Безопасная поддержка клиентов

Защитите свой тыл

Zendesk очень серьезно относится к безопасности — достаточно вспомнить, сколько компаний из списков Fortune 100 и Fortune 500 доверяют нам свои данные. Мы гарантируем постоянную защиту ваших данных благодаря объединению функций безопасности корпоративного класса с комплексной проверкой наших приложений, систем и сетей. Иначе говоря, каждый клиент (в том числе ваш) может быть спокоен.

Сертификаты соответствия и членства

Мы используем передовой опыт и отраслевые стандарты для достижения соответствия общепринятым отраслевым стандартам безопасности и конфиденциальности, что, в свою очередь, помогает нашим клиентам соответствовать их собственным нормам.

Соблюдение норм безопасности
SOC 2 Type II

Мы регулярно проводим аудиты на соблюдение требований SOC 2 Type II и по запросу предоставляем их результаты на условиях договора о неразглашении. Последнюю версию отчета о SOC 2 Type II можно заказать здесь.

ISO 27001:2013

Система Zendesk сертифицирована по стандарту ISO 27001:2013. Сертификат можно загрузить здесь.

ISO 27018:2014

Система Zendesk сертифицирована по стандарту ISO 27018:2014. Сертификат можно загрузить здесь.

FedRAMP LI-SaaS

Программное обеспечение Zendesk получило разрешение программы FedRAMP в классе «Программа как услуга с низким уровнем риска» (LI-SaaS) и внесено в каталог FedRAMP Marketplace. Клиенты правительственных учреждений США могут запросить доступ к пакету безопасности Zendesk FedRAMP, заполнив здесь форму запроса доступа к пакету или отправив запрос на адрес fedramp@zendesk.com.

Соблюдение отраслевых требований
HIPAA

Мы помогаем клиентам выполнять свои обязательства по HIPAA, используя соответствующие параметры конфигурации безопасности в продуктах Zendesk. Кроме того, мы можем предлагать подписчикам заключение соглашения о деловом партнерстве (BAA).

*BAA предлагается только при покупке дополнения «Полное соответствие нормам» и распространяется лишь на отдельные продукты Zendesk (действуют специальные требования к конфигурации).

PCI DSS

Прочитайте наш информационный документ о соответствии нормам PCI или узнайте больше о нашем PCI-совместимом поле для Zendesk Support.

* Требуется тарифный пакет Enterprise

Нашу документацию по аттестации и сертификат соответствия PCI можно получить здесь.

HDS

Сертификация HDS подтверждает, что компания Zendesk обеспечивает конфиденциальность, целостность и доступность данных для своих клиентов и партнеров. Для прохождения такой сертификации компания Zendesk работала с независимым сторонним аудитором. Мы помогаем клиентам выполнять свои обязательства по HDS, используя соответствующие параметры конфигурации безопасности в некоторых продуктах Zendesk (применяются особые требования к конфигурации). Кроме того, у нас есть Дополнение HDS, которое необходимо подписывать Подписчикам.

FSQS

Zendesk выполнил все требования (1 и 2 этапов) для полноценной регистрации в системе квалификации поставщиков FSQS (Квалификационная система финансовых услуг), обозначенные участвующими организациями-покупателями. Последний сертификат FSQS можно запросить по ссылке.

Подробнее об FSQS можно узнать по ссылке https://hellios.com/fsqs/.

Членства
Skyhigh Enterprise-Ready

Компания Zendesk получила печать Skyhigh Enterprise-Ready™ — высшую оценку в программе CloudTrust™. Эта печать выдается облачным сервисам, которые полностью удовлетворяют самым строгим требованиям к защите данных, проверке личности, безопасности обслуживания, деловой практике и правовой защите.

Альянс облачной безопасности

Zendesk является членом альянса облачной безопасности Cloud Security Alliance (CSA), некоммерческой организации, продвигающей передовые методы обеспечения безопасности в облачных вычислениях. CSA запустила общедоступный реестр безопасности, доверия и гарантий (STAR), в котором задокументированы средства контроля безопасности, предоставляемые различными сервисами облачных вычислений. Мы заполнили общедоступную анкету Инициативы по оценке консенсуса (CAI), основанную на результатах самостоятельной оценки нашей осмотрительности в вопросах безопасности.

