Políticas e práticas de segurança da Deskpro

• Instalações

  Nosso provedor de data center de serviços em nuvem (AWS) opera data centers de última geração que estão em conformidade com ISO27001, PCI DSS Nível 1, HIPAA, EU-US Privacy Shield. EUA e tipo SOC 2.

  Sistemas automatizados de detecção e extinção de incêndio são instalados em áreas de rede, mecânica e infraestrutura. Todos os data centers da AWS são construídos de acordo com padrões de redundância N+1.

• Segurança do local

  Nossas instalações de data center contam com equipe no local 24 horas por dia, 7 dias por semana, pontos de acesso físico às salas de servidores cobertas por CFTV, procedimentos de segurança biométrica e monitoramento de vigilância 24 horas por dia para manter a proteção contra entrada não autorizada e violações de segurança física. Eles também exigem verificações de antecedentes de todos os funcionários como parte do processo de triagem pré-contratação.

• Monitoramento de servidor

  Os Centros de Operações de Segurança Globais da AWS realizam monitoramento 24 horas por dia, 7 dias por semana, das atividades de acesso ao data center, com sistemas eletrônicos de detecção de invasões instalados na camada de dados. Os sistemas são constantemente monitorados pela equipe de segurança da Deskpro.

• Localizações

  Deskpro oferece implantação de contas em nuvem em data centers localizados nos EUA, UE ou Reino Unido*. Os clientes podem escolher em qual região desejam hospedar exclusivamente seus dados, como padrão.

  PortableText [components.type] is missing "span"Os clientes do Plano de negócios Eles podem optar por ficar em 1 dos 22 países ao redor do mundo.

• Fonte de energia ininterrupta

  Cada instalação está equipada com um sistema de fonte de alimentação ininterrupta (UPS) e geradores de reserva em caso de queda de energia.

• perímetro rígido

  Cada um de nossos data centers possui uma camada de perímetro controlada com equipes de segurança no local 24 horas por dia, 7 dias por semana, acesso físico restrito e controlado, autenticação multifatorial, sistemas eletrônicos de detecção de intrusão e alarmes de porta.

• Equipe de segurança dedicada

  A equipe de segurança da Deskpro está distribuída por todo o mundo. Eles fornecem monitoramento e resposta 24 horas por dia, 7 dias por semana a incidentes e alertas de segurança.

• Firewall

  A rede pública do Deskpro é protegida pelo Cloudflare Enterprise, que atua para filtrar todo o tráfego de entrada da Internet. Os servidores de e-mail públicos são protegidos pelo AWS Shield, que monitora e filtra de forma semelhante o tráfego de entrada da Internet. Nenhum outro serviço ou acesso à Internet pública é fornecido.

• Arquitetura

  Dentro da rede privada interna da Deskpro, que não é acessível pela Internet pública, empregamos grupos de segurança AWS e controles IAM para bloquear a comunicação entre componentes, portanto, o acesso aos serviços deve ser concedido explicitamente com base na necessidade. Tornamos impossível que os sistemas interajam entre si sem que os configuremos e planejemos explicitamente.

• Mitigação de ataques DDoS

  Os logs de auditoria do sistema Deskpro são sempre mantidos e verificados em busca de anomalias, e usamos provedores terceirizados de DDoS para proteção contra ataques distribuídos. Isso inclui AWS Shield Guards e Cloudflare.

• Acesso com menor privilégio

  O acesso a servidores de hospedagem e ambientes ativos é fornecido com acesso com privilégios mínimos. Um número muito limitado de funcionários tem acesso a ambientes ativos, que também exigem vários níveis de acesso de segurança.

• Resposta a incidentes de segurança (equipe)

  Deskpro monitora o serviço de nuvem 24 horas por dia, 7 dias por semana e tem uma equipe de resposta disponível 24 horas por dia, 7 dias por semana para responder a incidentes de segurança. Nosso provedor de hospedagem, AWS, também oferece monitoramento e suporte global 24 horas por dia, 7 dias por semana, para data centers em vários locais usados ​​para Deskpro Cloud.

