BEZPIECZEŃSTWO

Zasady i praktyki bezpieczeństwa Deskpro

Niezależnie od tego, czy wdrażasz centrum pomocy w chmurze, czy lokalnie, pozostajemy zaangażowani w ochronę i bezpieczeństwo Twoich danych.

Certyfikaty i regulacje zgodności

ISO 27001
ISO 27001
SOC 2 Type II
SOC 2 Type II
PCI
PCI
GDPR
GDPR
G-Cloud
G-Cloud
CSA
CSA
Cyber Essentials Plus
Cyber Essentials Plus
California Consumer Privacy Act
California Consumer Privacy Act

Deskpro działa z myślą o bezpieczeństwie

Ochrona Twoich danych jest i zawsze była naszym priorytetem. Rozumiemy wartość i wrażliwość Twoich prywatnych informacji, dlatego wdrażamy solidne środki bezpieczeństwa, zaprojektowane z uwzględnieniem najwyższych standardów niezawodności i wiarygodności. Nasza misja jest prosta – zapewnić Ci absolutny spokój ducha, jeśli chodzi o bezpieczeństwo Twoich danych.

Deskpro angażuje się w ciągłe utrzymywanie wiedzy na temat zmieniającego się krajobrazu bezpieczeństwa aplikacji i zapewnienie, że najlepsze praktyki w zakresie bezpieczeństwa są przestrzegane w całej organizacji.

Zapewniamy klientom szeroką gamę dostosowań, w tym możliwość wyboru sposobu wdrożenia Deskpro w chmurze lub lokalnie (we własnym hostingu) oraz miejsca przechowywania danych. W przypadku naszego hostingu w chmurze korzystamy z wiodącego w branży AWS.

Ochrona Twoich danych

Praktyka bezpieczeństwa Deskpro ma na celu zapobieganie nieuprawnionemu dostępowi do danych klientów. Zawsze szukamy sposobów poprawy bezpieczeństwa Deskpro, podejmując wyczerpujące kroki w celu znalezienia i ograniczenia zagrożeń.

Przeprowadzamy regularne przeglądy bezpieczeństwa zarządzania, które dotyczą wszelkich obszarów, które naszym zdaniem można ulepszyć i dodatkowo zabezpieczyć. Wdrożenie tego może odbywać się poprzez nową certyfikację bezpieczeństwa, zgodność lub testy stron trzecich w celu zapewnienia najlepszych praktyk i poprawy bezpieczeństwa w całym Deskpro.

  • Zespoły ds. bezpieczeństwa działające 24 godziny na dobę, 7 dni w tygodniu
  • Dostęp z najniższymi uprawnieniami
  • Pełne codzienne kopie zapasowe
  • 256-bitowy zaawansowany standard szyfrowania (AES)
  • Uwierzytelnianie dwuskładnikowe
  • Skanowanie podatności
  • Łagodzenie typowych ataków
  • Coroczne testy penetracyjne

Biała księga dotycząca bezpieczeństwa

Dowiedz się więcej o tym, jak Deskpro zapewnia, że ​​dane w Twoim centrum pomocy są zawsze bezpieczne, niezależnie od tego, czy wybierzesz wdrożenie w chmurze czy lokalnie.

Zgodność z RODO

RODO to najważniejsza zmiana w europejskim prawodawstwie dotyczącym prywatności danych od ponad 20 lat. Deskpro zapewnia narzędzia w produkcie, a także nasze DPA, dzięki czemu możesz zachować zgodność z RODO przy użyciu Deskpro.

Czas pracy platformy

Deskpro utrzymuje wysoki poziom dostępności na platformie chmurowej, wynoszący średnio ponad 99,9%. Stan oprogramowania w chmurze możesz sprawdzić na naszej publicznie dostępnej stronie statusu.

Bezpieczeństwo fizyczne

  • Udogodnienia

    Nasz dostawca usług w chmurze w zakresie centrów danych (AWS) obsługuje najnowocześniejsze centra danych zgodne z normami ISO27001, PCI DSS poziom 1, HIPAA, Tarcza prywatności UE-USA i SOC 2 typu.

