Biztonsági fehér könyv
Tudjon meg többet arról, hogy a Deskpro hogyan gondoskodik arról, hogy az ügyfélszolgálaton lévő adatok mindig biztonságban legyenek, függetlenül attól, hogy a felhő vagy a helyszíni telepítést választja.
BIZTONSÁG
Akár a felhőben, akár az On-Premise-ben telepíti ügyfélszolgálatát, továbbra is elkötelezettek vagyunk adatai védelme és biztonsága mellett.
Az Ön adatainak védelme prioritásunk volt és mindig is az volt. Tisztában vagyunk személyes adatainak értékével és érzékenységével, ezért robusztus biztonsági intézkedéseket vezetünk be, amelyeket a legmagasabb szintű megbízhatóság és megbízhatóság alapján terveztünk. Küldetésünk egyszerű – hogy teljes nyugalmat biztosítsunk az Ön adatbiztonságáról.
A Deskpro elkötelezett amellett, hogy folyamatosan fenntartsa az alkalmazások fejlődő biztonsági környezetével kapcsolatos ismereteit, és gondoskodjon arról, hogy a legjobb biztonsági gyakorlatokat az egész szervezetben betartsák.
A testreszabási lehetőségek széles skáláját kínáljuk ügyfeleinknek, beleértve azt is, hogy az ügyfelek megválaszthatják, hogyan telepítsék a Deskpro-t, akár a felhőben, akár az On-Premise-ben (saját üzemeltetésű), és hol tárolják az adatait. Felhőszolgáltatásunkhoz az iparágvezető AWS-t használjuk.
A Deskpro biztonsági gyakorlatának célja az ügyfelek adataihoz való jogosulatlan hozzáférés megakadályozása. Folyamatosan keressük azokat a módszereket, amelyekkel javíthatjuk a Deskpro biztonságát, és kimerítő lépéseket teszünk a kockázatok megtalálása és csökkentése érdekében.
Rendszeres vezetői biztonsági felülvizsgálatok vannak érvényben, hogy minden olyan területet megvizsgáljanak, amelyekről úgy gondoljuk, hogy javíthatók és tovább védhetők. Ennek megvalósítása lehet új biztonsági tanúsítvány, megfelelőség vagy harmadik fél által végzett tesztelés a legjobb gyakorlatok biztosítása és a biztonság javítása érdekében a Deskpro egészében.
Tudjon meg többet arról, hogy a Deskpro hogyan gondoskodik arról, hogy az ügyfélszolgálaton lévő adatok mindig biztonságban legyenek, függetlenül attól, hogy a felhő vagy a helyszíni telepítést választja.
A GDPR az elmúlt 20 év legjelentősebb változása az európai adatvédelmi jogszabályokban. A Deskpro eszközöket biztosít a termékben, valamint a DPA-nkat, amelyek lehetővé teszik, hogy a Deskpro használatával GDPR-kompatibilis legyen.
A Deskpro magas szintű rendelkezésre állást tart fenn a felhőplatformon, átlagosan 99,9% feletti. A felhőszoftver állapotát a nyilvánosan elérhető állapotoldalunkon ellenőrizheti.
Felhőszolgáltatási adatközpont-szolgáltatónk (AWS) a legmodernebb, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield és SOC 2 Type kompatibilis adatközpontokat üzemeltet.
Automatizált tűzjelző és eloltó rendszereket telepítenek a hálózati, gépészeti és infrastrukturális területeken. Minden AWS adatközpont az N+1 redundancia szabvány szerint készült.
Adatközpontunk 24 órás helyszíni személyzettel, fizikai hozzáférési pontokkal rendelkezik a CCTV-vel lefedett szerverszobákhoz, biometrikus biztonsági eljárásokkal és éjjel-nappali felügyelettel rendelkezik az illetéktelen belépés és a fizikai biztonság megsértése elleni védelem fenntartása érdekében. A munkavállalás előtti szűrési folyamat részeként minden alkalmazott esetében előírják a háttérellenőrzést.
