Hvidbog om sikkerhed
Lær mere om, hvordan Deskpro sikrer, at dataene i din helpdesk altid er sikre, uanset om du vælger Cloud- eller On-Premise-implementering.
SIKKERHED
Uanset om du implementerer din helpdesk på Cloud eller On-Premise, forbliver vi forpligtet til beskyttelsen og sikkerheden af dine data.
Beskyttelse af dine data er og har altid været vores prioritet. Vi forstår værdien og følsomheden af dine private oplysninger, så vi implementerer robuste sikkerhedsforanstaltninger, designet med de højeste standarder for pålidelighed og troværdighed. Vores mission er enkel - at give dig absolut ro i sindet, når det kommer til din datasikkerhed.
Deskpro er forpligtet til konstant at vedligeholde viden om det udviklende applikationssikkerhedslandskab og sikre, at bedste praksis for sikkerhed opretholdes på tværs af hele organisationen.
Vi giver kunderne en bred vifte af tilpasninger, herunder kunder, der kan vælge, hvordan Deskpro skal implementeres, enten på Cloud eller On-Premise (selv-hostet), og hvor dine data gemmes. Til vores Cloud-hosting bruger vi brancheførende AWS.
Deskpros sikkerhedspraksis har til formål at forhindre enhver uautoriseret adgang til kundedata. Vi kigger altid på måder, hvorpå vi kan forbedre sikkerheden for Deskpro ved at tage udtømmende skridt til at finde og afbøde risici.
Regelmæssige ledelsessikkerhedsgennemgange er på plads for at adressere alle områder, som vi mener kan forbedres og yderligere sikres. Implementering af dette kan ske gennem ny sikkerhedscertificering, compliance eller tredjepartstestning for at sikre bedste praksis og forbedre sikkerheden på tværs af hele Deskpro.
Lær mere om, hvordan Deskpro sikrer, at dataene i din helpdesk altid er sikre, uanset om du vælger Cloud- eller On-Premise-implementering.
GDPR er den mest markante ændring af europæisk databeskyttelseslovgivning i over 20 år. Deskpro leverer værktøjer i produktet såvel som vores DPA, så du kan være GDPR-kompatibel ved at bruge Deskpro.
Deskpro opretholder et højt tilgængelighedsniveau på cloud-platformen med et gennemsnit på over 99,9 %. Du kan tjekke status for cloud-softwaren på vores offentligt tilgængelige statusside.
Vores cloud service datacenterudbyder (AWS) driver state-of-the-art, ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield og SOC 2 Type-kompatible datacentre.
Automatiserede branddetektions- og dæmningssystemer er installeret i netværks-, mekaniske og infrastrukturområder. Alle AWS datacentre er konstrueret til N+1 redundansstandarder.
Vores datacenterfaciliteter har 24/7 on-site personale, fysiske adgangspunkter til serverrum, der er dækket af CCTV, biometriske sikkerhedsprocedurer og overvågning døgnet rundt for at opretholde beskyttelse mod uautoriseret adgang og fysiske sikkerhedsbrud. De kræver også baggrundstjek for alle ansatte som en del af screeningsprocessen før ansættelsen.
AWS's globale sikkerhedsoperationscentre udfører 24/7 overvågning af datacenteradgangsaktiviteter med elektroniske indtrængendetekteringssystemer installeret i datalaget. Systemer overvåges konstant af Deskpro Security Team.
Deskpro tilbyder udrulning af Cloud-konti på datacentre placeret i enten USA, EU eller Storbritannien
. Kunder kan vælge, hvilken region de vil eksklusivt hoste deres data i, som standard.Enterprise Plan kunder kan vælge at være vært i 1 ud af 22 lande rundt om i verden.
Hvert anlæg er udstyret med en uafbrydelig strømforsyning (UPS) og backup-generatorer i tilfælde af strømafbrydelse.
Hvert af vores datacentre har et kontrolleret perimeterlag med 24/7 on-site sikkerhedsteams, begrænset og kontrolleret fysisk adgang, multi-faktor autentificering, elektroniske indtrængningsdetektionssystemer og døralarmering.
Deskpros sikkerhedsteam er fordelt over hele kloden. De leverer 24/7 overvågning og svar på sikkerhedshændelser og alarmer.
