SEGURIDAD

Políticas y prácticas de seguridad de Deskpro

Ya sea que implemente su servicio de asistencia técnica en la nube o en las instalaciones, seguimos comprometidos con la protección y seguridad de sus datos.

Certificaciones y regulaciones de cumplimiento

ISO 27001
ISO 27001
SOC 2 Type II
SOC 2 Type II
PCI
PCI
GDPR
GDPR
G-Cloud
G-Cloud
CSA
CSA
Cyber Essentials Plus
Cyber Essentials Plus
California Consumer Privacy Act
California Consumer Privacy Act

Deskpro opera pensando en la seguridad

La salvaguarda de sus datos es y ha sido siempre nuestra prioridad. Entendemos el valor y la sensibilidad de su información privada, por lo que implementamos medidas de seguridad sólidas, diseñadas con los más altos estándares de confiabilidad y confiabilidad. Nuestra misión es simple: ofrecerle absoluta tranquilidad en lo que respecta a la seguridad de sus datos.

Deskpro se compromete a mantener constantemente el conocimiento del cambiante panorama de seguridad de las aplicaciones y a garantizar que se respeten las mejores prácticas de seguridad en toda la organización.

Ofrecemos a los clientes una amplia gama de personalizaciones, incluida la posibilidad de que los clientes elijan cómo implementar Deskpro, ya sea en la nube o en las instalaciones (autohospedado), y dónde se almacenan sus datos. Para nuestro alojamiento en la nube, utilizamos AWS líder en la industria.

Protegiendo tus datos

La práctica de seguridad de Deskpro tiene como objetivo evitar cualquier acceso no autorizado a los datos de los clientes. Siempre estamos buscando formas de mejorar la seguridad de Deskpro tomando medidas exhaustivas para encontrar y mitigar los riesgos.

Se realizan revisiones periódicas de seguridad de la administración para abordar cualquier área que creemos que se puede mejorar y proteger aún más. La implementación de esto puede realizarse a través de nuevas certificaciones de seguridad, cumplimiento o pruebas de terceros para garantizar las mejores prácticas y mejorar la seguridad en todo Deskpro.

  • Equipos de seguridad en el sitio 24 horas al día, 7 días a la semana
  • Acceso con privilegios mínimos
  • Copias de seguridad diarias completas
  • Estándar de cifrado avanzado (AES) de 256 bits
  • Autenticación de dos factores
  • Escaneo de vulnerabilidades
  • Mitigar ataques comunes
  • Pruebas de penetración anuales

Libro blanco de seguridad

Obtenga más información sobre cómo Deskpro garantiza que los datos de su servicio de asistencia técnica estén siempre seguros, ya sea que elija la implementación en la nube o en las instalaciones.

Cumplimiento del RGPD

El RGPD es el cambio más significativo en la legislación europea sobre privacidad de datos en más de 20 años. Deskpro proporciona herramientas en el producto, así como nuestro DPA, lo que le permite cumplir con el RGPD utilizando Deskpro.

Tiempo de actividad de la plataforma

Deskpro mantiene un alto nivel de disponibilidad en la plataforma en la nube, con un promedio superior al 99,9%. Puede verificar el estado del software en la nube en nuestra página de estado disponible públicamente.

Seguridad Física

  • Instalaciones

    Nuestro proveedor de centros de datos de servicios en la nube (AWS) opera centros de datos de última generación que cumplen con ISO27001, PCI DSS Nivel 1, HIPAA, Escudo de privacidad UE-EE. UU. y tipo SOC 2.

    Se instalan sistemas automatizados de detección y extinción de incendios en áreas de redes, mecánicas y de infraestructura. Todos los centros de datos de AWS están construidos según los estándares de redundancia N+1.

  • Seguridad en el sitio

    Las instalaciones de nuestro centro de datos cuentan con personal in situ las 24 horas del día, los 7 días de la semana, puntos de acceso físico a salas de servidores cubiertos por CCTV, procedimientos de seguridad biométrica y monitoreo de vigilancia las 24 horas para mantener la protección contra entradas no autorizadas y violaciones de seguridad física. También exigen verificaciones de antecedentes de todos los empleados como parte del proceso de evaluación previa al empleo.

