SICUREZZA

Politiche e pratiche di sicurezza di Deskpro

Sia che distribuiate il vostro help desk nel cloud o in locale, restiamo impegnati nella protezione e nella sicurezza dei vostri dati.

Certificazioni e normative di conformità

ISO 27001
ISO 27001
SOC 2 Type II
SOC 2 Type II
PCI
PCI
GDPR
GDPR
G-Cloud
G-Cloud
CSA
CSA
Cyber Essentials Plus
Cyber Essentials Plus
California Consumer Privacy Act
California Consumer Privacy Act

Deskpro opera pensando alla sicurezza

La salvaguardia dei tuoi dati è ed è sempre stata la nostra priorità. Comprendiamo il valore e la sensibilità delle tue informazioni private, motivo per cui implementiamo solide misure di sicurezza, progettate con i più alti standard di affidabilità e affidabilità. La nostra missione è semplice: offrirti la massima tranquillità quando si tratta della sicurezza dei tuoi dati.

Deskpro si impegna a mantenere costantemente la consapevolezza del panorama in evoluzione della sicurezza delle applicazioni e a garantire che le migliori pratiche di sicurezza siano rispettate in tutta l'organizzazione.

Offriamo ai clienti un'ampia gamma di personalizzazioni, inclusa la possibilità per i clienti di scegliere come distribuire Deskpro, nel cloud o in locale (self-hosted), e dove archiviare i propri dati. Per il nostro hosting nel cloud utilizziamo AWS leader del settore.

Protezione dei tuoi dati

La pratica di sicurezza di Deskpro mira a prevenire qualsiasi accesso non autorizzato ai dati dei clienti. Siamo sempre alla ricerca di modi per migliorare la sicurezza di Deskpro adottando misure approfondite per individuare e mitigare i rischi.

Vengono condotte revisioni periodiche della sicurezza della gestione per affrontare eventuali aree che riteniamo possano essere migliorate e ulteriormente protette. L'implementazione di ciò può avvenire attraverso nuove certificazioni di sicurezza, conformità o test di terze parti per garantire le migliori pratiche e migliorare la sicurezza su Deskpro.

  • Squadre di sicurezza sul posto 24 ore su 24, 7 giorni su 7
  • Accesso con privilegi minimi
  • Backup giornalieri completi
  • Standard di crittografia avanzata (AES) a 256 bit
  • Autenticazione a due fattori
  • Scansione delle vulnerabilità
  • Mitigare gli attacchi comuni
  • Test di penetrazione annuali

Libro bianco sulla sicurezza

Scopri di più su come Deskpro garantisce che i dati del tuo help desk siano sempre sicuri, sia che tu scelga la distribuzione nel cloud o in locale.

Conformità al GDPR

Il GDPR rappresenta la modifica più significativa apportata alla legislazione europea sulla privacy dei dati in oltre 20 anni. Deskpro fornisce strumenti interni al prodotto, nonché il nostro DPA, che ti consentono di conformarti al GDPR utilizzando Deskpro.

Tempo di attività della piattaforma

Deskpro mantiene un elevato livello di disponibilità sulla piattaforma cloud, con una media superiore al 99,9%. Puoi controllare lo stato del software cloud nella nostra pagina di stato disponibile pubblicamente.

Sicurezza fisica

  • Strutture

    Il nostro fornitore di data center di servizi cloud (AWS) gestisce data center all'avanguardia conformi a ISO27001, PCI DSS Livello 1, HIPAA, Scudo per la privacy UE-USA. Tipo USA e SOC 2.

    I sistemi automatizzati di rilevazione ed estinzione incendi sono installati nelle aree di rete, meccanica e infrastrutturale. Tutti i data center AWS sono costruiti secondo gli standard di ridondanza N+1.

  • Sicurezza del sito

    Le nostre strutture del data center dispongono di personale in loco 24 ore su 24, 7 giorni su 7, punti di accesso fisico alle sale server coperte da CCTV, procedure di sicurezza biometriche e monitoraggio di sorveglianza 24 ore su 24 per mantenere la protezione da accessi non autorizzati e violazioni della sicurezza fisica. Richiedono inoltre controlli sui precedenti di tutti i dipendenti come parte del processo di screening pre-assunzione.

