Программное обеспечение для безопасного обслуживания клиентов


ФИЗИЧЕСКАЯ ОХРАНА

Чтобы предложить безопасное программное обеспечение для обслуживания клиентов, оно в первую очередь начинается с физической безопасности: объекты, на которых расположены серверы службы поддержки Faveo в ЕС, центры обработки данных уровня III, каждый из которых питается от резервного источника питания, с ИБП и резервными генераторами.

Безопасность на объекте Наши центры обработки данных имеют охраняемый периметр с многоуровневыми зонами безопасности, круглосуточную охрану, видеонаблюдение, многофакторную идентификацию с биометрическим контролем доступа, физические замки и сигнализацию нарушения безопасности.

Клиенты могут выбрать размещение своих данных в дата-центре ЕС.

СЕТЕВАЯ БЕЗОПАСНОСТЬ

Чтобы обеспечить безопасное программное обеспечение для обслуживания клиентов через Интернет, сетевой безопасности необходимо уделять особое внимание. Политика безопасности службы поддержки Faveo обеспечивает безопасность сети с помощью перечисленных ниже методов.

Выделенная команда безопасности

Наша команда безопасности всегда готова реагировать на предупреждения и события безопасности.

Защита сети

Наша сеть защищена резервными брандмауэрами 7-го уровня, лучшей в своем классе технологией маршрутизатора, безопасной передачей HTTPS по общедоступным сетям, регулярными аудитами и технологиями обнаружения и предотвращения сетевых вторжений (IDS/IPS), которые отслеживают и блокируют вредоносный трафик и сетевые атаки.

Сетевая архитектура

Наша архитектура сетевой безопасности состоит из нескольких зон безопасности. Более конфиденциальные системы, такие как наши серверы баз данных, защищены в наших наиболее надежных зонах. Другие системы размещаются в зонах, соразмерных их чувствительности, в зависимости от функции, классификации информации и риска. В зависимости от зоны будут применяться дополнительные меры контроля безопасности и контроля доступа.

ДМЗ используются между Интернетом и внутри страны между различными зонами доверия.

Сканирование сетевых уязвимостей

Сканирование сетевой безопасности дает нам глубокую информацию для быстрого выявления несоответствующих или потенциально уязвимых систем.

Управление событиями инцидентов безопасности (SIEM)

Система управления событиями инцидентов безопасности (SIEM) собирает обширные журналы с важных сетевых устройств и хост-систем. SIEM создает триггеры, которые уведомляют команду безопасности на основе коррелирующих событий. Служба безопасности реагирует на эти события.

Обнаружение и предотвращение вторжений

Точки входа и выхода основных потоков данных приложений контролируются с помощью систем обнаружения вторжений (IDS) или систем предотвращения вторжений (IPS). Системы настроены на генерацию оповещений, когда инциденты и значения превышают заранее определенные пороговые значения, и используют регулярно обновляемые сигнатуры на основе новых угроз. Сюда входит мониторинг системы.

Программа анализа угроз

Служба поддержки Faveo участвует в нескольких программах обмена информацией об угрозах. Мы отслеживаем угрозы, отправляемые в эти сети анализа угроз, и принимаем меры в зависимости от нашего риска и подверженности.

Защита от DDoS-атак В дополнение к нашим собственным возможностям и инструментам мы заключаем контракты с поставщиками услуг по очистке от DDoS-атак по требованию для смягчения атак распределенного отказа в обслуживании (DDoS).

Логический доступ

Логический доступ к производственной сети службы поддержки Faveo ограничен на основе явной служебной необходимости, использует минимальные привилегии, часто проверяется и контролируется, а также контролируется нашей оперативной командой. Сотрудники, получающие доступ к производственной сети службы поддержки Faveo, должны использовать несколько факторов аутентификации.

Реагирование на инциденты безопасности

В случае системного оповещения события передаются нашим круглосуточным командам, обеспечивающим эксплуатацию, сетевое проектирование и безопасность. Сотрудники обучены процессам реагирования на инциденты безопасности, включая каналы связи и пути эскалации.

ШИФРОВАНИЕ

Шифрование при передаче. Связь между вами и серверами службы поддержки Faveo шифруется с помощью лучших отраслевых практик HTTPS и Transport Layer Security (TLS).