  • Monitoreo del servidor

    Los Centros de operaciones de seguridad global de AWS realizan un monitoreo las 24 horas del día, los 7 días de la semana, de las actividades de acceso al centro de datos, con sistemas electrónicos de detección de intrusiones instalados en la capa de datos. Los sistemas son monitoreados constantemente por el equipo de seguridad de Deskpro.

  • Ubicaciones

    Deskpro ofrece implementación de cuentas en la nube en centros de datos ubicados en EE. UU., la UE o el Reino Unido*. Los clientes pueden elegir en qué región desean alojar exclusivamente sus datos, como estándar.

    *Los clientes del Plan Empresarial pueden elegir hospedar en 1 de 22 países alrededor del mundo.

  • Fuente de poder ininterrumpible

    Cada instalación está equipada con un sistema de suministro de energía ininterrumpida (UPS) y generadores de respaldo en caso de un corte de energía.

  • Perímetro duro

    Cada uno de nuestros centros de datos tiene una capa perimetral controlada con equipos de seguridad en el sitio las 24 horas, los 7 días de la semana, acceso físico restringido y controlado, autenticación multifactor, sistemas electrónicos de detección de intrusos y alarmas de puertas.

Seguridad de Red

  • Equipo de seguridad dedicado

    El equipo de seguridad de Deskpro está distribuido por todo el mundo. Proporcionan monitoreo y respuesta 24 horas al día, 7 días a la semana, a incidentes y alertas de seguridad.

  • Cortafuegos

    La red pública de Deskpro está protegida por Cloudflare Enterprise, que actúa para filtrar todo el tráfico entrante de Internet. Los servidores de correo electrónico públicos están protegidos por AWS Shield, que de manera similar monitorea y filtra el tráfico entrante de Internet. No se proporcionan otros servicios ni acceso a la Internet pública.

  • Arquitectura

    Dentro de la red privada interna de Deskpro, a la que no se puede acceder desde la Internet pública, empleamos grupos de seguridad de AWS y controles de IAM para bloquear la comunicación entre componentes, por lo que el acceso a los servicios debe otorgarse explícitamente según sea necesario. Hacemos imposible que los sistemas interactúen entre sí sin que lo configuremos y planifiquemos explícitamente.

  • Mitigación de ataques DDoS

    Los registros de auditoría del sistema Deskpro siempre se mantienen y verifican para detectar anomalías, y utilizamos proveedores DDoS externos contratados para protegernos de ataques distribuidos. Esto incluye tanto AWS Shield Guards como Cloudflare.

  • Acceso con privilegios mínimos

    El acceso a los servidores de hosting y entornos en vivo se proporciona con acceso con privilegios mínimos. Un número muy limitado de empleados tiene acceso a entornos en vivo, que también requieren múltiples niveles de acceso de seguridad.

  • Respuesta a incidentes de seguridad (equipo)

    Deskpro monitorea el servicio en la nube las 24 horas del día, los 7 días de la semana y cuenta con un equipo de respuesta disponible las 24 horas del día, los 7 días de la semana para responder a incidentes de seguridad. Nuestro proveedor de hosting, AWS, también ofrece soporte y monitoreo global las 24 horas, los 7 días de la semana, para los centros de datos de múltiples ubicaciones utilizados para Deskpro Cloud.

  • Escaneo de vulnerabilidades

    El escaneo de vulnerabilidades se realiza en toda la red para identificar cualquier sistema potencialmente vulnerable y permite al equipo de seguridad revisar rápidamente cualquier punto débil.

Seguridad de Plataforma y Producto

Desarrollo

  • Seguridad de facturación

    Deskpro no almacena datos de tarjetas de crédito. Utilizamos servicios externos compatibles con PCI (Spreedly y Stripe) para proporcionar servicios de facturación.

    Los datos de su tarjeta de crédito pasan momentáneamente a través de nuestros servidores y, por esta razón, se verifica que cumplimos con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

  • Seguro de calidad

    Contamos con un departamento de Garantía de Calidad (QA) dedicado que prueba, revisa y clasifica nuestro código base. Para cada actualización o versión del software, los equipos de desarrollo, soporte y control de calidad realizan pruebas con un enfoque multinivel.

