為您保駕護航

我們接受例行審核，具有最新的 SOC 2 II 型報告，該報告可根據需要在簽署保密協定的情況下提供。可在此處索取最新的 SOC 2 II 型報告。

Zendesk 已通過 ISO 27001:2013 認證。該認證可在此處下載。

Zendesk 已通過 ISO 27018:2014 認證。該認證可在此處下載。

Zendesk 已得到 FedRAMP 低度影響軟體即服務（LI-SaaS）授權，並已列於 FedRAMP Marketplace。美國政府機構客戶可在此處填寫封裝存取請求表單，或提交請求至 fedramp@zendesk.com，以請求存取 Zendesk FedRAMP 安全性封裝。

透過在 Zendesk 產品中充分利用合適的安全設定選項，我們幫助客戶履行其 HIPAA 義務。此外，我們提供業務合作協定（BAA）供訂閱者執行。

*BAA 僅適用於已購買進階法規遵循附加元件的客戶，且僅適用於某些 Zendesk 產品（須符合特定的設定要求）。

檢視我們的 PCI 法規遵循白皮書或瞭解更多關於 Zendesk Support 的 PCI 法規遵循欄位的資訊。

*需 Enterprise 帳戶

若要取得我們的 PCI 法規遵循證明（AoC）及法規遵循憑證，按一下此處。

HDS 認證證實，Zendesk 確保客戶和合作夥伴的資料保密、完整且可供使用。Zendesk 與獨立第三方稽核者合作完成這項認證。我們在特定 Zendesk 產品中提供適當的安全設定選項，協助客戶實踐 HDS 義務 (會有特殊設定要求)。此外，我們也備有 HDS 附件供訂閱者簽署。

Zendesk 通過審核程序 (第 1 階段和 2 階段)，在 FSQS (金融服務資格審查系統) 供應商資格審查系統中完成註冊，符合參與採購組織的所有必要資格。請在此處申請最新的 FSQS 認證。

有關 FSQS 的更多詳細資料，請參閱 https://hellios.com/fsqs/。

Zendesk 已獲得 Skyhigh Enterprise-Ready™ 印章，這是 CloudTrust™ 計劃的最高評級。此印章被授予完全滿足針對資料保護、驗證、服務安全、商業慣例和法律保護最嚴格要求的雲端服務。

Zendesk 是雲端安全聯盟（CSA）成員，這是一個非營利組織，其使命是推廣最佳實務的使用，以便在雲端運算中提供安全保證。CSA 已推出安全、信任和保證註冊（STAR），這是一項可公開存取的註冊，記錄了各種雲端運算產品所提供的安全控制。我們已根據審查評鑑自我評估的結果，完成一項公開的自我評估（CAI）問卷調查。

此 CSA CAIQ 可在此處下載。

Zendesk 為 IT-ISAC 成員，這是一個致力於將各種不同的私部門公司聚集在一起，充分利用不斷發展的技術，對安全性有共同承諾的組織。IT-ISAC 促進協作與分享相關、可採取動作的威脅情報資訊與做法。他們主持針對情報、內部威脅、實體安全性以及其他特定重點領域的特別興趣群，有助於進一步推動我們保證 Zendesk 安全性的任務。

Zendesk 為 FIRST 成員，這是一個事件回應團隊的國際聯盟，共同處理電腦安全性事件，並推廣事件預防計劃。FIRST 成員開發並分享技術資訊、工具、方法、流程與最佳實務。做為 FIRST 成員，Zendesk Security 與其他成員合作，運用其共同的知識、技能與經驗，以促進一個更安全的全球電子環境。

瞭解更多關於 Zendesk 隱私的資訊

若需關於我們法務與隱私條款的資訊，請瀏覽：

• 此處在我們網頁上的客戶/合作夥伴法務條款：https://www.zendesk.com/company/customers-partners/
• 此處的政策/程序：https://www.zendesk.com/company/policies-procedures/
• 此處的隱私/資料保護：https://www.zendesk.com/company/privacy-and-data-protection/

Zendesk 主要將服務資料託管於已通過 ISO 27001、PCI DSS 服務提供者層級 1 以及/或者 SOC 2 認證的 AWS 資料中心。瞭解更多關於 AWS 法規遵循的資訊。

AWS 基礎結構服務包括備用電源、HVAC 系統，以及滅火裝置，有助於保護伺服器，最終保護您的資料安全。瞭解更多關於 AWS 資料中心控制的資訊。

AWS 現場安全包括多种功能，例如保全防護、圍牆保护、安全摘要、入侵偵測技術以及其他安全措施。瞭解更多關於 AWS 實體安全的資訊。

Zendesk 使用位於美國、歐洲和亚太的 AWS 資料中心。瞭解更多關於您的 Zendesk 服務資料的資料託管位置的資訊。

客戶可選擇將其服務資料儲存僅限於美國或僅限於歐洲經濟區內。*瞭解更多關於我們区域資料託管选项以及服務資料類型限制的資訊。

*僅適用於已購買「資料中心位置」附加元件的客戶

我們遍布全球的安全團隊 24/7 隨叫隨到，以回應安全警報和事件。

我們的網路透過關鍵 AWS 安全服務的使用、與我們的 Cloudflare 邊緣防護網路整合、定期審核，以及監控並/或封鎖已知惡意流量和網路攻擊的網路智慧技術而受到保護。

