SEGURIDAD FÍSICA
Con el fin de ofrecer un software de servicio de atención al cliente seguro, se comienza con la seguridad física en primer lugar: las instalaciones en las que se encuentran los servidores de Faveo Helpdesk en los centros de datos de nivel III de EU, cada uno de ellos se alimenta con energía redundante, con UPS y generadores de respaldo.
Seguridad in situ Nuestras instalaciones de centros de datos cuentan con un perímetro seguro con zonas de seguridad de varios niveles, seguridad con personal las 24 horas del día, los 7 días de la semana, videovigilancia CCTV, identificación multifactor con control de acceso biométrico, cerraduras físicas y alarmas de violación de seguridad.
Los clientes pueden optar por ubicar sus datos en el centro de datos de EU.
DE SEGURIDAD DE LA RED
Con el fin de ofrecer un software de servicio al cliente seguro a través de Internet, se debe prestar especial atención a la seguridad de la red. La política de seguridad de Faveo Helpdesk gestiona la seguridad de la red con los métodos que se enumeran a continuación.
Equipo de seguridad dedicado
Nuestro equipo de seguridad está disponible para responder a alertas y eventos de seguridad.
Protección de red
Nuestra red está protegida por firewalls redundantes de capa 7, la mejor tecnología de enrutador de su clase, transporte HTTPS seguro a través de redes públicas, auditorías periódicas y tecnologías de detección/prevención de intrusiones en la red (IDS/IPS) que monitorean y bloquean el tráfico malicioso y los ataques a la red.
Arquitectura de red
Nuestra arquitectura de seguridad de red consta de múltiples zonas de seguridad de confianza. Los sistemas más sensibles, como nuestros servidores de bases de datos, están protegidos en nuestras zonas más confiables. Otros sistemas se alojan en zonas proporcionales a su sensibilidad, dependiendo de la función, la clasificación de la información y el riesgo. Dependiendo de la zona, se aplicarán controles de acceso y supervisión de seguridad adicionales.
Las DMZ se utilizan entre Internet e interna, entre las diferentes zonas de confianza.
Análisis de vulnerabilidades de red
El análisis de la seguridad de la red nos proporciona una visión profunda para la identificación rápida de sistemas que no cumplen con las normas o que son potencialmente vulnerables.
Gestión de eventos de incidentes de seguridad (SIEM)
Un sistema de gestión de eventos de incidentes de seguridad (SIEM) recopila registros extensos de dispositivos de red importantes y sistemas host. El SIEM crea desencadenadores que notifican al equipo de seguridad en función de los eventos correlacionados. El equipo de seguridad responde a estos eventos.
Detección y prevención de intrusiones
Los principales puntos de entrada y salida del flujo de datos de la aplicación se supervisan con sistemas de detección de intrusiones (IDS) o sistemas de prevención de intrusiones (IPS). Los sistemas están configurados para generar alertas cuando los incidentes y los valores superan los umbrales predeterminados y utilizan firmas actualizadas periódicamente en función de las nuevas amenazas. Esto incluye la supervisión del sistema.
Programa de inteligencia de amenazas
Faveo Helpdesk participa en varios programas de intercambio de inteligencia sobre amenazas. Supervisamos las amenazas publicadas en estas redes de inteligencia de amenazas y tomamos medidas en función de nuestro riesgo y exposición.
Además de nuestras propias capacidades y herramientas, contratamos a proveedores de depuración de DDoS bajo demanda para mitigar los ataques de denegación de servicio distribuido (DDoS).
Acceso lógico
El acceso lógico a la red de producción de Faveo Helpdesk está restringido por una necesidad explícita de conocer, utiliza privilegios mínimos, es auditado y supervisado con frecuencia, y está controlado por nuestro equipo de operaciones. Los empleados que acceden a la red de producción de Faveo Helpdesk deben utilizar varios factores de autenticación.
Respuesta a incidentes de seguridad
En caso de una alerta del sistema, los eventos se escalan a nuestros equipos las 24 horas del día, los 7 días de la semana, que brindan cobertura de operaciones, ingeniería de redes y seguridad. Los empleados reciben formación sobre los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de escalamiento.