  • Ambientes separados/diferentes

    Hay entornos separados tanto para la preparación como para las pruebas. Estos entornos están separados tanto lógica como físicamente del entorno de producción en vivo. No se utilizan datos de clientes en pruebas o desarrollo.

  • Pruebas de penetración

    Deskpro se prueba con pruebas unitarias, auditoría humana, pruebas de penetración de aplicaciones, análisis estático y pruebas funcionales. Las pruebas de penetración de terceros también se realizan anualmente.

  • Mitigar ataques comunes (XSS, CSRF, SQLi)

    Deskpro se creó para mitigar los vectores de ataque comunes; como ataques de inyección SQL y ataques de secuencias de comandos entre sitios (XSS). Deskpro Cloud también aprovecha el firewall de aplicaciones web (WAF) de nivel empresarial de CloudFlare para bloquear o desafiar automáticamente solicitudes sospechosas.

Encriptación

  • Los datos en reposo

    Todos los datos de los clientes se almacenan cifrados en servidores AWS (con el algoritmo de cifrado AES-256).

  • Datos en tránsito

    Todos los datos que se transmiten hacia y desde la plataforma Deskpro se cifran por cable de acuerdo con las mejores prácticas de la industria. El tráfico web a través de HTTP está protegido por CloudFlare con TLS 1.2 o 1.3 utilizando conjuntos de cifrado de seguridad comprobada.

    Más información sobre SSL/TLS en CloudFlare.

Software

  • Inicio de sesión único

    Los administradores pueden configurar múltiples opciones para SSO en la plataforma Deskpro, incluidas la autenticación OneLogin, Okta, Azure, SAML y JWT. Hay diferentes opciones de configuración disponibles para SSO que le permiten personalizar cómo interactúa con los agentes/clientes.

  • Autenticación de dos factores (2FA)

    Deskpro habilita 2FA a través de su proveedor de SSO para administradores, agentes y clientes.

  • Seguridad y autenticación de API

    La API Deskpro es una API basada en REST que se ejecuta de forma segura a través de HTTPS. Las solicitudes de API solo pueden ser realizadas por clientes verificados. La autenticación de API se puede realizar a través de OAuth, claves de API o mediante tokens de API de corta duración.

  • Políticas de contraseña personalizadas

    Se pueden habilitar políticas de contraseña personalizables tanto para agentes como para clientes. Esto incluye la capacidad de establecer una longitud mínima de contraseña, prohibir la reutilización de contraseñas, una combinación de números y caracteres y obligar a los clientes a cambiar su contraseña después de un cierto período de tiempo.

  • Registros de auditoría

    Se mantienen registros de auditoría completos para los cambios realizados por los administradores. Proporcionan registros que incluyen el tipo, la acción, el ejecutante y la marca de tiempo en que se ejecutó. Los administradores también pueden ver los registros de actividad de los agentes, que muestran actividad como respuestas a tickets o tiempo en línea.

Disponibilidad e Incidentes de Seguridad

  • Tiempo de actividad

    Deskpro mantiene un alto nivel de disponibilidad en la plataforma en la nube, con un promedio superior al 99,9%.

    Existe una página de estado disponible públicamente, donde puedes verificar el estado del software en la nube y sus componentes.

  • Redundancia

    Usamos AWS con redundancia en al menos dos zonas de disponibilidad, con copias de seguridad de bases de datos que ofrecen 35 días de recuperación en un momento dado si es necesario. Diariamente se actualizan copias de seguridad externas cifradas adicionales.

  • Respondiendo a incidentes de seguridad

    Hemos establecido procedimientos y políticas con respecto a responder y comunicar sobre incidentes de seguridad por parte de nuestro Equipo de Seguridad.

    El nivel del incidente de seguridad dictará cómo nos comunicamos y respondemos a nuestros clientes. Si ocurre un incidente de seguridad, nuestro equipo de Éxito del Cliente lo mantendrá informado. Estarán disponibles para ayudarlo y apoyarlo durante el incidente con respecto a las actualizaciones.

