為客戶服務提供保護
Zendesk Security
超過 140,000 家客戶信賴 Zendesk 處理其資料,而我們對此責任絕不會掉以輕心!我們將企業級的安全功能與對我們應用程式、系統和網路的全面審計相結合,以確保客戶和業務資料始終得到保護。我們的客戶可確保其資料的安全、互動的安全,以及對其業務的保護,真正做到高枕無憂。
檢視資料工作表
資料中心和網路安全
| 物理安全 | |
|---|---|
| 設施 | Zendesk 將服務資料託管於已通過 ISO 27001、PCI/DSS 服務提供者層級 1 以及/或者 SOC II 認證的 AWS 資料中心。 AWS 基礎結構服務包括備用電源、HVAC 系統,以及滅火裝置,有助於保護伺服器,最終保護您的資料安全。 |
| 現場安全 | AWS 現場安全包括多种功能,例如保全防護、圍牆保护、安全摘要、入侵偵測技術以及其他安全措施。瞭解更多關於 AWS 實體安全的資訊。 |
| 監控 | 所有生產網路系統、網路裝置和電路都由 Zendesk 工作人員予以持續監控和邏輯管理。實體安全、電源,以及網際網路連線由 AWS 監控。 |
| 位置 | Zendesk 使用位於美國、歐洲和亚太的 AWS 資料中心。客戶可選擇將其服務資料儲存僅限於美國或僅限於歐洲*(目前 Zendesk Chat 僅限於歐洲)。瞭解更多關於我們区域資料代管选项的資訊。 *僅適用於已購買「資料中心位置」附加元件的客戶 |
| 網路安全 | |
|---|---|
| 專門的安全團隊 | 我們遍布全球的安全團隊 24/7 隨叫隨到,以回應安全警報和事件。 |
| 防護 | 我們的網路透過關鍵 AWS 安全服務的使用、與我們的 Cloudflare 邊緣防護網路整合、定期審核,以及監控並/或封鎖惡意流量和網路攻擊的網路智慧技術而受到保護。 |
| 架構 | 我們的網路安全架構由多個安全域組成。而更敏感的系統,比如我們的資料庫伺服器,在我們最受信任的安全域中得到保護。其他系統根據其功能、資訊分類和風險,安置在與其敏感度相應的安全域中。根據安全域的不同,將套用額外的安全監控和存取控制。您可在網際網路之間,以及在您內部網路的不同受信任安全域之間設定 DMZ。 |
| 網路漏洞掃描 | 網路安全掃描使我們能夠深入瞭解並快速識別不符合要求或可能存在漏洞的系統。 |
| 協力廠商滲透測試 | 除了全面的內部掃描和測試計劃之外,每年,Zendesk 都會透過協力廠商安全專家來對整個 Zendesk 生產網路進行廣泛的滲透測試。 |
| 安全事故事件管理(SIEM) | 我們的安全事故事件管理(SIEM)系統從重要的網路裝置和主機系統彙集全面的日誌。SIEM 可就根據相關事件通知安全團隊的觸發程式發出警示,以便於調查與回應。 |
| 入侵偵測與防禦 | 透過儀測與監控服務入口和出口點,偵測異常行為。這些系統經設定,可在事故和數值超過預定的臨界值時,產生警報,並根據新的威脅,採用定期更新的簽章。這包括 24/7 的系統監控。 |
| 威脅情報計劃 | Zendesk 參與了多項威脅情報共用計劃。我們監控發佈到這些威脅情報網絡中的威脅,並根據風險和受影響程度來採取行動。 |
| DDoS 攻擊安全防護功能 | Zendesk 已構建一種多層方法以減少 DDoS 的損失。與 Cloudflare 的核心技術合作夥伴關係提供了網路邊緣防禦,而 AWS 擴容與防護工具的使用,以及我們對 AWS DDoS 特定服務的使用則提供了更深層的防護。 |
| 邏輯存取 | 將對 Zendesk 生產網路的存取限制在明確「需要瞭解」的基礎上,使用最少的特權,定期進行審核和監控,並由我們的運營團隊進行控制。存取 Zendesk 生產網路的員工必須使用多因素驗證。 |
| 安全事故回應 | 如發生系統警報的情況,該事件將被上報給我們的 24/7 團隊,以保障運營、網路工程和安全。員工會進行安全事故回應流程方面的訓練,包括溝通管道和上報途徑。 |