• Verificação de vulnerabilidades

  A verificação de vulnerabilidades é realizada em toda a rede para identificar quaisquer sistemas potencialmente vulneráveis ​​e permite que a equipe de segurança analise rapidamente quaisquer pontos fracos.

Desenvolvimento

• Segurança de cobrança

  Deskpro não armazena dados de cartão de crédito. Usamos serviços de terceiros em conformidade com PCI (Spreedly e Stripe) para fornecer serviços de cobrança.

  Os dados do seu cartão de crédito passam temporariamente pelos nossos servidores e, por esse motivo, verificamos que estamos em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

• Garantia da Qualidade

  Temos um departamento dedicado de Garantia de Qualidade (QA) que testa, revisa e classifica nossa base de código. Para cada atualização ou versão do software, as equipes de desenvolvimento, suporte e controle de qualidade realizam testes com uma abordagem multinível.

• Ambientes separados/diferentes

  Existem ambientes separados para preparação e teste. Esses ambientes são separados lógica e fisicamente do ambiente de produção ao vivo. Nenhum dado do cliente é usado em testes ou desenvolvimento.

• Testes de penetração

  Deskpro é testado com testes unitários, auditoria humana, testes de penetração de aplicativos, análise estática e testes funcionais. Testes de penetração de terceiros também são realizados anualmente.

• Mitigar ataques comuns (XSS, CSRF, SQLi)

  Deskpro foi criado para mitigar vetores de ataque comuns; como ataques de injeção de SQL e ataques de script entre sites (XSS). Deskpro Cloud também aproveita o firewall de aplicativo web (WAF) de nível empresarial da CloudFlare para bloquear ou desafiar automaticamente solicitações suspeitas.

Criptografia

• Dados em repouso

  Todos os dados do cliente são armazenados criptografados em servidores AWS (usando o algoritmo de criptografia AES-256).

• Dados em trânsito

  Todos os dados transmitidos de e para a plataforma Deskpro são criptografados de acordo com as melhores práticas do setor. O tráfego da Web sobre HTTP é protegido pela CloudFlare com TLS 1.2 ou 1.3 usando conjuntos de criptografia comprovados.

  Mais informações sobre SSL/TLS no CloudFlarePortableText [components.type] is missing "span"

Programas

• login único

  Os administradores podem configurar várias opções de SSO na plataforma Deskpro, incluindo autenticação OneLogin, Okta, Azure, SAML e JWT. Existem diferentes opções de configuração disponíveis para SSO que permitem personalizar a forma como você interage com agentes/clientes.

• Autenticação de dois fatores (2FA)

  Deskpro permite 2FA por meio de seu provedor de SSO para administradores, agentes e clientes.

• Segurança e autenticação de API

  A API Deskpro é uma API baseada em REST que funciona com segurança em HTTPS. As solicitações de API só podem ser feitas por clientes verificados. A autenticação de API pode ser feita por meio de OAuth, chaves de API ou tokens de API de curta duração.

• Políticas de senha personalizadas

  Políticas de senha personalizáveis ​​podem ser habilitadas para agentes e clientes. Isso inclui a capacidade de definir um comprimento mínimo de senha, proibir a reutilização de senhas, uma combinação de números e caracteres e forçar os clientes a alterar suas senhas após um determinado período de tempo.

• Registros de auditoria

  Registros de auditoria completos são mantidos para alterações feitas pelos administradores. Eles fornecem registros que incluem o tipo, a ação, o executor e o carimbo de data/hora em que foi executado. Os administradores também podem visualizar registros de atividades do agente, que mostram atividades como respostas de tickets ou tempo online.

• Tempo de atividade

  Deskpro mantém um alto nível de disponibilidade na plataforma em nuvem, com média superior a 99,9%.

  Há uma página de status disponível publicamente, onde você pode verifique o status do software em nuvem e seus componentes.

• Redundância

  Usamos AWS com redundância em pelo menos duas zonas de disponibilidade, com backups de banco de dados oferecendo 35 dias de recuperação a qualquer momento, se necessário. Backups externos criptografados adicionais são atualizados diariamente.

• Respondendo a incidentes de segurança

  Estabelecemos procedimentos e políticas relativos à resposta e comunicação sobre incidentes de segurança por parte da nossa Equipe de Segurança.

