Deskpros säkerhetspolicyer och -praxis

• Faciliteter

  Vår molntjänstdatacenterleverantör (AWS) driver toppmoderna datacenter, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield och SOC 2 Type.

  Automatiserade branddetekterings- och släcksystem installeras i nätverk, mekaniska och infrastrukturområden. Alla AWS datacenter är konstruerade enligt N+1 redundansstandarder.

• Säkerhet på plats

  Våra datacenteranläggningar har 24/7 personal på plats, fysiska åtkomstpunkter till serverrum som täcks av CCTV, biometriska säkerhetsprocedurer och övervakning dygnet runt för att upprätthålla skyddet mot obehörigt tillträde och fysiska säkerhetsintrång. De kräver också bakgrundskontroller för alla anställda som en del av screeningprocessen före anställning.

• Serverövervakning

  AWS:s Global Security Operation Centers genomför 24/7 övervakning av datacenteråtkomstaktiviteter, med elektroniska intrångsdetekteringssystem installerade i datalagret. Systemen övervakas ständigt av Deskpro Security Team.

• Platser

  Deskpro erbjuder distribution av molnkonton på datacenter i antingen USA, EU eller StorbritannienPortableText [components.type] is missing "span". Kunderna kan välja vilken region de vill ha sin data exklusivt i, som standard.

  PortableText [components.type] is missing "span"Företagsplan kunder kan välja att vara värd i 1 av 22 länder runt om i världen.

• Avbrottsfri strömförsörjning

  Varje anläggning är utrustad med en avbrottsfri strömförsörjning (UPS) och reservgeneratorer vid strömavbrott.

• Hård omkrets

  Vart och ett av våra datacenter har ett kontrollerat perimeterlager med 24/7 säkerhetsteam på plats, begränsad och kontrollerad fysisk åtkomst, multifaktorautentisering, elektroniska intrångsdetekteringssystem och dörrlarm.

• Dedikerat säkerhetsteam

  Deskpros säkerhetsteam är distribuerat över hela världen. De tillhandahåller övervakning dygnet runt och svar på säkerhetsincidenter och varningar.

• Brandväggar

  Deskpros offentliga nätverk är skyddat av Cloudflare Enterprise som fungerar för att filtrera all inkommande trafik från internet. Offentliga e-postservrar skyddas av AWS Shield, som på samma sätt övervakar och filtrerar inkommande trafik från internet. Inga andra tjänster eller åtkomst tillhandahålls till det offentliga internet.

• Arkitektur

  Inom Deskpros interna privata nätverk, som inte är tillgängligt från det offentliga internet, använder vi AWS-säkerhetsgrupper och IAM-kontroller för att låsa kommunikation mellan komponenter, så åtkomst till tjänster måste beviljas uttryckligen vid behov. Vi gör det omöjligt för system att interagera med varandra utan att vi uttryckligen konfigurerar det och planerar för det.

• DDoS-reducering

  Deskpro-systemets granskningsloggar underhålls alltid och kontrolleras för avvikelser, och vi använder kontrakterade tredjeparts DDoS-leverantörer för att skydda mot distribuerade attacker. Detta inkluderar både AWS Shield Guards och Cloudflare.

• Minst privilegietillgång

  Åtkomst till värdservrar och livemiljöer tillhandahålls med minst privilegierad åtkomst. Ett mycket begränsat antal anställda har tillgång till levande miljöer, som också kräver flera nivåer av säkerhetsåtkomst.

• Respons på säkerhetsincidenter (team)

  Deskpro övervakar molntjänsten 24/7 och har ett svarsteam på jour 24/7 för att svara på säkerhetsincidenter. Vår värdleverantör, AWS, tillhandahåller också global övervakning dygnet runt och support för de multi-location datacenter som används för Deskpro Cloud.

• Sårbarhetsskanning

  Sårbarhetsskanning utförs över nätverket för att identifiera potentiellt sårbara system och gör det möjligt för säkerhetsteamet att snabbt granska eventuella svaga punkter.