  • Monitoraggio del server

    I centri operativi di sicurezza globali AWS eseguono il monitoraggio 24 ore su 24, 7 giorni su 7 delle attività di accesso ai data center, con sistemi elettronici di rilevamento delle intrusioni installati a livello dati. I sistemi sono costantemente monitorati dal team di sicurezza di Deskpro.

  • Posizioni

    Deskpro offre l'implementazione di account cloud in data center situati negli Stati Uniti, nell'UE o nel Regno Unito*. I clienti possono scegliere in quale regione desiderano ospitare esclusivamente i propri dati, come standard.

    PortableText [components.type] is missing "span"I clienti del Piano aziendale Possono scegliere di soggiornare in 1 dei 22 paesi in tutto il mondo.

  • Gruppo di continuità

    Ogni struttura è dotata di un sistema di alimentazione elettrica ininterrotta (UPS) e di generatori di riserva in caso di interruzione di corrente.

  • perimetro duro

    Ciascuno dei nostri data center dispone di un livello perimetrale controllato con team di sicurezza in loco 24 ore su 24, 7 giorni su 7, accesso fisico limitato e controllato, autenticazione a più fattori, sistemi elettronici di rilevamento delle intrusioni e allarmi per porte.

Sicurezza della rete

  • Team di sicurezza dedicato

    Il team di sicurezza di Deskpro è distribuito in tutto il mondo. Forniscono monitoraggio 24 ore su 24, 7 giorni su 7 e risposta a incidenti e avvisi di sicurezza.

  • Firewall

    La rete pubblica di Deskpro è protetta da Cloudflare Enterprise, che agisce per filtrare tutto il traffico Internet in entrata. I server di posta elettronica pubblici sono protetti da AWS Shield, che allo stesso modo monitora e filtra il traffico Internet in entrata. Non vengono forniti altri servizi né accesso alla rete Internet pubblica.

  • Architettura

    All'interno della rete privata interna di Deskpro, che non è accessibile dall'Internet pubblica, utilizziamo gruppi di sicurezza AWS e controlli IAM per bloccare la comunicazione tra i componenti, quindi l'accesso ai servizi deve essere concesso esplicitamente in base alla necessità. Rendiamo impossibile l'interazione dei sistemi tra loro senza che noi li configuriamo e pianifichiamo esplicitamente.

  • Mitigazione degli attacchi DDoS

    I registri di controllo del sistema Deskpro vengono sempre mantenuti e controllati per individuare eventuali anomalie e utilizziamo fornitori DDoS di terze parti convenzionati per proteggerci dagli attacchi distribuiti. Ciò include sia AWS Shield Guards che Cloudflare.

  • Accesso con privilegi minimi

    L'accesso ai server di hosting e agli ambienti live viene fornito con privilegi di accesso minimi. Un numero molto limitato di dipendenti ha accesso agli ambienti live, che richiedono anche più livelli di accesso di sicurezza.

  • Risposta agli incidenti di sicurezza (team)

    Deskpro monitora il servizio cloud 24 ore su 24, 7 giorni su 7 e dispone di un team di risposta disponibile 24 ore su 24, 7 giorni su 7 per rispondere agli incidenti di sicurezza. Il nostro provider di hosting, AWS, offre inoltre monitoraggio globale e supporto 24 ore su 24, 7 giorni su 7 per i data center multisede utilizzati per Deskpro Cloud.

  • Scansione delle vulnerabilità

    La scansione delle vulnerabilità viene eseguita su tutta la rete per identificare eventuali sistemi potenzialmente vulnerabili e consentire al team di sicurezza di esaminare rapidamente eventuali punti deboli.

Sicurezza della piattaforma e del prodotto

Sviluppo

  • Sicurezza della fatturazione

    Deskpro non memorizza i dati della carta di credito. Utilizziamo servizi di terze parti conformi PCI (Spreedly e Stripe) per fornire servizi di fatturazione.

    I dati della tua carta di credito passano temporaneamente attraverso i nostri server e per questo motivo siamo verificati per rispettare lo standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS).

  • Garanzia di qualità

    Disponiamo di un reparto dedicato al controllo qualità (QA) che testa, esamina e valuta il nostro codice base. Per ogni aggiornamento o versione del software, i team di sviluppo, supporto e QA eseguono test con un approccio multilivello.