Az AWS Global Security Operation Centerei a hét minden napján, 24 órában figyelik az adatközpont-hozzáférési tevékenységeket, az adatrétegbe telepített elektronikus behatolásérzékelő rendszerekkel. A rendszereket a Deskpro biztonsági csapata folyamatosan felügyeli.
A Deskpro Cloud-fiókok telepítését kínálja az Egyesült Államokban, az EU-ban vagy az Egyesült Királyságban található adatközpontokban. Az ügyfelek alapesetben kiválaszthatják, hogy melyik régióban kívánják kizárólagosan tárolni adataikat.
Vállalati terv az ügyfelek a világ 22 országa közül 1-ben választhatnak házigazdát.
Minden létesítmény fel van szerelve szünetmentes tápegységgel (UPS) és tartalék generátorokkal áramkimaradás esetére.
Minden adatközpontunk rendelkezik egy ellenőrzött kerületi réteggel, 24 órás helyszíni biztonsági csapatokkal, korlátozott és ellenőrzött fizikai hozzáféréssel, többtényezős hitelesítéssel, elektronikus behatolásérzékelő rendszerekkel és ajtóriasztóval.
A Deskpro biztonsági csapata az egész világon megtalálható. A hét minden napján, 24 órában figyelik és reagálnak a biztonsági eseményekre és riasztásokra.
A Deskpro nyilvános hálózatát a Cloudflare Enterprise védi, amely az internetről érkező összes bejövő forgalmat kiszűri. A nyilvános e-mail szervereket az AWS Shield védi, amely hasonlóan figyeli és szűri az internetről bejövő forgalmat. A nyilvános internethez más szolgáltatást vagy hozzáférést nem biztosítanak.
A Deskpro belső privát hálózatán belül, amely nem érhető el a nyilvános internetről, AWS biztonsági csoportokat és IAM vezérlőket alkalmazunk az összetevők közötti kommunikáció lezárására, így a szolgáltatásokhoz való hozzáférést kifejezetten igény szerint kell biztosítani. Lehetetlenné tesszük a rendszerek egymás közötti interakcióját anélkül, hogy ezt kifejezetten konfigurálnánk és megterveznénk.
A Deskpro rendszerellenőrzési naplóit mindig karbantartja és ellenőrzi az anomáliákat, és szerződéses harmadik fél DDoS-szolgáltatókat használunk az elosztott támadások elleni védelem érdekében. Ide tartozik az AWS Shield Guard és a Cloudflare is.
A tárhelyszerverekhez és élő környezetekhez való hozzáférés a legkevesebb jogosultsággal történik. Nagyon korlátozott számú alkalmazott fér hozzá az élő környezethez, amely több szintű biztonsági hozzáférést is igényel.
A Deskpro a nap 24 órájában figyeli a felhőszolgáltatást, és a hét minden napján éjjel-nappal készenlétben reagál a biztonsági incidensekre. Tárhelyszolgáltatónk, az AWS a nap 24 órájában, a hét minden napján, a hét minden napján, globális felügyeletet és támogatást biztosít a Deskpro Cloudhoz használt többhelyes adatközpontokhoz.
A sebezhetőségi vizsgálatot a hálózaton keresztül végzik a potenciálisan sebezhető rendszerek azonosítása érdekében, és lehetővé teszi a biztonsági csapat számára, hogy gyorsan áttekintse a gyenge pontokat.
A Deskpro nem tárol hitelkártyaadatokat. A számlázási szolgáltatások biztosításához külső PCI-kompatibilis szolgáltatásokat (Spreedly és Stripe) használunk.
Hitelkártya-adatai pillanatnyilag áthaladnak a szervereinken, ezért ellenőriztük, hogy megfelelünk a Payment Card Industry Data Security Standard (PCI DSS) szabványnak.
Van egy dedikált minőségbiztosítási (QA) részlegünk, amely teszteli, felülvizsgálja és besorolja kódbázisunkat. A szoftver minden frissítése vagy kiadása esetén a tesztelést fejlesztő, támogatási és minőségbiztosítási csapatok végzik többszintű megközelítéssel.
Külön környezetek állnak rendelkezésre az előkészítéshez és a teszteléshez. Ezek a környezetek logikailag és fizikailag is elkülönülnek az élő produkciós környezettől. Az ügyféladatokat nem használjuk fel tesztelés vagy fejlesztés során.
