為客戶服務提供保護
Zendesk Security
超過 120,000 家客戶信賴 Zendesk 處理其資料。對此我們絕不會掉以輕心。我們將企業級的安全功能與對我們應用程式、系統和網路的全面審計相結合,以確保客戶和業務資料始終得到保護。我們的客戶可確保其資料的安全、互動的安全,以及對其業務的保護,真正做到高枕無憂。
資料中心和網路安全
| 物理安全 | |
|---|---|
| 設施 | Zendesk 伺服器的代管位於符合 Tier IV 或 III+ 等級、SSAE-16、PCI DSS 或 ISO 27001 標準的設施中。我們的共置機箱空間從物理上和邏輯上與其他資料中心的客戶分隔開來。資料中心設施由冗餘電源供電,每個都有 UPS 和備用發電機。 |
| 現場安全 | 我們的資料中心設施設有一個帶多級安全區域的安全區、24/7 安全警衛、CCTV 視訊監控、帶有生物識別門禁控制的多因素識別系統、物理鎖,以及安全性漏洞警報。 |
| 監控 | 所有生產網路系統、網路裝置和電路都由 Zendesk 工作人員予以持續監控和邏輯管理。共置機箱門外的物理安全、電源與網際網路連線或 Amazon 服務由設施提供商監控。 |
| 位置 | Zendesk 使用位於美國、歐洲和日本的資料中心。客戶可選擇將其服務資料儲存僅限於美國或僅限於歐洲(目前 Zendesk Chat 僅限於歐洲)。瞭解更多關於我們歐盟資料代管政策的資訊*僅適用於已購買「資料中心位置」附加元件的客戶 |
| 網路安全 | |
|---|---|
| 專門的安全團隊 | 我們遍布全球的安全團隊 24/7 隨叫隨到,以回應安全警報和事件。 |
| 防護 | 我們的網路得到冗餘防火牆、一流的路由器技術、公用網路的安全 HTTPS 傳輸、定期審核以及網路入侵偵測及/或防禦技術(IDS/IPS)的防護,以監控及/或封鎖惡意流量和網路攻擊。 |
| 架構 | 我們的網路安全架構由多個安全域組成。而更敏感的系統,比如我們的資料庫伺服器,在我們最受信任的安全域中得到保護。其他系統根據其功能、資訊分類和風險,安置在與其敏感度相應的安全域中。根據安全域的不同,將套用額外的安全監控和存取控制。您可在網際網路之間,以及在您內部網路的不同受信任安全域之間設定 DMZ。 |
| 網路漏洞掃描 | 網路安全掃描使我們能夠深入瞭解並快速識別不符合要求或可能存在漏洞的系統。 |
| 協力廠商滲透測試 | 除了全面的內部掃描和測試計劃之外,每年 Zendesk 都會透過協力廠商安全專家來對整個 Zendesk 生產網路進行廣泛的滲透測試。 |
| 安全事故事件管理(SIEM) | 我們的安全事故事件管理(SIEM)系統從重要的網路裝置和主機系統彙集全面的日誌。SIEM 可就根據相關事件通知安全團隊的觸發程式發出警示,以便於調查與回應。 |
| 入侵偵測與防禦 | 透過入侵偵測系統(IDS)或入侵防禦系統(IPS)來監控主要的應用程式資料流程的入口和出口點。此系統經設定,可在事故和數值超過預定的臨界值時,產生警報,並根據新的威脅,採用定期更新的簽章。這包括 24/7 的系統監控。 |
| 威脅情報計劃 | Zendesk 參與了多項威脅情報共用計劃。我們監控發佈到這些威脅情報網絡中的威脅,並根據風險和受影響程度來採取行動。 |
| DDoS 攻擊安全防護功能 | 除了我們自己的功能和工具之外,我們還與隨選 DDoS 淨化供應商簽訂了合同,以提供分散式拒絕服務(DDoS)攻擊的安全防護功能。 |
| 邏輯存取 | 將對 Zendesk 生產網路的存取限制在明確「需要瞭解」的基礎上,使用最少的特權,定期進行審核和監控,並由我們的運營團隊進行控制。存取 Zendesk 生產網路的員工必須使用多因素驗證。 |
| 安全事故回應 | 如發生系統警報的情況,該事件將被上報給我們的 24/7 團隊,以保障運營、網路工程和安全。員工會進行安全事故回應流程方面的訓練,包括溝通管道和上報途徑。 |