Deskpros offentligt vendte netværk er beskyttet af Cloudflare Enterprise, som fungerer til at filtrere al indgående trafik fra internettet. Offentlige e-mail-servere er beskyttet af AWS Shield, som på samme måde overvåger og filtrerer indgående trafik fra internettet. Der gives ingen andre tjenester eller adgang til det offentlige internet.
Inden for Deskpros interne private netværk, som ikke er tilgængeligt fra det offentlige internet, anvender vi AWS-sikkerhedsgrupper og IAM-kontroller til at låse kommunikation mellem komponenter, så adgang til tjenester skal gives eksplicit efter behov. Vi gør det umuligt for systemer at interagere med hinanden uden at vi udtrykkeligt konfigurerer det og planlægger det.
Deskpro-systemrevisionslogfiler vedligeholdes altid og kontrolleres for uregelmæssigheder, og vi bruger kontrakterede tredjeparts DDoS-udbydere til at beskytte mod distribuerede angreb. Dette inkluderer både AWS Shield Guards og Cloudflare.
Adgang til hosting-servere og live-miljøer gives på mindst privilegeret adgang. Et meget begrænset antal medarbejdere har adgang til levende miljøer, som også kræver flere niveauer af sikkerhedsadgang.
Deskpro overvåger cloud-service 24/7 og har et responsteam på vagt 24/7 for at reagere på sikkerhedshændelser. Vores hostingudbyder, AWS, leverer også 24/7 global overvågning og support til de multi-location datacentre, der bruges til Deskpro Cloud.
Sårbarhedsscanning udføres på tværs af netværket for at identificere potentielt sårbare systemer og giver sikkerhedsteamet mulighed for hurtigt at gennemgå eventuelle svage punkter.
Deskpro gemmer ikke kreditkortdata. Vi bruger eksterne PCI-kompatible tjenester (Spreedly og Stripe) til at levere faktureringstjenester.
Dine kreditkortdata passerer et øjeblik gennem vores servere, og af denne grund er vi verificeret som PCI DSS-kompatible.
Vi har en dedikeret kvalitetssikringsafdeling (QA), der tester, gennemgår og triagerer vores kodebase. For hver opdatering eller udgivelse af softwaren udføres test af udviklings-, support- og QA-teams med en tilgang på flere niveauer.
Der er separate miljøer til både iscenesættelse og test. Disse miljøer er adskilt både logisk og fysisk fra live-produktionsmiljøet. Ingen kundedata bruges til test eller udvikling.
Deskpro er testet med enhedstest, human audit, applikationspenetrationstest, statisk analyse og funktionelle tests. Tredjeparts penetrationstest udføres også på årsbasis.
Deskpro er bygget til at afbøde almindelige angrebsvektorer; såsom SQL-injection-angreb og cross-site scripting-angreb (XSS). Deskpro Cloud udnytter også CloudFlares enterprise-grade Web Application Firewall (WAF) til automatisk at blokere eller udfordre mistænkelige anmodninger.
Alle kundedata gemt krypteret på AWS-servere (med AES-256-krypteringsalgoritmen).
Alle data, der transmitteres til og fra Deskpro-platformen, er krypteret over ledningen i overensstemmelse med industriens bedste praksis. Webtrafik over HTTP er sikret af CloudFlare med TLS 1.2 eller 1.3 ved hjælp af dokumenterede og sikre krypteringspakker.
Mere information vedr SSL/TLS hos CloudFlare
Administratorer kan konfigurere flere muligheder for SSO til Deskpro-platformen, herunder OneLogin, Okta, Azure, SAML og JWT-godkendelse. Der er forskellige konfigurationsmuligheder tilgængelige for SSO, så du kan tilpasse, hvordan den interagerer med agenter/kunder.
Deskpro aktiverer 2FA gennem din SSO-udbyder for administratorer, agenter og kunder.
Deskpro API er en REST-baseret API, der kører sikkert over HTTPS. API-anmodninger kan kun foretages af verificerede kunder. API-godkendelse kan udføres gennem OAuth, API-nøgler eller ved hjælp af kortlivede API-tokens.