  • Ambienti separati/diversi

    Esistono ambienti separati sia per la preparazione che per i test. Questi ambienti sono logicamente e fisicamente separati dall'ambiente di produzione live. Nessun dato del cliente viene utilizzato nei test o nello sviluppo.

  • Prove di penetrazione

    Deskpro viene testato con test unitari, auditing umano, test di penetrazione delle applicazioni, analisi statica e test funzionali. Ogni anno vengono eseguiti anche test di penetrazione di terze parti.

  • Mitigare gli attacchi comuni (XSS, CSRF, SQLi)

    Deskpro è stato creato per mitigare i vettori di attacco comuni; come attacchi SQL injection e attacchi cross-site scripting (XSS). Deskpro Cloud sfrutta inoltre il firewall per applicazioni web (WAF) di livello aziendale di CloudFlare per bloccare o contestare automaticamente le richieste sospette.

Crittografia

  • Dati a riposo

    Tutti i dati dei clienti vengono archiviati crittografati sui server AWS (utilizzando l'algoritmo di crittografia AES-256).

  • Dati in transito

    Tutti i dati trasmessi da e verso la piattaforma Deskpro sono crittografati in rete in conformità con le migliori pratiche del settore. Il traffico web su HTTP è protetto da CloudFlare con TLS 1.2 o 1.3 utilizzando suite di crittografia comprovate.

    Maggiori informazioni su SSL/TLS su CloudFlarePortableText [components.type] is missing "span"

Software

  • accesso singolo

    Gli amministratori possono configurare più opzioni per SSO sulla piattaforma Deskpro, tra cui l'autenticazione OneLogin, Okta, Azure, SAML e JWT. Sono disponibili diverse opzioni di configurazione per SSO che ti consentono di personalizzare il modo in cui interagisci con agenti/clienti.

  • Autenticazione a due fattori (2FA)

    Deskpro abilita la 2FA tramite il tuo provider SSO per amministratori, agenti e clienti.

  • Sicurezza e autenticazione API

    L'API Deskpro è un'API basata su REST che viene eseguita in modo sicuro su HTTPS. Le richieste API possono essere effettuate solo da clienti verificati. L'autenticazione API può essere eseguita tramite OAuth, chiavi API o token API di breve durata.

  • Politiche password personalizzate

    È possibile abilitare policy password personalizzabili sia per gli agenti che per i client. Ciò include la possibilità di impostare una lunghezza minima della password, vietare il riutilizzo della password, una combinazione di numeri e caratteri e obbligare i clienti a modificare la propria password dopo un certo periodo di tempo.

  • Registri di controllo

    Vengono conservati registri di controllo completi per le modifiche apportate dagli amministratori. Forniscono record che includono il tipo, l'azione, l'esecutore e il timestamp in cui è stata eseguita. Gli amministratori possono anche visualizzare i registri delle attività degli agenti, che mostrano attività come le risposte ai ticket o il tempo trascorso online.

Disponibilità e incidenti di sicurezza

  • Tempo di attività

    Deskpro mantiene un elevato livello di disponibilità sulla piattaforma cloud, con una media superiore al 99,9%.

    C'è una pagina di stato disponibile pubblicamente, dove puoi controllare lo stato del software cloud e i suoi componenti.

  • Ridondanza

    Utilizziamo AWS con ridondanza in almeno due zone di disponibilità, con backup del database che offrono 35 giorni di ripristino in qualsiasi momento, se necessario. Ulteriori backup esterni crittografati vengono aggiornati quotidianamente.

  • Rispondere agli incidenti di sicurezza

    Abbiamo stabilito procedure e politiche relative alla risposta e alla comunicazione degli incidenti di sicurezza da parte del nostro team di sicurezza.

    Il livello dell’incidente di sicurezza determinerà il modo in cui comunichiamo e rispondiamo ai nostri clienti. Se si verifica un incidente di sicurezza, il nostro team Customer Success ti terrà informato. Saranno disponibili per aiutarti e supportarti durante l'incidente relativo agli aggiornamenti.

    Tutte le nostre procedure e politiche relative alla risposta agli incidenti di sicurezza vengono valutate e aggiornate almeno una volta all'anno.

