竭盡全力滿足您的需求

Zendesk 主要在 AWS 資料中心代管服務資料，這些資料中心已獲認證，符合 ISO 27001、PCI DSS 服務提供者級別 1 及／或 SOC 2。 了解 AWS 的合規性。

AWS 基建服務包括備用電源、HVAC 系統及滅火設備，以幫助保護伺服器並最終保護您的資料。 了解 AWS 的資料中心控制。

AWS 的現場安全包括保安、圍欄、安全反饋、闖入偵測技術及其他安全措施等功能。 了解 AWS 實體安全。

Zendesk 利用 AWS 在美國、歐洲及亞太地區的資料中心。 了解您的 Zendesk 服務資料的資料代管地點。

Zendesk 提供多種資料地點選擇，包括美國 (US)、澳洲 (AU)、日本 (JP) 或歐洲經濟區 (EEA)。 有關產品、計劃及地區服務的詳情，請參閱我們的地區資料代管政策。

我們分佈在全球的安全團隊全天候待命，對安全警報和事件做出回應。

我們透過使用關鍵的 AWS 安全服務、與我們的 Cloudflare 邊緣保護網絡整合、定期審計，以及監控和／或阻止已知惡意流量和網絡攻擊的網絡情報技術來保護我們的網絡。

我們的網絡安全架構由多個安全區組成。 更敏感的系統（例如資料庫伺服器）在我們最信任的區域受到保護。 其他系統根據功能、資訊分類及風險置於與其敏感性相當的區域。 根據不同區域，將適用額外的安全監控及門禁。 在互聯網之間及不同信任區內部之間均使用 DMZ。

我們透過網絡安全掃描獲得深度洞察力，能夠快速識別不符合規定或有潛在漏洞的系統。

除了實施廣泛的內部掃描和測試計劃，Zendesk 每年都會聘請第三方安全專家對 Zendesk 生產和企業網絡進行大範圍的滲透測試。

我們的安全事件管理 (SIEM) 系統從重要的網絡裝置及代管系統收集大量記錄。 SIEM 根據觸發因素發出警報，根據相關事件通知安全團隊進行調查及響應。

對服務入口和出口點進行測量和監控，以發現異常行為。 這些系統被設定為在事故和數值超過預定閾值時發出警報，並根據新威脅使用定期更新的簽名。 其中包括 24/7 系統監控。

Zendesk 參與多個威脅情報共享計劃。 我們監測發佈至威脅情報網絡的威脅，並根據風險採取行動。

Zendesk 已構建多層次的 DDoS 緩解方案。 與 Cloudflare 的核心技術合作提供了網絡邊緣防禦，而使用 AWS 的擴展及保護工具，以及我們使用 AWS DDoS 特定服務提供了更深層次的保護。

Zendesk 生產網絡的存取依照明顯「有必要知曉」的原則，利用最低權限，經常審計及監控，並由我們的營運團隊控制。 存取 Zendesk 生產網絡的僱員需要使用多種身分驗證因素。

如發出系統警報，事件將上報至我們提供營運、網絡工程及安全服務的 24/7 團隊。 僱員接受安全事故應變流程培訓，包括溝通渠道及上報路徑。

與 Zendesk UI 和 API 的所有通訊均透過行業標準 HTTPS/TLS（TLS 1.2 或更高）在公共網絡上進行加密。 這確保了您與 Zendesk 之間的所有通訊在傳輸過程中的安全。 此外，對於電郵，我們的產品預設利用機會主義 TLS。 傳輸層安全 (TLS) 對電郵進行加密和安全傳輸，在對等服務支援該協定的情況下，減輕了郵件伺服器之間的監聽。 加密的例外情況可能包括使用產品內簡訊功能、任何其他第三方應用程式、集成或服務，訂戶可自行選擇利用。

服務資料在 AWS 中使用 AES-256 金鑰加密進行靜態加密。

Zendesk 維護一個公開的系統狀態網頁，其中包括系統可用性詳情、計劃維護、服務事件歷史和相關安全事件。

Zendesk 採用服務叢集及網絡冗余來消除單點故障。 我們嚴格的備份制度及／或我們的增強型災難復原服務令我們能夠提供高水平的服務可用性，因為服務資料在各可用區內複製。

我們的嚴重損壞修復計劃確保在發生災難性損壞的情況下，我們的服務仍然可用或易於修復。

為此，我們建立了強大的技術環境，創建嚴重損壞修復計劃及測試活動。

我們的增強型災難復原方案新增了復原時間目標 (RTO) 和復原點目標 (RPO) 的合約目標。 我們在任何宣佈的災難事件中能夠優先考慮增強型災難復原訂戶的操作，為上述功能提供支援。

Zendesk 利用現代安全的開放原始碼框架及安全控制限制OWASP 十大安全風險。 這些固有控制措施減少了我們的 SQL 導入 (SQLi)、跨站點腳本 (XSS) 及跨站點請求偽造 (CSRF) 等風險。

我們的質量保證 (QA) 部門審查及測試我們的程式碼庫。 專職的應用安全工程師識別、測試及分類處理程式碼中的安全漏洞。

測試和暫存環境與生產環境在邏輯上分開。 我們的開發或測試環境中不使用服務資料。

我們採用第三方安全工具對我們的核心應用程式進行持續和動態掃描，以應對常見的網絡應用程式安全風險，包括但不限於 OWASP 十大安全風險。 我們有專門的內部產品安全團隊進行測試，並與工程團隊合作補救任何發現的問題。

