為客戶服務提供保護
Zendesk Security
超過 145,000 家客戶信賴 Zendesk 處理其資料,而我們對此責任絕不會掉以輕心!我們將企業級的安全功能與對我們應用程式、系統和網路的全面審計相結合,以確保客戶和業務資料始終得到保護。我們的客戶可確保其資料的安全、互動的安全,以及對其業務的保護,真正做到高枕無憂。
檢視資料工作表
資料中心和網路安全
| 資料中心物理安全 | |
|---|---|
| 設施 | Zendesk 主要將服務資料託管於已通過 ISO 27001、PCI/DSS 服務提供者層級 1 以及/或者 SOC II 認證的 AWS 資料中心。瞭解更多關於 AWS 法規遵循的資訊。 AWS 基礎結構服務包括備用電源、HVAC 系統,以及滅火裝置,有助於保護伺服器,最終保護您的資料安全。瞭解更多關於 AWS 資料中心控制的資訊。 |
| 現場安全 | AWS 現場安全包括多种功能,例如保全防護、圍牆保护、安全摘要、入侵偵測技術以及其他安全措施。瞭解更多關於 AWS 實體安全的資訊。 |
| 資料託管位置 | Zendesk 使用位於美國、歐洲和亚太的 AWS 資料中心。瞭解更多關於您的 Zendesk 服務資料的資料託管位置的資訊。 客戶可選擇將其服務資料儲存僅限於美國或僅限於歐洲經濟區內** 瞭解更多關於我們区域資料託管选项以及服務資料類型限制的資訊。 *僅適用於已購買「資料中心位置」附加元件的客戶 |
| 網路安全 | |
|---|---|
| 專門的安全團隊 | 我們遍布全球的安全團隊 24/7 隨叫隨到,以回應安全警報和事件。 |
| 防護 | 我們的網路透過關鍵 AWS 安全服務的使用、與我們的 Cloudflare 邊緣防護網路整合、定期審核,以及監控並/或封鎖已知惡意流量和網路攻擊的網路智慧技術而受到保護。 |
| 架構 | 我們的網路安全架構由多個安全域組成。而更敏感的系統,比如我們的資料庫伺服器,在我們最受信任的安全域中得到保護。其他系統根據其功能、資訊分類和風險,安置在與其敏感度相應的安全域中。根據安全域的不同,將套用額外的安全監控和存取控制。您可在網際網路之間,以及在您內部網路的不同受信任安全域之間設定 DMZ。 |
| 網路漏洞掃描 | 網路安全掃描使我們能夠深入瞭解並快速識別不符合要求或可能存在漏洞的系統。 |
| 協力廠商滲透測試 | 除了全面的內部掃描和測試計劃之外,每年,Zendesk 都會透過協力廠商安全專家來對整個 Zendesk 生產與企業網路進行廣泛的滲透測試。 |
| 安全事故事件管理(SIEM) | 我們的安全事故事件管理(SIEM)系統從重要的網路裝置和主機系統彙集全面的日誌。SIEM 可就根據相關事件通知安全團隊的觸發程式發出警示,以便於調查與回應。 |
| 入侵偵測與防禦 | 透過儀測與監控服務入口和出口點,偵測異常行為。這些系統經設定,可在事故和數值超過預定的臨界值時,產生警報,並根據新的威脅,採用定期更新的簽章。這包括 24/7 的系統監控。 |
| 威脅情報計劃 | Zendesk 參與了多項威脅情報共用計劃。我們監控發佈到這些威脅情報網絡中的威脅,並根據風險來採取行動。 |
| DDoS 攻擊安全防護功能 | Zendesk 已構建一種多層方法以減少 DDoS 的損失。與 Cloudflare 的核心技術合作夥伴關係提供了網路邊緣防禦,而 AWS 擴容與防護工具的使用,以及我們對 AWS DDoS 特定服務的使用則提供了更深層的防護。 |
| 邏輯存取 | 將對 Zendesk 生產網路的存取限制在明確「需要瞭解」的基礎上,使用最少的特權,定期進行審核和監控,並由我們的運營團隊進行控制。存取 Zendesk 生產網路的員工必須使用多因素驗證。 |