A Deskpro-t egységteszttel, emberi auditálással, alkalmazáspenetrációs teszteléssel, statikus elemzéssel és funkcionális tesztekkel tesztelték. Harmadik fél penetrációs tesztelése is évente megtörténik.
A Deskpro a gyakori támadási vektorok mérséklésére készült; mint például az SQL injekciós támadások és a helyeken átívelő parancsfájl-támadások (XSS). A Deskpro Cloud a CloudFlare vállalati szintű webalkalmazási tűzfalát (WAF) is kihasználja a gyanús kérések automatikus blokkolására vagy kifogásolására.
Az AWS szervereken tárolt összes ügyféladat titkosítva (AES-256 titkosítási algoritmussal).
A Deskpro platformra és onnan továbbított minden adat vezetékes titkosításra kerül az iparág legjobb gyakorlatainak megfelelően. A HTTP-n keresztüli webes forgalmat a CloudFlare védi TLS 1.2-vel vagy 1.3-mal, a bizonyítottan biztonságos titkosítási csomagok segítségével.
További információ a SSL/TLS a CloudFlare-nél
A rendszergazdák több beállítást is beállíthatnak az egyszeri bejelentkezéshez a Deskpro platformon, beleértve a OneLogin, Okta, Azure, SAML és JWT hitelesítést. Különféle konfigurációs lehetőségek állnak rendelkezésre az egyszeri bejelentkezéshez, amelyek lehetővé teszik az ügynökök/ügyfelek közötti interakció testreszabását.
A Deskpro lehetővé teszi a 2FA-t az egyszeri bejelentkezési szolgáltatón keresztül a rendszergazdák, ügynökök és ügyfelek számára.
A Deskpro API egy REST-alapú API, amely biztonságosan fut HTTPS-en keresztül. API-kérelmeket csak ellenőrzött ügyfelek nyújthatnak be. Az API-hitelesítés elvégezhető OAuth-on, API-kulcsokon keresztül vagy rövid élettartamú API-tokenek használatával.
A testreszabható jelszó házirendek engedélyezhetők mind az ügynökök, mind az ügyfelek számára. Ez magában foglalja a jelszó minimális hosszának beállítását, a jelszó-újrahasználat tiltását, a számok és karakterek keverékét, valamint arra kényszeríti az ügyfeleket, hogy bizonyos idő elteltével módosítsák jelszavukat.
Az adminisztrátorok által végrehajtott változtatásokról átfogó auditnaplókat vezetünk. Rekordokat biztosítanak, beleértve a típust, a műveletet, az előadót és a végrehajtás időbélyegét. Az ügynökök tevékenységi naplóit az adminisztrátorok is megtekinthetik, és megjeleníthetik a tevékenységeket, például a jegyekre adott válaszokat vagy az online időt.
A Deskpro magas szintű rendelkezésre állást tart fenn a felhőplatformon, átlagosan 99,9% feletti.
Van egy nyilvánosan elérhető állapotoldal, ahol megteheti ellenőrizze a felhőszoftver állapotát és összetevői.
Az AWS-t redundanciával használjuk legalább két rendelkezésre állási zónában, és az adatbázis-mentések 35 napos, pontszerű helyreállítást kínálnak, ha szükséges. A további titkosított külső biztonsági mentések naponta frissülnek.
Eljárásokat és szabályzatokat dolgoztunk ki a biztonsági incidensekre vonatkozó válaszadásra és kommunikációra vonatkozóan biztonsági csapatunk részéről.
A biztonsági incidens szintje határozza meg, hogyan kommunikálunk és hogyan reagálunk ügyfeleinkkel. Ha biztonsági incidens történik, akkor Ügyfélszolgálati csapatunk folyamatosan tájékoztatja Önt. Ők készen állnak, hogy segítsenek és támogassanak a frissítésekkel kapcsolatos incidens során.
A biztonsági eseményekre való reagálással kapcsolatos összes eljárásunkat és szabályzatunkat legalább évente értékeljük és frissítjük.
Vészhelyzet vagy kritikus incidens esetén a Deskpro bármely telephelyén üzletmenet-folytonossági tervet dolgoztak ki.
