비스 데이터 센터 공급자(AWS)는 최첨단 ISO27001, PCI DSS 레벨 1, HIPAA, EU-US Privacy Shield 및 SOC 2 유형 준수 데이터 센터를 운영합니다.

  자동화된 화재 감지 및 진압 시스템은 네트워킹, 기계 및 인프라 영역에 설치됩니다. 모든 AWS 데이터 센터는 N+1 중복성 표준에 따라 구축되었습니다.

• 현장 보안

  당사의 데이터 센터 시설에는 연중무휴 현장 직원, CCTV로 보호되는 서버실에 대한 물리적 액세스 지점, 생체 인식 보안 절차 및 24시간 감시 모니터링이 있어 무단 침입 및 물리적 보안 침해로부터 보호를 유지합니다. 또한 채용 전 심사 과정의 일환으로 모든 직원에 대한 배경 조사를 요구합니다.

• 서버 모니터링

  AWS의 글로벌 보안 운영 센터는 데이터 계층에 전자 침입 탐지 시스템을 설치하여 데이터 센터 액세스 활동을 연중무휴 24시간 모니터링합니다. 시스템은 Deskpro 보안 팀에 의해 지속적으로 모니터링됩니다.

• 위치

  Deskpro는 미국, EU 또는 영국에 위치한 데이터 센터에 클라우드 계정 배포를 제공합니다.PortableText [components.type] is missing "span". 고객은 표준에 따라 데이터를 독점적으로 호스팅할 지역을 선택할 수 있습니다.

  PortableText [components.type] is missing "span"엔터프라이즈 플랜 고객은 전 세계 22개 국가 중 1개 국가에서 호스팅하도록 선택할 수 있습니다.

• 무정전 전원 공급 장치

  각 시설에는 정전에 대비한 무정전 전원공급장치(UPS)와 백업 발전기가 갖춰져 있습니다.

• 단단한 경계

  각 데이터 센터에는 연중무휴 현장 보안 팀, 제한 및 통제된 물리적 액세스, 다단계 인증, 전자 침입 탐지 시스템 및 도어 경보 기능을 갖춘 통제된 경계 레이어가 있습니다.

• 전담 보안팀

  Deskpro의 보안팀은 전 세계에 분산되어 있습니다. 연중무휴 24시간 모니터링과 보안 사고 및 경고에 대한 대응을 제공합니다.

• 방화벽

  Deskpro의 공용 네트워크는 인터넷에서 들어오는 모든 트래픽을 필터링하는 역할을 하는 Cloudflare Enterprise에 의해 보호됩니다. 공개 이메일 서버는 인터넷에서 들어오는 트래픽을 유사하게 모니터링하고 필터링하는 AWS Shield로 보호됩니다. 공용 인터넷에는 다른 서비스나 액세스가 제공되지 않습니다.

• 건축학

  공용 인터넷에서 액세스할 수 없는 Deskpro의 내부 프라이빗 네트워크 내에서 AWS 보안 그룹 및 IAM 제어를 사용하여 구성 요소 간의 통신을 잠그므로 필요에 따라 서비스에 대한 액세스 권한을 명시적으로 부여해야 합니다. 우리는 시스템을 명시적으로 구성하고 계획하지 않으면 시스템이 서로 상호 작용하는 것을 불가능하게 만듭니다.

• DDoS 완화

  Deskpro 시스템 감사 로그는 항상 유지 관리되고 이상 여부를 확인하며, 분산 공격으로부터 보호하기 위해 계약된 타사 DDoS 제공업체를 사용합니다. 여기에는 AWS Shield Guard와 Cloudflare가 모두 포함됩니다.

• 최소 권한 액세스

  호스팅 서버 및 라이브 환경에 대한 액세스는 최소 권한 액세스로 제공됩니다. 매우 제한된 수의 직원이 실제 환경에 액세스할 수 있으며, 이를 위해서는 여러 수준의 보안 액세스도 필요합니다.

• 보안사고 대응(팀)

  Deskpro는 연중무휴 24시간 클라우드 서비스를 모니터링하고 보안 사고에 대응하기 위해 연중무휴 24시간 응답팀을 보유하고 있습니다. 호스팅 제공업체인 AWS는 Deskpro Cloud에 사용되는 다중 위치 데이터 센터에 대한 연중무휴 글로벌 모니터링 및 지원도 제공합니다.

• 취약점 스캔

  취약성 검사는 잠재적으로 취약한 시스템을 식별하기 위해 네트워크 전체에서 수행되며 보안 팀은 모든 약점을 신속하게 검토할 수 있습니다.