  O nível do incidente de segurança ditará a forma como nos comunicamos e respondemos aos nossos clientes. Se ocorrer um incidente de segurança, nossa equipe de sucesso do cliente irá mantê-lo informado. Eles estarão disponíveis para ajudá-lo e apoiá-lo durante o incidente em relação às atualizações.

  Todos os nossos procedimentos e políticas relativos à resposta a incidentes de segurança são avaliados e atualizados pelo menos anualmente.

• Plano de recuperação de desastres e continuidade de negócios

  No caso de uma emergência ou incidente crítico em qualquer instalação da Deskpro, foi implementado um plano de continuidade de negócios.

  Foi criado para que possamos continuar operando como um negócio para nossos clientes, não importa o cenário. O plano de continuidade de negócios é testado e verificado anualmente para determinar sua aplicabilidade e quaisquer melhorias adicionais que possam ser feitas.

Cópias de segurança

• Duração do backup

  Se você não quiser mais usar o Deskpro, mantemos cópias de backup de suas contas por 60 dias, após os quais seus dados serão completamente excluídos de todos os nossos sistemas.

• Número de backups

  Os backups primários oferecem recuperação pontual por 35 dias. Os backups externos criptografados são atualizados diariamente.

Eliminação

• Excluir dados

  Seus dados são excluídos de forma segura e imediata de nossos armazenamentos de dados primários, mediante solicitação. Os backups externos criptografados dos seus dados são excluídos por meio de uma rotação regular de backup a cada 60 dias.

• Remover hardware

  Qualquer hardware que não esteja mais em uso é cuidadosamente limpo e descartado por meio de um serviço de descarte regulamentado de acordo com a conformidade com a ISO27001.

Segurança de terminais

• Configuração da estação de trabalho

  Antes de alguém ingressar no Deskpro como funcionário, sua estação de trabalho é configurada e configurada para cumprir todas as nossas políticas de segurança. Essas políticas exigem que todas as estações de trabalho sejam configuradas em alto nível e atendam aos padrões de certificação de segurança, como ISO27001 e Cyber ​​Essentials Plus.

  Cada estação de trabalho possui dados criptografados em repouso, senhas fortes (gerenciadas por um cofre seguro de gerenciamento de senhas), rastreamento de localização habilitado e telas que desligam automaticamente quando ociosas.

• Supervisão

  O sistema de gerenciamento central SA é usado para monitorar, rastrear e relatar malware, software não autorizado e dispositivos de armazenamento removíveis. Isso é para garantir que todas as estações de trabalho estejam atualizadas com patches e segurança. Também temos uma política rigorosa em relação a dispositivos de armazenamento não removíveis.

  Todos os dispositivos móveis (telefones ou tablets) usados ​​para fins de trabalho fazem parte de um sistema de gerenciamento de dispositivos móveis para rastreamento de localização, senhas fortes e SSO.

• Confidencialidade

  Todos os novos funcionários são avaliados durante o processo de contratação. Ao iniciar o trabalho na Deskpro, os funcionários, prestadores de serviços e equipes de limpeza devem assinar um acordo de confidencialidade e não divulgação. Este também é um contrato pós-emprego mantido.

Acesso a informações confidenciais

• Abastecimento

  Apenas algumas pessoas dentro da organização têm acesso a informações confidenciais. Baseia-se na necessidade de conhecimento com permissões baseadas em funções, para permitir que os funcionários façam seu trabalho da melhor maneira possível.

  Nossa política de controle de acesso é implementada internamente e dentro do Deskpro temos vários níveis de autorização de segurança. Alguns acessos, como suporte estendido ou cenários de compartilhamento de tela, são feitos mediante acordo do cliente.

• Autenticação

  Para aumentar ainda mais a segurança, o Deskpro utiliza autenticação de dois fatores (2FA) para sistemas que contêm dados pessoais ou confidenciais.

  O uso do logon único (SSO) para funcionários permite que o gerenciamento desabilite ou altere o acesso a todos os aplicativos instantaneamente. Isso é usado quando um funcionário sai do Deskpro ou seu acesso precisa ser removido.