| 加密 | |
|---|---|
| 傳輸時加密 | 您與 Zendesk Support 和 Chat 伺服器之間的通訊透過業內最佳實務 HTTPS 和傳輸層安全性(TLS)在公用網路上進行加密。TLS 亦支援電郵加密。 |
| 待用加密 | Zendesk Support 和 Chat 的所有客戶均可從待用加密防護中受益,用於附件的異地保存與完整的每日備份。若 Support 客戶要將其主要及次要 DR 資料存放區予以待用加密,則可透過購買「進階安全性」附加元件實現。您亦可購買 Chat 服務資料的待用加密。 |
| 可用性和連續性 | |
|---|---|
| 運作時間 | Zendesk 維護一個公開的系統狀態網頁,其中包括系統可用性的詳細資訊、定期維護、服務事故記錄,以及相關的安全事件。 |
| 冗餘 | Zendesk 使用服務群集和網路冗余以避免單點故障。我們嚴格的備份機制確保服務資料在主要和次要 DR 系統和設施中都進行主動複製。我們的共置資料庫儲存在高效快閃記憶體裝置中,每個資料庫群集都有多個伺服器。 |
| 嚴重損壞修復 | 嚴重損壞修復(DR)計劃確保在發生嚴重損壞的情況下,我們的服務仍然可用或易於還原。這是透過構建一個穩健的技術環境,並建立嚴重損壞修復計劃和測試來實現的。 |
| 增強嚴重損壞修復 | 透過增強嚴重損壞修復,包括服務資料在內的整個工作環境都在次要網站中進行複製,以便當主要網站完全不可用時支援服務的繼續執行。若您需要 RTO 和 RPO 的保障,可透過「進階安全性」附加元件購買。*僅當購買帶「進階安全性」附加元件的 Support 計劃時適用於 Chat |
應用程式安全
| 安全發展(SDLC) | |
|---|---|
| 安全訓練 | 工程師至少每年參加一次安全程式碼訓練,其涵蓋了 OWASP 的 10 大安全性漏洞、常見的攻擊向量以及 Zendesk 的安全控制。 |
| Ruby on Rails 架構安全控制 | Zendesk Support 使用 Ruby on Rails 架構安全控制來避免受到 OWASP 10 大安全性漏洞的影響。其中包括用於減少受跨網站指令碼(XSS)、跨網站偽造要求(CSRF)和 SQL 插入(SQLi)等等攻擊影響的固有風險控制。 |
| QA | 我們的 QA 部門會審查和測試我們的程式碼庫。由一些專職應用程式安全工程師進行員工識別、測試並會審程式碼中的安全性漏洞。 |
| 獨立的環境 | 測試和預備環境在物理上和邏輯上與生產環境分開。開發或測試環境中不使用實際的服務資料。 |
| 應用程式漏洞 | |
|---|---|
| 動態漏洞掃描 | 我們使用一系列協力廠商的合格安全工具,以便對我們的 Support 和 Chat 應用程式進行連續動態掃描,防範 OWASP 的 10 大安全性漏洞。我們有一個專門的內部產品安全團隊進行測試,並與工程團隊合作修復發現的問題。 |
| 靜態程式碼分析 | 我們不斷對用於平台和行動應用程式的 Zendesk Support 原始碼庫進行掃描,運用整合式靜態分析工具尋找安全問題。 |
| 安全滲透測試 | 除了全面的內部掃描和測試計劃之外,每個季度 Zendesk 都會透過協力廠商安全專家來對我們整個產品系列的不同應用程式進行細緻的滲透測試。 |
| 負責任披露 / 漏洞懸賞計劃 | 我們的負責任披露計劃為安全研究人員提供了一個途徑,以便安全地進行測試並將安全性漏洞通知 Zendesk,這是透過我們與 HackerOne 的合作實現的。 |
產品安全功能
| 驗證安全 | |
|---|---|
| 驗證選項 |
對於 Support 和 Chat 中的管理員/代理,我們提供 Zendesk 登入。對於 Zendesk Support,您亦可啟用 SSO,以及 Google 驗證。 對於 Support 和 Chat 中的一般使用者,我們支援 Zendesk 登入。對於 Zendesk Support,您亦可啟用 SSO 和社群媒體 SSO(Facebook、Twitter、Google)用於一般使用者驗證。 |