Adgangskodepolitikker, der kan tilpasses, kan aktiveres for både agenter og kunder. Dette inkluderer muligheden for at indstille minimumspasswordlængde, forbyde adgangskodegenbrug, en blanding af tal og tegn og tvinge kunder til at ændre deres adgangskode efter et vist tidsrum.
Der føres omfattende revisionslogfiler for ændringer foretaget af administratorer. De giver optegnelser, herunder type, handling, performer og tidsstempel, at det blev udført. Aktivitetslogfiler for agenter kan også ses af administratorer, der viser aktivitet såsom billetsvar eller onlinetid.
Deskpro opretholder et højt tilgængelighedsniveau på cloud-platformen med et gennemsnit på over 99,9 %.
Der er en offentlig tilgængelig statusside, hvor du kan kontrollere status for cloud-softwaren og dets komponenter.
Vi bruger AWS med redundans over mindst to tilgængelighedszoner, med databasebackups, der tilbyder 35 dages point-in-time gendannelse, hvis det er nødvendigt. Yderligere krypterede off-site backups opdateres dagligt.
Vi har etableret procedurer og politikker med hensyn til at reagere og kommunikere om sikkerhedshændelser fra vores sikkerhedsteam.
Niveauet af sikkerhedshændelsen vil diktere, hvordan vi kommunikerer og reagerer på vores kunder. Hvis der opstår en sikkerhedshændelse, vil du blive holdt opdateret via vores Customer Success-team. De vil være klar til at hjælpe og støtte dig gennem hændelsen vedrørende opdateringer.
Alle vores procedurer og politikker vedrørende reaktion på sikkerhedshændelser evalueres og opdateres på mindst en årlig basis.
I tilfælde af en nødsituation eller kritisk hændelse i ethvert Deskpro-lokale, er en forretningskontinuitetsplan blevet på plads.
Dette blev skabt, så vi kan fortsætte med at fungere som en forretning for vores kunder, uanset scenariet. Forretningskontinuitetsplanen testes og kontrolleres på årsbasis for anvendelighed og eventuelle yderligere forbedringer, der kan foretages.
Skulle du ikke længere ønske at bruge Deskpro, vedligeholder vi sikkerhedskopier af dine konti i 60 dage - hvorefter dine data slettes fuldstændigt fra alle vores systemer.
Primære sikkerhedskopier tilbyder punkt-i-tidsgendannelse i 35 dage. Krypterede offsite backups opdateres dagligt.
Dine data slettes sikkert straks fra vores primære datalagre efter anmodning. Krypterede offsite sikkerhedskopier af dine data bliver renset gennem regelmæssig backup rotation hver 60. dag.
Al hardware, der ikke længere er i brug, tørres fuldstændigt af og bortskaffes ved hjælp af reguleret bortskaffelsesservice i overensstemmelse med ISO27001-overensstemmelse.
Før nogen slutter sig til Deskpro som medarbejder, er deres arbejdsstation sat op og konfigureret til at overholde alle vores sikkerhedspolitikker. Disse politikker kræver, at alle arbejdsstationer er konfigureret til et højt niveau og overholder sikkerhedscertificeringsstandarder såsom ISO27001 og Cyber Essentials Plus.
Hver arbejdsstation har data krypteret i hvile, stærke adgangskoder (administreret af en sikker adgangskodestyringsboks), lokationssporing aktiveret og skærme, der automatisk slukker, når de er inaktive.
SA centralt styringssystem bruges til at overvåge, spore og rapportere om malware, uautoriseret software og flytbare lagerenheder. Dette er for at sikre, at alle arbejdsstationer er opdaterede med patches og sikkerhed. Vi har også en streng politik for ikke-flytbare lagerenheder.
Alle mobile enheder (telefoner eller tablets), der bruges til arbejdsformål, er en del af et mobilenhedsadministrationssystem til placeringssporing, sikre adgangskoder og SSO.
Alle nyansættelser screenes under ansættelsesprocessen. Ved påbegyndelse af ansættelse hos Deskpro skal medarbejdere, entreprenører og rengøringspersonale underskrive en fortroligheds- og fortrolighedsaftale. Dette er også en opretholdt efteransættelseskontrakt.
Kun visse personer i organisationen får adgang til følsomme oplysninger. Det er på et behov-to-know-grundlag med rollebaserede tilladelser, for at gøre det muligt for medarbejderne at udføre deres arbejde efter bedste evne.
