FYSISK SIKKERHET
For å kunne tilby sikker kundeservice-programvare starter det med fysisk sikkerhet først – Faveo Helpdesk-servere er lokalisert i EU, Tier III-datasentre hver og en er drevet av redundant strøm, med UPS og backup-generatorer.
Sikkerhet på stedet Våre datasenterfasiliteter har en sikret omkrets med sikkerhetssoner på flere nivåer, 24/7 bemannet sikkerhet, CCTV-videoovervåking, multifaktoridentifikasjon med biometrisk adgangskontroll, fysiske låser og sikkerhetsbruddsalarmer.
Kunder kan velge å finne dataene sine i EU-datasenteret.
NETTVERKSIKKERHET
For å kunne levere sikker kundeserviceprogramvare over internett – Nettverkssikkerheten må vies spesiell oppmerksomhet. Faveo Helpdesks sikkerhetspolicy håndterer nettverkssikkerhet med metodene nedenfor.
Dedikert sikkerhetsteam
Vårt sikkerhetsteam er på vakt for å svare på sikkerhetsvarsler og hendelser.
Nettverksbeskyttelse
Nettverket vårt er beskyttet av redundante lag 7-brannmurer, klassens beste ruterteknologi, sikker HTTPS-transport over offentlige nettverk, regelmessige revisjoner og teknologier for oppdagelse/forebygging av nettverksinntrenging (IDS/IPS) som overvåker og blokkerer ondsinnet trafikk og nettverksangrep.
Nettverksarkitektur
Vår nettverkssikkerhetsarkitektur består av flere sikkerhetssoner med tillit. Mer sensitive systemer, som våre databaseservere, er beskyttet i våre mest pålitelige soner. Andre systemer er plassert i soner som står i forhold til deres følsomhet, avhengig av funksjon, informasjonsklassifisering og risiko. Avhengig av sonen vil ytterligere sikkerhetsovervåking og tilgangskontroll gjelde.
DMZ-er brukes mellom Internett, og internt, mellom de forskjellige tillitssonene.
Nettverkssårbarhetsskanning
Nettverkssikkerhetsskanning gir oss dyp innsikt for rask identifikasjon av manglende samsvar eller potensielt sårbare systemer.
Security Incident Event Management (SIEM)
Et SIEM-system (Security Incident Event Management) samler omfattende logger fra viktige nettverksenheter og vertssystemer. SIEM oppretter utløsere som varsler sikkerhetsteamet basert på korrelerte hendelser. Sikkerhetsteamet reagerer på disse hendelsene.
Inntrengningsdeteksjon og forebygging
Hovedpunkter for inntrenging og utgang av applikasjonsdata overvåkes med Intrusion Detection Systems (IDS) eller Intrusion Prevention Systems (IPS). Systemene er konfigurert til å generere varsler når hendelser og verdier overskrider forhåndsbestemte terskler og bruker regelmessig oppdaterte signaturer basert på nye trusler. Dette inkluderer systemovervåking.
Trusseletterretningsprogram
Faveo Helpdesk deltar i flere programmer for deling av trusselintelligens. Vi overvåker trusler som sendes til disse trusseletterretningsnettverkene og iverksetter tiltak basert på vår risiko og eksponering.
DDoS-reduksjon I tillegg til våre egne evner og verktøy, har vi kontrakter med on-demand DDoS-skrubbeleverandører for å redusere DDoS-angrep (Distributed Denial of Service).
Logisk tilgang
Logisk tilgang til Faveo Helpdesk Production Network er begrenset av et eksplisitt behov for å vite, bruker minst privilegier, blir ofte revidert og overvåket, og kontrolleres av vårt driftsteam. Ansatte som får tilgang til Faveo Helpdesk Production Network må bruke flere autentiseringsfaktorer.
Respons på sikkerhetshendelser
I tilfelle et systemvarsel, eskaleres hendelser til våre 24/7-team som gir operasjons-, nettverksteknikk- og sikkerhetsdekning. Ansatte er opplært i responsprosesser for sikkerhetshendelser, inkludert kommunikasjonskanaler og eskaleringsveier.
