Deskpro's beveiligingsbeleid en -praktijken

• Faciliteiten

  Onze datacenterprovider voor cloudservices (AWS) exploiteert ultramoderne datacenters die voldoen aan ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield en SOC 2 Type.

  Geautomatiseerde branddetectie- en -blussystemen worden geïnstalleerd in netwerk-, mechanische en infrastructuurgebieden. Alle AWS-datacenters zijn gebouwd volgens N+1-redundantienormen.

• Beveiliging ter plaatse

  Onze datacenterfaciliteiten beschikken over 24/7 personeel op locatie, fysieke toegangspunten tot serverruimtes die zijn voorzien van cameratoezicht, biometrische beveiligingsprocedures en 24-uurs bewaking om bescherming te bieden tegen ongeoorloofde toegang en fysieke inbreuken op de beveiliging. Ze vereisen ook antecedentenonderzoek voor alle werknemers als onderdeel van het pre-employment screeningproces.

• Serverbewaking

  De Global Security Operation Centers van AWS voeren 24/7 monitoring uit van de toegang tot datacenters, waarbij elektronische inbraakdetectiesystemen in de datalaag worden geïnstalleerd. Systemen worden voortdurend gemonitord door het Deskpro Security Team.

• Locaties

  Deskpro biedt de implementatie van Cloud-accounts op datacenters in de VS, de EU of het VK. Klanten kunnen standaard kiezen in welke regio zij hun data exclusief willen hosten.

  Enterprise-plan klanten kunnen ervoor kiezen om te hosten in 1 van de 22 landen over de hele wereld.

• Ononderbroken stroomvoorziening

  Elke faciliteit is uitgerust met een ononderbroken stroomvoorziening (UPS) en back-upgeneratoren in geval van stroomonderbreking.

• Harde omtrek

  Elk van onze datacenters heeft een gecontroleerde perimeterlaag met 24/7 on-site beveiligingsteams, beperkte en gecontroleerde fysieke toegang, multi-factor authenticatie, elektronische inbraakdetectiesystemen en deuralarmering.

• Toegewijd beveiligingsteam

  Het beveiligingsteam van Deskpro is over de hele wereld verspreid. Ze bieden 24/7 monitoring en reactie op beveiligingsincidenten en waarschuwingen.

• Firewalls

  Het openbare netwerk van Deskpro wordt beschermd door Cloudflare Enterprise, dat al het binnenkomende verkeer van internet filtert. Publieke e-mailservers worden beschermd door AWS Shield, dat op dezelfde manier inkomend verkeer van internet controleert en filtert. Er worden geen andere diensten of toegang tot het openbare internet verleend.

• Architectuur

  Binnen het interne privénetwerk van Deskpro, dat niet toegankelijk is vanaf het openbare internet, maken we gebruik van AWS-beveiligingsgroepen en IAM-controles om de communicatie tussen componenten te vergrendelen, dus toegang tot services moet expliciet worden verleend op basis van behoefte. We maken het onmogelijk voor systemen om met elkaar te communiceren zonder dat we dit expliciet hebben geconfigureerd en gepland.

• DDoS-beperking

  De systeemauditlogboeken van Deskpro worden altijd bijgehouden en gecontroleerd op afwijkingen, en we maken gebruik van gecontracteerde externe DDoS-providers om ons te beschermen tegen gedistribueerde aanvallen. Dit omvat zowel AWS Shield Guards als Cloudflare.

• Toegang met minste privileges

  Toegang tot hostingservers en live-omgevingen wordt verleend via toegang met de minste bevoegdheden. Een zeer beperkt aantal werknemers heeft toegang tot live-omgevingen, waarvoor ook meerdere beveiligingsniveaus vereist zijn.

• Reactie op beveiligingsincidenten (team)

  Deskpro houdt de cloudservice 24/7 in de gaten en heeft 24/7 een responsteam paraat om te reageren op beveiligingsincidenten. Onze hostingprovider, AWS, biedt ook 24/7 wereldwijde monitoring en ondersteuning voor de datacenters met meerdere locaties die worden gebruikt voor Deskpro Cloud.

• Kwetsbaarheid scannen

  Er wordt in het hele netwerk een kwetsbaarheidsscan uitgevoerd om potentieel kwetsbare systemen te identificeren en het beveiligingsteam in staat te stellen eventuele zwakke punten snel te beoordelen.

Ontwikkeling

• Factureringsbeveiliging

  Deskpro slaat geen creditcardgegevens op. We gebruiken externe PCI-compatibele services (Spreedly en Stripe) om factureringsdiensten te leveren.