• Gerenciamento de senha

  Como parte de nossa política interna de senhas, a Deskpro exige que todos os funcionários usem um gerenciador de senhas aprovado. Isto é para garantir que as senhas sejam seguras, mantidas em um local seguro, alteradas regularmente e não reutilizadas. Quando necessário, o gerenciador de senhas alerta os usuários sobre quaisquer riscos potenciais de senha para manter um alto nível de segurança em todos os níveis.

Gestão de Fornecedores

• Organizações de subserviços

  Para que o Deskpro opere de forma eficiente, contamos com organizações de subserviços para nos ajudar a prestar nosso serviço.

  Ao selecionar um fornecedor adequado para um serviço necessário, tomamos medidas adequadas para garantir que a segurança e a integridade da nossa plataforma sejam mantidas. Cada organização de subserviço é minuciosamente avaliada, testada e verificada em termos de segurança antes de ser implantada no Deskpro.

• Conformidade do Fornecedor

  Deskpro monitora a eficácia desses provedores e os analisa anualmente para confirmar que sua segurança e proteção contínuas são mantidas.

  Para ver um lista de nossas atuais organizações de subserviçosPortableText [components.type] is missing "span"

• Subprocessadores

  Em qualquer situação em que o uso de uma dessas organizações de subserviços possa impactar potencialmente a segurança do Deskpro, tomamos as medidas apropriadas para mitigar o risco. Isto inclui estabelecer acordos e garantir que cumpram as certificações ou regulamentos relevantes, como o GDPR.

Validação Externa

• Auditorias de conformidade de segurança

  Deskpro está sempre pesquisando, monitorando e melhorando ativamente nossas configurações de segurança. Isto é feito através de verificações e avaliações regulares realizadas pela nossa equipe de segurança interna e por avaliadores externos.

  Todos os resultados são compartilhados com a equipe de gestão e analisados ​​em profundidade nas revisões de gestão de segurança. Auditorias e certificações de segurança recentes incluem ISO27001, PCI, Cyber ​​​​Essentials Plus, CSA Star, G-Cloud 12 e GDPR Readiness. Você pode ver nossa lista de certificados no final desta página.

  Nossa política de controle de acesso é implementada internamente e dentro do Deskpro temos vários níveis de autorização de segurança. Alguns acessos, como suporte estendido ou cenários de compartilhamento de tela, são feitos mediante acordo do cliente.

• Testes de penetração

  Testes de penetração independentes realizados por terceiros certificados pela CREST CHECK são realizados pelo menos uma vez por ano. Os testes de penetração realizados são focados em segurança, infraestrutura e produto. Os resultados desses testes são compartilhados e aplicados pelas equipes de Segurança e Gestão Sênior.

  Nossos testes anuais também incluem varreduras de vulnerabilidades de redes internas e externas, com certificação Cyber ​​Essentials Plus. Todos os testes de penetração de terceiros são realizados por consultores certificados de acordo com os padrões CREST.

• Auditorias orientadas ao cliente

  Entendemos que, em certas circunstâncias, uma organização pode exigir a conclusão de auditorias adicionais ou testes de penetração antes de poder adquirir o Deskpro. Convidamos os clientes a realizarem seus próprios testes de penetração em um ambiente Deskpro. Se desejar agendar um, entre em contato com o suporte para agendar e saber mais preços.

• Divulgação responsável

  Se você é um especialista ou pesquisador em segurança e acredita ter descoberto um problema relacionado à segurança nos sistemas online Deskpro, agradecemos sua ajuda para nos relatar o problema de maneira responsável. Temos um programa Divulgação Responsável. Pedimos à comunidade de pesquisa em segurança que nos dê a oportunidade de corrigir uma vulnerabilidade antes de divulgá-la publicamente.

Certificação e Conformidade

• • ISO 27001
  • SOC 2 Tipo II
  • Fundamentos Cibernéticos
  • Cyber ​​​​Essentials Plus
  • Estrela do CSA
  • GDPR
  • Nuvem G
  • PCI-DSS
  • CCPA
  • Cláusulas contratuais padrão (CEC)