BEVEILIGING

Deskpro's beveiligingsbeleid en -praktijken

Of u uw help desk nu in de cloud of op locatie inzet, wij blijven ons inzetten voor de bescherming en beveiliging van uw gegevens.

Nalevingscertificeringen en voorschriften

ISO 27001
ISO 27001
SOC 2 Type II
SOC 2 Type II
PCI
PCI
GDPR
GDPR
G-Cloud
G-Cloud
CSA
CSA
Cyber Essentials Plus
Cyber Essentials Plus
California Consumer Privacy Act
California Consumer Privacy Act

Deskpro werkt met veiligheid in gedachten

De bescherming van uw gegevens is en is altijd onze prioriteit geweest. We begrijpen de waarde en gevoeligheid van uw privégegevens, dus implementeren we robuuste beveiligingsmaatregelen, ontworpen met de hoogste normen van betrouwbaarheid en betrouwbaarheid. Onze missie is eenvoudig: u absolute gemoedsrust bieden als het gaat om uw gegevensbeveiliging.

Deskpro streeft ernaar voortdurend de kennis van het zich ontwikkelende applicatiebeveiligingslandschap op peil te houden en ervoor te zorgen dat best practices op het gebied van beveiliging in de hele organisatie worden nageleefd.

We bieden klanten een breed scala aan aanpassingen, waaronder klanten die kunnen kiezen hoe ze Deskpro willen inzetten, in de cloud of op locatie (zelf gehost), en waar uw gegevens worden opgeslagen. Voor onze Cloud-hosting gebruiken we toonaangevende AWS.

Bescherming van uw gegevens

De beveiligingspraktijk van Deskpro is erop gericht om ongeoorloofde toegang tot klantgegevens te voorkomen. We zijn altijd op zoek naar manieren waarop we de beveiliging van Deskpro kunnen verbeteren door uitgebreide stappen te ondernemen om risico's op te sporen en te beperken.

Er vinden regelmatig managementveiligheidsbeoordelingen plaats om alle gebieden aan te pakken waarvan wij denken dat deze verbeterd en verder beveiligd kunnen worden. De implementatie hiervan kan plaatsvinden door middel van nieuwe beveiligingscertificeringen, compliance of testen door derden om best practices te garanderen en de beveiliging in heel Deskpro te verbeteren.

  • 24/7 beveiligingsteams ter plaatse
  • Toegang met minste privileges
  • Volledige dagelijkse back-ups
  • 256-bit geavanceerde coderingsstandaard (AES)
  • Tweefactorauthenticatie
  • Kwetsbaarheid scannen
  • Veelvoorkomende aanvallen beperken
  • Jaarlijkse penetratietesten

Witboek over beveiliging

Lees meer over hoe Deskpro ervoor zorgt dat de gegevens in uw help desk altijd veilig zijn, of u nu kiest voor cloud- of on-premise-implementatie.

AVG-naleving

GDPR is de grootste wijziging in de Europese wetgeving inzake gegevensprivacy in meer dan twintig jaar. Deskpro biedt tools in het product, evenals onze DPA, zodat u met Deskpro aan de AVG kunt voldoen.

Platform-uptime

Deskpro handhaaft een hoog beschikbaarheidsniveau op het cloudplatform, gemiddeld ruim 99,9%. U kunt de status van de cloudsoftware controleren op onze publiekelijk beschikbare statuspagina.

Fysieke bewaking

  • Faciliteiten

    Onze datacenterprovider voor cloudservices (AWS) exploiteert ultramoderne datacenters die voldoen aan ISO27001, PCI DSS Level 1, HIPAA, EU-US Privacy Shield en SOC 2 Type.

    Geautomatiseerde branddetectie- en -blussystemen worden geïnstalleerd in netwerk-, mechanische en infrastructuurgebieden. Alle AWS-datacenters zijn gebouwd volgens N+1-redundantienormen.

  • Beveiliging ter plaatse

    Onze datacenterfaciliteiten beschikken over 24/7 personeel op locatie, fysieke toegangspunten tot serverruimtes die zijn voorzien van cameratoezicht, biometrische beveiligingsprocedures en 24-uurs bewaking om bescherming te bieden tegen ongeoorloofde toegang en fysieke inbreuken op de beveiliging. Ze vereisen ook antecedentenonderzoek voor alle werknemers als onderdeel van het pre-employment screeningproces.