    Todos nuestros procedimientos y políticas con respecto a la respuesta a incidentes de seguridad se evalúan y actualizan al menos una vez al año.

  • Plan de recuperación ante desastres y continuidad del negocio

    En caso de emergencia o incidente crítico en cualquier instalación de Deskpro, se ha implementado un plan de continuidad del negocio.

    Esto fue creado para que podamos seguir funcionando como un negocio para nuestros clientes, sin importar el escenario. El plan de continuidad del negocio se prueba y verifica anualmente para determinar su aplicabilidad y cualquier mejora adicional que pueda realizarse.

Retención y Eliminación de Datos

Copias de Seguridad

  • Duración de la copia de seguridad

    Si ya no desea utilizar Deskpro, mantenemos copias de seguridad de sus cuentas durante 60 días, después de los cuales sus datos se eliminan por completo de todos nuestros sistemas.

  • Número de copias de seguridad

    Las copias de seguridad primarias ofrecen recuperación en un momento dado durante 35 días. Las copias de seguridad externas cifradas se actualizan diariamente.

Eliminación

  • Eliminar datos

    Sus datos se eliminan de forma segura inmediatamente de nuestros almacenes de datos principales cuando lo solicite. Las copias de seguridad externas cifradas de sus datos se eliminan mediante una rotación regular de copias de seguridad cada 60 días.

  • Quitar hardware

    Cualquier hardware que ya no esté en uso se limpia completamente y se elimina mediante un servicio de eliminación regulado de acuerdo con el cumplimiento de ISO27001.

Seguridad Organizacional

Seguridad de Punto Final

  • Configuración de la estación de trabajo

    Antes de que alguien se una a Deskpro como empleado, su estación de trabajo se configura y configura para cumplir con todas nuestras políticas de seguridad. Estas políticas requieren que todas las estaciones de trabajo estén configuradas a un alto nivel y cumplan con estándares de certificación de seguridad como ISO27001 y Cyber ​​Essentials Plus.

    Cada estación de trabajo tiene datos cifrados en reposo, contraseñas seguras (administradas por una bóveda segura de administración de contraseñas), seguimiento de ubicación habilitado y pantallas que se apagan automáticamente cuando están inactivas.

  • Supervisión

    El sistema de gestión central SA se utiliza para monitorear, rastrear e informar sobre malware, software no autorizado y dispositivos de almacenamiento extraíbles. Esto es para garantizar que todas las estaciones de trabajo estén actualizadas con parches y seguridad. También tenemos una política estricta sobre dispositivos de almacenamiento no extraíbles.

    Todos los dispositivos móviles (teléfonos o tabletas) utilizados con fines laborales forman parte de un sistema de gestión de dispositivos móviles para seguimiento de ubicación, contraseñas seguras y SSO.

  • Confidencialidad

    Todos los nuevos empleados son evaluados durante el proceso de contratación. Al comenzar a trabajar en Deskpro, los empleados, contratistas y equipos de limpieza deben firmar un acuerdo de confidencialidad y no divulgación. Este también es un contrato post-empleo mantenido.

Acceso a Información Sensible

  • Aprovisionamiento

    Sólo determinadas personas dentro de la organización tienen acceso a información confidencial. Se basa en la necesidad de saber con permisos basados ​​en roles, para permitir que los empleados realicen su trabajo lo mejor que puedan.

    Nuestra política de control de acceso se implementa internamente y dentro de Deskpro tenemos múltiples niveles de autorización de seguridad. Algunos accesos, como soporte extendido o escenarios de uso compartido de pantalla, se realizan según el acuerdo del cliente.

  • Autenticación

    Para aumentar aún más la seguridad, Deskpro utiliza la autenticación de dos factores (2FA) para sistemas que contienen datos personales o confidenciales.

    El uso de inicio de sesión único (SSO) para los empleados permite a la administración deshabilitar o cambiar el acceso a todas las aplicaciones al instante. Esto se utiliza cuando un empleado abandona Deskpro o es necesario eliminar su acceso.