ENCRIPTACIÓN
Cifrado en tránsito Las comunicaciones entre usted y los servidores de Faveo Helpdesk se cifran a través de las mejores prácticas de la industria: HTTPS y Seguridad de la capa de transporte (TLS).
Cifrado en reposo Faveo Helpdesk admite el cifrado de los datos de los clientes en reposo.
*Solo disponible con el complemento de seguridad avanzada
DE SEGURIDAD DE APLICACIONES
Lograr un Software de Servicio al Cliente 100% seguro es imposible sin tener las medidas de seguridad aplicadas a nivel de aplicación. Tomamos varias medidas para proteger el servicio de asistencia de Faveo a nivel de aplicación.
DESARROLLO SEGURO (SDLC)
Al menos una vez al año, los ingenieros participan en la formación sobre código seguro. Esta capacitación cubre las 10 principales fallas de seguridad de OWASP, los vectores de ataque comunes y los controles de seguridad de Faveo Helpdesk.
Controles de seguridad del marco de asistencia técnica de Faveo
Utilizamos controles de seguridad del marco PHP para limitar la exposición a los 10 principales fallos de seguridad de OWASP. Estos incluyen controles inherentes que reducen nuestra exposición a Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e SQL Injection (SQLi), entre otros.
Control de calidad Nuestro departamento de control de calidad revisa y prueba nuestra base de código. Varios ingenieros de seguridad de aplicaciones dedicadas al personal identifican, prueban y clasifican las vulnerabilidades de seguridad en el código.
Entornos separados Los entornos de prueba y preparación están separados física y lógicamente del entorno de producción. No se utilizan datos reales de clientes en los entornos de desarrollo o prueba.
VULNERABILIDADES DE APLICACIONES
Análisis dinámico de vulnerabilidades
Empleamos una serie de herramientas de seguridad calificadas de terceros para escanear continuamente nuestra aplicación. Faveo Helpdesk se analiza regularmente para detectar los 10 principales fallos de seguridad de OWASP. Mantenemos un equipo interno dedicado a la seguridad de los productos para probar y trabajar con los equipos de ingeniería para remediar cualquier problema descubierto.
Análisis de código estático
Nuestros repositorios de código fuente, tanto para nuestra plataforma como para aplicaciones móviles, se escanean continuamente en busca de problemas de seguridad a través de nuestras herramientas de análisis estático integradas.
CARACTERÍSTICAS DE SEGURIDAD DEL PRODUCTO
DESARROLLO SEGURO (SDLC)
- Sin contraseñas de texto sin formato: cifrado de contraseñas en el almacenamiento de la base de datos
- Política de contraseñas configurable
- Autenticación de dos factores
CARACTERÍSTICAS ADICIONALES DE SEGURIDAD DEL PRODUCTO
Privilegios de acceso y roles Acceso
El acceso a los datos dentro de su servicio de asistencia de Faveo se rige por los derechos de acceso y se puede configurar para definir privilegios de acceso granulares.
Faveo Helpdesk tiene varios niveles de permisos para los usuarios (propietario, administrador, agente, usuario final, etc.) que acceden a su instancia de Faveo Helpdesk.
Restricciones de IP
Su servicio de asistencia de Faveo se puede configurar para permitir el acceso solo desde rangos de direcciones IP específicos que usted defina. Estas restricciones se pueden aplicar a todos los usuarios o solo a sus agentes.
Seguridad de la transmisión
Todas las comunicaciones con los servidores de Faveo Helpdesk están encriptadas mediante HTTPS estándar de la industria. Esto garantiza que todo el tráfico entre usted y Faveo Helpdesk sea seguro durante el tránsito.
Además, para el correo electrónico, nuestro producto es compatible con Transport Layer Security (TLS), un protocolo que encripta y entrega el correo electrónico de forma segura, mitigando las escuchas y la suplantación de identidad entre servidores de correo.
Firma de correo electrónico (DKIM/DMARC)
Admitimos DKIM (Domainkeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting & Conformance) para firmar correos electrónicos salientes desde el servicio de asistencia de Faveo cuando haya configurado un dominio de correo electrónico externo en su servicio de asistencia de Faveo.
El uso de un servicio de correo electrónico que admita estas funciones le permite detener la suplantación de identidad por correo electrónico.
Nuestra política de divulgación responsable