  • Serverbewaking

    De Global Security Operation Centers van AWS voeren 24/7 monitoring uit van de toegang tot datacenters, waarbij elektronische inbraakdetectiesystemen in de datalaag worden geïnstalleerd. Systemen worden voortdurend gemonitord door het Deskpro Security Team.

  • Locaties

    Deskpro biedt de implementatie van Cloud-accounts op datacenters in de VS, de EU of het VK. Klanten kunnen standaard kiezen in welke regio zij hun data exclusief willen hosten.

    Enterprise-plan klanten kunnen ervoor kiezen om te hosten in 1 van de 22 landen over de hele wereld.

  • Ononderbroken stroomvoorziening

    Elke faciliteit is uitgerust met een ononderbroken stroomvoorziening (UPS) en back-upgeneratoren in geval van stroomonderbreking.

  • Harde omtrek

    Elk van onze datacenters heeft een gecontroleerde perimeterlaag met 24/7 on-site beveiligingsteams, beperkte en gecontroleerde fysieke toegang, multi-factor authenticatie, elektronische inbraakdetectiesystemen en deuralarmering.

Netwerk veiligheid

  • Toegewijd beveiligingsteam

    Het beveiligingsteam van Deskpro is over de hele wereld verspreid. Ze bieden 24/7 monitoring en reactie op beveiligingsincidenten en waarschuwingen.

  • Firewalls

    Het openbare netwerk van Deskpro wordt beschermd door Cloudflare Enterprise, dat al het binnenkomende verkeer van internet filtert. Publieke e-mailservers worden beschermd door AWS Shield, dat op dezelfde manier inkomend verkeer van internet controleert en filtert. Er worden geen andere diensten of toegang tot het openbare internet verleend.

  • Architectuur

    Binnen het interne privénetwerk van Deskpro, dat niet toegankelijk is vanaf het openbare internet, maken we gebruik van AWS-beveiligingsgroepen en IAM-controles om de communicatie tussen componenten te vergrendelen, dus toegang tot services moet expliciet worden verleend op basis van behoefte. We maken het onmogelijk voor systemen om met elkaar te communiceren zonder dat we dit expliciet hebben geconfigureerd en gepland.

  • DDoS-beperking

    De systeemauditlogboeken van Deskpro worden altijd bijgehouden en gecontroleerd op afwijkingen, en we maken gebruik van gecontracteerde externe DDoS-providers om ons te beschermen tegen gedistribueerde aanvallen. Dit omvat zowel AWS Shield Guards als Cloudflare.

  • Toegang met minste privileges

    Toegang tot hostingservers en live-omgevingen wordt verleend via toegang met de minste bevoegdheden. Een zeer beperkt aantal werknemers heeft toegang tot live-omgevingen, waarvoor ook meerdere beveiligingsniveaus vereist zijn.

  • Reactie op beveiligingsincidenten (team)

    Deskpro houdt de cloudservice 24/7 in de gaten en heeft 24/7 een responsteam paraat om te reageren op beveiligingsincidenten. Onze hostingprovider, AWS, biedt ook 24/7 wereldwijde monitoring en ondersteuning voor de datacenters met meerdere locaties die worden gebruikt voor Deskpro Cloud.

  • Kwetsbaarheid scannen

    Er wordt in het hele netwerk een kwetsbaarheidsscan uitgevoerd om potentieel kwetsbare systemen te identificeren en het beveiligingsteam in staat te stellen eventuele zwakke punten snel te beoordelen.

Platform- en productbeveiliging

Ontwikkeling

  • Factureringsbeveiliging

    Deskpro slaat geen creditcardgegevens op. We gebruiken externe PCI-compatibele services (Spreedly en Stripe) om factureringsdiensten te leveren.

    Uw creditcardgegevens passeren tijdelijk onze servers en om deze reden zijn wij geverifieerd als conform de Payment Card Industry Data Security Standard (PCI DSS).

  • Kwaliteitsverzekering

    We hebben een speciale afdeling Quality Assurance (QA) die onze codebasis test, beoordeelt en triageert. Voor elke update of release van de software worden tests uitgevoerd door ontwikkelings-, ondersteunings- en QA-teams met een aanpak op meerdere niveaus.

  • Afzonderlijke/verschillende omgevingen

    Er zijn aparte omgevingen voor zowel staging als testen. Deze omgevingen zijn zowel logisch als fysiek gescheiden van de live-productieomgeving. Er worden geen klantgegevens gebruikt bij het testen of ontwikkelen.