Utveckling

• Faktureringssäkerhet

  Deskpro lagrar inte kreditkortsdata. Vi använder externa PCI-kompatibla tjänster (Spreedly och Stripe) för att tillhandahålla faktureringstjänster.

  Din kreditkortsinformation passerar tillfälligt genom våra servrar, och av denna anledning är vi verifierade som Payment Card Industry Data Security Standard (PCI DSS) kompatibla.

• Kvalitetssäkring

  Vi har en dedikerad kvalitetssäkringsavdelning (QA) som testar, granskar och triagerar vår kodbas. För varje uppdatering eller release av programvaran utförs testning av utvecklings-, support- och kvalitetssäkringsteam med en strategi på flera nivåer.

• Separata/Olika miljöer

  Det finns separata miljöer för både iscensättning och testning. Dessa miljöer är separerade både logiskt och fysiskt från live-produktionsmiljön. Ingen kunddata används i testning eller utveckling.

• Penetrationstestning

  Deskpro testas med enhetstestning, mänsklig revision, applikationspenetrationstestning, statisk analys och funktionstester. Tredjeparts penetrationstestning genomförs också på årsbasis.

• Förhindra vanliga attacker (XSS, CSRF, SQLi)

  Deskpro har byggts för att mildra vanliga attackvektorer; såsom SQL-injektionsattacker och cross-site scripting attacks (XSS). Deskpro Cloud drar också fördel av CloudFlares företagsklassade webbapplikationsbrandvägg (WAF) för att automatiskt blockera eller utmana misstänkta förfrågningar.

Kryptering

• Data i vila

  All kunddata lagrad krypterad på AWS-servrar (med AES-256-krypteringsalgoritmen).

• Data i transit

  All data som överförs till och från Deskpro-plattformen krypteras över tråden i linje med branschens bästa praxis. Webbtrafik över HTTP säkras av CloudFlare med TLS 1.2 eller 1.3 med beprövade säkra chiffersviter.

  Mer information om SSL/TLS på CloudFlarePortableText [components.type] is missing "span"

programvara

• Single Sign On

  Administratörer kan konfigurera flera alternativ för SSO till Deskpro-plattformen, inklusive OneLogin, Okta, Azure, SAML och JWT-autentisering. Det finns olika konfigurationsalternativ tillgängliga för SSO som gör att du kan anpassa hur den interagerar med agenter/kunder.

• Tvåfaktorsautentisering (2FA)

  Deskpro möjliggör 2FA genom din SSO-leverantör för administratörer, agenter och kunder.

• API-säkerhet och autentisering

  Deskpro API är ett REST-baserat API som körs säkert över HTTPS. API-förfrågningar kan endast göras av verifierade kunder. API-autentisering kan göras genom OAuth, API-nycklar eller med kortlivade API-tokens.

• Anpassade lösenordspolicyer

  Anpassningsbara lösenordspolicyer kan aktiveras för både agenter och kunder. Detta inkluderar möjligheten att ställa in minsta lösenordslängd, förbjuda återanvändning av lösenord, en blandning av siffror och tecken och att tvinga kunder att ändra sitt lösenord efter en viss tid.

• Revisionsloggar

  Omfattande revisionsloggar förs för ändringar som gjorts av administratörer. De tillhandahåller poster inklusive typ, åtgärd, utförare och tidsstämpel på att den utfördes. Aktivitetsloggar för agenter kan också ses av administratörer, som visar aktivitet som biljettsvar eller onlinetid.

• Drifttid

  Deskpro upprätthåller en hög tillgänglighet på molnplattformen, i genomsnitt över 99,9 %.

  Det finns en allmänt tillgänglig statussida där du kan kontrollera statusen för molnprogramvaran och dess komponenter.

• Redundans

  Vi använder AWS med redundans över minst två tillgänglighetszoner, med säkerhetskopior av databaser som erbjuder 35-dagars återställning vid behov. Ytterligare krypterade säkerhetskopior utanför platsen uppdateras dagligen.

• Svara på säkerhetsincidenter

  Vi har fastställt rutiner och policyer för att svara och kommunicera om säkerhetsincidenter från vårt säkerhetsteam.

