SICUREZZA FISICA
Per offrire un software di assistenza clienti sicuro, si inizia innanzitutto con la sicurezza fisica: le strutture in cui si trovano i server Faveo Helpdesk nell’UE, i data center Tier III, ciascuno sono alimentati da alimentazione ridondante, con UPS e generatori di backup.
Sicurezza in loco Le nostre strutture del data center dispongono di un perimetro protetto con zone di sicurezza multilivello, sicurezza presidiata 24 ore su 24, 7 giorni su 7, videosorveglianza CCTV, identificazione multifattore con controllo degli accessi biometrico, serrature fisiche e allarmi di violazione della sicurezza.
I clienti possono scegliere di collocare i propri dati nel data center dell’UE.
SICUREZZA DELLA RETE
Per fornire software di assistenza clienti sicuro su Internet, è necessario prestare particolare attenzione alla sicurezza della rete. La politica di sicurezza di Faveo Helpdesk gestisce la sicurezza della rete con i metodi elencati di seguito.
Team di sicurezza dedicato
Il nostro team di sicurezza è a disposizione per rispondere ad avvisi ed eventi di sicurezza.
Protezione della rete
La nostra rete è protetta da firewall di livello 7 ridondanti, tecnologia router migliore della categoria, trasporto HTTPS sicuro su reti pubbliche, controlli regolari e tecnologie di rilevamento/prevenzione delle intrusioni di rete (IDS/IPS) che monitorano e bloccano il traffico dannoso e gli attacchi di rete.
Architettura di rete
La nostra architettura di sicurezza di rete è costituita da più zone di fiducia di sicurezza. I sistemi più sensibili, come i nostri server di database, sono protetti nelle nostre zone più affidabili. Altri sistemi sono ospitati in zone commisurate alla loro sensibilità, a seconda della funzione, della classificazione delle informazioni e del rischio. A seconda della zona, verranno applicati ulteriori monitoraggi di sicurezza e controlli di accesso.
Le DMZ vengono utilizzate tra Internet e internamente tra le diverse zone di fiducia.
Scansione delle vulnerabilità della rete
La scansione della sicurezza della rete ci fornisce informazioni approfondite per identificare rapidamente i sistemi non conformi o potenzialmente vulnerabili.
Gestione degli eventi degli incidenti di sicurezza (SIEM)
Un sistema SIEM (Security Incident Event Management) raccoglie registri estesi da importanti dispositivi di rete e sistemi host. Il SIEM crea trigger che avvisano il team di sicurezza in base a eventi correlati. Il team di sicurezza risponde a questi eventi.
Rilevamento e prevenzione delle intrusioni
I principali punti di ingresso e uscita del flusso di dati delle applicazioni sono monitorati con sistemi di rilevamento delle intrusioni (IDS) o sistemi di prevenzione delle intrusioni (IPS). I sistemi sono configurati per generare avvisi quando incidenti e valori superano soglie predeterminate e utilizzano firme regolarmente aggiornate in base alle nuove minacce. Ciò include il monitoraggio del sistema.
Programma di intelligence sulle minacce
Faveo Helpdesk partecipa a diversi programmi di condivisione delle informazioni sulle minacce. Monitoriamo le minacce inviate a queste reti di intelligence sulle minacce e agiamo in base al nostro rischio e alla nostra esposizione.
Mitigazione DDoS Oltre alle nostre capacità e ai nostri strumenti, collaboriamo con fornitori di scrubbing DDoS su richiesta per mitigare gli attacchi DDoS (Distributed Denial of Service).
Accesso logico
L’accesso logico alla rete di produzione dell’Helpdesk Faveo è limitato da un’esplicita necessità di conoscenza, utilizza privilegi minimi, viene frequentemente verificato e monitorato ed è controllato dal nostro team operativo. I dipendenti che accedono alla rete di produzione Faveo Helpdesk sono tenuti a utilizzare più fattori di autenticazione.
Risposta agli incidenti di sicurezza
In caso di avviso di sistema, gli eventi vengono inoltrati ai nostri team attivi 24 ore su 24, 7 giorni su 7, che forniscono copertura operativa, ingegneria di rete e sicurezza. I dipendenti vengono formati sui processi di risposta agli incidenti di sicurezza, inclusi i canali di comunicazione e i percorsi di escalation.