| 安全事故回應 | 如發生系統警報的情況,該事件將被上報給我們的 24/7 團隊,以保障運營、網路工程和安全。員工會進行安全事故回應流程方面的訓練,包括溝通管道和上報途徑。 |
| 加密 | |
|---|---|
| 傳輸時加密 | 所有與 Zendesk UI 及 API 的通訊都透過行業標準 HTTPS/TLS(TLS 1.2 或更高)在公用網路上加密。這樣可以確保您與 Zendesk 之間的所有通訊在傳輸的過程中都是安全的。此外,針對電子郵件,我們的產品預設使用隨機 TLS。傳輸層安全性(TLS)可加密並安全傳送電子郵件,當對等服務支援此協議時,可緩解郵件伺服器間的竊聽。加密的例外情況可包括任何產品內簡訊功能的使用、任何其他協力廠商 app、整合或服務訂閱者可能自行決定選擇的使用。 |
| 待用加密 | 服務資料在 AWS 中使用 AES-256 金鑰加密進行待用加密。 |
| 可用性和連續性 | |
|---|---|
| 運作時間 | Zendesk 維護一個公開的系統狀態網頁,其中包括系統可用性的詳細資訊、定期維護、服務事故記錄,以及相關的安全事件。 |
| 冗餘 | Zendesk 使用服務群集和網路冗余以避免單點故障。我們嚴格的備份制度和/或增強嚴重損壞修復服務使我們得以提供高水準的服務可用性,這是因為服務資料將在可用性區域之間進行複製。 |
| 嚴重損壞修復 | 嚴重損壞修復(DR)計劃確保在發生嚴重損壞的情況下,我們的服務仍然可用或易於還原。這是透過構建一個穩健的技術環境,建立嚴重損壞修復計劃,以及測試活動來實現的。 |
| 增強嚴重損壞修復 | 增強嚴重損壞修復套餐為復原時間目標(RTO)與復原點目標(RPO)加入了契約式目標。在任何已宣告的嚴重損壞事件期間,我們能夠優先處理具備增強嚴重損壞修復功能的客戶的運營業務,從而為這些目標提供了支援。*僅適用於購買「進階安全性」附加元件的客戶 |
應用程式安全
| 安全發展(SDLC) | |
|---|---|
| 安全代碼訓練 | 工程師至少每年參加一次安全程式碼培訓,其涵蓋了 OWASP 的 10 大安全性風險、常見的攻擊向量以及 Zendesk 的安全控制。 |
| 架構安全控制 | Zendesk 使用具有安全控制的現代、安全開放原始碼架構來限制受到 OWASP 10 大安全性風險的影響。這些固有風險控制減少了受 SQL 插入(SQLi)、跨網站指令碼(XSS)與跨網站偽造要求(CSRF)等等攻擊的影響。 |
| Quality Assurance | 我們的品質保證(QA)部門會審查和測試我們的程式碼庫。由專職應用程式安全工程師進行員工識別、測試並會審程式碼中的安全性漏洞。 |
| 獨立的環境 | 測試和預備環境在邏輯上與生產環境分開。開發或測試環境中不使用服務資料。 |
| 漏洞管理 | |
|---|---|
| 動態漏洞掃描 | 我們使用協力廠商的安全工具,以便對我們的核心應用程式進行連續動態掃描,防範 OWASP 的 10 大安全性風險。我們有一個專門的內部產品安全團隊進行測試,並與工程團隊合作修復發現的問題。 |
| 靜態程式碼分析 | 我們不斷對用於平台和行動應用程式的原始碼庫進行掃描,運用整合式靜態分析工具尋找安全問題。 |
| 協力廠商滲透測試 | 除了全面的內部掃描和測試計劃之外,Zendesk 還僱用協力廠商安全專家來對我們整個產品系列的不同應用程式進行細緻的滲透測試。 |
| 負責任披露 / 漏洞懸賞計劃 | 我們的負責任披露計劃為安全研究人員以及客戶提供了一個途徑,以便安全地進行測試並將安全性漏洞通知 Zendesk,這是透過我們與 HackerOne 的合作實現的。 |