我們的網路安全架構由多個安全域組成。而更敏感的系統，比如我們的資料庫伺服器，在我們最受信任的安全域中得到保護。其他系統根據其功能、資訊分類和風險，安置在與其敏感度相應的安全域中。根據安全域的不同，將套用額外的安全監控和存取控制。您可在網際網路之間，以及在您內部網路的不同受信任安全域之間設定 DMZ。

網路安全掃描使我們能夠深入瞭解並快速識別不符合要求或可能存在漏洞的系統。

除了全面的內部掃描和測試計劃之外，每年，Zendesk 都會透過協力廠商安全專家來對整個 Zendesk 生產與企業網路進行廣泛的滲透測試。

我們的安全事故事件管理（SIEM）系統從重要的網路裝置和主機系統彙集全面的日誌。SIEM 可就根據相關事件通知安全團隊的觸發程式發出警示，以便於調查與回應。

透過儀測與監控服務入口和出口點，偵測異常行為。這些系統經設定，可在事故和數值超過預定的臨界值時，產生警報，並根據新的威脅，採用定期更新的簽章。這包括 24/7 的系統監控。

Zendesk 參與了多項威脅情報分享計劃。我們監控發佈到這些威脅情報網絡中的威脅，並根據風險來採取行動。

Zendesk 已構建一種多層方法以減少 DDoS 的損失。與 Cloudflare 的核心技術合作夥伴關係提供了網路邊緣防禦，而 AWS 擴容與防護工具的使用，以及我們對 AWS DDoS 特定服務的使用則提供了更深層的防護。

將對 Zendesk 生產網路的存取限制在明確「需要瞭解」的基礎上，使用最少的特權，定期進行審核和監控，並由我們的運營團隊進行控制。存取 Zendesk 生產網路的員工必須使用多因素驗證。

如發生系統警報的情況，該事件將被上報給我們的 24/7 團隊，以保障運營、網路工程和安全。員工會進行安全事故回應流程方面的訓練，包括溝通管道和上報途徑。

所有與 Zendesk UI 及 API 的通訊都透過行業標準 HTTPS/TLS（TLS 1.2 或更高）在公用網路上加密。這樣可以確保您與 Zendesk 之間的所有通訊在傳輸的過程中都是安全的。此外，針對電子郵件，我們的產品預設使用隨機 TLS。傳輸層安全性（TLS）可加密並安全傳送電子郵件，當對等服務支援此協議時，可緩解郵件伺服器間的竊聽。加密的例外情況可包括任何產品內簡訊功能的使用、任何其他協力廠商 app、整合或服務訂閱者可能自行決定選擇的使用。

服務資料在 AWS 中使用 AES-256 金鑰加密進行待用加密。

Zendesk 維護一個公開的系統狀態網頁，其中包括系統可用性的詳細資訊、定期維護、服務事故記錄，以及相關的安全事件。

Zendesk 使用服務群集和網路冗余以避免單點故障。我們嚴格的備份制度和/或增強嚴重損壞修復服務使我們得以提供高水準的服務可用性，這是因為服務資料將在可用性區域之間進行複製。

嚴重損壞修復（DR）計劃確保在發生嚴重損壞的情況下，我們的服務仍然可用或易於還原。這是透過構建一個穩健的技術環境，建立嚴重損壞修復計劃，以及測試活動來實現的。

我們的增強嚴重損壞修復套餐為復原時間目標（RTO）與復原點目標（RPO）加入了契約式目標。在任何已宣告的嚴重損壞事件期間，我們能夠優先處理具備增強嚴重損壞修復功能的客戶的運營業務，從而為這些目標提供了支援。

*僅在購買增強嚴重損壞修復附加元件時可用。

工程師至少每年參加一次安全程式碼培訓，其涵蓋了 OWASP 的 10 大安全性風險、常見的攻擊向量以及 Zendesk 的安全控制。

Zendesk 使用具有安全控制的現代、安全開放原始碼架構來限制受到 OWASP 10 大安全性風險的影響。這些固有風險控制減少了受 SQL 插入（SQLi）、跨網站指令碼（XSS）與跨網站偽造要求（CSRF）等等攻擊的影響。

我們的品質保證（QA）部門會審查和測試我們的程式碼庫。由專職應用程式安全工程師進行員工識別、測試並會審程式碼中的安全性漏洞。

測試和預備環境在邏輯上與生產環境分開。開發或測試環境中不使用服務資料。

我們使用協力廠商的安全工具，以便對我們的核心應用程式進行連、續動態掃描，防範 OWASP 的 10 大安全性風險。我們有一個專門的內部產品安全團隊進行測試，並與工程團隊合作修復發現的問題。