  Nivån på säkerhetsincidenten kommer att diktera hur vi kommunicerar och reagerar på våra kunder. Om en säkerhetsincident inträffar kommer du att hållas uppdaterad via vårt Customer Success-team. De kommer att finnas till hands för att hjälpa och stödja dig genom incidenten angående uppdateringar.

  Alla våra rutiner och policyer för att svara på säkerhetsincidenter utvärderas och uppdateras minst en gång per år.

• Katastrofåterställning och affärskontinuitetsplan

  I händelse av en nödsituation eller kritisk incident i någon av Deskpro-lokalerna har en affärskontinuitetsplan upprättats.

  Detta skapades för att vi ska kunna fortsätta att fungera som en verksamhet för våra kunder, oavsett scenario. Affärskontinuitetsplanen testas och kontrolleras årligen för tillämplighet och eventuella ytterligare förbättringar som kan göras.

Säkerhetskopieringar

• Varaktighet för säkerhetskopiering

  Skulle du inte längre vilja använda Deskpro behåller vi säkerhetskopior av dina konton i 60 dagar - varefter dina data raderas helt från alla våra system.

• Antal säkerhetskopior

  Primära säkerhetskopior erbjuder punkt-i-tid återställning i 35 dagar. Krypterade säkerhetskopior utanför webbplatsen uppdateras dagligen.

Förfogande

• Ta bort data

  Dina uppgifter raderas omedelbart säkert från våra primära datalager på begäran. Krypterade externa säkerhetskopior av dina data rensas genom regelbunden säkerhetskopiering var 60:e dag.

• Ta bort hårdvara

  All hårdvara som inte längre används torkas helt och kasseras med hjälp av reglerad avfallshantering i enlighet med ISO27001-överensstämmelse.

Endpoint Security

• Arbetsstationsuppställning

  Innan någon ansluter sig till Deskpro som anställd är deras arbetsstation konfigurerad och konfigurerad för att följa alla våra säkerhetspolicyer. Dessa policyer kräver att alla arbetsstationer är konfigurerade till en hög nivå och uppfyller säkerhetscertifieringsstandarder som ISO27001 och Cyber ​​Essentials Plus.

  Varje arbetsstation har data krypterad i vila, starka lösenord (hanteras av ett säkert lösenordshanteringsvalv), platsspårning aktiverad och skärmar som automatiskt stängs av när de är inaktiva.

• Övervakning

  SA centrala ledningssystem används för att övervaka, spåra och rapportera om skadlig programvara, obehörig programvara och flyttbara lagringsenheter. Detta för att säkerställa att alla arbetsstationer är uppdaterade med patchar och säkerhet. Vi har också en strikt policy för icke-flyttbara lagringsenheter.

  Alla mobila enheter (telefoner eller surfplattor) som används för arbetsändamål är en del av ett hanteringssystem för mobila enheter för platsspårning, säkra lösenord och SSO.

• Sekretess

  Alla nyanställningar granskas under rekryteringsprocessen. Vid tillträde av anställning på Deskpro måste anställda, entreprenörer och städpersonal underteckna ett sekretess- och sekretessavtal. Detta är också ett uppehållet efteranställningskontrakt.

Tillgång till känslig information

• Provisionering

  Endast vissa personer inom organisationen ges tillgång till känslig information. Det är på ett behov av att veta med rollbaserade behörigheter, för att göra det möjligt för anställda att utföra sitt jobb efter bästa förmåga.

  Vår åtkomstkontrollpolicy implementeras internt och inom Deskpro har vi flera nivåer av säkerhetstillstånd. Viss åtkomst, som utökat support eller scenarier för skärmdelning, utförs på basis av klientavtal.

• Autentisering

  För att öka säkerheten ytterligare använder Deskpro Two Factor Authentication (2FA) för system som innehåller känsliga eller personliga uppgifter.

  Användningen av Single Sign On (SSO) för anställda gör det möjligt för ledningen att inaktivera eller ändra åtkomst till alla applikationer direkt. Detta används när en anställd lämnar Deskpro eller deras åtkomst måste tas bort.