| 加密 | |
|---|---|
| 傳輸時加密 | 您與 Zendesk Support 和 Chat 伺服器之間的通訊透過業內最佳實務 HTTPS 和傳輸層安全性(TLS)在公用網路上進行加密。TLS 亦支援電郵加密。 |
| 待用加密 | Zendesk 的客戶可從資料待用加密防護中受益。服務資料在 AWS 中使用 AES 256 金鑰加密進行待用加密。 |
| 可用性和連續性 | |
|---|---|
| 運作時間 | Zendesk 維護一個公開的系統狀態網頁,其中包括系統可用性的詳細資訊、定期維護、服務事故記錄,以及相關的安全事件。 |
| 冗餘 | Zendesk 使用服務群集和網路冗余以避免單點故障。我們嚴格的備份制度和/或增強嚴重損壞修復服務使我們得以提供高水準的服務可用性,這是因為服務資料將在可用性區域之間進行複製。 |
| 嚴重損壞修復 | 嚴重損壞修復(DR)計劃確保在發生嚴重損壞的情況下,我們的服務仍然可用或易於還原。這是透過構建一個穩健的技術環境,建立嚴重損壞修復計劃,以及測試活動來實現的。 |
| 增強嚴重損壞修復 | 增強嚴重損壞修復套餐為復原時間目標(RTO)與復原點目標(RPO)加入了契約式目標。在任何已宣告的嚴重損壞事件期間,我們能夠優先處理具備增強嚴重損壞修復功能的客戶的運營業務,從而為這些目標提供了支援。*僅適用於購買「進階安全性」附加元件的客戶 |
應用程式安全
| 安全發展(SDLC) | |
|---|---|
| 安全訓練 | 工程師至少每年參加一次安全程式碼培訓,其涵蓋了 OWASP 的 10 大安全性風險、常見的攻擊向量以及 Zendesk 的安全控制。 |
| Ruby on Rails 架構安全控制 | 大多數 Zendesk 產品使用 Ruby on Rails 架構安全控制來避免受到 OWASP 10 大安全性風險的影響。這些固有風險控制減少了受跨網站指令碼(XSS)、跨網站偽造要求(CSRF)和 SQL 插入(SQLi)等等攻擊的影響。 |
| QA | 我們的品質保證(QA)部門會審查和測試我們的程式碼庫。由專職應用程式安全工程師進行員工識別、測試並會審程式碼中的安全性漏洞。 |
| 獨立的環境 | 測試和預備環境在邏輯上與生產環境分開。開發或測試環境中不使用實際的服務資料。 |
| 應用程式漏洞 | |
|---|---|
| 動態漏洞掃描 | 我們使用協力廠商的合格安全工具,以便對我們的核心應用程式進行連續動態掃描,防範 OWASP 的 10 大安全性風險。我們有一個專門的內部產品安全團隊進行測試,並與工程團隊合作修復發現的問題。 |
| 靜態程式碼分析 | 我們不斷對用於平台和行動應用程式的原始碼庫進行掃描,運用整合式靜態分析工具尋找安全問題。 |
| 安全滲透測試 | 除了全面的內部掃描和測試計劃之外,每個季度 Zendesk 都會透過協力廠商安全專家來對我們整個產品系列的不同應用程式進行細緻的滲透測試。 |
| 負責任披露 / 漏洞懸賞計劃 | 我們的負責任披露計劃為安全研究人員以及客戶提供了一個途徑,以便安全地進行測試並將安全性漏洞通知 Zendesk,這是透過我們與 HackerOne 的合作實現的。 |
產品安全功能
| 驗證安全 | |
|---|---|
| 驗證選項 |
對於 Support 和 Chat 中的管理員/代理,我們提供 Zendesk 登入。對於 Zendesk Support,您亦可啟用 SSO,以及 Google 驗證。 對於 Support 和 Chat 中的一般使用者,我們支援 Zendesk 登入。對於 Zendesk Support,您亦可啟用 SSO 和社群媒體 SSO(Facebook、Twitter、Google)用於一般使用者驗證。 |
