Livre blanc sur la sécurité
Découvrez comment Deskpro garantit que les données de votre service d'assistance sont toujours sécurisées, que vous choisissiez un déploiement cloud ou sur site.
SÉCURITÉ
Que vous déployiez votre service d'assistance dans le cloud ou sur site, nous restons déterminés à protéger et sécuriser vos données.
La protection de vos données est et a toujours été notre priorité. Nous comprenons la valeur et la sensibilité de vos informations privées, c'est pourquoi nous mettons en œuvre des mesures de sécurité robustes, conçues avec les normes de fiabilité et de fiabilité les plus élevées. Notre mission est simple : vous offrir une totale tranquillité d’esprit quant à la sécurité de vos données.
Deskpro s'engage à rester constamment conscient de l'évolution du paysage de la sécurité des applications et à garantir que les meilleures pratiques de sécurité sont respectées dans toute l'organisation.
Nous proposons à nos clients un large éventail de personnalisations, y compris la possibilité de choisir comment déployer Deskpro, que ce soit dans le cloud ou sur site (auto-hébergé), et où leurs données sont stockées. Pour notre hébergement cloud, nous utilisons AWS, leader du secteur.
Les pratiques de sécurité de Deskpro visent à empêcher tout accès non autorisé aux données des clients. Nous recherchons toujours des moyens d'améliorer la sécurité de Deskpro en prenant des mesures approfondies pour détecter et atténuer les risques.
Des examens périodiques de la sécurité de la direction sont effectués pour aborder tous les domaines qui, selon nous, peuvent être améliorés et davantage protégés. La mise en œuvre de cela peut se faire par le biais de nouvelles certifications de sécurité, de conformité ou de tests tiers pour garantir les meilleures pratiques et améliorer la sécurité dans Deskpro.
Découvrez comment Deskpro garantit que les données de votre service d'assistance sont toujours sécurisées, que vous choisissiez un déploiement cloud ou sur site.
Le RGPD constitue le changement le plus important apporté à la législation européenne sur la confidentialité des données depuis plus de 20 ans. Deskpro fournit des outils dans le produit, ainsi que notre DPA, vous permettant de vous conformer au RGPD à l'aide de Deskpro.
Deskpro maintient un niveau élevé de disponibilité sur la plateforme cloud, avec une moyenne supérieure à 99,9 %. Vous pouvez vérifier l'état du logiciel cloud sur notre page d'état accessible au public.
Notre fournisseur de centres de données de services cloud (AWS) exploite des centres de données de pointe conformes aux normes ISO27001, PCI DSS niveau 1, HIPAA et Privacy Shield UE-États-Unis. Type USA et SOC 2.
Des systèmes automatisés de détection et d'extinction d'incendie sont installés dans les zones de réseau, mécaniques et d'infrastructure. Tous les centres de données AWS sont construits selon les normes de redondance N+1.
Nos installations de centre de données disposent d'un personnel sur site 24h/24 et 7j/7, de points d'accès physiques aux salles de serveurs couvertes par la vidéosurveillance, de procédures de sécurité biométriques et d'une surveillance 24h/24 pour maintenir la protection contre les entrées non autorisées et les violations de sécurité physique. Ils exigent également une vérification des antécédents de tous les employés dans le cadre du processus de sélection préalable à l'emploi.
Les centres d'opérations de sécurité mondiaux AWS effectuent une surveillance 24h/24 et 7j/7 des activités d'accès aux centres de données, avec des systèmes électroniques de détection d'intrusion installés au niveau de la couche de données. Les systèmes sont constamment surveillés par l'équipe de sécurité de Deskpro.
Deskpro propose le déploiement de comptes cloud dans des centres de données situés aux États-Unis, dans l'UE ou au Royaume-Uni*. Les clients peuvent choisir par défaut dans quelle région ils souhaitent héberger exclusivement leurs données.
Les clients du Plan d'Enterprise Ils peuvent choisir de séjourner dans l’un des 22 pays à travers le monde.
Chaque installation est équipée d'un système d'alimentation électrique sans interruption (UPS) et de générateurs de secours en cas de panne de courant.
Chacun de nos centres de données dispose d'une couche périmétrique contrôlée avec des équipes de sécurité sur site 24h/24 et 7j/7, un accès physique restreint et contrôlé, une authentification multifacteur, des systèmes électroniques de détection d'intrusion et des alarmes de porte.
