Защищенная поддержка клиентов

Безопасность Zendesk

Более 145 000 доверяют Zendesk свои данные, и к этой обязанности мы относимся очень серьезно! Мы гарантируем постоянную защиту пользовательских и коммерческих данных благодаря объединению функций безопасности корпоративного класса с комплексной проверкой наших приложений, систем и сетей. И наши клиенты спокойны, зная, что их информация в безопасности, а их операции и предприятия защищены.

Посмотреть спецификацию

Безопасность центров хранения данных и сетей

Физическая безопасность центров хранения данных
Оборудование Служебные данные в Zendesk в основном содержатся в центрах хранения данных AWS, сертифицированных на соответствие нормам ISO 27001, PCI/DSS Service Provider Level 1 и (или) SOC II. Подробнее о соблюдении стандартов в AWS.

Службы инфраструктуры AWS предусматривают резервное электропитание, системы отопления, вентиляции и кондиционирования воздуха, а также противопожарное оборудование для защиты серверов и, в конечном счете, ваших данных. Подробнее о мерах контроля центров хранения данных в AWS.
Объектовая безопасность Системы безопасности AWS на объекте обеспечивают ряд функций, таких как охрана, ограждение, видеонаблюдение, технология обнаружения вторжений и другие меры безопасности. Подробнее о физической безопасности AWS.
Места хранения данных Zendesk использует центры хранения данных AWS в США, Западной Европе и АТР. Подробнее о местах хранения ваших служебных данных Zendesk.

По желанию клиентов данные их служб могут физически храниться только в США или только в Европейской экономической зоне** Подробнее о наших возможностях хранения данных в разных регионах и об ограничениях на типы служебных данных.

*Доступно только вместе с компонентом «Расположение центра хранения данных»
Сетевая безопасность
Специальная группа безопасности Наша распределенная по всему миру группа безопасности круглосуточно находится на связи, готовая реагировать на вызовы и опасные ситуации.
Защита Защита нашей сети обеспечивается путем использования ключевых служб безопасности AWS, интеграции с нашими сетями периферийной защиты Cloudflare, регулярного аудита и применения технологии сетевого интеллекта, в которой отслеживается и (или) блокируется известный вредоносный трафик и сетевые атаки.
Архитектура Наша архитектура сетевой безопасности включает несколько защищенных зон. Наиболее важные системы, такие как серверы баз данных, располагаются в зонах максимального доверия. Другие системы размещаются в зонах, соответствующих их ценности, в зависимости от назначения, классификации информации и степени риска. В зависимости от зоны применяются дополнительные меры мониторинга безопасности и контроля доступа. Между Интернетом и зонами зонами доверия, а также между самими зонами доверия установлены демилитаризованные зоны.
Сканирование сети на уязвимости Сканирование безопасности сети дает нам глубокое понимание ее состояния для быстрого выявления не соответствующих требованиям или потенциально уязвимых систем.
Сторонние тесты на проницаемость В дополнение к нашей обширной внутренней программе сканирования и тестирования Zendesk каждый год привлекает сторонних экспертов в области безопасности для проведения широкомасштабных тестов на проницаемость корпоративных и рабочих сетей Zendesk.
Управление случаями нарушения безопасности (SIEM) Наша система управления случаями нарушения безопасности (SIEM) накапливает в журналах обширные данные из важных сетевых устройств и систем хостов. В состав SIEM входят триггеры, которые уведомляют группу безопасности о взаимосвязанных событиях, что позволяет их расследовать и реагировать на них.
Обнаружение и предотвращение вторжений Точки входа в сервис и выхода из него оснащены средствами контроля для обнаружения аномального поведения. Эти системы сконфигурированы так, чтобы генерировать оповещения при нарушениях безопасности и при превышении заданных пороговых значений, а также используют регулярно обновляемые сигнатуры угроз. Они осуществляют круглосуточный контроль.
Программа аналитики угроз Zendesk участвует в нескольких программах обмена результатами аналитики угроз. Мы отслеживаем сообщения об угрозах, публикуемые в этих сетях, и принимаем меры исходя из степени риска.
Смягчение последствия DDoS В Zendesk разработан многоуровневый подход к смягчению последствий DDoS. Тесное технологическое партнерство с Cloudflare обеспечивает защиту периферии сети, а использование инструментов масштабирования и защиты AWS наряду со специальными сервисами AWS против DDoS дополнительно усиливает эту защиту.
Логический доступ Доступ к рабочей сети Zendesk ограничен по принципу явной служебной необходимости, дает минимум полномочий, часто проверяется и контролируется и находится под наблюдением нашей эксплуатационной группы. Для получения доступа к рабочей сети Zendesk сотрудники должны использовать несколько факторов аутентификации.
Реагирование на нарушения безопасности В случае системного оповещения управление передается нашим круглосуточно (24/7) дежурящим командам, которые занимаются вопросами эксплуатации, сетевых технологий и безопасности. Сотрудники обучены реагированию на нарушения безопасности, в том числе работе с каналами связи и методам эскалации.
Шифрование
Шифрование при передаче Весь обмен данными с пользовательским интерфейсом и API Zendesk через общедоступные сети шифруется с использованием отраслевого стандарта HTTPS/TLS (TLS 1.2 или выше). Это обеспечивает защиту всего трафика при передаче между вами и Zendesk. Кроме того, для электронной почты наш продукт по умолчанию поддерживает гибкий протокол TLS. Этот протокол обеспечивает шифрование и безопасную доставку почты, затрудняя прослушивание трафика между почтовыми серверами. Данные встроенных функций обмена SMS, любых сторонних приложений, интеграций или служб, которые по своему усмотрению могут выбрать подписчики, иногда не шифруются.
Шифрование в состоянии покоя Служебные данные в состоянии покоя в AWS шифруются с помощью 256-разрядных ключей AES.
Доступность и непрерывность
Работоспособность Zendesk ведет общедоступную веб-страницу состояния системы, на которой публикуются сведения о доступности системы, плановом обслуживании, история инцидентов и приводится описание случаев нарушения безопасности.
Резервирование В Zendesk применяется кластеризация служб и резервирование сетей, благодаря чему у нас нет единых точек отказа. Наш строгий режим резервного копирования, а также услуга расширенного аварийного восстановления позволяет предлагать клиентам высокий уровень доступности сервиса, так как служебные данные дублируются по разным зонам доступности.
Аварийное восстановление Наша программа аварийного восстановления гарантирует, что наши услуги останутся доступными или их предоставление будет легко возобновить и после аварии. Это достигается путем создания надежной технической рабочей среды, разработки планов аварийного восстановления и проведения испытаний.
Расширенное аварийное восстановление Пакет расширенного аварийного восстановления предусматривает обязательства с нашей стороны по соблюдению целевого времени восстановления (RTO) и целевой точки восстановления (RPO). Мы можем брать на себя такие обязательства благодаря своей способности устанавливать приоритетность обслуживания пользователей пакета при любом объявленном аварийном событии. *Доступно только вместе с компонентом «Повышенная безопасность»