개발

• 청구 보안

  Deskpro는 신용카드 데이터를 저장하지 않습니다. 당사는 외부 PCI 호환 서비스(Spreedly 및 Stripe)를 사용하여 청구 서비스를 제공합니다.

  귀하의 신용 카드 데이터는 일시적으로 당사 서버를 통과하므로 당사는 PCI DSS(지불 카드 산업 데이터 보안 표준)를 준수하는 것으로 확인되었습니다.

• 품질 보증

  우리는 코드 베이스를 테스트, 검토 및 분류하는 전담 품질 보증(QA) 부서를 보유하고 있습니다. 소프트웨어의 모든 업데이트 또는 릴리스에 대해 개발, 지원 및 QA 팀이 다단계 접근 방식으로 테스트를 수행합니다.

• 별도의/다른 환경

  준비 및 테스트를 위한 별도의 환경이 있습니다. 이러한 환경은 실제 프로덕션 환경과 논리적, 물리적으로 분리되어 있습니다. 테스트나 개발에는 고객 데이터가 사용되지 않습니다.

• 침투 테스트

  Deskpro는 단위 테스트, 인적 감사, 애플리케이션 침투 테스트, 정적 분석 및 기능 테스트를 통해 테스트되었습니다. 제3자 침투 테스트도 매년 완료됩니다.

• 일반적인 공격 완화(XSS, CSRF, SQLi)

  Deskpro는 일반적인 공격 벡터를 완화하도록 구축되었습니다. SQL 주입 공격, XSS(교차 사이트 스크립팅) 공격 등이 있습니다. 또한 Deskpro Cloud는 CloudFlare의 엔터프라이즈급 웹 애플리케이션 방화벽(WAF)을 활용하여 의심스러운 요청을 자동으로 차단하거나 문제를 제기합니다.

암호화

• 미사용 데이터

  모든 고객 데이터는 AWS 서버에 암호화되어 저장됩니다(AES-256 암호화 알고리즘 사용).

• 전송 중인 데이터

  Deskpro 플랫폼과 주고받는 모든 데이터는 업계 모범 사례에 따라 유선으로 암호화됩니다. HTTP를 통한 웹 트래픽은 입증된 보안 암호화 제품군을 사용하는 TLS 1.2 또는 1.3을 통해 CloudFlare에 의해 보호됩니다.

  에 대한 추가 정보 CloudFlare의 SSL/TLSPortableText [components.type] is missing "span"

소프트웨어

• 싱글 사인온

  관리자는 OneLogin, Okta, Azure, SAML 및 JWT 인증을 포함하여 Deskpro 플랫폼에 대한 SSO에 대한 여러 옵션을 구성할 수 있습니다. SSO에는 상담원/고객과 상호 작용하는 방식을 사용자 정의할 수 있는 다양한 구성 옵션이 있습니다.

• 2단계 인증(2FA)

  Deskpro는 관리자, 상담원 및 고객을 위해 SSO 공급자를 통해 2FA를 활성화합니다.

• API 보안 및 인증

  Deskpro API는 HTTPS를 통해 안전하게 실행되는 REST 기반 API입니다. API 요청은 검증된 고객만 할 수 있습니다. API 인증은 OAuth, API 키 또는 단기 API 토큰을 사용하여 수행할 수 있습니다.

• 사용자 정의 비밀번호 정책

  상담원과 고객 모두에 대해 사용자 정의 가능한 비밀번호 정책을 활성화할 수 있습니다. 여기에는 최소 비밀번호 길이 설정, 비밀번호 재사용 금지, 숫자와 문자 혼합 금지, 일정 시간이 지나면 고객이 비밀번호를 변경하도록 하는 기능이 포함됩니다.

• 감사 로그

  관리자가 변경한 내용에 대한 포괄적인 감사 로그가 보관됩니다. 유형, 작업, 수행자 및 실행된 타임스탬프를 포함한 기록을 제공합니다. 관리자는 상담원의 활동 로그를 볼 수 있으며 티켓 응답이나 온라인 시간과 같은 활동을 확인할 수 있습니다.

• 가동 시간

  Deskpro는 클라우드 플랫폼에서 평균 99.9% 이상의 높은 수준의 가용성을 유지합니다.

  공개적으로 사용 가능한 상태 페이지가 있습니다. 클라우드 소프트웨어의 상태를 확인하세요 그리고 그 구성 요소.

• 중복성

  우리는 최소 2개의 가용 영역에 대한 중복성을 갖춘 AWS를 사용하며, 필요한 경우 35일 분량의 특정 시점 복구를 제공하는 데이터베이스 백업을 제공합니다. 추가 암호화된 오프사이트 백업은 매일 업데이트됩니다.