CRITTOGRAFIA
Crittografia in transito Le comunicazioni tra te e i server Faveo Helpdesk sono crittografate tramite le migliori pratiche del settore HTTPS e Transport Layer Security (TLS).
Crittografia a riposo Faveo Helpdesk supporta la crittografia dei dati dei clienti a riposo.
*Disponibile solo con il componente aggiuntivo Advanced Security
SICUREZZA DELL’APPLICAZIONE
Ottenere un software per il servizio clienti sicuro al 100% è impossibile senza l’applicazione delle misure di sicurezza a livello di applicazione. adottiamo varie misure per proteggere Faveo Helpdesk a livello di applicazione.
SVILUPPO SICURO (SDLC)
Formazione sulla sicurezza Almeno una volta all’anno, gli ingegneri partecipano alla formazione sul codice sicuro. Questa formazione copre i 10 principali difetti di sicurezza OWASP, i vettori di attacco comuni e i controlli di sicurezza dell’Helpdesk Faveo.
Controlli di sicurezza del framework Faveo Helpdesk
Utilizziamo i controlli di sicurezza del framework PHP per limitare l’esposizione alle 10 principali falle di sicurezza OWASP. Questi includono controlli intrinseci che riducono la nostra esposizione a Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e SQL Injection (SQLi), tra gli altri.
QA Il nostro reparto QA esamina e testa il nostro codice base. Numerosi ingegneri dedicati alla sicurezza delle applicazioni presenti nel personale identificano, testano e valutano le vulnerabilità della sicurezza nel codice.
Ambienti separati Gli ambienti di test e di staging sono separati fisicamente e logicamente dall’ambiente di produzione. Nessun dato reale dei clienti viene utilizzato negli ambienti di sviluppo o test.
VULNERABILITÀ APPLICATIVE
Scansione dinamica delle vulnerabilità
Utilizziamo una serie di strumenti di sicurezza qualificati di terze parti per scansionare continuamente la nostra applicazione. Faveo Helpdesk viene scansionato regolarmente rispetto alle 10 principali falle di sicurezza OWASP. Manteniamo un team interno dedicato alla sicurezza del prodotto per testare e collaborare con i team di ingegneri per risolvere eventuali problemi rilevati.
Analisi del codice statico
I nostri repository di codice sorgente, sia per la nostra piattaforma che per le applicazioni mobili, vengono continuamente scansionati per problemi di sicurezza tramite i nostri strumenti di analisi statica integrati.
CARATTERISTICHE DI SICUREZZA DEL PRODOTTO
SVILUPPO SICURO (SDLC)
- Nessuna password in testo semplice: crittografia della password nell’archiviazione del database
- Politica password configurabile
- Autenticazione a due fattori
FUNZIONI DI SICUREZZA DEL PRODOTTO AGGIUNTIVE
Accesso a privilegi e ruoli
Privilegi e ruoli di accesso L’accesso ai dati all’interno del tuo Faveo Helpdesk è regolato da diritti di accesso e può essere configurato per definire privilegi di accesso granulari.
Faveo Helpdesk dispone di vari livelli di autorizzazione per gli utenti (proprietario, amministratore, agente, utente finale, ecc.) che accedono alla tua istanza di Faveo Helpdesk.
Restrizioni IP
Il tuo Faveo Helpdesk può essere configurato per consentire l’accesso solo da specifici intervalli di indirizzi IP definiti. Queste restrizioni possono essere applicate a tutti gli utenti o solo ai tuoi agenti.
Sicurezza della trasmissione
Tutte le comunicazioni con i server Faveo Helpdesk sono crittografate utilizzando HTTPS standard del settore. Ciò garantisce che tutto il traffico tra te e Faveo Helpdesk sia sicuro durante il transito.
Inoltre, per la posta elettronica, il nostro prodotto supporta Transport Layer Security (TLS), un protocollo che crittografa e recapita la posta elettronica in modo sicuro, mitigando le intercettazioni e lo spoofing tra i server di posta.
Firma e-mail (DKIM/DMARC)
Supportiamo DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) per la firma delle e-mail in uscita da Faveo Helpdesk quando hai configurato un dominio di posta elettronica esterno sul tuo Faveo Helpdesk.
L’utilizzo di un servizio di posta elettronica che supporta queste funzionalità consente di interrompere lo spoofing della posta elettronica.
La nostra politica di divulgazione responsabile