Безопасность приложений

Безопасная разработка (SDLC)
Обучение безопасному кодированию Минимум раз в год инженеры проходят обучение по созданию безопасного кода. Программа обучения охватывает 10 важнейших рисков для безопасности согласно OWASP, основные направления атак, а также средства управления безопасностью Zendesk.
Средства обеспечения безопасности платформы В Zendesk используются современные и безопасные платформы с открытым кодом, оснащенные средствами обеспечения безопасности для ограничения влияния важнейших 10 факторов риска согласно OWASP. Эти собственные средства обеспечения безопасности уменьшают нашу подверженность SQL-инъекциям (SQLi), межсайтовому скриптингу (XSS) и подделке межсайтовых запросов (CSRF), а также атакам других типов.
Quality Assurance Наш отдел контроля качества проверяет и тестирует нашу базу исходного кода. Штатные инженеры по прикладной безопасности выявляют, анализируют и классифицируют уязвимые места в коде.
Раздельные окружения Тестовое окружение и подготовительное окружение логически отделено от рабочего программного окружения. Служебные данные не используются в окружении разработки или тестирования.
Управление уязвимостями
Динамический поиск уязвимостей С помощью стороннего инструментария обеспечения безопасности мы проводим непрерывное сканирование своих приложений Support и Chat на 10 важнейших рисков для безопасности согласно OWASP. У нас работает собственная специализированная группа безопасности продуктов, которая проводит тестирование и вместе с инженерными группами занимается устранением любых обнаруженных проблем.
Статический анализ кода Наши репозитории исходного кода, как для платформы, так и для мобильных приложений сканируются на наличие проблем безопасности с помощью нашего интегрированного инструментария статического анализа.
Стороннее тестирование на проницаемость Обширную внутреннюю программу сканирования и тестирования Zendesk дополняет тем, что привлекает сторонних экспертов в области безопасности для детального тестирования на проницаемость различных приложений из нашего семейства продуктов.
Программа ответственного разглашения сведений об ошибках и вознаграждения за них Наша программа ответственного разглашения открывает исследователям безопасности и клиентам широкие возможности для безопасного тестирования продуктов Zendesk и информирования об уязвимостях в системе безопасности благодаря нашему партнерству с HackerOne.