  • Penetratietesten

    Deskpro wordt getest met unit-tests, menselijke audits, applicatie-penetratietests, statische analyse en functionele tests. Jaarlijks worden ook penetratietesten door derden uitgevoerd.

  • Veelvoorkomende aanvallen beperken (XSS, CSRF, SQLi)

    Deskpro is gebouwd om veelvoorkomende aanvalsvectoren te beperken; zoals SQL-injectieaanvallen en cross-site scripting-aanvallen (XSS). Deskpro Cloud maakt ook gebruik van de zakelijke Web Application Firewall (WAF) van CloudFlare om verdachte verzoeken automatisch te blokkeren of uit te dagen.

Encryptie

  • Gegevens in rust

    Alle klantgegevens worden gecodeerd opgeslagen op AWS-servers (met het AES-256-coderingsalgoritme).

  • Gegevens in transit

    Alle gegevens die naar en van het Deskpro-platform worden verzonden, worden via de draad gecodeerd in overeenstemming met de beste praktijken in de sector. Webverkeer via HTTP wordt beveiligd door CloudFlare met TLS 1.2 of 1.3 met behulp van bewezen veilige coderingssuites.

    Meer informatie over SSL/TLS bij CloudFlarePortableText [components.type] is missing "span"

Software

  • Eenmalig inloggen

    Beheerders kunnen meerdere opties configureren voor SSO naar het Deskpro-platform, waaronder OneLogin-, Okta-, Azure-, SAML- en JWT-authenticatie. Er zijn verschillende configuratieopties beschikbaar voor SSO, zodat u de interactie met agenten/klanten kunt aanpassen.

  • Twee-factor-authenticatie (2FA)

    Deskpro maakt 2FA mogelijk via uw SSO-provider voor beheerders, agenten en klanten.

  • API-beveiliging en authenticatie

    De Deskpro API is een op REST gebaseerde API die veilig via HTTPS draait. API-verzoeken kunnen alleen worden gedaan door geverifieerde klanten. API-authenticatie kan worden gedaan via OAuth, API-sleutels of met behulp van kortstondige API-tokens.

  • Aangepast wachtwoordbeleid

    Aanpasbaar wachtwoordbeleid kan worden ingeschakeld voor zowel agenten als klanten. Dit omvat de mogelijkheid om een ​​minimale wachtwoordlengte in te stellen, hergebruik van wachtwoorden te verbieden, een combinatie van cijfers en tekens te gebruiken en klanten te dwingen hun wachtwoord na een bepaalde tijd te wijzigen.

  • Auditlogboeken

    Er worden uitgebreide auditlogboeken bijgehouden voor wijzigingen die door beheerders zijn aangebracht. Ze bieden records inclusief type, actie, uitvoerder en tijdstempel waarop de uitvoering is uitgevoerd. Activiteitenlogboeken voor agenten kunnen ook door beheerders worden bekeken en tonen activiteiten zoals ticketantwoorden of online-tijd.

Beschikbaarheids- en beveiligingsincidenten

  • Uptime

    Deskpro handhaaft een hoog beschikbaarheidsniveau op het cloudplatform, gemiddeld ruim 99,9%.

    Er is een openbaar beschikbare statuspagina waar u dit kunt doen controleer de status van de cloudsoftware en zijn componenten.

  • Ontslag

    We gebruiken AWS met redundantie over ten minste twee beschikbaarheidszones, waarbij databaseback-ups indien nodig 35 dagen aan point-in-time herstel bieden. Extra gecodeerde externe back-ups worden dagelijks bijgewerkt.

  • Reageren op beveiligingsincidenten

    We hebben procedures en beleid opgesteld met betrekking tot het reageren op en communiceren over beveiligingsincidenten van ons beveiligingsteam.

    Het niveau van het beveiligingsincident zal bepalen hoe we communiceren en reageren op onze klanten. Als er zich een beveiligingsincident voordoet, wordt u op de hoogte gehouden via ons Customer Success-team. Zij staan ​​voor u klaar om u tijdens het incident te helpen en te ondersteunen met betrekking tot updates.

    Al onze procedures en beleidslijnen met betrekking tot het reageren op beveiligingsincidenten worden minimaal jaarlijks geëvalueerd en bijgewerkt.

  • Plan voor noodherstel en bedrijfscontinuïteit

    In het geval van een noodgeval of kritiek incident op een Deskpro-locatie is er een bedrijfscontinuïteitsplan opgesteld.