Результаты CSA CAIQ доступны для загрузки здесь.

IT-ISAC

Zendesk участвует в работе группы IT-ISAC, нацеленной на объединение усилий различных компаний частного сектора с целью использования новых технологий и совместного поддержания безопасности. Группа содействует сотрудничеству и обмену актуальной, полезной информацией и опытом аналитики угроз. В IT-ISAC действуют специализированные группы интересов, которые занимаются вопросами аналитики, инсайдерских угроз, физической безопасности и других конкретных областей, помогая осуществлению нашей основной задачи по обеспечению безопасности Zendesk.

FIRST

Zendesk входит в состав FIRST — международной конфедерации групп реагирования на инциденты, которые совместно устраняют нарушения компьютерной безопасности и продвигают программы предотвращения инцидентов. Члены FIRST обмениваются технической информацией, инструментами, методиками, процессами и передовым опытом. Zendesk Security сотрудничает с другими членами FIRST, используя коллективные знания, квалификацию для продвижения более надежной и безопасной глобальной электронной среды.

Сертификация в области конфиденциальности и защита данных
Политика конфиденциальности
Юридическая информация

Информацию о наших юридических условиях и условиях конфиденциальности можно найти здесь:

Артефакты

Ряд ресурсов мы можем предоставить по запросу.

Ресурсы для прямого скачивания (не требуют договора о неразглашении)

Чтобы получить доступ к следующим ресурсам, пожалуйста, нажмите на кнопку ниже:

Сертификат ISO 27001:2013

Сертификат ISO 27018:2014

Отчет SOC 3

Технический паспорт / Белая книга

Аттестация соответствия PCI (AoC) и сертификат соответствия

Диаграммы сетевой архитектуры

  • Поддержка / Руководство
  • Чат
  • Телефонное общение

CSA CAIQ

FSQS

Профиль безопасности Zendesk на Risk Ledger

Получить ресурсы
Ресурсы, предоставляющиеся по договору о разглашении

Следующие ресурсы могут потребовать подписания договора о неразглашении. Чтобы получить доступ, нажмите на кнопку ниже.

Страховое свидетельство

Отчет SOC 2 Тип II

Резюме ежегодного тестирования на проницаемость

Резюме испытаний на непрерывность бизнес-процессов и аварийное восстановление

SIG Lite

VSA

HECVAT Lite

Действующие клиенты могут обратиться к этим ресурсам в интерфейсе администратора:

Облачная безопасность

Физическая безопасность центра обработки данных
Административно-хозяйственный отдел

Служебные данные в Zendesk в основном содержатся в центрах хранения данных AWS, сертифицированных на соответствие нормам ISO 27001, PCIDSS Service Provider Level 1 и (или) SOC 2. Подробнее о соответствии нормам в AWS.

В службах инфраструктуры AWS предусмотрены: резервное электропитание, системы отопления, вентиляции и кондиционирования воздуха, а также противопожарное оборудование для защиты серверов и, в конечном счете, ваших данных. Подробнее о мерах контроля в центрах хранения данных AWS.

Безопасность на объекте

В системах безопасности AWS на объекте обеспечивается ряд функций, таких как охрана, ограждение, видеонаблюдение, технология обнаружения вторжений и другие меры безопасности. Подробнее о физической безопасности AWS.

Место размещения данных

Zendesk использует центры хранения данных AWS в США, Западной Европе и АТР. Подробнее о местах хранения служебных данных Zendesk.

Клиенты могут выбрать размещение своих служебных данных только в США или только в Европейской экономической зоне.* Подробнее о наших возможностях хранения данных в разных регионах и об ограничениях на типы служебных данных.

*Доступно только с дополнением «Расположение центра обработки данных»

Безопасность сети
Выделенная команда безопасности

Наша глобально распределенная команда безопасности реагирует на предупреждения и события, связанные с безопасностью, 24 часа в сутки, 7 дней в неделю.

Защита

Наша сеть защищена благодаря использованию ключевых служб безопасности AWS, интеграции с нашими пограничными защитными сетями Cloudflare, регулярным аудитам и технологиям сетевой разведки, которые отслеживают и/или блокируют вредоносный трафик и сетевые атаки.