| 單一登入(SSO) | 單一登入(SSO)使您可以在自己的系統中對使用者進行驗證,無需其輸入額外的登入憑證用於您的 Zendesk Support 執行個體。支援 JSON Web Token(JWT)和安全斷言標記語言(SAML)。瞭解更多關於安全性與登入設定值的資訊。 |
| 可設定的密碼政策 | Zendesk Support/Guide 提供以下三種密碼安全性層級:低、中、高,並可為代理和管理員設定自訂密碼規則。Zendesk 也允許針對一般使用者與代理和管理員設定不同密碼安全性層級。只有管理員可以變更密碼安全性層級。 |
| 雙因素驗證(2FA) | 若您在 Zendesk Support 執行個體中使用 Zendesk 登入,則您可以對代理和管理員啟用雙因素驗證(2FA)。Zendesk 支援簡訊和各種驗證 app 以產生密碼。您可選擇在自己的環境中使用 2FA,並結合使用企業 SSO 做為 Zendesk 的驗證方式。2FA 為您的 Zendesk 帳戶更添一層安全保護,使他人更難用您的身份登入。瞭解更多關於 2FA 的資訊。 |
| 安全憑證儲存 | Zendesk 遵循安全憑證儲存的最佳實務,從不以人工可讀的格式儲存密碼,並僅經過雜湊演算法處理,安全、單向隨機產生。 |
| API 安全和驗證 | Zendesk Support API 僅限 TLS。您可用使用者名稱和密碼的基本驗證,或使用者名稱和 API 金鑰進行 API 的授權。也支援 OAuth 驗證。瞭解更多關於 API 安全的資訊。 |
| 其他產品安全功能 | |
|---|---|
| 基於角色的存取控制 | 對 Zendesk 應用程式內資料的存取受到基於角色的存取控制(RBAC)的管轄,並可進行設定以界定粒狀存取權限。針對不同使用者(擁有者、管理員、代理、一般使用者等),Zendesk 有各種權限層級。瞭解更多關於 Support 使用者角色和使用者存取與安全性的資訊。 |
| IP 限制 | 您可設定 Zendesk Support 和 Chat,使其僅允許來自您所界定的特定 IP 位址範圍的訪客存取。您可將這些限制套用到所有使用者或僅套用到代理。瞭解更多關於使用 IP 限制的資訊。 |
| 私人附件 | 在 Zendesk Support 中,您可設定執行個體,使使用者必須登入才能檢視工單附件。如果未設定,則附件可以透過隨機長金鑰工單 ID 存取。 |
| 傳輸安全 | 所有與 Zendesk UI 及 API 的通訊都使用行業標準 HTTPS/TLS 在公用網路上加密。這樣可以確保您與 Zendesk 之間的所有通訊在傳輸的過程中都是安全的。此外,針對電子郵件,我們的產品預設使用隨機 TLS。傳輸層安全性(TLS)可加密並安全傳送電子郵件,當對等服務支援此協議時,可緩解郵件伺服器間的竊聽。 |
| 電郵簽章(DKIM/DMARC) | 當您在 Zendesk 中已設定外部電郵網域時,Zendesk Support 提供 DKIM(網域金鑰識別郵件)和 DMARC(網域型訊息驗證、報告和一致性),用於簽署從 Zendesk 寄出的電郵。使用支援這些功能的電郵服務可使您避免電郵欺騙。瞭解更多關於電郵數位簽章的資訊。 |
| 裝置追蹤 | 為了提高安全性,您的 Zendesk Support 執行個體會追蹤用於登入每個使用者帳戶的裝置。當使用者從一個新裝置登入帳戶時,它會被新增到該使用者個人檔案的裝置清單中。使用者可收到新增裝置的電子郵件通知,並且如果該活動可疑,則應後續跟進。可疑活動可在代理 UI 予以終止。 |
| 密文敏感資料 | Zendesk Support 和 Chat 的密文功能可以密文或刪除工單評論、自訂欄位,以及 Chat 中的敏感資料,以便保護機密資訊。工單中的資料將予以密文,以防止敏感資訊被儲存在 Zendesk 中。瞭解更多關於保護敏感資料的資訊。 *僅適用於 Enterprise 帳戶 |