    Zautomatyzowane systemy wykrywania i gaszenia pożaru są instalowane w obszarach sieciowych, mechanicznych i infrastrukturalnych. Wszystkie centra danych AWS są zbudowane zgodnie ze standardami redundancji N+1.

  • Bezpieczeństwo na miejscu

    Nasze centra danych dysponują całodobową obsługą na miejscu, fizycznymi punktami dostępu do serwerowni objętymi monitoringiem CCTV, biometrycznymi procedurami bezpieczeństwa oraz całodobowym monitoringiem w celu zapewnienia ochrony przed nieupoważnionym wejściem i naruszeniami bezpieczeństwa fizycznego. Wymagają również sprawdzenia przeszłości wszystkich pracowników w ramach procesu kontroli przed zatrudnieniem.

  • Monitorowanie serwera

    Globalne Centra Operacyjne Bezpieczeństwa AWS monitorują całodobowo działania związane z dostępem do centrów danych, a w warstwie danych są zainstalowane elektroniczne systemy wykrywania włamań. Systemy są stale monitorowane przez Zespół Bezpieczeństwa Deskpro.

  • Lokalizacje

    Deskpro oferuje wdrażanie kont Cloud w centrach danych zlokalizowanych w USA, UE lub Wielkiej BrytaniiPortableText [components.type] is missing "span". Klienci mogą standardowo wybrać region, w którym chcą wyłącznie hostować swoje dane.

    PortableText [components.type] is missing "span"Plan korporacyjny klienci mogą wybrać hosting w 1 z 22 krajów na całym świecie.

  • Nieprzerwana dostawa energii

    Każdy obiekt wyposażony jest w zasilacz bezprzerwowy (UPS) oraz generatory rezerwowe na wypadek przerw w dostawie prądu.

  • Twardy obwód

    Każde z naszych centrów danych ma kontrolowaną warstwę obwodową z całodobowymi zespołami ds. bezpieczeństwa na miejscu, ograniczonym i kontrolowanym dostępem fizycznym, uwierzytelnianiem wieloskładnikowym, elektronicznymi systemami wykrywania włamań i alarmowaniem drzwi.

Bezpieczeństwo sieci

  • Dedykowany zespół ds. bezpieczeństwa

    Zespół ds. bezpieczeństwa Deskpro jest rozproszony po całym świecie. Zapewniają całodobowy monitoring i reakcję na incydenty i alerty związane z bezpieczeństwem.

  • Zapory ogniowe

    Publiczna sieć Deskpro jest chroniona przez Cloudflare Enterprise, który filtruje cały ruch przychodzący z Internetu. Publiczne serwery poczty e-mail są chronione przez technologię AWS Shield, która w podobny sposób monitoruje i filtruje ruch przychodzący z Internetu. Żadne inne usługi ani dostęp do publicznego Internetu nie są świadczone.

  • Architektura

    W wewnętrznej sieci prywatnej Deskpro, która nie jest dostępna z publicznego Internetu, stosujemy grupy bezpieczeństwa AWS i kontrole IAM, aby blokować komunikację między komponentami, dlatego dostęp do usług musi być wyraźnie przyznawany w zależności od potrzeb. Uniemożliwiamy wzajemną interakcję systemów bez naszej wyraźnej konfiguracji i planowania.

  • Ograniczanie DDoS

    Dzienniki audytu systemu Deskpro są zawsze utrzymywane i sprawdzane pod kątem anomalii, a my korzystamy z zakontraktowanych zewnętrznych dostawców DDoS w celu ochrony przed atakami rozproszonymi. Dotyczy to zarówno AWS Shield Guards, jak i Cloudflare.

  • Dostęp z najniższymi uprawnieniami

    Dostęp do serwerów hostingowych i środowisk na żywo jest zapewniany z najniższymi uprawnieniami dostępu. Bardzo ograniczona liczba pracowników ma dostęp do środowisk na żywo, które również wymagają wielu poziomów bezpieczeństwa dostępu.