Архитектура безопасности нашей сети состоит из нескольких зон безопасности. Наиболее чувствительные системы, такие как серверы баз данных, находятся под надежной защитой в наших наиболее проверенных зонах. Другие системы размещаются в зонах, соответствующих их требованиям к безопасности, в зависимости от функции, классификации информации и уровня риска. В зависимости от зоны применяются дополнительный мониторинг безопасности и контроль доступа. Демилитаризованные зоны (DMZ) используются в Интернете и внутри сети между системами, расположенными в различных зонах безопасности.

Сканирование сетевых уязвимостей

Сканирование сетевой безопасности позволяет нам быстро выявлять не соответствующие требованиям или потенциально уязвимые системы.

Тесты на постороннее проникновение

В дополнение к выполнению обширной внутренней программы сканирования и тестирования Zendesk каждый год привлекает сторонних экспертов в области безопасности для проведения широкомасштабных тестов на проницаемость корпоративных и рабочих сетей Zendesk.

Управление инцидентами безопасности

Наша система управления событиями инцидентов безопасности (SIEM) собирает обширные данные с важных сетевых устройств и хост-систем. SIEM оповещает о триггерах, которые уведомляют соответствующую команду безопасности для дальнейшего расследования и реагирования.

Обнаружение и предотвращение вторжений

Точки входа и выхода контролируются и отслеживаются для выявления аномального поведения. Эти системы генерируют предупреждения, если инциденты и значения превышают заранее установленные пороговые показатели, и используют регулярно обновляемые сигнатуры, основанные на новых угрозах. Это включает в себя круглосуточный мониторинг системы.

Программа анализа угроз

Zendesk участвует в нескольких программах обмена информацией об угрозах. Мы отслеживаем угрозы, размещаемые в этих сетях, и принимаем меры в зависимости от степени риска.

Смягчение последствий DDoS

Zendesk разработала многоуровневый подход к защите от DDoS. Технологическое партнерство с Cloudflare обеспечивает защиту границ сети, а использование инструментов масштабирования и защиты AWS обеспечивает более глубокую защиту наряду с использованием специальных услуг AWS DDoS.

Логический доступ

Доступ к производственной сети Zendesk ограничен принципом служебной необходимости, использует ограничение полномочий, часто проверяется и отслеживается, а также контролируется нашей операционной группой. Сотрудники, получающие доступ к производственной сети Zendesk, должны использовать несколько факторов аутентификации.

Реагирование на инциденты безопасности

В случае системного предупреждения события эскалируются нашим круглосуточно работающим командам, обеспечивающим операционную деятельность, сетевое проектирование и безопасность. Сотрудники проходят обучение процессам реагирования на инциденты безопасности, в том числе изучают каналы связи и пути эскалации.

Шифрование
Шифрование при пересылке

Все соединения с пользовательским интерфейсом Zendesk и API-интерфейсами шифруются с помощью промышленного стандарта HTTPS/TLS (TLS 1.2 или выше) в сетях общего пользования. Это гарантирует безопасность всего трафика между вами и Zendesk в процессе его передачи. Кроме того, для электронной почты наш продукт по умолчанию использует оппортунистический TLS. Transport Layer Security (TLS) шифрует и безопасно доставляет электронную почту, предотвращая подслушивание между почтовыми серверами, если одноранговые службы поддерживают этот протокол. Исключения для шифрования могут включать использование SMS-функций продукта, любых других сторонних приложений, интеграций или услуг, которые абоненты могут использовать по своему усмотрению.

Шифрование в состоянии покоя

Данные сервиса шифруются в состоянии покоя в AWS с использованием ключа шифрования AES-256.

Доступность и непрерывность
Аптайм

Zendesk ведет общедоступную веб-страницу состояния системы, на которой публикуются сведения о доступности системы и ее плановом обслуживании, история инцидентов, а также приводится описание случаев нарушения безопасности.