• 보안사고 대응

  당사는 보안팀에서 보안 사고에 대한 대응 및 의사소통과 관련된 절차와 정책을 수립해 두고 있습니다.

  보안 사고의 수준에 따라 우리가 고객과 소통하고 대응하는 방식이 달라집니다. 보안 사고가 발생하면 고객 성공 팀을 통해 계속 업데이트됩니다. 업데이트와 관련된 사건이 ​​발생하는 동안 귀하를 돕고 지원할 것입니다.

  보안 사고 대응에 관한 당사의 모든 절차와 정책은 최소한 1년에 한 번씩 평가되고 업데이트됩니다.

• 재해 복구 및 비즈니스 연속성 계획

  Deskpro 사업장에서 긴급 상황이나 심각한 사고가 발생할 경우 비즈니스 연속성 계획이 마련되었습니다.

  이는 시나리오에 관계없이 고객을 위한 비즈니스로 계속 기능할 수 있도록 만들어졌습니다. 비즈니스 연속성 계획은 적용 가능성과 추가 개선 사항이 있는지 매년 테스트 및 점검됩니다.

백업

• 백업 기간

  더 이상 Deskpro를 사용하지 않으실 경우 당사는 귀하의 계정 백업을 60일 동안 유지하며, 그 이후에는 귀하의 데이터가 당사의 모든 시스템에서 완전히 삭제됩니다.

• 백업 수

  기본 백업은 35일 동안 특정 시점 복구를 제공합니다. 암호화된 오프사이트 백업은 매일 업데이트됩니다.

처분

• 데이터 삭제

  귀하의 데이터는 요청 시 기본 데이터 저장소에서 즉시 안전하게 삭제됩니다. 데이터의 암호화된 오프사이트 백업은 60일마다 정기적인 백업 순환을 통해 제거됩니다.

• 하드웨어 제거

  더 이상 사용하지 않는 모든 하드웨어는 ISO27001 준수에 따라 규정된 폐기 서비스를 통해 완전히 지워지고 폐기됩니다.

엔드포인트 보안

• 워크스테이션 설정

  누구든지 Deskpro에 직원으로 합류하기 전에 워크스테이션은 당사의 모든 보안 정책을 준수하도록 설정 및 구성됩니다. 이러한 정책에서는 모든 워크스테이션이 높은 수준으로 구성되고 ISO27001 및 Cyber ​​Essentials Plus와 같은 보안 인증 표준을 준수하도록 요구합니다.

  각 워크스테이션에는 저장된 데이터가 암호화되어 있고 강력한 비밀번호(보안 비밀번호 관리 저장소에서 관리됨), 위치 추적이 활성화되어 있고 유휴 상태일 때 화면이 자동으로 꺼집니다.

• 모니터링

  SA 중앙 관리 시스템은 맬웨어, 승인되지 않은 소프트웨어 및 이동식 저장 장치를 모니터링, 추적 및 보고하는 데 사용됩니다. 이는 모든 워크스테이션에 패치와 보안이 적용되어 최신 상태인지 확인하기 위한 것입니다. 또한 당사는 이동식이 아닌 저장 장치에 대한 엄격한 정책을 시행하고 있습니다.

  업무 목적으로 사용되는 모든 모바일 장치(휴대폰 또는 태블릿)는 위치 추적, 보안 비밀번호 및 SSO를 위한 모바일 장치 관리 시스템의 일부입니다.

• 기밀성

  모든 신규 채용자는 채용 과정에서 심사를 거칩니다. Deskpro에 고용이 시작되면 직원, 계약자 및 청소 직원은 비공개 및 기밀 유지 계약에 서명해야 합니다. 이것도 퇴직 후 계약입니다.

민감한 정보 접근

• 프로비저닝

  조직 내 특정 사람에게만 민감한 정보에 대한 접근 권한이 부여됩니다. 직원이 자신의 능력을 최대한 발휘할 수 있도록 하려면 역할 기반 권한을 통해 알아야 할 사항이 필요합니다.

  당사의 액세스 제어 정책은 내부적으로 구현되며 Deskpro 내에는 여러 수준의 보안 허가가 있습니다. 확장 지원이나 화면 공유 시나리오와 같은 일부 액세스는 클라이언트 계약을 기반으로 수행됩니다.

• 입증

  보안을 더욱 강화하기 위해 Deskpro는 민감한 데이터나 개인 데이터가 포함된 시스템에 대해 2단계 인증(2FA)을 사용합니다.