  Uw creditcardgegevens passeren tijdelijk onze servers en om deze reden zijn wij geverifieerd als conform de Payment Card Industry Data Security Standard (PCI DSS).

• Kwaliteitsverzekering

  We hebben een speciale afdeling Quality Assurance (QA) die onze codebasis test, beoordeelt en triageert. Voor elke update of release van de software worden tests uitgevoerd door ontwikkelings-, ondersteunings- en QA-teams met een aanpak op meerdere niveaus.

• Afzonderlijke/verschillende omgevingen

  Er zijn aparte omgevingen voor zowel staging als testen. Deze omgevingen zijn zowel logisch als fysiek gescheiden van de live-productieomgeving. Er worden geen klantgegevens gebruikt bij het testen of ontwikkelen.

• Penetratietesten

  Deskpro wordt getest met unit-tests, menselijke audits, applicatie-penetratietests, statische analyse en functionele tests. Jaarlijks worden ook penetratietesten door derden uitgevoerd.

• Veelvoorkomende aanvallen beperken (XSS, CSRF, SQLi)

  Deskpro is gebouwd om veelvoorkomende aanvalsvectoren te beperken; zoals SQL-injectieaanvallen en cross-site scripting-aanvallen (XSS). Deskpro Cloud maakt ook gebruik van de zakelijke Web Application Firewall (WAF) van CloudFlare om verdachte verzoeken automatisch te blokkeren of uit te dagen.

Encryptie

• Gegevens in rust

  Alle klantgegevens worden gecodeerd opgeslagen op AWS-servers (met het AES-256-coderingsalgoritme).

• Gegevens in transit

  Alle gegevens die naar en van het Deskpro-platform worden verzonden, worden via de draad gecodeerd in overeenstemming met de beste praktijken in de sector. Webverkeer via HTTP wordt beveiligd door CloudFlare met TLS 1.2 of 1.3 met behulp van bewezen veilige coderingssuites.

  Meer informatie over SSL/TLS bij CloudFlarePortableText [components.type] is missing "span"

Software

• Eenmalig inloggen

  Beheerders kunnen meerdere opties configureren voor SSO naar het Deskpro-platform, waaronder OneLogin-, Okta-, Azure-, SAML- en JWT-authenticatie. Er zijn verschillende configuratieopties beschikbaar voor SSO, zodat u de interactie met agenten/klanten kunt aanpassen.

• Twee-factor-authenticatie (2FA)

  Deskpro maakt 2FA mogelijk via uw SSO-provider voor beheerders, agenten en klanten.

• API-beveiliging en authenticatie

  De Deskpro API is een op REST gebaseerde API die veilig via HTTPS draait. API-verzoeken kunnen alleen worden gedaan door geverifieerde klanten. API-authenticatie kan worden gedaan via OAuth, API-sleutels of met behulp van kortstondige API-tokens.

• Aangepast wachtwoordbeleid

  Aanpasbaar wachtwoordbeleid kan worden ingeschakeld voor zowel agenten als klanten. Dit omvat de mogelijkheid om een ​​minimale wachtwoordlengte in te stellen, hergebruik van wachtwoorden te verbieden, een combinatie van cijfers en tekens te gebruiken en klanten te dwingen hun wachtwoord na een bepaalde tijd te wijzigen.

• Auditlogboeken

  Er worden uitgebreide auditlogboeken bijgehouden voor wijzigingen die door beheerders zijn aangebracht. Ze bieden records inclusief type, actie, uitvoerder en tijdstempel waarop de uitvoering is uitgevoerd. Activiteitenlogboeken voor agenten kunnen ook door beheerders worden bekeken en tonen activiteiten zoals ticketantwoorden of online-tijd.

• Uptime

  Deskpro handhaaft een hoog beschikbaarheidsniveau op het cloudplatform, gemiddeld ruim 99,9%.

  Er is een openbaar beschikbare statuspagina waar u dit kunt doen controleer de status van de cloudsoftware en zijn componenten.

• Ontslag

  We gebruiken AWS met redundantie over ten minste twee beschikbaarheidszones, waarbij databaseback-ups indien nodig 35 dagen aan point-in-time herstel bieden. Extra gecodeerde externe back-ups worden dagelijks bijgewerkt.

• Reageren op beveiligingsincidenten

  We hebben procedures en beleid opgesteld met betrekking tot het reageren op en communiceren over beveiligingsincidenten van ons beveiligingsteam.

  Het niveau van het beveiligingsincident zal bepalen hoe we communiceren en reageren op onze klanten. Als er zich een beveiligingsincident voordoet, wordt u op de hoogte gehouden via ons Customer Success-team. Zij staan ​​voor u klaar om u tijdens het incident te helpen en te ondersteunen met betrekking tot updates.

