Vitbok om säkerhet
Läs mer om hur Deskpro säkerställer att data i din helpdesk alltid är säker, oavsett om du väljer Cloud eller On-Premise-distribution.
SÄKERHET
Oavsett om du distribuerar din helpdesk i molnet eller på plats, förblir vi engagerade i skyddet och säkerheten för dina data.
Skyddet av dina uppgifter är och har alltid varit vår prioritet. Vi förstår värdet och känsligheten hos din privata information, så vi implementerar robusta säkerhetsåtgärder, utformade med högsta standard för tillförlitlighet och trovärdighet. Vårt uppdrag är enkelt - att ge dig absolut sinnesfrid när det kommer till din datasäkerhet.
Deskpro har åtagit sig att ständigt upprätthålla kunskapen om det föränderliga applikationssäkerhetslandskapet och säkerställa att bästa praxis för säkerhet upprätthålls i hela organisationen.
Vi förser kunder med ett brett utbud av anpassningar, inklusive kunder som kan välja hur de ska distribuera Deskpro, antingen på molnet eller på plats (självvärd), och var din data lagras. För vårt molnvärdskap använder vi branschledande AWS.
Deskpros säkerhetspraxis syftar till att förhindra all obehörig åtkomst till kunddata. Vi tittar alltid på sätt på vilka vi kan förbättra säkerheten för Deskpro genom att vidta uttömmande åtgärder för att hitta och minska risker.
Regelbundna säkerhetsgranskningar av ledningen är på plats för att ta itu med alla områden som vi tror kan förbättras och säkras ytterligare. Implementering av detta kan ske genom ny säkerhetscertifiering, efterlevnad eller testning från tredje part för att säkerställa bästa praxis och förbättra säkerheten i hela Deskpro.
Läs mer om hur Deskpro säkerställer att data i din helpdesk alltid är säker, oavsett om du väljer Cloud eller On-Premise-distribution.
GDPR är den viktigaste förändringen av europeisk dataskyddslagstiftning på över 20 år. Deskpro tillhandahåller verktyg i produkten, såväl som vår DPA, så att du kan vara GDPR-kompatibel med Deskpro.
Deskpro upprätthåller en hög tillgänglighet på molnplattformen, i genomsnitt över 99,9 %. Du kan kontrollera statusen för molnprogramvaran på vår allmänt tillgängliga statussida.
Vår molntjänstdatacenterleverantör (AWS) driver toppmoderna datacenter, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield och SOC 2 Type.
Automatiserade branddetekterings- och släcksystem installeras i nätverk, mekaniska och infrastrukturområden. Alla AWS datacenter är konstruerade enligt N+1 redundansstandarder.
Våra datacenteranläggningar har 24/7 personal på plats, fysiska åtkomstpunkter till serverrum som täcks av CCTV, biometriska säkerhetsprocedurer och övervakning dygnet runt för att upprätthålla skyddet mot obehörigt tillträde och fysiska säkerhetsintrång. De kräver också bakgrundskontroller för alla anställda som en del av screeningprocessen före anställning.
AWS:s Global Security Operation Centers genomför 24/7 övervakning av datacenteråtkomstaktiviteter, med elektroniska intrångsdetekteringssystem installerade i datalagret. Systemen övervakas ständigt av Deskpro Security Team.
Deskpro erbjuder distribution av molnkonton på datacenter i antingen USA, EU eller Storbritannien
. Kunderna kan välja vilken region de vill ha sin data exklusivt i, som standard.Företagsplan kunder kan välja att vara värd i 1 av 22 länder runt om i världen.
Varje anläggning är utrustad med en avbrottsfri strömförsörjning (UPS) och reservgeneratorer vid strömavbrott.
Vart och ett av våra datacenter har ett kontrollerat perimeterlager med 24/7 säkerhetsteam på plats, begränsad och kontrollerad fysisk åtkomst, multifaktorautentisering, elektroniska intrångsdetekteringssystem och dörrlarm.
Deskpros säkerhetsteam är distribuerat över hela världen. De tillhandahåller övervakning dygnet runt och svar på säkerhetsincidenter och varningar.