  • Gestión de contraseñas

    Como parte de nuestra política interna de contraseñas, Deskpro exige que todos los empleados utilicen un administrador de contraseñas aprobado. Esto es para garantizar que las contraseñas sean seguras, se mantengan en un lugar seguro, se cambien periódicamente y no se reutilicen. Cuando es necesario, el administrador de contraseñas alerta a los usuarios sobre cualquier riesgo potencial de contraseña para mantener un alto nivel de seguridad en todos los niveles.

Gestión de Proveedores

  • Organizaciones de subservicio

    Para que Deskpro funcione de manera eficiente, confiamos en organizaciones de subservicios para ayudarnos a ofrecer nuestro servicio.

    Al seleccionar un proveedor adecuado para un servicio requerido, tomamos las medidas adecuadas para garantizar que se mantengan la seguridad y la integridad de nuestra plataforma. Cada organización de subservicio es minuciosamente examinada, probada y comprobada de seguridad antes de implementarse en Deskpro.

  • Cumplimiento del proveedor

    Deskpro monitorea la efectividad de estos proveedores y los revisa anualmente para confirmar que se mantienen su seguridad y salvaguardas continuas.

    Ver una lista de nuestras organizaciones de sub-servicios actuales.

  • Subprocesadores

    En cualquier situación en la que el uso de una de estas organizaciones de subservicios pueda afectar potencialmente la seguridad de Deskpro, tomamos las medidas adecuadas para mitigar el riesgo. Esto incluye establecer acuerdos y garantizar que cumplan con las certificaciones o regulaciones pertinentes, como el RGPD.

Validación Externa

  • Auditorías de cumplimiento de seguridad

    Deskpro siempre está buscando, monitoreando y mejorando activamente nuestra configuración de seguridad. Esto se realiza a través de controles y evaluaciones periódicas tanto de nuestro equipo de seguridad interno como de evaluadores externos.

    Todos los resultados se comparten con el equipo de gestión y se analizan en profundidad en las revisiones de gestión de seguridad. Las auditorías y certificaciones de seguridad recientes incluyen ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 y GDPR Readiness. Puede ver nuestra lista de certificados al final de esta página.

    Nuestra política de control de acceso se implementa internamente y dentro de Deskpro tenemos múltiples niveles de autorización de seguridad. Algunos accesos, como soporte extendido o escenarios de uso compartido de pantalla, se realizan según el acuerdo del cliente.

  • Pruebas de penetración

    Las pruebas de penetración independientes realizadas por un tercero certificado por CREST CHECK se llevan a cabo al menos una vez al año. Las pruebas de penetración realizadas están enfocadas a seguridad, infraestructura y producto. Los resultados de estas pruebas son compartidos y actuados por los equipos de Seguridad y de Alta Dirección.

    Nuestras pruebas anuales también incluyen escaneos de vulnerabilidades de redes internas y externas, con certificación Cyber ​​Essentials Plus. Todas las pruebas de penetración de terceros las llevan a cabo consultores certificados según los estándares CREST.

  • Auditorías impulsadas por el cliente

    Sabemos que, en determinadas circunstancias, una organización puede requerir la realización de más auditorías o pruebas de penetración antes de poder realizar la compra de Deskpro. Invitamos a los clientes a realizar sus propias pruebas de penetración en un entorno Deskpro. Si desea programar uno, comuníquese con el soporte para programarlo y conocer más precios.

  • Divulgación responsable

    Si es un experto en seguridad o un investigador y cree que ha descubierto un problema relacionado con la seguridad con los sistemas en línea de Deskpro, agradecemos su ayuda para informarnos del problema de manera responsable. Tenemos un programa de Divulgación Responsable. Solicitamos a la comunidad de investigación de seguridad que nos brinde la oportunidad de corregir una vulnerabilidad antes de revelarla públicamente.

Certificación y Cumplimiento

    • ISO 27001
    • SOC 2 Tipo II
    • Esenciales cibernéticos
    • Ciber Esenciales Plus
    • Estrella CSA
    • RGPD
    • Nube G
    • PCI-DSS
    • CCPA
    • Cláusulas contractuales tipo (CCE)