Функции безопасности продукта

Надежная проверка подлинности
Варианты проверки подлинности Клиенты могут применять для аутентификации конечных пользователей и (или) агентов встроенную проверку подлинности Zendesk, сквозную авторизацию для социальных сетей (Facebook, Твиттер, Google) и (или) корпоративную сквозную авторизацию (SAML, JWT). Подробнее о доступе пользователей.
Настраиваемая политика паролей Встроенная аутентификация Zendesk для продуктов, доступных через Центр администрирования, предлагает три уровня безопасности паролей: низкий, средний и высокий, а также позволяет задавать особые правила для паролей агентов и администраторов. Кроме того, Zendesk предусматривает различные уровни безопасности паролей, применяемых, с одной стороны, к конечным пользователям, и, с другой стороны, к агентам и администраторам. Изменять уровень безопасности пароля могут только администраторы. Подробнее о настраиваемых политиках паролей.
2-факторная аутентификация (2FA) Встроенная аутентификация Zendesk для продуктов, доступных через Центр администрирования, предлагает 2-факторную аутентификацию (2FA) для агентов и администраторов с помощью SMS или приложения-аутентификатора. Подробнее о 2FA.
Хранение служебных учетных данных Zendesk следует передовому опыту безопасного хранения учетных данных: пароли не хранятся в читаемом формате, а только в виде безопасного, надежного, одностороннего хэш-кода.
Дополнительные функции безопасности продукта
Средства ролевого контроля доступа Доступ к данным в приложениях Zendesk регулируется средствами ролевого контроля (RBAC); права для ролей можно задать с большой степенью детализации. В Zendesk предусмотрены различные уровни разрешений для пользователей (владелец, администратор, агент, конечный пользователь и т.д.).

Подробнее о ролях пользователей:
Подробнее о глобальной безопасности и доступе пользователей можно узнать здесь.
Ограничения по IP-адресу В продуктах Zendesk можно разрешить доступ только с определенных заданных вами диапазонов IP-адресов. Эти ограничения можно применить ко всем пользователям или только к вашим агентам.

Подробнее об использовании ограничений по IP-адресу:
Личные прикрепленные файлы В вашем аккаунте можно потребовать, чтобы для просмотра прикрепленных к тикетам файлов пользователи обязательно входили в систему. Подробнее о приватных прикрепленных файлах.
Подписывание электронных писем (DKIM/DMARC) Zendesk Support поддерживает технологии DKIM (Domain Keys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance) для подписывания исходящих из Zendesk писем, если в Zendesk настроен внешний почтовый домен. Использование почтовой службы, которая поддерживает эти функции, позволит вам избавиться от спуфинга. Подробнее о цифровом подписывании почты почтовыми серверами.
Отслеживание устройств Zendesk следит за устройствами, используемыми для входа в каждый аккаунт пользователя. Когда кто-нибудь входит в аккаунт с нового устройства, это устройство добавляется в список устройств в профиле данного пользователя. Этот пользователь может получить по электронной почте уведомление о добавлении нового устройства и должен принять меры, если это действие выглядит подозрительным. Подозрительные сеансы можно прекращать из интерфейса агента. Подробнее об отслеживании устройств.
Исключение конфиденциальных данных Функция ручного исключения позволяет исключать (удалять) конфиденциальную информацию из комментариев к тикетам Support и безопасно удалять прикрепленные файлы, так что ваши секреты не будут разглашены. Эти данные исключаются из поступившего тикета через интерфейс пользователя или API, чтобы не допустить их сохранения в Zendesk. Подробнее об исключении через интерфейс пользователя или API.

Функция автоматического исключения позволяет исключать в Support и Chat последовательности цифр, которые могут быть номерами кредитных карт по результатам проверки Луна. Подробнее об автоматическом исключении в Support и Chat.

Zendesk Support предлагает настраиваемое поле номера кредитной карты, соответствующее стандарту PCI, в котором исключаются все цифры кроме четырех последних. Подробнее о соблюдении стандартов в Zendesk.
Спам-фильтр для Справочного центра Zendesk оснащается функцией фильтрации спама, которая предотвращает публикацию в Справочном центре непрошеных сообщений от конечных пользователей. Подробнее о фильтрации спама в Справочном центре.