產品安全功能
| 驗證安全 | |
|---|---|
| 驗證選項 | 客戶可啟用原始 Zendesk 驗證、社群媒體單一登入(SSO)(Facebook、Twitter、Google),以及/或者企業 SSO(SAML、JWT)以進行一般使用者和/或代理驗證。瞭解更多關於使用者存取的資訊。 |
| 可設定的密碼政策 | Zendesk 針對透過管理中心提供的產品的原始驗證提供以下三種密碼安全性層級:低、中、高,並可為代理和管理員設定自訂密碼規則。Zendesk 也允許針對一般使用者與代理和管理員設定不同密碼安全性層級。只有管理員可以變更密碼安全性層級。瞭解更多關於可設定密碼政策的資訊。 |
| 雙因素驗證(2FA) | Zendesk 針對透過管理中心提供的產品的原始驗證為代理和管理員透過簡訊或驗證 app 提供雙因素驗證(2FA)。瞭解更多關於 2FA 的資訊。 |
| 服務憑證儲存 | Zendesk 遵循安全憑證儲存的最佳實務,從不以人工可讀的格式儲存密碼,並僅經過雜湊演算法處理,安全、單向隨機產生。 |
| 其他產品安全功能 | |
|---|---|
| 基於角色的存取控制 | 對 Zendesk 應用程式內資料的存取受到基於角色的存取控制(RBAC)的管轄,並可進行設定以界定粒狀存取權限。針對不同使用者(擁有者、管理員、代理、一般使用者等),Zendesk 有各種權限層級。 瞭解更多關於使用者角色的資訊:
如需有關全域安全性與使用者存取的詳情,請查閱此處。 |
| IP 限制 | 您可設定 Zendesk 產品,使其僅允許來自您所界定的特定 IP 位址範圍的訪客存取。您可將這些限制套用到所有使用者或僅套用到代理。 瞭解更多關於使用 IP 限制的資訊: |
| 私人附件 | 您可設定執行個體,使使用者必須登入才能檢視工單附件。瞭解更多關於私人附件的資訊。 |
| 電郵簽章(DKIM/DMARC) | 當您在 Zendesk 中已設定外部電郵網域時,Zendesk Support 提供 DKIM(網域金鑰識別郵件)和 DMARC(網域型訊息驗證、報告和一致性),用於簽署從 Zendesk 寄出的電郵。使用支援這些功能的電郵服務可使您避免電郵欺騙。瞭解更多關於電郵數位簽章的資訊。 |
| 裝置追蹤 | Zendesk 追蹤用於登入每個使用者帳戶的裝置。當使用者從一個新裝置登入帳戶時,它會被新增到該使用者個人檔案的裝置清單中。使用者可收到新增裝置的電子郵件通知,並且如果該活動可疑,則應後續跟進。可疑活動可在代理 UI 予以終止。瞭解更多關於裝置追蹤的資訊。 |
| 密文敏感資料 | 手動密文功能可以密文或刪除 Support 工單評論中的敏感資料,並安全地刪除附件,以便保護機密資訊。工單中的資料將透過 UI 或 API 予以密文,以防止敏感資訊被儲存在 Zendesk 中。瞭解更多關於透過 UI 或 API 密文的資訊。 自動密文功能可在 Support 與 Chat 中,自動將符合與 Luhn 檢驗相符的有效信用卡主帳號(CC PAN)的數字字串予以密文。瞭解更多關於在 Support 與 Chat 中自動密文的資訊。 Zendesk Support 提供可設定的遵循 PCI 規定的信用卡欄位,可將除最後四位以外的所有數字密文。瞭解更多關於 Zendesk 法規遵循的資訊。 |
| 用於客服中心的垃圾廣告篩選 | Zendesk Support 的垃圾廣告篩選服務可用於防止一般使用者的垃圾貼文發佈到您的客服中心。瞭解更多關於在客服中心篩選垃圾廣告的資訊。 |
法規遵循認證和會員資格
| 安全法規遵循 | |
|---|---|