我們不斷對用於平台和行動應用程式的原始碼庫進行掃描，運用整合式靜態分析工具尋找安全問題。

除了全面的內部掃描和測試計劃之外，Zendesk 還僱用協力廠商安全專家來對我們整個產品系列的不同應用程式進行細緻的滲透測試。

我們的負責任披露計劃為安全研究人員以及客戶提供了一個途徑，以便安全地進行測試並將安全性漏洞通知 Zendesk，這是透過我們與 HackerOne 的合作實現的。

客戶可啟用原始 Zendesk 驗證、社群媒體單一登入（SSO）（Facebook、Twitter、Google），以及/或者企業 SSO（SAML、JWT）以進行一般使用者和/或代理驗證。瞭解更多關於使用者存取的資訊。

Zendesk 針對透過管理中心提供的產品的原始驗證提供以下三種密碼安全性層級：低、中、高，並可為代理和管理員設定自訂密碼規則。Zendesk 也允許針對一般使用者與代理和管理員設定不同密碼安全性層級。只有管理員可以變更密碼安全性層級。瞭解更多關於可設定密碼政策的資訊。

Zendesk 針對透過管理中心提供的產品的原始驗證為代理和管理員透過簡訊或驗證 app 提供雙因素驗證（2FA）。瞭解更多關於 2FA 的資訊。

Zendesk 遵循安全憑證儲存的最佳實務，從不以人工可讀的格式儲存密碼，並僅經過雜湊演算法處理，安全、單向隨機產生。

對 Zendesk 應用程式內資料的存取受到基於角色的存取控制（RBAC）的管轄，並可進行設定以界定粒狀存取權限。針對不同使用者（擁有者、管理員、代理、一般使用者等），Zendesk 有各種權限層級。

瞭解更多關於使用者角色的資訊：

• Support 預設角色
• Support 自訂角色 *僅限 Enterprise
• Chat 預設角色
• Chat 自訂角色 *僅限 Enterprise
• Explore 預設角色
• Guide 預設角色
• Talk 預設角色

如需有關全域安全性與使用者存取的詳情，請查閱此處。

您可設定 Zendesk 產品，使其僅允許來自您所界定的特定 IP 位址範圍的訪客存取。您可將這些限制套用到所有使用者或僅套用到代理。瞭解更多關於使用 IP 限制的資訊：

• Support / Guide
• 交談

您可設定執行個體，使使用者必須登入才能檢視工單附件。瞭解更多關於私人附件的資訊。

當您需要在 Zendesk 中設定外部電子郵件網域時，Zendesk 提供 DKIM（網域金鑰識別郵件）和 DMARC（網域型訊息驗證、報告和一致性），用於簽署從 Zendesk 寄出的電子郵件。使用支援這些功能的電子郵件服務可使您避免電子郵件欺騙。瞭解更多關於電子郵件數位簽章的資訊。

Zendesk 追蹤用於登入每個使用者帳戶的裝置。當使用者從一個新裝置登入帳戶時，它會被新增到該使用者個人檔案的裝置清單中。使用者可收到新增裝置的電子郵件通知，並且如果該活動可疑，則應後續跟進。可疑活動可在代理 UI 予以終止。瞭解更多關於裝置追蹤的資訊。

手動密文功能可以密文或刪除 Support 工單評論中的敏感資料，並安全地刪除附件，以便保護機密資訊。工單中的資料將透過 UI 或 API 予以密文，以防止敏感資訊被儲存在 Zendesk 中。瞭解更多關於透過 UI 或 API 密文的資訊。

自動密文功能可在 Support 與 Chat 中，自動將符合與 Luhn 檢驗相符的有效信用卡主帳號（CC PAN）的數字字串予以密文。瞭解更多關於在 Support 與 Chat 中自動密文的資訊。

Zendesk Support 提供可設定的遵循 PCI 規定的信用卡欄位，可將除最後四位以外的所有數字密文。瞭解更多關於 Zendesk PCI 法規遵循的資訊。

Zendesk Support 的垃圾廣告篩選服務可用於防止一般使用者的垃圾貼文發佈到您的客服中心。瞭解更多關於在客服中心篩選垃圾廣告的資訊。

Zendesk 制定了一套全面的安全政策，涵蓋一系列的主題。這些政策供所有可存取 Zendesk 資訊資產的員工和承包商共用。

所有員工均需參加安全意識訓練，此訓練在入職時提供，且之後每年提供一次。所有工程師均需每年參加安全代碼訓練。安全團隊也會透過電郵、部落格貼文，以及在內部活動示範中提供關於安全意識的更多最新訊息。

Zendesk 根據當地法律，對所有新員工進行背景調查。承包商也需要完成這些調查。背景調查包括刑事、教育和就業核查。清潔工也包括在內。

所有新員工都需要簽署保密協定。