  • Piano di disaster recovery e continuità aziendale

    In caso di emergenza o incidente critico presso qualsiasi struttura Deskpro, è stato implementato un piano di continuità operativa.

    Questo è stato creato per consentirci di continuare a operare come azienda per i nostri clienti, indipendentemente dallo scenario. Il piano di continuità operativa viene testato e verificato annualmente per determinarne l'applicabilità e gli eventuali ulteriori miglioramenti che possono essere apportati.

Conservazione e cancellazione dei dati

Backup

  • Durata del backup

    Se non desideri più utilizzare Deskpro, conserviamo copie di backup dei tuoi account per 60 giorni, trascorsi i quali i tuoi dati verranno completamente cancellati da tutti i nostri sistemi.

  • Numero di backup

    I backup primari offrono ripristino point-in-time per 35 giorni. I backup esterni crittografati vengono aggiornati quotidianamente.

Eliminazione

  • Elimina dati

    I tuoi dati vengono immediatamente cancellati in modo sicuro dai nostri archivi dati primari su richiesta. I backup offsite crittografati dei tuoi dati vengono eliminati tramite una rotazione regolare dei backup ogni 60 giorni.

  • Rimuovere l'hardware

    Qualsiasi hardware non più in uso viene accuratamente pulito e smaltito utilizzando un servizio di smaltimento regolamentato in conformità con la conformità ISO27001.

Sicurezza organizzativa

Sicurezza degli endpoint

  • Configurazione della stazione di lavoro

    Prima che qualcuno entri a far parte di Deskpro come dipendente, la sua postazione di lavoro viene impostata e configurata per conformarsi a tutte le nostre politiche di sicurezza. Queste politiche richiedono che tutte le workstation siano configurate ad un livello elevato e soddisfino gli standard di certificazione di sicurezza come ISO27001 e Cyber ​​Essentials Plus.

    Ogni workstation dispone di dati crittografati inattivi, password complesse (gestite da un archivio sicuro di gestione delle password), rilevamento della posizione abilitato e schermi che si spengono automaticamente quando inattivo.

  • Supervisione

    Il sistema di gestione centrale SA viene utilizzato per monitorare, tracciare e segnalare malware, software non autorizzato e dispositivi di archiviazione rimovibili. Questo per garantire che tutte le workstation siano aggiornate con patch e sicurezza. Abbiamo anche una politica rigorosa sui dispositivi di archiviazione non rimovibili.

    Tutti i dispositivi mobili (telefoni o tablet) utilizzati per scopi lavorativi fanno parte di un sistema di gestione dei dispositivi mobili per il rilevamento della posizione, password complesse e SSO.

  • Riservatezza

    Tutti i nuovi dipendenti vengono selezionati durante il processo di assunzione. All'inizio del lavoro presso Deskpro, i dipendenti, gli appaltatori e le squadre di pulizia devono firmare un accordo di riservatezza e non divulgazione. Anche questo è un contratto post-impiego mantenuto.

Accesso alle informazioni sensibili

  • Approvvigionamento

    Solo alcune persone all'interno dell'organizzazione hanno accesso alle informazioni riservate. Si basa sulla necessità di conoscere con autorizzazioni basate sui ruoli, per consentire ai dipendenti di svolgere il proprio lavoro al meglio delle proprie capacità.

    La nostra politica di controllo degli accessi è implementata internamente e all'interno di Deskpro abbiamo più livelli di autorizzazione di sicurezza. Alcuni accessi, come il supporto esteso o gli scenari di condivisione dello schermo, vengono effettuati previo accordo con il cliente.

  • Autenticazione

    Per aumentare ulteriormente la sicurezza, Deskpro utilizza l'autenticazione a due fattori (2FA) per i sistemi contenenti dati personali o sensibili.

    L'utilizzo del Single Sign-On (SSO) per i dipendenti consente al management di disabilitare o modificare istantaneamente l'accesso a tutte le applicazioni. Viene utilizzato quando un dipendente lascia Deskpro o il suo accesso deve essere rimosso.