  Al onze procedures en beleidslijnen met betrekking tot het reageren op beveiligingsincidenten worden minimaal jaarlijks geëvalueerd en bijgewerkt.

• Plan voor noodherstel en bedrijfscontinuïteit

  In het geval van een noodgeval of kritiek incident op een Deskpro-locatie is er een bedrijfscontinuïteitsplan opgesteld.

  Dit is in het leven geroepen zodat wij, ongeacht het scenario, als bedrijf voor onze klanten kunnen blijven functioneren. Jaarlijks wordt het bedrijfscontinuïteitsplan getoetst en gecontroleerd op toepasbaarheid en eventuele aanvullende verbeteringen.

Back-ups

• Back-upduur

  Mocht u Deskpro niet langer willen gebruiken, dan bewaren wij gedurende 60 dagen back-ups van uw accounts - waarna uw gegevens volledig uit al onze systemen worden verwijderd.

• Aantal back-ups

  Primaire back-ups bieden herstel op een bepaald tijdstip gedurende 35 dagen. Gecodeerde externe back-ups worden dagelijks bijgewerkt.

Beschikbaarheid

• Gegevens verwijderen

  Uw gegevens worden op verzoek onmiddellijk veilig verwijderd uit onze primaire gegevensopslag. Gecodeerde externe back-ups van uw gegevens worden elke 60 dagen verwijderd via regelmatige back-uprotatie.

• Hardware verwijderen

  Alle hardware die niet langer in gebruik is, wordt volledig gewist en afgevoerd met behulp van een gereguleerde verwijderingsdienst in overeenstemming met ISO27001-naleving.

Eindpuntbeveiliging

• Werkstation instellen

  Voordat iemand als werknemer bij Deskpro komt werken, wordt zijn of haar werkstation zo ingesteld en geconfigureerd dat het voldoet aan al ons beveiligingsbeleid. Dit beleid vereist dat alle werkstations op een hoog niveau zijn geconfigureerd en voldoen aan beveiligingscertificeringsnormen zoals ISO27001 en Cyber ​​Essentials Plus.

  Op elk werkstation zijn de gegevens in rust versleuteld, zijn er sterke wachtwoorden (beheerd door een veilige wachtwoordbeheerkluis), is locatietracking ingeschakeld en worden schermen automatisch uitgeschakeld als ze niet worden gebruikt.

• Toezicht houden

  Het centrale beheersysteem van SA wordt gebruikt voor het monitoren, volgen en rapporteren van malware, ongeautoriseerde software en verwijderbare opslagapparaten. Dit is om ervoor te zorgen dat alle werkstations up-to-date zijn met patches en beveiliging. We hanteren ook een strikt beleid voor niet-verwijderbare opslagapparaten.

  Alle mobiele apparaten (telefoons of tablets) die voor werkdoeleinden worden gebruikt, maken deel uit van een beheersysteem voor mobiele apparaten voor locatietracering, veilige wachtwoorden en SSO.

• Vertrouwelijkheid

  Alle nieuwe medewerkers worden tijdens het aanwervingsproces gescreend. Bij indiensttreding bij Deskpro zijn medewerkers, opdrachtnemers en schoonmaakploegen verplicht een geheimhoudings- en vertrouwelijkheidsovereenkomst te ondertekenen. Ook dit is een vast dienstverband na uitdiensttreding.

Toegang tot gevoelige informatie

• Bevoorrading

  Alleen bepaalde mensen binnen de organisatie krijgen toegang tot gevoelige informatie. Het is op een need-to-know-basis met op rollen gebaseerde machtigingen, zodat medewerkers hun werk zo goed mogelijk kunnen uitvoeren.

  Ons toegangscontrolebeleid wordt intern geïmplementeerd en binnen Deskpro hebben we meerdere niveaus van veiligheidsmachtiging. Sommige toegang, zoals uitgebreide ondersteuning of scenario's voor het delen van schermen, wordt uitgevoerd op basis van klantovereenkomst.

• Authenticatie

  Om de veiligheid nog verder te verhogen maakt Deskpro gebruik van Two Factor Authentication (2FA) voor systemen die gevoelige of persoonlijke gegevens bevatten.

  Door het gebruik van Single Sign On (SSO) voor medewerkers kan het management de toegang tot alle applicaties onmiddellijk uitschakelen of wijzigen. Dit wordt gebruikt wanneer een medewerker Deskpro verlaat of de toegang moet worden verwijderd.

