Deskpro 的安全政策和实践

• 设施

  我们的云服务数据中心提供商 (AWS) 运营最先进的、符合 ISO27001、PCI DSS 1 级、HIPAA、欧盟-美国隐私护盾和 SOC 2 类型标准的数据中心。

  自动火灾探测和灭火系统安装在网络、机械和基础设施区域。所有AWS数据中心均按照N+1冗余标准构建。

• 现场保安

  我们的数据中心设施拥有 24/7 现场工作人员、闭路电视覆盖的服务器机房物理接入点、生物识别安全程序和全天候监控，以防止未经授权的进入和物理安全漏洞。作为聘用前筛选过程的一部分，他们还要求对所有员工进行背景调查。

• 服务器监控

  AWS 的全球安全运营中心对数据中心访问活动进行 24/7 监控，并在数据层安装电子入侵检测系统。 Deskpro 安全团队持续监控系统。

• 地点

  Deskpro 提供将云帐户部署到位于美国、欧盟或英国的数据中心的服务PortableText [components.type] is missing "span"。作为标准，客户可以选择他们希望专门托管其数据的区域。

  PortableText [components.type] is missing "span"企业计划 客户可以选择在全球 22 个国家/地区之一进行托管。

• 不间断电源供应

  每个设施都配备了不间断电源 (UPS) 和备用发电机，以防停电。

• 硬周界

  我们的每个数据中心都有一个受控的外围层，配有 24/7 现场安全团队、受限和受控的物理访问、多因素身份验证、电子入侵检测系统和门警报。

• 专门的安全团队

  Deskpro 的安全团队分布在全球各地。他们提供 24/7 监控并响应安全事件和警报。

• 防火墙

  Deskpro 面向公众的网络受到 Cloudflare Enterprise 的保护，该企业可过滤来自互联网的所有传入流量。面向公众的电子邮件服务器受到 AWS Shield 的保护，它同样可以监控和过滤来自互联网的传入流量。不向公共互联网提供其他服务或访问。

• 建筑学

  在无法从公共互联网访问的 Deskpro 内部专用网络中，我们采用 AWS 安全组和 IAM 控制来锁定组件之间的通信，因此必须根据需要明确授予对服务的访问权限。如果没有明确的配置和规划，我们就使系统不可能相互交互。

• DDoS 缓解

  Deskpro 系统审核日志始终得到维护并检查异常情况，我们使用签约的第三方 DDoS 提供商来防止分布式攻击。这包括 AWS Shield Guards 和 Cloudflare。

• 最低权限访问

  以最低权限访问提供对托管服务器和实时环境的访问。能够访问实时环境的员工数量非常有限，这也需要多个级别的安全访问。

• 安全事件响应（团队）

  Deskpro 24/7 监控云服务，并拥有一个 24/7 待命的响应团队来响应安全事件。我们的托管提供商 AWS 还为 Deskpro Cloud 所使用的多位置数据中心提供 24/7 全球监控和支持。

• 漏洞扫描

  在整个网络中进行漏洞扫描，以识别任何潜在的易受攻击的系统，并允许安全团队快速检查任何弱点。

发展

• 计费安全

  Deskpro 不存储信用卡数据。我们使用外部 PCI 兼容服务（Spreedly 和 Stripe）来提供计费服务。

  您的信用卡数据会暂时通过我们的服务器，因此，我们已被验证为符合支付卡行业数据安全标准 (PCI DSS)。

• 质量保证

  我们有专门的质量保证 (QA) 部门来测试、审查和分类我们的代码库。对于软件的每次更新或发布，开发、支持和 QA 团队都会采用多级方法执行测试。

• 独立/不同的环境

  登台和测试都有单独的环境。这些环境在逻辑上和物理上都与现场制作环境分开。测试或开发中不使用任何客户数据。

• 渗透测试

  Deskpro 经过单元测试、人工审核、应用程序渗透测试、静态分析和功能测试。第三方渗透测试也每年完成。

• 缓解常见攻击（XSS、CSRF、SQLi）

  Deskpro 旨在缓解常见的攻击媒介；例如 SQL 注入攻击和跨站脚本攻击 (XSS)。 Deskpro Cloud 还利用 CloudFlare 的企业级 Web 应用程序防火墙 (WAF) 自动阻止或质询可疑请求。