    Dit is in het leven geroepen zodat wij, ongeacht het scenario, als bedrijf voor onze klanten kunnen blijven functioneren. Jaarlijks wordt het bedrijfscontinuïteitsplan getoetst en gecontroleerd op toepasbaarheid en eventuele aanvullende verbeteringen.

Bewaring en verwijdering van gegevens

Back-ups

  • Back-upduur

    Mocht u Deskpro niet langer willen gebruiken, dan bewaren wij gedurende 60 dagen back-ups van uw accounts - waarna uw gegevens volledig uit al onze systemen worden verwijderd.

  • Aantal back-ups

    Primaire back-ups bieden herstel op een bepaald tijdstip gedurende 35 dagen. Gecodeerde externe back-ups worden dagelijks bijgewerkt.

Beschikbaarheid

  • Gegevens verwijderen

    Uw gegevens worden op verzoek onmiddellijk veilig verwijderd uit onze primaire gegevensopslag. Gecodeerde externe back-ups van uw gegevens worden elke 60 dagen verwijderd via regelmatige back-uprotatie.

  • Hardware verwijderen

    Alle hardware die niet langer in gebruik is, wordt volledig gewist en afgevoerd met behulp van een gereguleerde verwijderingsdienst in overeenstemming met ISO27001-naleving.

Organisatorische beveiliging

Eindpuntbeveiliging

  • Werkstation instellen

    Voordat iemand als werknemer bij Deskpro komt werken, wordt zijn of haar werkstation zo ingesteld en geconfigureerd dat het voldoet aan al ons beveiligingsbeleid. Dit beleid vereist dat alle werkstations op een hoog niveau zijn geconfigureerd en voldoen aan beveiligingscertificeringsnormen zoals ISO27001 en Cyber ​​Essentials Plus.

    Op elk werkstation zijn de gegevens in rust versleuteld, zijn er sterke wachtwoorden (beheerd door een veilige wachtwoordbeheerkluis), is locatietracking ingeschakeld en worden schermen automatisch uitgeschakeld als ze niet worden gebruikt.

  • Toezicht houden

    Het centrale beheersysteem van SA wordt gebruikt voor het monitoren, volgen en rapporteren van malware, ongeautoriseerde software en verwijderbare opslagapparaten. Dit is om ervoor te zorgen dat alle werkstations up-to-date zijn met patches en beveiliging. We hanteren ook een strikt beleid voor niet-verwijderbare opslagapparaten.

    Alle mobiele apparaten (telefoons of tablets) die voor werkdoeleinden worden gebruikt, maken deel uit van een beheersysteem voor mobiele apparaten voor locatietracering, veilige wachtwoorden en SSO.

  • Vertrouwelijkheid

    Alle nieuwe medewerkers worden tijdens het aanwervingsproces gescreend. Bij indiensttreding bij Deskpro zijn medewerkers, opdrachtnemers en schoonmaakploegen verplicht een geheimhoudings- en vertrouwelijkheidsovereenkomst te ondertekenen. Ook dit is een vast dienstverband na uitdiensttreding.

Toegang tot gevoelige informatie

  • Bevoorrading

    Alleen bepaalde mensen binnen de organisatie krijgen toegang tot gevoelige informatie. Het is op een need-to-know-basis met op rollen gebaseerde machtigingen, zodat medewerkers hun werk zo goed mogelijk kunnen uitvoeren.

    Ons toegangscontrolebeleid wordt intern geïmplementeerd en binnen Deskpro hebben we meerdere niveaus van veiligheidsmachtiging. Sommige toegang, zoals uitgebreide ondersteuning of scenario's voor het delen van schermen, wordt uitgevoerd op basis van klantovereenkomst.

  • Authenticatie

    Om de veiligheid nog verder te verhogen maakt Deskpro gebruik van Two Factor Authentication (2FA) voor systemen die gevoelige of persoonlijke gegevens bevatten.

    Door het gebruik van Single Sign On (SSO) voor medewerkers kan het management de toegang tot alle applicaties onmiddellijk uitschakelen of wijzigen. Dit wordt gebruikt wanneer een medewerker Deskpro verlaat of de toegang moet worden verwijderd.

  • Wachtwoordbeheer

    Als onderdeel van ons interne wachtwoordbeleid vereist Deskpro dat alle medewerkers een goedgekeurde wachtwoordbeheerder gebruiken. Dit is om ervoor te zorgen dat wachtwoorden sterk zijn, op een veilige locatie worden bewaard, regelmatig worden gewijzigd en niet opnieuw worden gebruikt. Waar nodig waarschuwt de wachtwoordbeheerder gebruikers voor eventuele wachtwoordrisico's om de beveiliging op alle niveaus te handhaven.