  직원용 SSO(Single Sign On)를 사용하면 경영진이 모든 애플리케이션에 대한 액세스를 즉시 비활성화하거나 변경할 수 있습니다. 이는 직원이 Deskpro를 떠나거나 해당 직원의 액세스 권한을 제거해야 할 때 사용됩니다.

• 비밀번호 관리

  내부 비밀번호 정책의 일환으로 Deskpro에서는 모든 직원이 승인된 비밀번호 관리자를 사용할 것을 요구합니다. 이는 비밀번호가 강력하고 안전한 위치에 보관되며 정기적으로 변경되고 재사용되지 않도록 하기 위한 것입니다. 필요한 경우 비밀번호 관리자는 모든 수준에서 높은 수준의 보안을 유지하기 위해 잠재적인 비밀번호 위험에 대해 사용자에게 경고합니다.

공급업체 관리

• 하위 서비스 조직

  Deskpro를 효율적으로 운영하기 위해 우리는 하위 서비스 조직에 의존하여 서비스 제공을 돕습니다.

  필수 서비스에 적합한 공급업체를 선택할 때 당사는 플랫폼의 보안과 무결성이 유지되도록 적절한 조치를 취합니다. 모든 하위 서비스 조직은 Deskpro에 구현되기 전에 철저한 조사, 테스트 및 보안 검사를 거칩니다.

• 공급업체 규정 준수

  Deskpro는 이러한 공급업체의 효율성을 모니터링하고 매년 검토하여 지속적인 보안 및 보호 장치가 유지되고 있는지 확인합니다. 보기 현재 하위 서비스 조직 목록PortableText [components.type] is missing "span"

• 하위 프로세서

  이러한 하위 서비스 조직 중 하나를 사용하면 Deskpro의 보안에 잠재적으로 영향을 미칠 수 있는 상황에서 당사는 위험을 완화하기 위해 적절한 조치를 취합니다. 여기에는 계약을 체결하고 GDPR과 같은 관련 인증이나 규정을 준수하는지 확인하는 것이 포함됩니다.

외부 검증

• 보안 규정 준수 감사

  Deskpro는 항상 보안 설정을 적극적으로 검색, 모니터링 및 개선하고 있습니다. 이는 내부 보안 팀과 제3자 평가자의 정기적인 점검과 평가를 통해 이루어집니다.

  모든 결과는 관리팀과 공유되며, 보안 관리 검토 시 심도 있게 논의됩니다. 최근 보안 감사 및 인증에는 ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 및 GDPR Readiness가 포함됩니다. 이 페이지 하단에서 인증서 목록을 볼 수 있습니다.

  당사의 액세스 제어 정책은 내부적으로 구현되며 Deskpro 내에는 여러 수준의 보안 허가가 있습니다. 확장 지원이나 화면 공유 시나리오와 같은 일부 액세스는 클라이언트 계약을 기반으로 수행됩니다.

• 침투 테스트

  인증된 CREST CHECK 제3자 기관에 의한 독립적인 침투 테스트가 최소 1년에 한 번씩 수행됩니다. 수행되는 침투 테스트는 보안, 인프라 및 제품에 중점을 둡니다. 이러한 테스트의 결과는 보안 팀과 고위 관리 팀 모두에서 공유하고 조치를 취합니다.

  또한 당사의 연간 테스트에는 Cyber ​​Essentials Plus 인증과 함께 외부 및 내부 네트워크 취약성 검색이 모두 포함됩니다. 모든 제3자 침투 테스트는 CREST 표준 인증을 받은 컨설턴트에 의해 수행됩니다.

• 고객 중심 감사

  특정 상황에서는 조직이 Deskpro를 구매하기 전에 추가 감사나 침투 테스트를 수행해야 할 수도 있다는 점을 이해합니다. 우리는 고객이 Deskpro 환경에서 자체 침투 테스트를 수행하는 것을 환영합니다. 예약을 원할 경우 지원팀에 문의하여 예약 및 추가 가격을 문의하세요.

• 책임있는 공개

  귀하가 보안 전문가 또는 연구원이고 Deskpro의 온라인 시스템에서 보안 관련 문제를 발견했다고 생각하시는 경우 책임감 있게 문제를 공개하는 데 도움을 주셔서 감사합니다. 우리는 책임있는 공개 프로그램. 우리는 보안 연구 커뮤니티에 취약점을 공개하기 전에 이를 수정할 수 있는 기회를 달라고 요청합니다.

인증/규정 준수

• • ISO 27001
  • SOC 2 유형 II
  • 사이버 에센셜
  • 사이버 에센셜 플러스
  • CSA 스타
  • GDPR
  • G-클라우드
  • PCI-DSS
  • CCPA
  • 표준 계약 조항(SCC)