Шифрование хранящихся данных Faveo Helpdesk поддерживает шифрование хранящихся данных клиентов.
*Доступно только с надстройкой повышенной безопасности.

БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЙ

Достижение 100% безопасности программного обеспечения для обслуживания клиентов невозможно без принятия мер безопасности на уровне приложений. мы предпринимаем различные шаги для обеспечения безопасности службы поддержки Faveo на уровне приложений.

БЕЗОПАСНАЯ РАЗВИТИЯ (SDLC)

Обучение безопасности Не реже одного раза в год инженеры проходят обучение безопасному кодированию. В этом тренинге рассматриваются 10 основных недостатков безопасности OWASP, распространенные векторы атак и средства управления безопасностью службы поддержки Faveo.

Элементы управления безопасностью Faveo Helpdesk Framework

Мы используем элементы управления безопасностью PHP-фреймворка, чтобы ограничить воздействие 10 основных недостатков безопасности OWASP. К ним относятся встроенные средства контроля, которые снижают нашу подверженность, среди прочего, межсайтовому скриптингу (XSS), подделке межсайтовых запросов (CSRF) и SQL-инъекциям (SQLi).

Контроль качества Наш отдел контроля качества проверяет и тестирует нашу кодовую базу. Несколько штатных инженеров по безопасности приложений выявляют, тестируют и сортируют уязвимости безопасности в коде.

Отдельные среды Среды тестирования и промежуточной среды физически и логически отделены от производственной среды. Никакие фактические данные о клиентах не используются в средах разработки или тестирования.

УЯЗВИМОСТИ ПРИЛОЖЕНИЯ

Динамическое сканирование уязвимостей

Мы используем ряд сторонних сертифицированных инструментов безопасности для постоянного сканирования нашего приложения. Служба поддержки Faveo регулярно проверяется на предмет 10 основных недостатков безопасности OWASP. У нас есть специальная группа по безопасности продуктов, которая тестирует продукты и работает с инженерными группами над устранением любых обнаруженных проблем.

Статический анализ кода

Наши репозитории исходного кода как для нашей платформы, так и для мобильных приложений постоянно сканируются на предмет проблем безопасности с помощью нашего интегрированного инструмента статического анализа.

ФУНКЦИИ БЕЗОПАСНОСТИ ПРОДУКТА

БЕЗОПАСНАЯ РАЗВИТИЯ (SDLC)

  • Никаких текстовых паролей – шифрование паролей в хранилище базы данных
  • Настраиваемая политика паролей
  • Двухфакторная аутентификация

ДОПОЛНИТЕЛЬНЫЕ ФУНКЦИИ БЕЗОПАСНОСТИ ПРОДУКТА

Доступ, привилегии и роли

Привилегии и роли доступа Доступ к данным в вашей службе поддержки Faveo регулируется правами доступа и может быть настроен для детального определения привилегий доступа.

Служба поддержки Faveo имеет различные уровни разрешений для пользователей (владелец, администратор, агент, конечный пользователь и т. д.), имеющих доступ к вашему экземпляру службы поддержки Faveo.

IP-ограничения

Вашу службу поддержки Faveo можно настроить так, чтобы разрешить доступ только из определенных вами диапазонов IP-адресов. Эти ограничения могут применяться ко всем пользователям или только к вашим агентам.

Безопасность передачи

Все сообщения с серверами службы поддержки Faveo шифруются с использованием отраслевого стандарта HTTPS. Это гарантирует, что весь трафик между вами и службой поддержки Faveo будет безопасным во время передачи.

Кроме того, для электронной почты наш продукт поддерживает Transport Layer Security (TLS) — протокол, который шифрует и безопасно доставляет электронную почту, уменьшая прослушивание и подделку между почтовыми серверами.

Подписание электронной почты (DKIM/DMARC)

Мы поддерживаем DKIM (почта, идентифицируемая ключами домена) и DMARC (аутентификация сообщений, отчетность и соответствие на основе домена) для подписи исходящих электронных писем от службы поддержки Faveo, если вы настроили внешний домен электронной почты в своей службе поддержки Faveo.

Использование службы электронной почты, поддерживающей эти функции, позволяет предотвратить подделку электронной почты.

Наша политика ответственного раскрытия информации