• Wachtwoordbeheer

  Als onderdeel van ons interne wachtwoordbeleid vereist Deskpro dat alle medewerkers een goedgekeurde wachtwoordbeheerder gebruiken. Dit is om ervoor te zorgen dat wachtwoorden sterk zijn, op een veilige locatie worden bewaard, regelmatig worden gewijzigd en niet opnieuw worden gebruikt. Waar nodig waarschuwt de wachtwoordbeheerder gebruikers voor eventuele wachtwoordrisico's om de beveiliging op alle niveaus te handhaven.

Leveranciersbeheer

• Subserviceorganisaties

  Om Deskpro efficiënt te laten werken, vertrouwen we op subserviceorganisaties die ons helpen onze service te leveren.

  Bij het selecteren van een geschikte leverancier voor een vereiste dienst nemen we de juiste stappen om ervoor te zorgen dat de veiligheid en integriteit van ons platform behouden blijven. Elke subserviceorganisatie wordt zwaar onder de loep genomen, getest en op veiligheid gecontroleerd voordat deze in Deskpro wordt geïmplementeerd.

• Naleving van leveranciers

  Deskpro houdt toezicht op de effectiviteit van deze leveranciers en ze worden jaarlijks beoordeeld om te bevestigen dat hun voortdurende veiligheid en waarborgen worden nageleefd. Bekijk een lijst van onze huidige subserviceorganisatiesPortableText [components.type] is missing "span"

• Subverwerkers

  In elke situatie waarin het gebruik van een van deze subserviceorganisaties mogelijk van invloed zou kunnen zijn op de veiligheid van Deskpro, ondernemen we passende stappen om het risico te beperken. Dit omvat onder meer het maken van overeenkomsten en het garanderen dat deze voldoen aan relevante certificeringen of regelgeving, zoals de AVG.

Externe validatie

• Beveiligingsnalevingsaudits

  Deskpro is altijd actief bezig met het zoeken, monitoren en verbeteren van onze beveiligingsinstellingen. Dit gebeurt via regelmatige controles en beoordelingen door zowel ons interne beveiligingsteam als externe beoordelaars.

  Alle resultaten worden gedeeld met het managementteam en diepgaand besproken tijdens de security management reviews. Recente beveiligingsaudits en certificeringen omvatten ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 en GDPR Readiness. Onderaan deze pagina kunt u onze lijst met certificaten bekijken.

  Ons toegangscontrolebeleid wordt intern geïmplementeerd en binnen Deskpro hebben we meerdere niveaus van veiligheidsmachtiging. Sommige toegang, zoals uitgebreide ondersteuning of scenario's voor het delen van schermen, wordt uitgevoerd op basis van klantovereenkomst.

• Penetratietesten

  Onafhankelijke penetratietesten door een gecertificeerde CREST CHECK derde partij worden minimaal jaarlijks uitgevoerd. De uitgevoerde penetratietesten zijn gericht op beveiliging, infrastructuur en product. De resultaten van deze tests worden gedeeld en er wordt actie op ondernomen door zowel het beveiligingsteam als het hogere managementteam.

  Onze jaarlijkse tests omvatten ook scans van zowel externe als interne netwerkkwetsbaarheid, met certificering voor Cyber ​​Essentials Plus. Alle penetratietests van derden worden uitgevoerd door consultants die gecertificeerd zijn volgens de CREST-normen.

• Klantgestuurde audits

  Wij begrijpen dat een organisatie in bepaalde omstandigheden mogelijk verdere audits of penetratietests nodig heeft voordat de aanschaf van Deskpro kan worden gedaan. We verwelkomen klanten om hun eigen penetratietesten uit te voeren op een Deskpro-omgeving. Als u er een wilt regelen, neem dan contact op met de ondersteuning om dit te plannen en voor verdere prijzen.

• Verantwoorde openbaarmaking

  Als u een beveiligingsexpert of onderzoeker bent en denkt dat u een beveiligingsprobleem met de onlinesystemen van Deskpro hebt ontdekt, stellen wij uw hulp bij het op verantwoorde wijze aan ons bekendmaken van het probleem op prijs. We hebben een Verantwoorde openbaarmaking programma. We vragen de veiligheidsonderzoeksgemeenschap om ons de kans te geven een kwetsbaarheid te corrigeren voordat deze openbaar wordt gemaakt.

Certificering / naleving

• • ISO27001
  • SOC 2 Type II
  • Cyber-essentials
  • Cyber ​​Essentials Plus
  • CSA-ster
  • AVG
  • G-Cloud
  • PCI-DSS
  • CCPA
  • Standaardcontractbepalingen (SCC)