Deskpros offentliga nätverk är skyddat av Cloudflare Enterprise som fungerar för att filtrera all inkommande trafik från internet. Offentliga e-postservrar skyddas av AWS Shield, som på samma sätt övervakar och filtrerar inkommande trafik från internet. Inga andra tjänster eller åtkomst tillhandahålls till det offentliga internet.
Inom Deskpros interna privata nätverk, som inte är tillgängligt från det offentliga internet, använder vi AWS-säkerhetsgrupper och IAM-kontroller för att låsa kommunikation mellan komponenter, så åtkomst till tjänster måste beviljas uttryckligen vid behov. Vi gör det omöjligt för system att interagera med varandra utan att vi uttryckligen konfigurerar det och planerar för det.
Deskpro-systemets granskningsloggar underhålls alltid och kontrolleras för avvikelser, och vi använder kontrakterade tredjeparts DDoS-leverantörer för att skydda mot distribuerade attacker. Detta inkluderar både AWS Shield Guards och Cloudflare.
Åtkomst till värdservrar och livemiljöer tillhandahålls med minst privilegierad åtkomst. Ett mycket begränsat antal anställda har tillgång till levande miljöer, som också kräver flera nivåer av säkerhetsåtkomst.
Deskpro övervakar molntjänsten 24/7 och har ett svarsteam på jour 24/7 för att svara på säkerhetsincidenter. Vår värdleverantör, AWS, tillhandahåller också global övervakning dygnet runt och support för de multi-location datacenter som används för Deskpro Cloud.
Sårbarhetsskanning utförs över nätverket för att identifiera potentiellt sårbara system och gör det möjligt för säkerhetsteamet att snabbt granska eventuella svaga punkter.
Deskpro lagrar inte kreditkortsdata. Vi använder externa PCI-kompatibla tjänster (Spreedly och Stripe) för att tillhandahålla faktureringstjänster.
Din kreditkortsinformation passerar tillfälligt genom våra servrar, och av denna anledning är vi verifierade som Payment Card Industry Data Security Standard (PCI DSS) kompatibla.
Vi har en dedikerad kvalitetssäkringsavdelning (QA) som testar, granskar och triagerar vår kodbas. För varje uppdatering eller release av programvaran utförs testning av utvecklings-, support- och kvalitetssäkringsteam med en strategi på flera nivåer.
Det finns separata miljöer för både iscensättning och testning. Dessa miljöer är separerade både logiskt och fysiskt från live-produktionsmiljön. Ingen kunddata används i testning eller utveckling.
Deskpro testas med enhetstestning, mänsklig revision, applikationspenetrationstestning, statisk analys och funktionstester. Tredjeparts penetrationstestning genomförs också på årsbasis.
Deskpro har byggts för att mildra vanliga attackvektorer; såsom SQL-injektionsattacker och cross-site scripting attacks (XSS). Deskpro Cloud drar också fördel av CloudFlares företagsklassade webbapplikationsbrandvägg (WAF) för att automatiskt blockera eller utmana misstänkta förfrågningar.
All kunddata lagrad krypterad på AWS-servrar (med AES-256-krypteringsalgoritmen).
All data som överförs till och från Deskpro-plattformen krypteras över tråden i linje med branschens bästa praxis. Webbtrafik över HTTP säkras av CloudFlare med TLS 1.2 eller 1.3 med beprövade säkra chiffersviter.
Mer information om SSL/TLS på CloudFlare
Administratörer kan konfigurera flera alternativ för SSO till Deskpro-plattformen, inklusive OneLogin, Okta, Azure, SAML och JWT-autentisering. Det finns olika konfigurationsalternativ tillgängliga för SSO som gör att du kan anpassa hur den interagerar med agenter/kunder.
Deskpro möjliggör 2FA genom din SSO-leverantör för administratörer, agenter och kunder.
Deskpro API är ett REST-baserat API som körs säkert över HTTPS. API-förfrågningar kan endast göras av verifierade kunder. API-autentisering kan göras genom OAuth, API-nycklar eller med kortlivade API-tokens.