L'équipe de sécurité de Deskpro est répartie dans le monde entier. Ils assurent une surveillance et une réponse 24h/24 et 7j/7 aux incidents et alertes de sécurité.
Le réseau public de Deskpro est protégé par Cloudflare Enterprise, qui filtre tout le trafic Internet entrant. Les serveurs de messagerie publics sont protégés par AWS Shield, qui surveille et filtre de la même manière le trafic Internet entrant. Aucun autre service ni accès à l'Internet public n'est fourni.
Au sein du réseau privé interne de Deskpro, qui n'est pas accessible depuis l'Internet public, nous utilisons des groupes de sécurité AWS et des contrôles IAM pour bloquer la communication entre les composants, de sorte que l'accès aux services doit être explicitement accordé en fonction des besoins. Nous rendons impossible l’interaction des systèmes les uns avec les autres sans que nous la configurions et la planifions explicitement.
Les journaux d'audit du système Deskpro sont toujours conservés et vérifiés pour déceler les anomalies, et nous faisons appel à des fournisseurs DDoS tiers sous contrat pour nous protéger contre les attaques distribuées. Cela inclut à la fois AWS Shield Guards et Cloudflare.
L'accès aux serveurs d'hébergement et aux environnements en direct est fourni avec le moindre privilège. Un nombre très limité d'employés ont accès aux environnements en direct, qui nécessitent également plusieurs niveaux d'accès de sécurité.
Deskpro surveille le service cloud 24h/24 et 7j/7 et dispose d'une équipe d'intervention disponible 24h/24 et 7j/7 pour répondre aux incidents de sécurité. Notre fournisseur d'hébergement, AWS, propose également une surveillance et une assistance mondiales 24h/24 et 7j/7 pour les centres de données multi-sites utilisés pour Deskpro Cloud.
L'analyse des vulnérabilités est effectuée sur l'ensemble du réseau pour identifier tout système potentiellement vulnérable et permet à l'équipe de sécurité d'examiner rapidement toute faiblesse.
Deskpro ne stocke pas les données de carte de crédit. Nous utilisons des services tiers conformes à la norme PCI (Spreedly et Stripe) pour fournir des services de facturation.
Les données de votre carte de crédit transitent temporairement par nos serveurs et pour cette raison, nous sommes vérifiés comme étant conformes à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).
Nous disposons d'un service d'assurance qualité (AQ) dédié qui teste, examine et note notre base de code. Pour chaque mise à jour ou version du logiciel, les équipes de développement, de support et d'assurance qualité effectuent des tests avec une approche multi-niveaux.
Il existe des environnements distincts pour la préparation et les tests. Ces environnements sont à la fois logiquement et physiquement séparés de l’environnement de production en direct. Aucune donnée client n'est utilisée dans les tests ou le développement.
Deskpro est testé avec des tests unitaires, un audit humain, des tests d'intrusion d'applications, une analyse statique et des tests fonctionnels. Des tests d'intrusion tiers sont également effectués chaque année.
Deskpro a été créé pour atténuer les vecteurs d'attaque courants ; telles que les attaques par injection SQL et les attaques par script intersite (XSS). Deskpro Cloud exploite également le pare-feu d'application Web (WAF) de niveau entreprise de CloudFlare pour bloquer ou contester automatiquement les demandes suspectes.
Toutes les données clients sont stockées cryptées sur les serveurs AWS (à l'aide de l'algorithme de cryptage AES-256).
Toutes les données transmises vers et depuis la plateforme Deskpro sont cryptées par fil conformément aux meilleures pratiques de l'industrie. Le trafic Web sur HTTP est protégé par CloudFlare avec TLS 1.2 ou 1.3 à l'aide de suites de chiffrement éprouvées.
Plus d'informations sur SSL/TLS sur CloudFlare
Les administrateurs peuvent configurer plusieurs options pour SSO sur la plateforme Deskpro, notamment l'authentification OneLogin, Okta, Azure, SAML et JWT. Il existe différentes options de configuration disponibles pour SSO qui vous permettent de personnaliser la façon dont vous interagissez avec les agents/clients.
Deskpro active le 2FA via votre fournisseur SSO pour les administrateurs, les agents et les clients.
L'API Deskpro est une API basée sur REST qui s'exécute en toute sécurité via HTTPS. Les requêtes API ne peuvent être effectuées que par des clients vérifiés. L'authentification API peut être effectuée via OAuth, des clés API ou via des jetons API de courte durée.