| SOC 2 II 型 | 我們接受例行審核,具有最新的 SOC 2 II 型報告,該報告可根據需要在簽署保密協定的情況下提供。如需更多資訊請聯絡 security@zendesk.com。 |
| ISO 27001:2013 | Zendesk 已通過 ISO 27001:2013 認證。該認證可在這裡下載 |
| ISO 27018:2014 | Zendesk 已通過 ISO 27018:2014 認證。該認證可在這裡下載 |
| 會員資格 | |
|---|---|
| Skyhigh Enterprise-Ready | Zendesk 已獲得 Skyhigh Enterprise-Ready™ 印章,這是 CloudTrust™ 計劃的最高評級。此印章被授予完全滿足針對資料保護、驗證、服務安全、商業慣例和法律保護最嚴格要求的雲端服務。 |
| 雲端安全聯盟 | Zendesk 是雲端安全聯盟(CSA)成員,這是一個非營利組織,其使命是推廣最佳實務的使用,以便在雲端運算中提供安全保證。CSA 已推出安全、信任和保證註冊(STAR),這是一項可公開存取的註冊,記錄了各種雲端運算產品所提供的安全控制。我們已根據審查評鑑自我評估的結果,完成一項公開的自我評估(CAI)問卷調查。 此 CSA CAIQ 可在此處下載。 |
| 隱私認證 | |
|---|---|
| TRUSTe® 隱私認證計劃 | Zendesk 已證明我們的隱私計劃、政策和做法符合歐盟-美國隱私盾和/或瑞士-美國隱私盾的要求。這些公司已自我認證參與美國商務部隱私盾計劃:https://www.privacyshield.gov/list。TRUSTe 根據《隱私盾補充驗證原則》的要求,驗證其是否遵循隱私盾規定。 |
| 歐盟-美國和瑞士-美國隱私盾認證 | Zendesk 已通過認證遵循美國商務部的美國-歐盟和瑞士-美國隱私盾架構,並已被加入到商務部自我認證隱私盾參與者清單中。這些認證確認我們在將歐洲和瑞士的個人資料轉移到美國時,遵循隱私盾原則。 瞭解更多關於隱私盾的資訊。 |
| 隱私政策 | 瞭解更多關於 Zendesk 隱私的資訊 |
| 行業法規遵循 | |
|---|---|
| HIPAA | 透過在 Zendesk 產品中充分利用合適的安全設定選項,我們幫助客戶履行其 HIPAA 義務。此外,我們提供業務合作協定(BAA)供訂閱者執行。 *BAA 僅適用於已購買「進階安全性」附加元件的客戶,且僅適用於某些 Zendesk 產品(須符合特定的設定規則)。 |
| PCI | 檢視我們的 PCI 法規遵循白皮書或瞭解更多關於 Zendesk Support 的 PCI 法規遵循欄位的資訊。 *需 Enterprise 帳戶 如需我們的 PCI 法規遵循證明(AoC)及法規遵循證書,請聯絡 security@zendesk.com |
人力資源安全
| 安全意識 | |
|---|---|
| 政策 | Zendesk 制定了一套全面的安全政策,涵蓋一系列的主題。這些政策供所有可存取 Zendesk 資訊資產的員工和承包商共用。 |
| 訓練 | 所有員工均需參加安全意識訓練,此訓練在入職時提供,且之後每年提供一次。所有工程師均需每年參加安全代碼訓練。安全團隊也會透過電郵、部落格貼文,以及在內部活動示範中提供關於安全意識的更多最新訊息。 |
| 員工審查 | |
|---|---|
| 背景調查 | Zendesk 根據當地法律,對所有新員工進行背景調查。承包商也需要完成這些調查。背景調查包括刑事、教育和就業核查。清潔工也包括在內。 |
| 保密協議 | 所有新員工都需要簽署保密協定。 |
若您需存取我們的 SOC 2 報告,請傳送電郵至 security@zendesk.com。