Vores adgangskontrolpolitik er implementeret internt, og inden for Deskpro har vi flere niveauer af sikkerhedsgodkendelse. Noget adgang, såsom udvidet support eller scenarier for deling af skærme, udføres på grundlag af en klientaftale.
For at øge sikkerheden yderligere, bruger Deskpro Two Factor Authentication (2FA) til systemer, der indeholder følsomme eller personlige data.
Brugen af Single Sign On (SSO) til medarbejderes gør det muligt for ledelsen at deaktivere eller ændre adgangen til alle applikationer med det samme. Dette bruges, når en medarbejder forlader Deskpro, eller deres adgang skal fjernes.
Som en del af vores interne adgangskodepolitik kræver Deskpro, at alle medarbejdere bruger en godkendt adgangskodeadministrator. Dette er for at sikre, at adgangskoder er stærke, opbevares på et sikkert sted, regelmæssigt ændres og ikke genbruges. Hvor det er nødvendigt, advarer adgangskodeadministratoren brugerne om eventuelle potentielle adgangskoderisici for at opretholde høj sikkerhed på alle niveauer.
For at Deskpro kan køre effektivt, er vi afhængige af, at underserviceorganisationer hjælper os med at levere vores service.
Når vi vælger en passende leverandør til en påkrævet service, tager vi de nødvendige skridt for at sikre, at sikkerheden og integriteten af vores platform opretholdes. Hver underserviceorganisation bliver grundigt undersøgt, testet og sikkerhedstjekket, inden den implementeres i Deskpro.
Deskpro overvåger effektiviteten af disse leverandører, og de gennemgås årligt for at bekræfte, at deres fortsatte sikkerhed og sikkerhedsforanstaltninger opretholdes. Se en liste over vores nuværende underserviceorganisationer
I enhver situation, hvor brugen af en af disse underserviceorganisationer potentielt kan påvirke Deskpros sikkerhed, tager vi passende skridt til at mindske risikoen. Dette omfatter etablering af aftaler og sikring af, at de er i overensstemmelse med relevante certificeringer eller regler, såsom GDPR.
Deskpro søger, overvåger og forbedrer altid vores sikkerhedsopsætning aktivt. Dette er gennem regelmæssige kontroller og vurderinger fra både vores interne sikkerhedsteam og 3. parts bedømmere.
Alle resultater deles med ledelsesteamet og diskuteres i dybden ved sikkerhedsstyringsgennemgange. Nylige sikkerhedsaudits og certificeringer omfatter ISO27001, PCI, Cyber Essentials Plus, CSA Star, G-Cloud 12 & GDPR Readiness. Du kan se vores liste over certifikater nederst på denne side.
Vores adgangskontrolpolitik er implementeret internt, og inden for Deskpro har vi flere niveauer af sikkerhedsgodkendelse. Noget adgang, såsom udvidet support eller scenarier for deling af skærme, udføres på grundlag af en klientaftale.
Uafhængig penetrationstest af en certificeret CREST CHECK 3. part udføres på mindst en årlig basis. De udførte penetrationstests er fokuseret på sikkerhed, infrastruktur og produkt. Resultaterne af disse tests deles og reageres på af både sikkerheds- og højere ledelsesteam.
Vores årlige test inkluderer også både eksterne og interne netværkssårbarhedsscanninger med certificering til Cyber Essentials Plus. Alle 3. parts penetrationstest udføres af konsulenter, der er certificeret efter CREST standarder.
Vi værdsætter, at en organisation under visse omstændigheder kan kræve, at der udføres yderligere audits eller penetrationstest, før købet af Deskpro kan foretages. Vi byder kunder velkommen til at udføre deres egen penetrationstest i et Deskpro-miljø. Hvis du ønsker at arrangere en, bedes du kontakte support for at planlægge dette og for yderligere priser.
Hvis du er sikkerhedsekspert eller -forsker, og du mener, at du har opdaget et sikkerhedsrelateret problem med Deskpros online-systemer, sætter vi pris på din hjælp til at afsløre problemet til os på en ansvarlig måde. Vi har en Ansvarlig offentliggørelse program. Vi beder sikkerhedsforskningssamfundet om at give os mulighed for at rette op på en sårbarhed, før den offentliggøres.