  • Reagowanie na zdarzenia związane z bezpieczeństwem (zespół)

    Deskpro monitoruje usługi w chmurze 24 godziny na dobę, 7 dni w tygodniu i dysponuje zespołem reagowania dostępnym 24 godziny na dobę, 7 dni w tygodniu, który reaguje na incydenty związane z bezpieczeństwem. Nasz dostawca usług hostingowych, AWS, zapewnia również całodobowy globalny monitoring i wsparcie dla wielolokalnych centrów danych używanych w Deskpro Cloud.

  • Skanowanie podatności

    Skanowanie pod kątem luk w zabezpieczeniach odbywa się w całej sieci w celu zidentyfikowania potencjalnie podatnych systemów i umożliwia zespołowi ds. bezpieczeństwa szybkie sprawdzenie wszelkich słabych punktów.

Bezpieczeństwo platformy i produktu

Rozwój

  • Bezpieczeństwo rozliczeń

    Deskpro nie przechowuje danych kart kredytowych. W celu świadczenia usług rozliczeniowych korzystamy z zewnętrznych usług zgodnych ze standardem PCI (Spreedly i Stripe).

    Dane Twojej karty kredytowej chwilowo przechodzą przez nasze serwery i dlatego jesteśmy weryfikowani pod kątem zgodności ze standardem Payment Card Industry Data Security Standard (PCI DSS).

  • Zapewnienie jakości

    Mamy dedykowany dział zapewnienia jakości (QA), który testuje, przegląda i segreguje naszą bazę kodów. W przypadku każdej aktualizacji lub wydania oprogramowania zespoły programistów, wsparcia i kontroli jakości przeprowadzają testy na wielu poziomach.

  • Oddzielne/różne środowiska

    Istnieją oddzielne środowiska zarówno do przemieszczania, jak i testowania. Środowiska te są oddzielone logicznie i fizycznie od środowiska produkcji na żywo. Żadne dane klientów nie są wykorzystywane w testowaniu ani rozwoju.

  • Testy penetracyjne

    Deskpro jest testowany za pomocą testów jednostkowych, audytu ludzkiego, testów penetracyjnych aplikacji, analizy statycznej i testów funkcjonalnych. Co roku przeprowadzane są także testy penetracyjne przeprowadzane przez strony trzecie.

  • Łagodzenie typowych ataków (XSS, CSRF, SQLi)

    Deskpro został zbudowany w celu ograniczenia typowych wektorów ataków; takie jak ataki polegające na wstrzykiwaniu SQL i ataki typu cross-site scripting (XSS). Deskpro Cloud korzysta również z zapory aplikacji internetowej (WAF) klasy korporacyjnej CloudFlare, aby automatycznie blokować lub kwestionować podejrzane żądania.

Szyfrowanie

  • Dane w stanie spoczynku

    Wszystkie dane klientów przechowywane są w postaci zaszyfrowanej na serwerach AWS (z algorytmem szyfrowania AES-256).

  • Dane w transporcie

    Wszelkie dane przesyłane do i z platformy Deskpro są szyfrowane przewodowo zgodnie z najlepszymi praktykami branżowymi. Ruch internetowy przez HTTP jest chroniony przez CloudFlare z TLS 1.2 lub 1.3 przy użyciu sprawdzonych, bezpiecznych zestawów szyfrów.

    Więcej informacji nt SSL/TLS w CloudFlarePortableText [components.type] is missing "span"

Oprogramowanie

  • Pojedyncze logowanie

    Administratorzy mogą skonfigurować wiele opcji logowania jednokrotnego na platformie Deskpro, w tym uwierzytelnianie OneLogin, Okta, Azure, SAML i JWT. Dostępne są różne opcje konfiguracji SSO, umożliwiające dostosowanie sposobu interakcji z agentami/klientami.

  • Uwierzytelnianie dwuskładnikowe (2FA)

    Deskpro umożliwia 2FA za pośrednictwem Twojego dostawcy SSO dla administratorów, agentów i klientów.

  • Bezpieczeństwo i uwierzytelnianie API

    Deskpro API to API oparte na REST, które działa bezpiecznie poprzez HTTPS. Żądania API mogą składać wyłącznie zweryfikowani klienci. Uwierzytelnianie API można przeprowadzić poprzez OAuth, klucze API lub przy użyciu krótkotrwałych tokenów API.