KRYPTERING
Kryptering i transitt Kommunikasjon mellom deg og Faveo Helpdesk-servere er kryptert via bransjens beste praksis HTTPS og Transport Layer Security (TLS).
Kryptering i hvile Faveo Helpdesk støtter kryptering av kundedata i hvile.
*Kun tilgjengelig med Advanced Security Add-on
APPLIKASJONSSIKKERHET
Å oppnå 100 % sikker kundeserviceprogramvare er umulig uten å ha tatt i bruk sikkerhetstiltakene på applikasjonsnivå. vi tar ulike skritt for å sikre Faveo Helpdesk på applikasjonsnivå.
SIKKER UTVIKLING (SDLC)
Sikkerhetsopplæring Minst årlig deltar ingeniører på opplæring i sikker kode. Denne opplæringen dekker OWASP Topp 10 sikkerhetsfeil, vanlige angrepsvektorer og Faveo Helpdesk-sikkerhetskontroller.
Faveo Helpdesk Framework Security Controls
Vi bruker sikkerhetskontroller for PHP-rammeverk for å begrense eksponeringen for OWASP Topp 10 sikkerhetsfeil. Disse inkluderer iboende kontroller som reduserer eksponeringen vår for Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) og SQL Injection (SQLi), blant andre.
QA QA-avdelingen vår gjennomgår og tester vår kodebase. Flere dedikerte applikasjonssikkerhetsingeniører på personalet identifiserer, tester og utprøver sikkerhetssårbarheter i kode.
Separate miljøer Test- og iscenesettelsesmiljøer er atskilt fysisk og logisk fra produksjonsmiljøet. Ingen faktiske kundedata brukes i utviklings- eller testmiljøene.
SÅRBARHETER I SØKNADEN
Dynamisk sårbarhetsskanning
Vi bruker en rekke tredjeparts, kvalifiserte sikkerhetsverktøy for kontinuerlig å skanne applikasjonen vår. Faveo Helpdesk skannes regelmessig mot OWASP Topp 10 sikkerhetsmangler. Vi har et dedikert internt produktsikkerhetsteam for å teste og samarbeide med ingeniørteam for å rette opp eventuelle oppdagede problemer.
Statisk kodeanalyse
Kildekodelagrene våre, for både plattformen og mobilapplikasjonene våre, skannes kontinuerlig for sikkerhetsproblemer via vårt integrerte statiske analyseverktøy.
PRODUKTSIKKERHETSFUNKSJONER
SIKKER UTVIKLING (SDLC)
- Ingen ren tekstpassord – Passordkryptering i databaselagring
- Konfigurerbar passordpolicy
- To-faktor autentisering
EKSTRA PRODUKTSIKKERHETSFUNKSJONER
Tilgang til privilegier og roller
Tilgangsrettigheter og roller Tilgang til data innenfor din Faveo Helpdesk styres av tilgangsrettigheter, og kan konfigureres til å definere granulære tilgangsprivilegier.
Faveo Helpdesk har ulike tillatelsesnivåer for brukere (eier, admin, agent, sluttbruker, etc.) som får tilgang til din Faveo Helpdesk-instans.
IP-begrensninger
Din Faveo Helpdesk kan konfigureres til kun å tillate tilgang fra spesifikke IP-adresseområder du definerer. Disse begrensningene kan brukes på alle brukere eller bare på agentene dine.
Overføringssikkerhet
All kommunikasjon med Faveo Helpdesk-servere er kryptert med industristandard HTTPS. Dette sikrer at all trafikk mellom deg og Faveo Helpdesk er sikker under transport.
I tillegg for e-post støtter produktet vårt Transport Layer Security (TLS), en protokoll som krypterer og leverer e-post sikkert, og reduserer avlytting og forfalskning mellom e-postservere.
E-postsignering (DKIM/DMARC)
Vi støtter DKIM (Domain Keys Identified Mail) og DMARC (Domain-based Message Authentication, Reporting & Conformance) for signering av utgående e-poster fra Faveo Helpdesk når du har satt opp et eksternt e-postdomene på Faveo Helpdesk.
Ved å bruke en e-posttjeneste som støtter disse funksjonene kan du stoppe e-postforfalskning.
Våre retningslinjer for ansvarlig avsløring