加密

• 静态数据

  所有客户数据均以加密方式存储在 AWS 服务器上（使用 AES-256 加密算法）。

• 传输中的数据

  根据行业最佳实践，传入和传出 Deskpro 平台的任何数据都会通过线路进行加密。通过 HTTP 的 Web 流量由 CloudFlare 使用经过验证的安全密码套件通过 TLS 1.2 或 1.3 进行保护。

  有关更多信息 CloudFlare 的 SSL/TLS。

软件

• 单点登录

  管理员可以为 Deskpro 平台的 SSO 配置多个选项，包括 OneLogin、Okta、Azure、SAML 和 JWT 身份验证。 SSO 有不同的配置选项，使您能够自定义它与代理/客户的交互方式。

• 双因素身份验证 (2FA)

  Deskpro 通过 SSO 提供商为管理员、代理和客户启用 2FA。

• API 安全和身份验证

  Deskpro API 是基于 REST 的 API，可通过 HTTPS 安全运行。 API 请求只能由经过验证的客户提出。 API 身份验证可以通过 OAuth、API 密钥或使用短期 API 令牌来完成。

• 自定义密码策略

  可以为代理和客户启用可定制的密码策略。这包括设置最短密码长度、禁止重复使用密码、数字和字符混合以及强制客户在一定时间后更改密码的能力。

• 审核日志

  保留全面的审核日志以记录管理员所做的更改。它们提供的记录包括类型、操作、执行者和执行的时间戳。管理员还可以查看客服人员的活动日志，显示工单回复或在线时间等活动。

• 正常运行时间

  Deskpro在云平台上保持着高水平的可用性，平均超过99.9%。

  有一个公开可用的状态页面，您可以在其中 检查云软件状态 及其组成部分。

• 冗余

  我们使用在至少两个可用区上具有冗余的 AWS，数据库备份可在需要时提供 35 天的时间点恢复。其他加密的场外备份每天都会更新。

• 应对安全事件

  我们制定了有关安全团队响应和沟通安全事件的程序和政策。

  安全事件的级别将决定我们如何与客户沟通和响应。如果确实发生安全事件，我们的客户成功团队将随时向您通报最新情况。他们将随时为您提供有关更新的帮助和支持。

  我们所有有关响应安全事件的程序和政策至少每年都会进行评估和更新。

• 灾难恢复和业务连续性计划

  如果任何 Deskpro 场所发生紧急或重大事件，我们都会制定业务连续性计划。

  这样做的目的是为了让我们能够在任何情况下继续为客户提供业务服务。每年都会对业务连续性计划进行测试和检查，以了解其适用性以及可以进行的任何其他改进。

备份

• 备份时间

  如果您不想再使用 Deskpro，我们会将您的帐户备份保留 60 天，之后您的数据将从我们的所有系统中完全删除。

• 备份数量

  主备份提供 35 天的时间点恢复。加密的异地备份每天都会更新。

处理

• 删除数据

  根据要求，您的数据将立即从我们的主要数据存储中安全删除。通过每 60 天定期备份轮换清除数据的加密异地备份。

• 拆卸硬件

  任何不再使用的硬件都将根据 ISO27001 合规性使用受监管的处置服务进行彻底擦除和处置。

端点安全

• 工作站设置

  在任何人作为员工加入 Deskpro 之前，他们的工作站都已设置和配置为符合我们的所有安全策略。这些策略要求所有工作站都配置为高级别，并符合 ISO27001 和 Cyber​​ Essentials Plus 等安全认证标准。

  每个工作站都具有静态数据加密、强密码（由安全密码管理库管理）、启用位置跟踪以及空闲时自动关闭屏幕。

• 监控

  SA中央管理系统用于监控、跟踪和报告恶意软件、未经授权的软件和可移动存储设备。这是为了确保所有工作站都具有最新的补丁和安全性。我们还有严格的不可移动存储设备政策。