  • Niestandardowe zasady dotyczące haseł

    Konfigurowalne zasady haseł można włączyć zarówno dla agentów, jak i klientów. Obejmuje to możliwość ustawienia minimalnej długości hasła, zakazu ponownego użycia hasła, kombinacji cyfr i znaków oraz zmuszania klientów do zmiany hasła po określonym czasie.

  • Dzienniki audytu

    Prowadzone są obszerne dzienniki audytu dotyczące zmian wprowadzanych przez administratorów. Dostarczają rekordów obejmujących typ, akcję, wykonawcę i sygnaturę czasową wykonania. Dzienniki aktywności agentów mogą również przeglądać administratorzy i wyświetlać takie działania, jak odpowiedzi na zgłoszenia lub czas online.

Incydenty związane z dostępnością i bezpieczeństwem

  • Czas pracy

    Deskpro utrzymuje wysoki poziom dostępności na platformie chmurowej, wynoszący średnio ponad 99,9%.

    Istnieje publicznie dostępna strona statusu, na której możesz to zrobić sprawdź stan oprogramowania w chmurze i jego składniki.

  • Nadmierność

    Korzystamy z AWS z redundancją w co najmniej dwóch strefach dostępności, z kopiami zapasowymi baz danych oferującymi w razie potrzeby 35-dniowe przywracanie danych do określonego momentu. Dodatkowe zaszyfrowane kopie zapasowe znajdujące się poza siedzibą firmy są aktualizowane codziennie.

  • Reagowanie na incydenty związane z bezpieczeństwem

    Ustaliliśmy procedury i zasady dotyczące reagowania i komunikowania się z naszym zespołem ds. bezpieczeństwa w przypadku incydentów związanych z bezpieczeństwem.

    Poziom incydentu związanego z bezpieczeństwem będzie determinował sposób, w jaki będziemy komunikować się z naszymi klientami i reagować na nie. Jeśli zdarzy się incydent związany z bezpieczeństwem, nasz zespół ds. sukcesu klienta poinformuje Cię o tym na bieżąco. Będą pod ręką, aby pomóc i wesprzeć Cię w przypadku incydentu dotyczącego aktualizacji.

    Wszystkie nasze procedury i zasady dotyczące reagowania na incydenty bezpieczeństwa są oceniane i aktualizowane co najmniej raz w roku.

  • Plan przywracania działania po awarii i ciągłości działania

    Na wypadek sytuacji awaryjnej lub krytycznej w dowolnej siedzibie Deskpro wdrożono plan ciągłości działania.

    Zostało to stworzone, abyśmy mogli nadal funkcjonować jako firma dla naszych klientów, bez względu na scenariusz. Plan ciągłości działania jest co roku testowany i sprawdzany pod kątem możliwości zastosowania i ewentualnych dodatkowych ulepszeń.

Przechowywanie i usuwanie danych

Kopie zapasowe

  • Czas trwania kopii zapasowej

    Jeśli nie chcesz już korzystać z Deskpro, przechowujemy kopie zapasowe Twoich kont przez 60 dni - po czym Twoje dane zostaną całkowicie usunięte ze wszystkich naszych systemów.

  • Liczba kopii zapasowych

    Podstawowe kopie zapasowe umożliwiają odzyskiwanie danych do określonego momentu przez 35 dni. Szyfrowane kopie zapasowe znajdujące się poza siedzibą firmy są aktualizowane codziennie.

Sprzedaż

  • Usuwanie danych

    Na żądanie Twoje dane są natychmiast bezpiecznie usuwane z naszych głównych magazynów danych. Zaszyfrowane kopie zapasowe danych znajdujące się poza siedzibą firmy są usuwane w ramach regularnej rotacji kopii zapasowych co 60 dni.

  • Usuwanie sprzętu

    Każdy sprzęt, który nie jest już używany, jest całkowicie czyszczony i utylizowany w ramach regulowanych usług utylizacji zgodnie ze zgodnością z normą ISO27001.