| 單一登入(SSO) | 單一登入(SSO)使您可以在自己的系統中對使用者進行驗證,無需其輸入額外的登入憑證用於您的 Zendesk Support 執行個體。支援 JSON Web Token(JWT)和安全斷言標記語言(SAML)。瞭解更多關於 SSO 的資訊 *SAML 僅適用於 Professional 和 Enterprise 帳戶*JWT 僅適用於 Team 帳戶及以上 |
| 可設定的密碼政策 | Zendesk Support 提供以下三種密碼安全性層級:低、中、高,並可為代理和管理員設定自訂密碼規則。Zendesk 使您可以為一般使用者設定一種密碼安全性層級,為管理員和代理設定另一種層級。只有管理員可以變更密碼安全性層級。*適用於 Professional 和 Enterprise 帳戶。 |
| 雙因素驗證(2FA) | 若您在 Zendesk Support 執行個體中使用 Zendesk 登入,則您可以對代理和管理員啟用雙因素驗證(2FA)。Zendesk 支援簡訊和 app,如 Authy 和 Google Authenticator 以產生密碼。2FA 為您的 Zendesk 帳戶更添一層安全保護,使他人更難用您的身份登入。瞭解更多關於 2FA 的資訊 |
| 安全憑證儲存 | Zendesk 遵循安全憑證儲存的最佳實務,從不以人工可讀的格式儲存密碼,並僅經過雜湊演算法處理,安全、單向隨機產生。 |
| API 安全和驗證 | Zendesk Support API 僅限 SSL,並且必須是已驗證使用者才能提出 API 請求。您可用使用者名稱和密碼的基本驗證,或使用者名稱和 API 金鑰進行 API 的授權。也支援 OAuth 驗證。瞭解更多關於 API 安全的資訊 |
| 其他產品安全功能 | |
|---|---|
| 存取權限和角色 | 對 Zendesk Support 和 Chat 內資料的存取受到存取權限的管轄,並可進行設定以界定粒狀存取權限。針對不同使用者(擁有者、管理員、代理、一般使用者等),Zendesk 有各種權限層級。瞭解更多關於存取層級的資訊 |
| IP 限制 | 您可設定 Zendesk Support 和 Chat,使其僅允許來自您所界定的特定 IP 位址範圍的訪客存取。您可將這些限制套用到所有使用者或僅套用到代理。瞭解更多關於使用 IP 限制的資訊 *僅適用於 Enterprise Support 帳戶及 Chat Enterprise |
| 私人附件 | 在 Zendesk Support 中,您可設定執行個體,使使用者必須登入才能檢視工單附件。如果未設定,則附件可以透過隨機長金鑰工單 ID 存取。 |
| 傳輸安全 | 所有與 Zendesk 伺服器的通訊都使用行業標準 HTTPS 在公用網路上加密。這樣可以確保您與 Zendesk 之間的所有通訊在傳輸的過程中都是安全的。此外,針對電郵,我們的產品支援傳輸層安全性(TLS),這是一種進行加密並安全傳送電郵的協議,可緩解郵件伺服器間的竊聽和欺騙。 |
| 電郵簽章(DKIM/DMARC) | 當您在 Zendesk 中已設定外部電郵網域時,Zendesk Support 提供 DKIM(網域金鑰識別郵件)和 DMARC(網域型訊息驗證、報告和一致性),用於簽署從 Zendesk 寄出的電郵。使用支援這些功能的電郵服務可使您避免電郵欺騙。瞭解更多關於電郵數位簽章的資訊。 |
| 裝置追蹤 | 為了提高安全性,您的 Zendesk Support 執行個體會追蹤用於登入每個使用者帳戶的裝置。當使用者從一個新裝置登入帳戶時,它會被新增到該使用者個人檔案的裝置清單中。使用者可收到新增裝置的電郵通知,並且如果該活動可疑,則應後續跟進。 |