• Lösenordshantering

  Som en del av vår interna lösenordspolicy kräver Deskpro att alla anställda använder en godkänd lösenordshanterare. Detta för att säkerställa att lösenord är starka, förvaras på en säker plats, ändras regelbundet och inte återanvänds. Vid behov varnar lösenordshanteraren användarna om eventuella lösenordsrisker för att upprätthålla en hög säkerhetsnivå på alla nivåer.

Försäljarstyrelse

• Undertjänstorganisationer

  För att Deskpro ska fungera effektivt förlitar vi oss på att undertjänstorganisationer hjälper oss att leverera vår tjänst.

  När vi väljer en lämplig leverantör för en nödvändig tjänst, vidtar vi lämpliga åtgärder för att säkerställa att säkerheten och integriteten för vår plattform upprätthålls. Varje undertjänstorganisation är noggrant granskad, testad och säkerhetskontrollerad innan den implementeras i Deskpro.

• Leverantörsefterlevnad

  Deskpro övervakar effektiviteten hos dessa leverantörer och de granskas årligen för att bekräfta att deras fortsatta säkerhet och säkerhetsåtgärder upprätthålls. Visa en lista över våra nuvarande undertjänstorganisationerPortableText [components.type] is missing "span"

• Underprocessorer

  I alla situationer där användningen av en av dessa undertjänstorganisationer potentiellt kan påverka säkerheten för Deskpro, vidtar vi lämpliga åtgärder för att minska risken. Detta inkluderar att upprätta avtal och säkerställa att de överensstämmer med relevanta certifieringar eller bestämmelser, såsom GDPR.

Extern validering

• Säkerhetsöverensstämmelserevisioner

  Deskpro söker, övervakar och förbättrar alltid vårt säkerhetssystem aktivt. Detta genom regelbundna kontroller och bedömningar från både vårt interna säkerhetsteam och tredje parts bedömare.

  Alla resultat delas med ledningsgruppen och diskuteras ingående vid säkerhetsledningsgenomgångar. Senaste säkerhetsrevisioner och certifieringar inkluderar ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 & GDPR Readiness. Du kan se vår lista över certifikat längst ner på denna sida.

  Vår åtkomstkontrollpolicy implementeras internt och inom Deskpro har vi flera nivåer av säkerhetstillstånd. Viss åtkomst, som utökat support eller scenarier för skärmdelning, utförs på basis av klientavtal.

• Penetrationstestning

  Oberoende penetrationstestning av en certifierad CREST CHECK tredje part utförs på minst en årsbasis. De genomförda penetrationstesterna är fokuserade på säkerhet, infrastruktur och produkt. Resultaten av dessa tester delas och åtgärdas av både säkerhets- och högre ledningsteam.

  Vår årliga testning inkluderar också både externa och interna nätverkssårbarhetsskanningar, med certifiering för Cyber ​​Essentials Plus. Alla penetrationstester från tredje part utförs av konsulter certifierade enligt CREST-standarder.

• Kunddrivna revisioner

  Vi förstår att en organisation under vissa omständigheter kan kräva att ytterligare revisioner eller penetrationstester utförs innan köpet av Deskpro kan göras. Vi välkomnar kunder att utföra sina egna penetrationstester i en Deskpro-miljö. Om du vill ordna en, vänligen kontakta supporten för att schemalägga detta och för ytterligare priser.

• Ansvarsfullt avslöjande

  Om du är en säkerhetsexpert eller forskare, och du tror att du har upptäckt ett säkerhetsrelaterat problem med Deskpros onlinesystem, uppskattar vi din hjälp med att avslöja problemet för oss på ett ansvarsfullt sätt. Vi har en Ansvarsfullt avslöjande program. Vi ber säkerhetsforskningsgemenskapen att ge oss en möjlighet att korrigera en sårbarhet innan den offentliggörs.

Certifiering/överensstämmelse

• • ISO 27001
  • SOC 2 typ II
  • Cyber ​​Essentials
  • Cyber ​​Essentials Plus
  • CSA Star
  • GDPR
  • G-moln
  • PCI-DSS
  • CCPA
  • Standardavtalsklausuler (SCC)