Bezpieczeństwo organizacyjne

Bezpieczeństwo punktów końcowych

  • Konfiguracja stacji roboczej

    Zanim ktokolwiek dołączy do Deskpro jako pracownik, jego stacja robocza jest skonfigurowana tak, aby była zgodna ze wszystkimi naszymi zasadami bezpieczeństwa. Zasady te wymagają, aby wszystkie stacje robocze były skonfigurowane na wysokim poziomie i spełniały standardy certyfikacji bezpieczeństwa, takie jak ISO27001 i Cyber ​​Essentials Plus.

    Każda stacja robocza ma szyfrowane dane w stanie spoczynku, silne hasła (zarządzane przez bezpieczny skarbiec zarządzania hasłami), włączone śledzenie lokalizacji i automatyczne wyłączanie ekranów w przypadku bezczynności.

  • Monitorowanie

    Centralny system zarządzania SA służy do monitorowania, śledzenia i raportowania złośliwego oprogramowania, nieautoryzowanego oprogramowania i wymiennych urządzeń pamięci masowej. Ma to na celu zapewnienie, że wszystkie stacje robocze są aktualne pod względem poprawek i zabezpieczeń. Mamy również rygorystyczne zasady dotyczące niewymiennych urządzeń pamięci masowej.

    Wszelkie urządzenia mobilne (telefony lub tablety) wykorzystywane do celów służbowych są częścią systemu zarządzania urządzeniami mobilnymi w celu śledzenia lokalizacji, bezpiecznych haseł i logowania jednokrotnego.

  • Poufność

    Wszyscy nowi pracownicy są sprawdzani podczas procesu rekrutacji. Rozpoczynając zatrudnienie w Deskpro, pracownicy, kontrahenci i ekipy sprzątające są zobowiązani do podpisania umowy o zachowaniu poufności i nieujawniania informacji. Jest to również umowa zawarta po okresie zatrudnienia.

Dostęp do informacji wrażliwych

  • Aprowizacja

    Tylko określone osoby w organizacji mają dostęp do poufnych informacji. Opiera się na zasadzie wiedzy niezbędnej i posiada uprawnienia oparte na rolach, aby umożliwić pracownikom wykonywanie swojej pracy najlepiej jak potrafią.

    Nasza polityka kontroli dostępu jest wdrażana wewnętrznie, a w Deskpro posiadamy wiele poziomów poświadczeń bezpieczeństwa. Niektóre dostępy, takie jak rozszerzone wsparcie lub scenariusze udostępniania ekranu, są realizowane na podstawie umowy z klientem.

  • Uwierzytelnianie

    Aby jeszcze bardziej zwiększyć bezpieczeństwo, Deskpro wykorzystuje uwierzytelnianie dwuskładnikowe (2FA) w przypadku systemów zawierających dane wrażliwe lub osobiste.

    Korzystanie z funkcji Single Sign On (SSO) dla pracowników umożliwia kierownictwu natychmiastowe wyłączenie lub zmianę dostępu do wszystkich aplikacji. Jest to używane, gdy pracownik opuszcza Deskpro lub trzeba usunąć jego dostęp.

  • Zarządzanie hasłami

    W ramach naszej wewnętrznej polityki haseł Deskpro wymaga od wszystkich pracowników korzystania z zatwierdzonego menedżera haseł. Ma to na celu zapewnienie, że hasła są mocne, przechowywane w bezpiecznym miejscu, regularnie zmieniane i nie wykorzystywane ponownie. W razie potrzeby menedżer haseł ostrzega użytkowników o wszelkich potencjalnych zagrożeniach związanych z hasłami, aby utrzymać wysoki poziom bezpieczeństwa na wszystkich poziomach.

Zarządzanie dostawcami

  • Organizacje podrzędne

    Aby Deskpro działało efektywnie, polegamy na organizacjach podwykonawczych, które pomagają nam w dostarczaniu naszych usług.

    Wybierając odpowiedniego dostawcę wymaganej usługi, podejmujemy odpowiednie kroki, aby zapewnić utrzymanie bezpieczeństwa i integralności naszej platformy. Każda organizacja świadcząca usługi podrzędne jest dokładnie analizowana, testowana i sprawdzana pod kątem bezpieczeństwa przed wdrożeniem w Deskpro.