Ezt azért hoztuk létre, hogy továbbra is üzletként működhessünk ügyfeleink számára, a forgatókönyvtől függetlenül. Az üzletmenet-folytonossági tervet évente tesztelik és ellenőrzik az alkalmazhatóság és az esetleges további fejlesztések szempontjából.
Ha már nem szeretné használni a Deskpro-t, fiókjairól 60 napig biztonsági másolatot készítünk – ezt követően adatait teljes mértékben töröljük minden rendszerünkből.
Az elsődleges biztonsági mentések 35 napig pontos helyreállítást tesznek lehetővé. A titkosított külső biztonsági mentések naponta frissülnek.
Adatait kérésre azonnal biztonságosan töröljük elsődleges adattárainkból. Az adatok titkosított, külső helyszínről készült biztonsági másolatait rendszeres, 60 naponkénti biztonsági mentési rotációval töröljük.
A már használaton kívüli hardvereket teljesen letöröljük, és az ISO27001 szabványnak megfelelő ártalmatlanítási szolgáltatással ártalmatlanítják.
Mielőtt bárki alkalmazottként csatlakozna a Deskprohoz, munkaállomását úgy állítják be és konfigurálják, hogy megfeleljen az összes biztonsági szabályzatunknak. Ezek a házirendek megkövetelik, hogy minden munkaállomás magas szinten legyen konfigurálva, és megfeleljen a biztonsági tanúsítási szabványoknak, mint például az ISO27001 és a Cyber Essentials Plus.
Minden munkaállomáson titkosított adatok állnak rendelkezésre nyugalmi állapotban, erős jelszavak vannak (biztonságos jelszókezelő tárolóval kezelve), engedélyezve van a helykövetés, és a képernyők automatikusan kikapcsolnak, amikor tétlen.
Az SA központi felügyeleti rendszere a rosszindulatú programok, a jogosulatlan szoftverek és a cserélhető tárolóeszközök figyelésére, nyomon követésére és jelentésére szolgál. Ezzel biztosítható, hogy minden munkaállomás naprakész legyen a javításokkal és a biztonsággal. Szigorú, nem eltávolítható tárolóeszközökre vonatkozó szabályzatunk is van.
A munkahelyi célokra használt mobileszközök (telefonok vagy táblagépek) a helymeghatározást, a biztonságos jelszavakat és az egyszeri bejelentkezést biztosító mobileszköz-kezelő rendszer részét képezik.
A felvételi folyamat során minden új alkalmazottat átvizsgálnak. A Deskpronál történő munkaviszony megkezdésekor az alkalmazottaknak, a vállalkozóknak és a takarítócsapatoknak titoktartási és titoktartási megállapodást kell aláírniuk. Ez is egy feltartott munkaviszony utáni szerződés.
A szervezeten belül csak bizonyos személyek férhetnek hozzá az érzékeny információkhoz. Szükséges alapon, szerepalapú engedélyekkel, hogy az alkalmazottak a legjobb tudásuk szerint végezhessék munkájukat.
Hozzáférés-szabályozási szabályzatunkat belsőleg hajtjuk végre, és a Deskpro-n belül több szintű biztonsági tanúsítványunk van. Egyes hozzáférések, például a kiterjesztett támogatás vagy a képernyőmegosztási forgatókönyvek ügyfél-megállapodás alapján történnek.
A biztonság további növelése érdekében a Deskpro kétfaktoros hitelesítést (2FA) használ az érzékeny vagy személyes adatokat tartalmazó rendszerekhez.
Az egyszeri bejelentkezés (SSO) alkalmazása lehetővé teszi a menedzsment számára, hogy azonnal letiltsák vagy módosítsák az összes alkalmazáshoz való hozzáférést. Ez akkor használatos, ha egy alkalmazott elhagyja a Deskpro-t, vagy meg kell szüntetni a hozzáférését.