Anpassningsbara lösenordspolicyer kan aktiveras för både agenter och kunder. Detta inkluderar möjligheten att ställa in minsta lösenordslängd, förbjuda återanvändning av lösenord, en blandning av siffror och tecken och att tvinga kunder att ändra sitt lösenord efter en viss tid.
Omfattande revisionsloggar förs för ändringar som gjorts av administratörer. De tillhandahåller poster inklusive typ, åtgärd, utförare och tidsstämpel på att den utfördes. Aktivitetsloggar för agenter kan också ses av administratörer, som visar aktivitet som biljettsvar eller onlinetid.
Deskpro upprätthåller en hög tillgänglighet på molnplattformen, i genomsnitt över 99,9 %.
Det finns en allmänt tillgänglig statussida där du kan kontrollera statusen för molnprogramvaran och dess komponenter.
Vi använder AWS med redundans över minst två tillgänglighetszoner, med säkerhetskopior av databaser som erbjuder 35-dagars återställning vid behov. Ytterligare krypterade säkerhetskopior utanför platsen uppdateras dagligen.
Vi har fastställt rutiner och policyer för att svara och kommunicera om säkerhetsincidenter från vårt säkerhetsteam.
Nivån på säkerhetsincidenten kommer att diktera hur vi kommunicerar och reagerar på våra kunder. Om en säkerhetsincident inträffar kommer du att hållas uppdaterad via vårt Customer Success-team. De kommer att finnas till hands för att hjälpa och stödja dig genom incidenten angående uppdateringar.
Alla våra rutiner och policyer för att svara på säkerhetsincidenter utvärderas och uppdateras minst en gång per år.
I händelse av en nödsituation eller kritisk incident i någon av Deskpro-lokalerna har en affärskontinuitetsplan upprättats.
Detta skapades för att vi ska kunna fortsätta att fungera som en verksamhet för våra kunder, oavsett scenario. Affärskontinuitetsplanen testas och kontrolleras årligen för tillämplighet och eventuella ytterligare förbättringar som kan göras.
Skulle du inte längre vilja använda Deskpro behåller vi säkerhetskopior av dina konton i 60 dagar - varefter dina data raderas helt från alla våra system.
Primära säkerhetskopior erbjuder punkt-i-tid återställning i 35 dagar. Krypterade säkerhetskopior utanför webbplatsen uppdateras dagligen.
Dina uppgifter raderas omedelbart säkert från våra primära datalager på begäran. Krypterade externa säkerhetskopior av dina data rensas genom regelbunden säkerhetskopiering var 60:e dag.
All hårdvara som inte längre används torkas helt och kasseras med hjälp av reglerad avfallshantering i enlighet med ISO27001-överensstämmelse.
Innan någon ansluter sig till Deskpro som anställd är deras arbetsstation konfigurerad och konfigurerad för att följa alla våra säkerhetspolicyer. Dessa policyer kräver att alla arbetsstationer är konfigurerade till en hög nivå och uppfyller säkerhetscertifieringsstandarder som ISO27001 och Cyber Essentials Plus.
Varje arbetsstation har data krypterad i vila, starka lösenord (hanteras av ett säkert lösenordshanteringsvalv), platsspårning aktiverad och skärmar som automatiskt stängs av när de är inaktiva.
SA centrala ledningssystem används för att övervaka, spåra och rapportera om skadlig programvara, obehörig programvara och flyttbara lagringsenheter. Detta för att säkerställa att alla arbetsstationer är uppdaterade med patchar och säkerhet. Vi har också en strikt policy för icke-flyttbara lagringsenheter.
Alla mobila enheter (telefoner eller surfplattor) som används för arbetsändamål är en del av ett hanteringssystem för mobila enheter för platsspårning, säkra lösenord och SSO.
Alla nyanställningar granskas under rekryteringsprocessen. Vid tillträde av anställning på Deskpro måste anställda, entreprenörer och städpersonal underteckna ett sekretess- och sekretessavtal. Detta är också ett uppehållet efteranställningskontrakt.
Endast vissa personer inom organisationen ges tillgång till känslig information. Det är på ett behov av att veta med rollbaserade behörigheter, för att göra det möjligt för anställda att utföra sitt jobb efter bästa förmåga.