  • Zgodność dostawcy

    Deskpro monitoruje skuteczność tych dostawców i poddaje się ich corocznemu przeglądowi w celu potwierdzenia, że ​​ich bezpieczeństwo i zabezpieczenia są utrzymywane. Zobacz lista naszych obecnych organizacji podwykonawczychPortableText [components.type] is missing "span"

  • Podwykonawcy przetwarzania

    W każdej sytuacji, w której korzystanie z jednej z tych organizacji podwykonawczych mogłoby potencjalnie wpłynąć na bezpieczeństwo Deskpro, podejmujemy odpowiednie kroki w celu ograniczenia ryzyka. Obejmuje to zawieranie umów i zapewnienie ich zgodności z odpowiednimi certyfikatami lub przepisami, takimi jak RODO.

Walidacja zewnętrzna

  • Audyty zgodności z bezpieczeństwem

    Deskpro zawsze aktywnie wyszukuje, monitoruje i ulepsza naszą konfigurację zabezpieczeń. Odbywa się to poprzez regularne kontrole i oceny przeprowadzane zarówno przez nasz wewnętrzny zespół ds. bezpieczeństwa, jak i zewnętrznych audytorów.

    Wszystkie wyniki są udostępniane zespołowi zarządzającemu i szczegółowo omawiane podczas przeglądów zarządzania bezpieczeństwem. Najnowsze audyty i certyfikaty bezpieczeństwa obejmują ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 i gotowość do RODO. Listę naszych certyfikatów możesz zobaczyć na dole tej strony.

    Nasza polityka kontroli dostępu jest wdrażana wewnętrznie, a w Deskpro posiadamy wiele poziomów poświadczeń bezpieczeństwa. Niektóre dostępy, takie jak rozszerzone wsparcie lub scenariusze udostępniania ekranu, są realizowane na podstawie umowy z klientem.

  • Testy penetracyjne

    Niezależne testy penetracyjne przeprowadzane przez certyfikowaną firmę zewnętrzną CREST CHECK przeprowadzane są co najmniej raz w roku. Przeprowadzane testy penetracyjne koncentrują się na bezpieczeństwie, infrastrukturze i produkcie. Wyniki tych testów są udostępniane i stosowane zarówno przez zespoły ds. bezpieczeństwa, jak i wyższe kierownictwo.

    Nasze coroczne testy obejmują również skanowanie pod kątem luk w sieci zewnętrznej i wewnętrznej, z certyfikatem Cyber ​​Essentials Plus. Wszystkie testy penetracyjne przeprowadzane przez strony trzecie są przeprowadzane przez konsultantów certyfikowanych zgodnie ze standardami CREST.

  • Audyty zorientowane na klienta

    Rozumiemy, że w pewnych okolicznościach organizacja może wymagać przeprowadzenia dalszych audytów lub testów penetracyjnych, zanim będzie można dokonać zakupu Deskpro. Zapraszamy klientów do przeprowadzenia własnych testów penetracyjnych w środowisku Deskpro. Jeśli chcesz to zorganizować, skontaktuj się z obsługą w celu ustalenia harmonogramu i dalszych cen.

  • Odpowiedzialne ujawnienie

    Jeśli jesteś ekspertem lub badaczem ds. bezpieczeństwa i uważasz, że odkryłeś problem związany z bezpieczeństwem w systemach online Deskpro, będziemy wdzięczni za Twoją pomoc w odpowiedzialnym ujawnieniu nam problemu. Mamy Odpowiedzialne ujawnienie program. Prosimy społeczność zajmującą się badaniami nad bezpieczeństwem, aby dała nam możliwość naprawienia luki przed jej publicznym ujawnieniem.

Certyfikacja / Zgodność

    • ISO27001
    • SOC 2 Typ II
    • Cybernetyczne podstawy
    • Cyber ​​Essentials Plus
    • Gwiazda CSA
    • RODO
    • G-Cloud
    • PCI-DSS
    • CCPA
    • Standardowe klauzule umowne (SCC)