Des politiques de mot de passe personnalisables peuvent être activées pour les agents et les clients. Cela inclut la possibilité de définir une longueur minimale de mot de passe, d'interdire la réutilisation du mot de passe, une combinaison de chiffres et de caractères et de forcer les clients à modifier leur mot de passe après un certain temps.
Des journaux d'audit complets sont conservés pour les modifications apportées par les administrateurs. Ils fournissent des enregistrements qui incluent le type, l'action, l'interprète et l'horodatage de son exécution. Les administrateurs peuvent également consulter les journaux d'activité des agents, qui affichent des activités telles que les réponses aux tickets ou le temps de connexion.
Deskpro maintient un niveau élevé de disponibilité sur la plateforme cloud, avec une moyenne supérieure à 99,9 %.
Il existe une page d'état accessible au public, où vous pouvez vérifier l'état du logiciel cloud et ses composants.
Nous utilisons AWS avec redondance dans au moins deux zones de disponibilité, avec des sauvegardes de bases de données offrant 35 jours de récupération à tout moment si nécessaire. Des sauvegardes externes cryptées supplémentaires sont mises à jour quotidiennement.
Nous avons établi des procédures et des politiques concernant la réponse et la communication des incidents de sécurité par notre équipe de sécurité.
Le niveau de l'incident de sécurité dictera la manière dont nous communiquons et répondons à nos clients. Si un incident de sécurité survient, notre équipe Customer Success vous tiendra informé. Ils seront disponibles pour vous aider et vous accompagner lors de l'incident concernant les mises à jour.
Toutes nos procédures et politiques concernant la réponse aux incidents de sécurité sont évaluées et mises à jour au moins une fois par an.
En cas d'urgence ou d'incident critique dans n'importe quelle installation Deskpro, un plan de continuité des activités a été mis en œuvre.
Cela a été créé afin que nous puissions continuer à fonctionner comme une entreprise pour nos clients, quel que soit le scénario. Le plan de continuité des activités est testé et vérifié chaque année pour déterminer son applicabilité et toute amélioration supplémentaire pouvant être apportée.
Si vous ne souhaitez plus utiliser Deskpro, nous conservons des copies de sauvegarde de vos comptes pendant 60 jours, après quoi vos données sont complètement supprimées de tous nos systèmes.
Les sauvegardes principales offrent une récupération ponctuelle pendant 35 jours. Les sauvegardes externes cryptées sont mises à jour quotidiennement.
Vos données sont immédiatement supprimées en toute sécurité de nos magasins de données principaux sur demande. Les sauvegardes hors site cryptées de vos données sont supprimées via une rotation de sauvegarde régulière tous les 60 jours.
Tout matériel qui n'est plus utilisé est soigneusement nettoyé et éliminé par un service d'élimination réglementé conformément à la conformité ISO27001.
Avant qu'une personne ne rejoigne Deskpro en tant qu'employé, son poste de travail est installé et configuré pour se conformer à toutes nos politiques de sécurité. Ces politiques exigent que tous les postes de travail soient configurés à un niveau élevé et répondent aux normes de certification de sécurité telles que ISO27001 et Cyber Essentials Plus.
Chaque poste de travail dispose de données cryptées au repos, de mots de passe forts (gérés par un coffre-fort sécurisé de gestion des mots de passe), d'un suivi de localisation activé et d'écrans qui s'éteignent automatiquement en cas d'inactivité.
Le système de gestion central SA est utilisé pour surveiller, suivre et signaler les logiciels malveillants, les logiciels non autorisés et les périphériques de stockage amovibles. Il s'agit de garantir que tous les postes de travail sont à jour avec les correctifs et la sécurité. Nous avons également une politique stricte concernant les périphériques de stockage non amovibles.
Tous les appareils mobiles (téléphones ou tablettes) utilisés à des fins professionnelles font partie d'un système de gestion des appareils mobiles pour le suivi de la localisation, les mots de passe forts et le SSO.
Tous les nouveaux employés sont sélectionnés lors du processus d'embauche. Dès le début du travail chez Deskpro, les employés, les entrepreneurs et les équipes de nettoyage doivent signer un accord de confidentialité et de non-divulgation. Il s'agit également d'un contrat d'après-mandat maintenu.
Seules certaines personnes au sein de l'organisation ont accès aux informations confidentielles. Il est basé sur le besoin de savoir avec des autorisations basées sur les rôles, pour permettre aux employés de faire leur travail au mieux de leurs capacités.