Резервирование

В Zendesk применяется кластеризация служб и резервирование сетей, благодаря чему у нас нет единых точек отказа. Наш строгий режим резервного копирования, а также услуга расширенного аварийного восстановления позволяет предлагать клиентам высокий уровень доступности сервиса, так как служебные данные дублируются по разным зонам доступности.

Аварийное восстановление

Наша программа аварийного восстановления гарантирует, что наши услуги останутся доступными после аварии или их предоставление будет легко возобновить. Это достигается путем создания надежной технической рабочей среды, разработки планов аварийного восстановления и проведения испытаний.

Расширенное аварийное восстановление

Пакет расширенного аварийного восстановления предусматривает обязательства с нашей стороны по соблюдению целевого времени восстановления (RTO) и целевой точки восстановления (RPO). Мы можем брать на себя такие обязательства благодаря своей способности устанавливать приоритетность обслуживания пользователей пакета при любом объявленном аварийном событии.

*Доступно только при покупке дополнения Расширенное аварийное восстановление.

Безопасность приложений

Безопасная разработка (SDLC)
Обучение безопасному коду

Минимум раз в год инженеры проходят обучение по созданию безопасного кода. Программа обучения охватывает 10 важнейших рисков для безопасности согласно OWASP, основные направления атак, а также средства управления безопасностью Zendesk.

Рамочные средства контроля безопасности

Zendesk использует современные и безопасные фреймворки с открытым исходным кодом с элементами контроля безопасности, чтобы ограничить подверженность 10 наиболее распространенным рискам безопасности OWASP. Эти неотъемлемые элементы управления снижают нашу подверженность риску инъекции SQL (SQLi), межсайтового скриптинга (XSS), подделки межсайтового запроса (CSRF) и другим атакам.

Обеспечение качества

Наш отдел обеспечения качества (QA) проверяет и тестирует нашу базу кода. Штатные инженеры по безопасности приложений выявляют, тестируют и устраняют уязвимости в коде.

Раздельные среды

Среды тестирования и постановки логически отделены от производственной среды. Никакие служебные данные не используются в наших средах разработки или тестирования.

Управление уязвимостями
Динамическое сканирование уязвимостей

Мы используем сторонние инструменты безопасности для постоянного динамического сканирования наших основных приложений на предмет соответствия 10 наиболее распространенным рискам безопасности OWASP. У нас есть специальная внутренняя команда безопасности продуктов, которая тестирует их и работает с командами инженеров для устранения любых обнаруженных проблем.

Анализ статического кода

Репозитории исходного кода для нашей платформы и мобильных приложений проверяются на наличие проблем безопасности с помощью встроенного инструмента статического анализа.

Тест на постороннее проникновение

В дополнение к выполнению обширной внутренней программы сканирования и тестирования Zendesk привлекает сторонних экспертов в области безопасности для проведения подробных тестов на проницаемость различных приложений из нашего портфеля продуктов.

Ответственное раскрытие информации / Программа вознаграждения за обнаружение уязвимостей

Наша программа ответственного разглашения открывает исследователям безопасности и клиентам широкие возможности для безопасного тестирования продуктов Zendesk и информирования об уязвимостях в системе безопасности благодаря нашему партнерству с HackerOne.

Безопасность продукта

Безопасность аутентификации
Параметры аутентификации

Клиенты могут применять для аутентификации конечных пользователей и (или) агентов встроенную проверку подлинности Zendesk, сквозную авторизацию через социальные сети (Facebook, Twitter, Google) и (или) корпоративную сквозную авторизацию (SAML, JWT). Подробнее о доступе пользователей.

Настраиваемая политика паролей

Встроенная аутентификация Zendesk для продуктов, доступных через Центр администрирования, предлагает три уровня безопасности паролей: низкий, средний и высокий, а также позволяет задавать особые правила для паролей агентов и администраторов. Кроме того, Zendesk предусматривает настройку различных уровней безопасности паролей для конечных пользователей, а также агентов и администраторов. Изменять уровень безопасности пароля могут только администраторы. Подробнее о настраиваемой политике паролей.

Двухфакторная аутентификация (2FA)

Встроенная аутентификация Zendesk для продуктов, доступных через Центр администрирования, предлагает 2-факторную аутентификацию (2FA) для агентов и администраторов с помощью SMS или приложения-аутентификатора. Подробнее о 2FA.