我們對產品中使用的庫和相依性進行掃描，以識別漏洞，並確保漏洞得到管理。

除了實施廣泛的內部掃描和測試計劃，Zendesk 還聘請第三方安全專家對我們產品系列中的不同應用程式進行詳細的滲透測試。

我們的負責任披露計劃透過與 HackerOne 的合作，為安全研究人員以及訂戶提供了安全測試以及告知 Zendesk 存在安全漏洞的途徑。

Zendesk 有多種不同的身分驗證選項：訂戶可啟用原生 Zendesk 身分驗證、社交媒體單一登入 (SSO)（Facebook、Twitter、Google）及／或企業 SSO（SAML、JWT），用於最終使用者及／或代理身分驗證。 了解使用者存取權限。

管理中心為產品提供的 Zendesk 原生認證提供以下級別的密碼安全：低、中、高以及為代理和管理員設定的自訂密碼規則。 Zendesk 還允許不同密碼安全級別適用於最終使用者、代理及管理員。 只有管理員可變更密碼安全級別。 了解可設定的密碼策略。

管理中心為產品提供的 Zendesk 原生身分驗證透過簡訊或身分驗證應用程式為代理和管理員提供雙因身分驗證 (2FA)。 了解 2FA。

Zendesk 遵循安全證書儲存的最佳實踐，從不以人可讀的格式儲存密碼，而且僅以安全、加料式、單向散列的方式進行儲存。

如業務需要更高級別的數據私隱及保護，Zendesk 提供進階數據私隱及保護附件。 附件包括 BYOK 加密、可自訂的數據保留政策、數據屏蔽、PII 標記密文及存取記錄。

存取 Zendesk 應用程式內資料的權限由基於角色的存取控制 (RBAC) 管理，可設定為界定細化的存取權限。 Zendesk 支援各種使用者權限級別（所有者、管理員、代理、最終使用者等）。

了解使用者角色：

• 支援預設角色
• 支援自訂角色 *僅限企業
• 聊天預設角色
• 聊天自訂角色 *僅限企業
• 探索預設角色
• 指導預設角色
• 談話預設角色
• 工作階段時間

任何 Zendesk 賬戶均可將其 Zendesk 支援限制為僅供特定 IP 位址範圍內的使用者存取。 只有來自允許 IP 位址的使用者才能登入您的 Zendesk 賬戶。 你可允許訂戶（而非代理或管理員）繞過此限制。 有關詳情，請參閱使用 IP 限制存取 Zendesk 支援和您的幫助中心及在聊天中使用 IP 存取限制。

Zendesk 為主控對應的指南幫助中心提供免費 TLS 加密。 Zendesk 使用 Let's Encrypt 申請憑證，並在憑證過期前自動續期。

你亦可選擇上載你自己的憑證。

有關為指南幫助中心設定加密憑證的詳情，請參閱設定代管 TLS 加密憑證。

Zendesk Chat 允許限制向代理發送哪些檔案類型。 另外，你亦可選擇在聊天產品中完全關閉檔案發送。 有關此功能詳情，請參閱管理實時聊天中的檔案發送。

Zendesk 為 Enterprise/Enterprise Plus 計劃賬戶提供審計記錄。 這些記錄包括賬戶變更、使用者變更、應用變更、業務規則、票據刪除及設定。 審計記錄可在管理中心和支援 API 中查閱。 有關審計記錄的詳情及查看記錄中提供的資訊，請參閱檢視審計記錄的變更。

訂戶可配置實例，使用者需要登入才能查看票據附件。 了解私人附件。

Zendesk 有兩種刪除敏感資料的標記密文方式： 手動標記密文能夠編寫或刪除Support工單意見中的敏感資料，並安全刪除附件，以便你保護機密資訊。 透過 UI 或 API 將工單中的資料標記密文，以防止敏感資訊被儲存在 Zendesk 中。 詳細了解透過 UI 或 API 進行標記密文。

自動標記密文允許將訂戶提交工單上的信用卡號碼自動標記密文。 啟用後，工單中的信用卡號碼部分會被白色方格取代。 這些號碼也會從記錄和資料庫輸入中被標記密文。 有關如何啟用此功能以及如何識別信用卡號碼的詳情，請參閱自動標記密文工單及聊天的信用卡號碼。

Zendesk 的垃圾過濾服務可用於防止最終使用者的垃圾郵帖文在指南幫助中心發佈。 了解在指南中過濾垃圾。

Zendesk 提供 DKIM（網域密鑰識別郵件）和 DMARC（基於網域的郵件身分驗證、報告和一致性），在您必須在 Zendesk 上設置外部電郵網域時，可從 Zendesk 簽署外發電郵。 使用支援這些功能的電郵服務有助於您阻止電郵欺騙。 了解以數碼方式簽署您的電郵。

Zendesk 追蹤用於登入每個使用者賬戶的裝置。 在有人從新裝置登入賬戶時，該裝置將加入該使用者資料中的裝置清單。 加入新裝置時，該使用者可收到電郵通知，若活動看似可疑，則應跟進。 可疑工作階段可透過代理 UI 終止。 了解裝置追蹤。

Zendesk 已制定一套全面的安全政策，涵蓋各類主題。 這些政策與所有能夠造訪 Zendesk 資訊資產的僱員及承辦商共享並向其提供。

所有僱員都要參加安全意識培訓，該培訓在入職時進行，此後每年一次。 所有工程師每年都會接受安全程式碼培訓。 安全團隊透過電郵、博客文章及內部活動演講提供額外的安全意識更新。

Zendesk 根據當地法律對所有新僱員進行背景調查。 對承辦商亦需進行背景調查。 背景調查包括犯罪、教育及僱傭核查。 清潔人員亦包括在內。

所有新僱員必須簽署保密協議和機密協議。