Сертификаты соответствия и принадлежности

Соответствие требованиям безопасности
SOC 2 Type II Мы регулярно проводим аудиты на соблюдение требований SOC 2 Type II, результаты которых предоставляются по запросу и с подпиской о неразглашении. За дополнительной информацией обращайтесь по адресу security@zendesk.com.
ISO 27001:2013 Система Zendesk сертифицирована по стандарту ISO 27001:2013. Сертификат можно загрузить здесь
ISO 27018:2014 Система Zendesk сертифицирована по стандарту ISO 27018:2014. Сертификат можно загрузить здесь
Принадлежность к организациям
Skyhigh Enterprise-Ready Компания Zendesk получила печать Skyhigh Enterprise-Ready™ — высшую оценку в программе CloudTrust™. Эта печать выдается облачным сервисам, которые полностью удовлетворяют самым строгим требованиям к защите данных, проверке личности, безопасности обслуживания, деловой практике и правовой защите.
Cloud Security Alliance Zendesk входит в состав Cloud Security Alliance (CSA) — некоммерческой организации, цель которой — содействовать внедрению передового опыта для обеспечения гарантий безопасности при облачной обработке данных. CSA ведет общедоступный реестр Security, Trust & Assurance Registry (STAR), в котором документируются средства обеспечения безопасности, предоставляемые различными поставщиками облачных сервисов. Мы заполнили общедоступный опросник Consensus Assessment Initiative (CAI), описывающий нашу комплексную самооценку.

Результаты CSA CAIQ доступны для загрузки здесь.
Сертификаты конфиденциальности
Программы сертификации конфиденциальности TRUSTe® Разработчики Zendesk продемонстрировали соответствие наших продуктов, политик и практики соблюдения конфиденциальности требованиям программ Privacy Shield между ЕС и США и (или) между Швейцарией и США. Эти компании засвидетельствовали свое участие в программе Privacy Shield в Министерстве торговли США на веб-странице https://www.privacyshield.gov/list. TRUSTe удостоверяет соответствие требованиям Privacy Shield согласно Дополнительному принципу проверки Privacy Shield.
Сертификация по Privacy Shield между ЕС и США и Швейцарией и США Компания Zendesk подтвердила соответствие основным положениям программы Privacy Shield между ЕС и США и Швейцарией и США в Министерстве торговли США и была внесена в список самостоятельно сертифицированных участников программ Privacy Shield. Наши сертификации подтверждают, что мы соблюдаем принципы Privacy Shield при передаче персональных данных из Европы и Швейцарии в США.

Подробнее о Privacy Shield.
Политика конфиденциальности Подробнее о конфиденциальности в Zendesk
Соответствие отраслевым нормам
HIPAA Мы помогаем клиентам выполнять свои обязательства по HIPAA, используя соответствующие возможности конфигурации безопасности в продуктах Zendesk. Кроме того, мы предлагаем подписчикам заключить соглашение о деловом партнерстве (Business Associate Agreement, BAA).

*BAA предлагается только при покупке дополнения «Повышенная безопасность» и распространяется только на отдельные продукты Zendesk (применяются специальные правила конфигурации).
PCI Прочитайте наш информационный документ о соответствии нормам PCI или узнайте больше о нашем PCI-совместимом поле для Zendesk Support.

*Требуется аккаунт Enterprise
За документацией по аттестации и сертификатом соответствия PCI обращайтесь по адресу security@zendesk.com

Безопасность кадров

Осведомленность о безопасности
Политики В Zendesk разработан исчерпывающий набор политик безопасности, охватывающих целый ряд тем. Эти политики доводятся до сведения всех штатных сотрудников и подрядчиков, имеющих доступ к информационным ресурсам Zendesk.
Обучение После приема на работу, а затем ежегодно все сотрудники проходят обучение основам безопасности. Кроме того, для всех инженеров проводится ежегодное обучение безопасному кодированию. Группа безопасности распространяет новую информацию в этой области по электронной почте, в виде публикаций в блоге, а также на презентациях во время внутренних мероприятий.
Предварительный отбор сотрудников
Проверка биографических данных Zendesk проверяет биографические данные всех новых сотрудников в соответствии с местным законодательством. Такая проверка также обязательна для подрядчиков. Проверка биографических данных включает криминальную проверку, проверку образования и подтверждение прошлого места работы. Это распространяется и на уборщиков.
Соглашения о конфиденциальности Все новые сотрудники должны подписать соглашения о неразглашении и о конфиденциальности.

Загружаемые ресурсы для безопасности

Даже наши ресурсы защищены. Для получения доступа заполните следующую небольшую форму.

Укажите свое имя
Укажите свою фамилию
Укажите действительный адрес эл. почты
Выберите страну

Почти готово. Еще приведите краткие сведения о своей компании.

Введите название своей компании
Выберите число сотрудников
Выберите отрасль вашей деятельности
Также время от времени отправлять мне письма о продуктах и услугах Zendesk. (От этой рассылки можно отказаться в любое время.)
Выберите нужный вариант

Ваш запрос отправлен!

Наш представитель вскоре свяжется с вами.

У нас какая-то неполадка!

Перезагрузите страницу и повторите попытку или просто напишите нам на адрес support@zendesk.com.

Ваш запрос отправляется, подождите.

Для получения нашего отчета SOC 2 напишите нам на адрес security@zendesk.com.