Belső jelszószabályzatunk részeként a Deskpro minden alkalmazotttól megköveteli, hogy jóváhagyott jelszókezelőt használjanak. Ennek célja annak biztosítása, hogy a jelszavak erősek legyenek, biztonságos helyen legyenek, rendszeresen cseréljék és ne használják fel újra. Szükség esetén a jelszókezelő figyelmezteti a felhasználókat a lehetséges jelszókockázatokra, hogy minden szinten magas szintű biztonságot tartson fenn.
A Deskpro hatékony működése érdekében alszolgáltatási szervezetekre támaszkodunk, hogy segítsenek szolgáltatásaink nyújtásában.
Amikor kiválasztunk egy megfelelő szállítót a kívánt szolgáltatáshoz, megtesszük a megfelelő lépéseket platformunk biztonságának és integritásának megőrzése érdekében. Minden alszolgáltatási szervezetet alaposan átvizsgálnak, tesztelnek és biztonsági ellenőrzésnek vetnek alá a Deskpro-ba való bevezetés előtt.
A Deskpro figyelemmel kíséri ezeknek a szállítóknak a hatékonyságát, és évente felülvizsgálja őket, hogy megbizonyosodjon arról, hogy folyamatos biztonságukat és védintézkedéseiket betartják. Megtekintés a jelenlegi alszolgáltató szervezeteink listája
Minden olyan helyzetben, amikor ezen alszolgáltatási szervezetek valamelyikének használata potenciálisan hatással lehet a Deskpro biztonságára, megtesszük a megfelelő lépéseket a kockázat mérséklésére. Ez magában foglalja a megállapodások létrehozását és annak biztosítását, hogy azok megfeleljenek a vonatkozó tanúsítványoknak vagy előírásoknak, például a GDPR-nak.
A Deskpro mindig aktívan keresi, figyeli és fejleszti biztonsági beállításainkat. Ez a belső biztonsági csapatunk és a külső értékelők rendszeres ellenőrzése és értékelése révén történik.
Az összes eredményt megosztják a vezetőséggel, és a biztonsági menedzsment áttekintése során részletesen megvitatják. A legutóbbi biztonsági auditok és tanúsítványok közé tartozik az ISO27001, a PCI, a Cyber Essentials Plus, a CSA Star, a G-Cloud 12 és a GDPR-készültség. Tanúsítványaink listáját az oldal alján tekintheti meg.
Hozzáférés-szabályozási szabályzatunkat belsőleg hajtjuk végre, és a Deskpro-n belül több szintű biztonsági tanúsítványunk van. Egyes hozzáférések, például a kiterjesztett támogatás vagy a képernyőmegosztási forgatókönyvek ügyfél-megállapodás alapján történnek.
A CREST CHECK tanúsítvánnyal rendelkező harmadik fél által végzett független penetrációs tesztelést legalább évente elvégzik. Az elvégzett penetrációs tesztek a biztonságra, az infrastruktúrára és a termékre összpontosítanak. Ezeknek a teszteknek az eredményeit a biztonsági és a felső vezetési csoport egyaránt megosztja, és az alapján jár el.
Éves tesztelésünk külső és belső hálózati sebezhetőségi vizsgálatokat is magában foglal, a Cyber Essentials Plus tanúsítvánnyal. Minden harmadik féltől származó penetrációs tesztet a CREST szabványok szerint tanúsított tanácsadók végeznek.
Tisztában vagyunk vele, hogy bizonyos körülmények között a szervezet további auditokat vagy penetrációs teszteket írhat elő a Deskpro megvásárlása előtt. Szeretettel várjuk az ügyfeleket, hogy saját behatolási teszteket végezzenek Deskpro környezetben. Ha szeretne egyet megszervezni, kérjük, vegye fel a kapcsolatot az ügyfélszolgálattal az ütemezéssel és a további árakkal kapcsolatban.
Ha Ön biztonsági szakértő vagy kutató, és úgy gondolja, hogy biztonsággal kapcsolatos problémát fedezett fel a Deskpro online rendszereivel kapcsolatban, nagyra értékeljük, hogy segít nekünk a probléma felelősségteljes feltárásában. Nekünk van Felelős nyilvánosságra hozatal program. Arra kérjük a biztonságkutató közösséget, hogy adjon lehetőséget a sebezhetőség kijavítására, mielőtt nyilvánosságra hozzuk azt.