Notre politique de contrôle d'accès est mise en œuvre en interne et au sein de Deskpro, nous avons plusieurs niveaux d'habilitation de sécurité. Certains accès, tels que l'assistance étendue ou les scénarios de partage d'écran, se font avec l'accord du client.
Pour augmenter encore la sécurité, Deskpro utilise l'authentification à deux facteurs (2FA) pour les systèmes contenant des données personnelles ou sensibles.
L'utilisation de l'authentification unique (SSO) pour les employés permet à la direction de désactiver ou de modifier instantanément l'accès à toutes les applications. Ceci est utilisé lorsqu'un employé quitte Deskpro ou que son accès doit être supprimé.
Dans le cadre de notre politique de mot de passe interne, Deskpro exige que tous les employés utilisent un gestionnaire de mots de passe approuvé. Il s'agit de garantir que les mots de passe sont sécurisés, conservés dans un endroit sécurisé, modifiés régulièrement et non réutilisés. Si nécessaire, le gestionnaire de mots de passe alerte les utilisateurs de tout risque potentiel lié aux mots de passe afin de maintenir un haut niveau de sécurité à tous les niveaux.
Pour que Deskpro fonctionne efficacement, nous comptons sur des organisations de sous-services pour nous aider à fournir notre service.
Lors de la sélection d'un fournisseur approprié pour un service requis, nous prenons les mesures appropriées pour garantir le maintien de la sécurité et de l'intégrité de notre plateforme. Chaque organisation de sous-services est minutieusement examinée, testée et vérifiée en matière de sécurité avant d'être déployée sur Deskpro.
Deskpro surveille l'efficacité de ces fournisseurs et les examine chaque année pour confirmer que leur sécurité et leurs garanties continues sont maintenues.
Pour en voir un liste de nos organisations de sous-services actuelles
Dans toute situation où l'utilisation de l'une de ces organisations de sous-services pourrait potentiellement avoir un impact sur la sécurité de Deskpro, nous prenons les mesures appropriées pour atténuer le risque. Cela inclut l'établissement d'accords et la garantie qu'ils sont conformes aux certifications ou réglementations pertinentes, telles que le RGPD.
Deskpro recherche, surveille et améliore toujours activement nos paramètres de sécurité. Cela se fait grâce à des contrôles et des évaluations réguliers effectués à la fois par notre équipe de sécurité interne et par des évaluateurs externes.
Tous les résultats sont partagés avec l’équipe de direction et analysés en profondeur lors des revues de gestion de la sécurité. Les audits et certifications de sécurité récents incluent ISO27001, PCI, Cyber Essentials Plus, CSA Star, G-Cloud 12 et GDPR Readiness. Vous pouvez voir notre liste de certificats au bas de cette page.
Notre politique de contrôle d'accès est mise en œuvre en interne et au sein de Deskpro, nous avons plusieurs niveaux d'habilitation de sécurité. Certains accès, tels que l'assistance étendue ou les scénarios de partage d'écran, se font avec l'accord du client.
Des tests d'intrusion indépendants par un tiers certifié CREST CHECK sont effectués au moins une fois par an. Les tests d'intrusion réalisés sont axés sur la sécurité, l'infrastructure et le produit. Les résultats de ces tests sont partagés et exploités par les équipes Sécurité et Direction Générale.
Nos tests annuels comprennent également des analyses de vulnérabilités des réseaux internes et externes, avec la certification Cyber Essentials Plus. Tous les tests d'intrusion tiers sont effectués par des consultants certifiés selon les normes CREST.
Nous comprenons que dans certaines circonstances, une organisation peut exiger que des audits ou des tests d'intrusion supplémentaires soient effectués avant de pouvoir acheter Deskpro. Nous invitons les clients à effectuer leurs propres tests d'intrusion dans un environnement Deskpro. Si vous souhaitez en planifier un, veuillez contacter l'assistance pour planifier et en savoir plus sur les tarifs.
Si vous êtes un expert ou un chercheur en sécurité et pensez avoir découvert un problème lié à la sécurité avec les systèmes en ligne Deskpro, nous apprécions votre aide pour nous signaler le problème de manière responsable. Nous avons un programme Divulgation responsable. Nous demandons à la communauté des chercheurs en sécurité de nous donner la possibilité de corriger une vulnérabilité avant de la divulguer publiquement.