  • Gestione delle password

    Nell'ambito della nostra politica interna sulle password, Deskpro richiede a tutti i dipendenti di utilizzare un gestore di password approvato. Questo per garantire che le password siano sicure, conservate in un luogo sicuro, modificate regolarmente e non riutilizzate. Quando necessario, il gestore delle password avvisa gli utenti di eventuali rischi potenziali per la password per mantenere un elevato livello di sicurezza a tutti i livelli.

Gestione dei fornitori

  • Organizzazioni di sottoservizi

    Affinché Deskpro possa operare in modo efficiente, facciamo affidamento su organizzazioni di sub-servizi che ci aiutano a fornire il nostro servizio.

    Quando selezioniamo un fornitore adatto per un servizio richiesto, adottiamo misure adeguate per garantire il mantenimento della sicurezza e dell'integrità della nostra piattaforma. Ogni organizzazione di sottoservizi viene accuratamente controllata, testata e controllata in termini di sicurezza prima di essere distribuita a Deskpro.

  • Conformità dei fornitori

    Deskpro monitora l'efficacia di questi fornitori e li esamina annualmente per confermare che la loro sicurezza e le salvaguardie continui siano mantenute.

    Per vederne uno elenco delle nostre attuali organizzazioni di sub-serviziPortableText [components.type] is missing "span"

  • Subresponsabili del trattamento

    In qualsiasi situazione in cui l'uso di una di queste organizzazioni di sottoservizi potrebbe potenzialmente avere un impatto sulla sicurezza di Deskpro, adottiamo misure adeguate per mitigare il rischio. Ciò include la stipula di accordi e la garanzia che siano conformi alle certificazioni o ai regolamenti pertinenti, come il GDPR.

Convalida esterna

  • Verifiche di conformità della sicurezza

    Deskpro ricerca, monitora e migliora costantemente attivamente le nostre impostazioni di sicurezza. Ciò avviene attraverso controlli e valutazioni regolari da parte sia del nostro team di sicurezza interno che di valutatori esterni.

    Tutti i risultati vengono condivisi con il team di gestione e analizzati in modo approfondito nelle revisioni della gestione della sicurezza. Recenti controlli e certificazioni di sicurezza includono ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 e GDPR Readiness. Puoi vedere il nostro elenco di certificati in fondo a questa pagina.

    La nostra politica di controllo degli accessi è implementata internamente e all'interno di Deskpro abbiamo più livelli di autorizzazione di sicurezza. Alcuni accessi, come il supporto esteso o gli scenari di condivisione dello schermo, vengono effettuati previo accordo con il cliente.

  • Prove di penetrazione

    Almeno una volta all'anno vengono condotti test di penetrazione indipendenti da parte di una terza parte certificata CREST CHECK. I penetration test effettuati si concentrano su sicurezza, infrastruttura e prodotto. I risultati di questi test vengono condivisi e messi in pratica dai team di sicurezza e di senior management.

    I nostri test annuali includono anche scansioni di vulnerabilità della rete interna ed esterna, con certificazione Cyber ​​Essentials Plus. Tutti i test di penetrazione di terze parti vengono eseguiti da consulenti certificati secondo gli standard CREST.

  • Audit guidati dal cliente

    Comprendiamo che in determinate circostanze un'organizzazione potrebbe richiedere il completamento di ulteriori audit o test di penetrazione prima di poter acquistare Deskpro. Invitiamo i clienti a eseguire i propri test di penetrazione in un ambiente Deskpro. Se desideri programmarne uno, contatta l'assistenza per programmarlo e ottenere ulteriori informazioni sui prezzi.

  • Divulgazione responsabile

    Se sei un esperto o un ricercatore di sicurezza e ritieni di aver scoperto un problema relativo alla sicurezza con i sistemi online Deskpro, apprezziamo il tuo aiuto nel segnalarci responsabilmente il problema. Abbiamo un programma Divulgazione responsabile. Chiediamo alla comunità di ricerca sulla sicurezza di darci l'opportunità di correggere una vulnerabilità prima di renderla pubblica.

Certificazione e Conformità

    • ISO27001
    • SOC2 Tipo II
    • Elementi essenziali per l'informatica
    • Cyber ​​Essentials Plus
    • Stella CSA
    • GDPR
    • Nuvola G
    • PCI-DSS
    • CCPA
    • Clausole contrattuali tipo (SCC)