Vår åtkomstkontrollpolicy implementeras internt och inom Deskpro har vi flera nivåer av säkerhetstillstånd. Viss åtkomst, som utökat support eller scenarier för skärmdelning, utförs på basis av klientavtal.
För att öka säkerheten ytterligare använder Deskpro Two Factor Authentication (2FA) för system som innehåller känsliga eller personliga uppgifter.
Användningen av Single Sign On (SSO) för anställda gör det möjligt för ledningen att inaktivera eller ändra åtkomst till alla applikationer direkt. Detta används när en anställd lämnar Deskpro eller deras åtkomst måste tas bort.
Som en del av vår interna lösenordspolicy kräver Deskpro att alla anställda använder en godkänd lösenordshanterare. Detta för att säkerställa att lösenord är starka, förvaras på en säker plats, ändras regelbundet och inte återanvänds. Vid behov varnar lösenordshanteraren användarna om eventuella lösenordsrisker för att upprätthålla en hög säkerhetsnivå på alla nivåer.
För att Deskpro ska fungera effektivt förlitar vi oss på att undertjänstorganisationer hjälper oss att leverera vår tjänst.
När vi väljer en lämplig leverantör för en nödvändig tjänst, vidtar vi lämpliga åtgärder för att säkerställa att säkerheten och integriteten för vår plattform upprätthålls. Varje undertjänstorganisation är noggrant granskad, testad och säkerhetskontrollerad innan den implementeras i Deskpro.
Deskpro övervakar effektiviteten hos dessa leverantörer och de granskas årligen för att bekräfta att deras fortsatta säkerhet och säkerhetsåtgärder upprätthålls. Visa en lista över våra nuvarande undertjänstorganisationer
I alla situationer där användningen av en av dessa undertjänstorganisationer potentiellt kan påverka säkerheten för Deskpro, vidtar vi lämpliga åtgärder för att minska risken. Detta inkluderar att upprätta avtal och säkerställa att de överensstämmer med relevanta certifieringar eller bestämmelser, såsom GDPR.
Deskpro söker, övervakar och förbättrar alltid vårt säkerhetssystem aktivt. Detta genom regelbundna kontroller och bedömningar från både vårt interna säkerhetsteam och tredje parts bedömare.
Alla resultat delas med ledningsgruppen och diskuteras ingående vid säkerhetsledningsgenomgångar. Senaste säkerhetsrevisioner och certifieringar inkluderar ISO27001, PCI, Cyber Essentials Plus, CSA Star, G-Cloud 12 & GDPR Readiness. Du kan se vår lista över certifikat längst ner på denna sida.
Vår åtkomstkontrollpolicy implementeras internt och inom Deskpro har vi flera nivåer av säkerhetstillstånd. Viss åtkomst, som utökat support eller scenarier för skärmdelning, utförs på basis av klientavtal.
Oberoende penetrationstestning av en certifierad CREST CHECK tredje part utförs på minst en årsbasis. De genomförda penetrationstesterna är fokuserade på säkerhet, infrastruktur och produkt. Resultaten av dessa tester delas och åtgärdas av både säkerhets- och högre ledningsteam.
Vår årliga testning inkluderar också både externa och interna nätverkssårbarhetsskanningar, med certifiering för Cyber Essentials Plus. Alla penetrationstester från tredje part utförs av konsulter certifierade enligt CREST-standarder.
Vi förstår att en organisation under vissa omständigheter kan kräva att ytterligare revisioner eller penetrationstester utförs innan köpet av Deskpro kan göras. Vi välkomnar kunder att utföra sina egna penetrationstester i en Deskpro-miljö. Om du vill ordna en, vänligen kontakta supporten för att schemalägga detta och för ytterligare priser.
Om du är en säkerhetsexpert eller forskare, och du tror att du har upptäckt ett säkerhetsrelaterat problem med Deskpros onlinesystem, uppskattar vi din hjälp med att avslöja problemet för oss på ett ansvarsfullt sätt. Vi har en Ansvarsfullt avslöjande program. Vi ber säkerhetsforskningsgemenskapen att ge oss en möjlighet att korrigera en sårbarhet innan den offentliggörs.