  用于工作目的的任何移动设备（手机或平板电脑）都是用于位置跟踪、安全密码和 SSO 的移动设备管理系统的一部分。

• 保密

  所有新员工都会在招聘过程中进行筛选。在 Deskpro 开始工作时，员工、承包商和清洁人员必须签署保密协议。这也是一份有效的离职后合同。

敏感信息访问

• 配置

  只有组织内的某些人员有权访问敏感信息。它以“需要知道”为基础，具有基于角色的权限，使员工能够尽其所能地完成工作。

  我们的访问控制政策是在内部实施的，在 Deskpro 内我们有多个级别的安全许可。某些访问（例如扩展支持或屏幕共享方案）是在客户协议的基础上执行的。

• 验证

  为了进一步提高安全性，Deskpro 对包含敏感或个人数据的系统使用双因素身份验证 (2FA)。

  为员工使用单点登录 (SSO) 使管理层能够立即禁用或更改对所有应用程序的访问。当员工离开 Deskpro 或需要删除其访问权限时使用此功能。

• 密码管理

  作为我们内部密码政策的一部分，Deskpro 要求所有员工使用经过批准的密码管理器。这是为了确保密码强度高、保存在安全位置、定期更改且不重复使用。必要时，密码管理器会提醒用户任何潜在的密码风险，以在各个级别保持高级别安全性。

供应商管理

• 子服务机构

  为了让 Deskpro 高效运行，我们依靠子服务组织来帮助我们提供服务。

  在为所需服务选择合适的供应商时，我们会采取适当的步骤来确保维护我们平台的安全性和完整性。每个子服务组织在实施到 Deskpro 之前都经过严格审查、测试和安全检查。

• 供应商合规性

  Deskpro 监控这些供应商的有效性，并每年对他们进行审查，以确认他们的持续安全和保障措施得到维护。查看 我们当前的子服务组织列表。

• 子处理者

  在任何情况下，使用这些子服务组织之一可能会影响 Deskpro 的安全，我们都会采取适当的措施来降低风险。这包括建立协议并确保其符合相关认证或法规，例如 GDPR。

外部验证

• 安全合规审计

  Deskpro 始终积极搜索、监控和改进我们的安全设置。这是通过我们的内部安全团队和第三方评估员的定期检查和评估得出的。

  所有结果都会与管理团队共享，并在安全管理审查中进行深入讨论。最近的安全审核和认证包括 ISO27001、PCI、Cyber​​ Essentials Plus、CSA Star、G-Cloud 12 和 GDPR Readiness。您可以在本页底部查看我们的证书列表。

  我们的访问控制政策是在内部实施的，在 Deskpro 内我们有多个级别的安全许可。某些访问（例如扩展支持或屏幕共享方案）是在客户协议的基础上执行的。

• 渗透测试

  由经过认证的 CREST CHECK 第三方至少每年进行一次独立渗透测试。执行的渗透测试主要针对安全性、基础设施和产品。这些测试的结果由安全团队和高级管理团队共享并采取行动。

  我们的年度测试还包括外部和内部网络漏洞扫描，并获得 Cyber​​ Essentials Plus 认证。所有第 3 方渗透测试均由经过 CREST 标准认证的顾问进行。

• 客户驱动的审计

  我们理解，在某些情况下，组织可能需要在购买 Deskpro 之前进行进一步的审核或渗透测试。我们欢迎客户在 Deskpro 环境中执行自己的渗透测试。如果您希望安排一项，请联系支持人员安排安排并了解进一步的定价。

• 负责任的披露

  如果您是安全专家或研究人员，并且您认为自己发现了 Deskpro 在线系统的安全相关问题，我们感谢您帮助负责任地向我们披露该问题。我们有一个 负责任的披露 程序。我们请求安全研究社区在公开披露漏洞之前给我们一个纠正漏洞的机会。

认证/合规性

• • ISO 27001
  • SOC 2 类型 II
  • 网络要点
  • 网络必需品增强版
  • 南航之星
  • 通用数据保护条例
  • G云
  • PCI-DSS
  • 加州消费者协会
  • 标准合同条款 (SCC)