| 自動密文 | Zendesk Support 的自動密文可以針對工單評論或自訂欄位中的信用卡號碼,密文這些數字或進行刪除,以便保護機密資訊。密文新收到的工單中的資料,以防止完整的信用卡號碼被儲存在 Zendesk 中。瞭解更多關於我們密文工具的資訊 *僅適用於 Enterprise 帳戶 |
| 用於客服中心和入口網站的垃圾廣告篩選 | Zendesk Support 提供垃圾廣告篩選服務,以防止一般使用者的垃圾貼文發佈到您的客服中心或入口網站中。瞭解如何在客服中心篩選垃圾廣告以及在入口網站篩選垃圾廣告 |
法規遵循認證和會員資格
| 安全法規遵循 | |
|---|---|
| SOC 2 II 型 | 我們有一個 SOC 2 II 型報告,可根據需要和保密協定提供。如需更多資訊請聯絡 security@zendesk.com。 |
| ISO 27001:2013 | Zendesk 已通過 ISO 27001:2013 認證。 |
| ISO 27018:2014 | Zendesk 已通過 ISO 27018:2014 認證。 |
| 會員資格 | |
|---|---|
| Skyhigh Enterprise-Ready | Zendesk 已獲得 Skyhigh Enterprise-Ready™ 印章,這是 CloudTrust™ 計劃的最高評級。此印章被授予完全滿足針對資料保護、驗證、服務安全、商業慣例和法律保護最嚴格要求的雲端服務。 |
| 雲端安全聯盟 | Zendesk 是雲端安全聯盟(CSA)成員,這是一個非營利組織,其使命是推廣最佳實務的使用,以便在雲端運算中提供安全保證。CSA 已推出安全、信任和保證註冊(STAR),這是一項可公開存取的註冊,記錄了各種雲端運算產品所提供的安全控制。我們已根據審查評鑑自我評估的結果,完成一項公開的自我評估(CAI)問卷調查。 |
| 隱私認證 | |
|---|---|
| TRUSTe® 隱私認證計劃 | 我們已獲得 TRUSTe 的隱私印章,表明我們的隱私聲明和我們的實踐做法已通過審查,符合 TRUSTe 計劃,可在其驗證頁面檢視。 |
| 歐美隱私盾和美國-瑞士安全港計劃 | Zendesk 已通過認證符合由美國商務部制定的歐美隱私盾和美國-瑞士安全港計劃。 |
| 隱私政策 | 瞭解更多關於 Zendesk 隱私的資訊 |
| 行業法規遵循 | |
|---|---|
| HIPAA | Zendesk 已成功完成 HIPAA/HITECH 評估,可供訂閱者執行其業務合作協定(BAA)。*BAA 僅適用於已購買「進階安全性」附加元件的客戶,且僅適用於某些 Zendesk 產品(須符合特定的設定規則)。 |
| 在 PCI 環境中使用 Zendesk | 檢視我們的 PCI 法規遵循白皮書或閱讀更多資訊瞭解 Zendesk Support 遵循 PCI 的欄位。*需 Enterprise 帳戶 |
其他安全方法
| 安全意識 | |
|---|---|
| 政策 | Zendesk 制定了一套全面的安全政策,涵蓋一系列的主題。這些政策供所有可存取 Zendesk 資訊資產的員工和承包商共用。 |
| 訓練 | 所有新員工均需參加安全意識訓練,此訓練在入職時提供,且之後每年提供一次。所有工程師均需每年參加安全編碼訓練。安全團隊也會透過電郵、部落格貼文,以及在內部活動示範中提供關於安全意識的更多最新訊息。 |
| 員工審查 | |
|---|---|
| 背景調查 | Zendesk 根據當地法律,對所有新員工進行背景調查。承包商也需要完成這些調查。背景調查包括刑事、教育和就業核查。清潔工也包括在內。 |
| 保密協議 | 所有新員工都會透過招聘程序進行審查,並需要簽署保密協定。 |
若您需存取我們的 SOC 2 報告,請傳送電郵至 security@zendesk.com。