| 用於客服中心的垃圾廣告篩選 | Zendesk Support 提供垃圾廣告篩選服務,以防止一般使用者的垃圾貼文發佈到您的客服中心或入口網站中。瞭解更多關於在客服中心篩選垃圾廣告的資訊。 |
法規遵循認證和會員資格
| 安全法規遵循 | |
|---|---|
| SOC 2 II 型 | 我們有一個 SOC 2 II 型報告,可根據需要和保密協定提供。如需更多資訊請聯絡 security@zendesk.com。 |
| ISO 27001:2013 | Zendesk 已通過 ISO 27001:2013 認證。該認證可在這裡下載 |
| ISO 27018:2014 | Zendesk 已通過 ISO 27018:2014 認證。該認證可在這裡下載 |
| 會員資格 | |
|---|---|
| Skyhigh Enterprise-Ready | Zendesk 已獲得 Skyhigh Enterprise-Ready™ 印章,這是 CloudTrust™ 計劃的最高評級。此印章被授予完全滿足針對資料保護、驗證、服務安全、商業慣例和法律保護最嚴格要求的雲端服務。 |
| 雲端安全聯盟 | Zendesk 是雲端安全聯盟(CSA)成員,這是一個非營利組織,其使命是推廣最佳實務的使用,以便在雲端運算中提供安全保證。CSA 已推出安全、信任和保證註冊(STAR),這是一項可公開存取的註冊,記錄了各種雲端運算產品所提供的安全控制。我們已根據審查評鑑自我評估的結果,完成一項公開的自我評估(CAI)問卷調查。 |
| 隱私認證 | |
|---|---|
| TRUSTe® 隱私認證計劃 | Zendesk 已證明我們的隱私計劃、政策和做法符合歐盟-美國隱私盾和/或瑞士-美國隱私盾的要求。這些公司已自我認證參與美國商務部隱私盾計劃:https://www.privacyshield.gov/list。TRUSTe 根據《隱私盾補充驗證原則》的要求,驗證其是否遵循隱私盾規定。 |
| 歐盟-美國和瑞士-美國隱私盾認證 | Zendesk 已通過認證遵循美國商務部的美國-歐盟和瑞士-美國隱私盾架構,並已被加入到商務部自我認證隱私盾參與者清單中。這些認證確認我們在將歐洲和瑞士的個人資料轉移到美國時,遵循隱私盾原則。 |
| 隱私政策 | 瞭解更多關於 Zendesk 隱私的資訊 |
| 行業法規遵循 | |
|---|---|
| HIPAA | 透過在 Zendesk 產品中充分利用合適的安全設定選項,我們幫助客戶履行其 HIPAA 義務。此外,我們提供業務合作協定(BAA)供訂閱者執行。 *BAA 僅適用於已購買「進階安全性」附加元件的客戶,且僅適用於某些 Zendesk 產品(須符合特定的設定規則)。 |
| 在 PCI 環境中使用 Zendesk | 檢視我們的 PCI 法規遵循白皮書或瞭解更多關於 Zendesk Support 的 PCI 法規遵循欄位的資訊。 *需 Enterprise 帳戶 |
其他安全方法
| 安全意識 | |
|---|---|
| 政策 | Zendesk 制定了一套全面的安全政策,涵蓋一系列的主題。這些政策供所有可存取 Zendesk 資訊資產的員工和承包商共用。 |
| 訓練 | 所有新員工均需參加安全意識訓練,此訓練在入職時提供,且之後每年提供一次。所有工程師均需每年參加安全編碼訓練。安全團隊也會透過電郵、部落格貼文,以及在內部活動示範中提供關於安全意識的更多最新訊息。 |
| 員工審查 | |
|---|---|
| 背景調查 | Zendesk 根據當地法律,對所有新員工進行背景調查。承包商也需要完成這些調查。背景調查包括刑事、教育和就業核查。清潔工也包括在內。 |
| 保密協議 | 所有新員工都會透過招聘程序進行審查,並需要簽署保密協定。 |
若您需存取我們的 SOC 2 報告,請傳送電郵至 security@zendesk.com。