Leveranciersbeheer

  • Subserviceorganisaties

    Om Deskpro efficiënt te laten werken, vertrouwen we op subserviceorganisaties die ons helpen onze service te leveren.

    Bij het selecteren van een geschikte leverancier voor een vereiste dienst nemen we de juiste stappen om ervoor te zorgen dat de veiligheid en integriteit van ons platform behouden blijven. Elke subserviceorganisatie wordt zwaar onder de loep genomen, getest en op veiligheid gecontroleerd voordat deze in Deskpro wordt geïmplementeerd.

  • Naleving van leveranciers

    Deskpro houdt toezicht op de effectiviteit van deze leveranciers en ze worden jaarlijks beoordeeld om te bevestigen dat hun voortdurende veiligheid en waarborgen worden nageleefd. Bekijk een lijst van onze huidige subserviceorganisatiesPortableText [components.type] is missing "span"

  • Subverwerkers

    In elke situatie waarin het gebruik van een van deze subserviceorganisaties mogelijk van invloed zou kunnen zijn op de veiligheid van Deskpro, ondernemen we passende stappen om het risico te beperken. Dit omvat onder meer het maken van overeenkomsten en het garanderen dat deze voldoen aan relevante certificeringen of regelgeving, zoals de AVG.

Externe validatie

  • Beveiligingsnalevingsaudits

    Deskpro is altijd actief bezig met het zoeken, monitoren en verbeteren van onze beveiligingsinstellingen. Dit gebeurt via regelmatige controles en beoordelingen door zowel ons interne beveiligingsteam als externe beoordelaars.

    Alle resultaten worden gedeeld met het managementteam en diepgaand besproken tijdens de security management reviews. Recente beveiligingsaudits en certificeringen omvatten ISO27001, PCI, Cyber ​​Essentials Plus, CSA Star, G-Cloud 12 en GDPR Readiness. Onderaan deze pagina kunt u onze lijst met certificaten bekijken.

    Ons toegangscontrolebeleid wordt intern geïmplementeerd en binnen Deskpro hebben we meerdere niveaus van veiligheidsmachtiging. Sommige toegang, zoals uitgebreide ondersteuning of scenario's voor het delen van schermen, wordt uitgevoerd op basis van klantovereenkomst.

  • Penetratietesten

    Onafhankelijke penetratietesten door een gecertificeerde CREST CHECK derde partij worden minimaal jaarlijks uitgevoerd. De uitgevoerde penetratietesten zijn gericht op beveiliging, infrastructuur en product. De resultaten van deze tests worden gedeeld en er wordt actie op ondernomen door zowel het beveiligingsteam als het hogere managementteam.

    Onze jaarlijkse tests omvatten ook scans van zowel externe als interne netwerkkwetsbaarheid, met certificering voor Cyber ​​Essentials Plus. Alle penetratietests van derden worden uitgevoerd door consultants die gecertificeerd zijn volgens de CREST-normen.

  • Klantgestuurde audits

    Wij begrijpen dat een organisatie in bepaalde omstandigheden mogelijk verdere audits of penetratietests nodig heeft voordat de aanschaf van Deskpro kan worden gedaan. We verwelkomen klanten om hun eigen penetratietesten uit te voeren op een Deskpro-omgeving. Als u er een wilt regelen, neem dan contact op met de ondersteuning om dit te plannen en voor verdere prijzen.

  • Verantwoorde openbaarmaking

    Als u een beveiligingsexpert of onderzoeker bent en denkt dat u een beveiligingsprobleem met de onlinesystemen van Deskpro hebt ontdekt, stellen wij uw hulp bij het op verantwoorde wijze aan ons bekendmaken van het probleem op prijs. We hebben een Verantwoorde openbaarmaking programma. We vragen de veiligheidsonderzoeksgemeenschap om ons de kans te geven een kwetsbaarheid te corrigeren voordat deze openbaar wordt gemaakt.

Certificering / naleving

    • ISO27001
    • SOC 2 Type II
    • Cyber-essentials
    • Cyber ​​Essentials Plus
    • CSA-ster
    • AVG
    • G-Cloud
    • PCI-DSS
    • CCPA
    • Standaardcontractbepalingen (SCC)