Хранение учетных данных

Zendesk следует лучшим практикам безопасного хранения учетных данных, никогда не хранит пароли в удобочитаемом формате и всегда использует безопасное одностороннее хэширование.

Дополнительные функции безопасности продукта
Контроль доступа на основе ролей

Доступ к данным в приложениях Zendesk регулируется контролем доступа на основе ролей (RBAC) и может быть настроен на определение подробных прав доступа. Zendesk предлагает различные уровни доступа для пользователей (владелец, администратор, агент, конечный пользователь и т.д.).

Подробнее о пользовательских ролях:

Подробнее о глобальной безопасности и доступе пользователей можно узнать здесь.

Ограничения IP

Продукты Zendesk можно настроить таким образом, чтобы разрешать доступ только из определенных заданных вами диапазонов IP-адресов. Эти ограничения могут быть применены ко всем пользователям или только к вашим агентам. Подробнее об использовании IP-ограничений:

Конфиденциальные вложения

Можно установить обязательное требование к пользователям входить в систему для просмотра прикрепленных к тикетам файлов. Подробнее о новых возможностях прикрепления файлов.

Пописание почты (DKIM/DMARC)

Zendesk поддерживает технологии DKIM (Domain Keys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance) для подписывания исходящих из Zendesk писем, если в Zendesk настроен внешний почтовый домен. Использование почтовой службы, которая поддерживает эти функции, позволит вам избавиться от спуфинга. Подробнее о цифровом подписывании почты почтовыми серверами.

Отслеживание устройств

Zendesk следит за устройствами, применяемыми для входа в аккаунт каждого пользователя. Когда кто-нибудь входит в аккаунт с нового устройства, это устройство добавляется в список устройств в профиле данного пользователя. Этот пользователь может получить по электронной почте уведомление о добавлении нового устройства и должен принять меры, если это действие выглядит подозрительным. Подозрительные сеансы можно прекращать из интерфейса агента. Подробнее об отслеживании устройств.

Удаление конфиденциальной информации

Функция исключения вручную позволяет исключать (удалять) конфиденциальную информацию из комментариев к тикетам Support и безопасно удалять прикрепленные файлы, так что ваши секреты не будут разглашены. Эти данные исключаются из поступившего тикета через интерфейс пользователя или API, чтобы не допустить их сохранения в Zendesk. Подробнее об исключении через интерфейс пользователя или API.

Функция автоматического исключения позволяет исключать в Support и Chat последовательности цифр, которые могут быть номерами кредитных карт по результатам проверки Луна. Подробнее об автоматическом исключении в Support и Chat.

Zendesk Support предлагает настраиваемое поле номера кредитной карты, соответствующее стандарту PCI, в котором исключаются все цифры кроме четырех последних. Подробнее о соответствии нормам PCI в Zendesk.

Фильтрация спама в Справочном центре

Zendesk оснащается функцией фильтрации спама, которая предотвращает публикацию в Справочном центре непрошеных сообщений от конечных пользователей. Подробнее о фильтрации спама в Справочном центре.

Безопасность персонала

Информированность о безопасности
Политики

Zendesk разработал полноценный набор политик безопасности, охватывающий целый ряд тем. Эти политики доступны всем сотрудникам и подрядчикам, имеющим доступ к информационным активам Zendesk.

Обучение

Все сотрудники проходят обучение по вопросам о безопасности при приеме на работу и в далее минимум раз в год. Все инженеры проходят ежегодное обучение по безопасному коду. Команда службы безопасности предоставляет дополнительную обновленную информацию о безопасности с помощью электронных рассылок, публикаций в блогах и в виде презентаций во время корпоративных мероприятий.

Проверка сотрудников
Проверка биографии

Zendesk проводит проверку биографических данных всех новых сотрудников в соответствии с местным законодательством. Эти проверки также должны проводиться для подрядчиков. Проверка биографии включает в себя наличие судимостей, образование и предыдущие места работы. Сотрудники клининговых команд также проходят проверку.

Соглашения о конфиденциальности

Все новые сотрудники обязаны подписать соглашения о неразглашении и конфиденциальности информации.