Защищенная поддержка клиентов

Безопасность Zendesk

Более 140 000 доверяют Zendesk свои данные, и к этой обязанности мы относимся очень серьезно! Мы гарантируем постоянную защиту пользовательских и коммерческих данных благодаря объединению функций безопасности корпоративного класса с комплексной проверкой наших приложений, систем и сетей. И наши клиенты спокойны, зная, что их информация в безопасности, а их операции и предприятия защищены.

Посмотреть спецификацию

Безопасность центров хранения данных и сетей

Физическая безопасность
Оборудование Служебные данные в Zendesk содержатся в центрах хранения данных AWS, сертифицированных на соответствие нормам ISO 27001, PCI/DSS Service Provider Level 1 и (или) SOC II.

Службы инфраструктуры AWS предусматривают резервное электропитание, системы отопления, вентиляции и кондиционирования воздуха, а также противопожарное оборудование для защиты серверов и, в конечном счете, ваших данных.
Объектовая безопасность Системы безопасности AWS на объекте обеспечивают ряд функций, таких как охрана, ограждение, видеонаблюдение, технология обнаружения вторжений и другие меры безопасности. Подробнее о физической безопасности AWS.
Наблюдение Все системы, сетевые устройства и цепи рабочей сети находятся под постоянным наблюдением и логическим администрированием персонала Zendesk. AWS осуществляет контроль физической безопасности, энергоснабжения и подключения к Интернету.
Местоположение Zendesk использует центры хранения данных AWS в США, Западной Европе и АТР. По желанию клиентов данные их служб могут физически храниться только в США или только в Европе (в настоящее время данные Zendesk Chat находятся только в Европе). Подробнее о наших возможностях хранения данных в разных регионах.

*Доступно только вместе с компонентом «Расположение центра хранения данных»
Сетевая безопасность
Специальная группа безопасности Наша распределенная по всему миру группа безопасности круглосуточно находится на связи, готовая реагировать на вызовы и опасные ситуации.
Защита Защита нашей сети обеспечивается путем использования ключевых служб безопасности AWS, интеграции с нашими сетями периферийной защиты Cloudflare, регулярного аудита и применения технологии сетевого интеллекта, в которой отслеживается и (или) блокируется вредоносный трафик и сетевые атаки.
Архитектура Наша архитектура сетевой безопасности включает несколько защищенных зон. Наиболее важные системы, такие как серверы баз данных, располагаются в зонах максимального доверия. Другие системы размещаются в зонах, соответствующих их ценности, в зависимости от назначения, классификации информации и степени риска. В зависимости от зоны применяются дополнительные меры мониторинга безопасности и контроля доступа. Между Интернетом и зонами зонами доверия, а также между самими зонами доверия установлены демилитаризованные зоны.
Сканирование сети на уязвимости Сканирование безопасности сети дает нам глубокое понимание ее состояния для быстрого выявления не соответствующих требованиям или потенциально уязвимых систем.
Сторонние тесты на проницаемость В дополнение к нашей обширной внутренней программе сканирования и тестирования Zendesk каждый год привлекает сторонних экспертов в области безопасности для проведения широкомасштабных тестов на проницаемость рабочей сети Zendesk.
Управление случаями нарушения безопасности (SIEM) Наша система управления случаями нарушения безопасности (SIEM) накапливает в журналах обширные данные из важных сетевых устройств и систем хостов. В состав SIEM входят триггеры, которые уведомляют группу безопасности о взаимосвязанных событиях, что позволяет их расследовать и реагировать на них.
Обнаружение и предотвращение вторжений Точки входа в сервис и выхода из него оснащены средствами контроля для обнаружения аномального поведения. Эти системы сконфигурированы так, чтобы генерировать оповещения при нарушениях безопасности и при превышении заданных пороговых значений, а также используют регулярно обновляемые сигнатуры угроз. Они осуществляют круглосуточный контроль.
Программа аналитики угроз Zendesk участвует в нескольких программах обмена результатами аналитики угроз. Мы отслеживаем сообщения об угрозах, публикуемые в этих сетях и принимаем меры исходя из степени риска и нашей подверженности ему.
Смягчение последствия DDoS В Zendesk разработан многоуровневый подход к смягчению последствий DDoS. Тесное технологическое партнерство с Cloudflare обеспечивает защиту периферии сети, а использование инструментов масштабирования и защиты AWS наряду со специальными сервисами AWS против DDoS дополнительно усиливает эту защиту.
Логический доступ Доступ к рабочей сети Zendesk ограничен по принципу явной служебной необходимости, дает минимум полномочий, часто проверяется и контролируется и находится под наблюдением нашей эксплуатационной группы. Для получения доступа к рабочей сети Zendesk сотрудники должны использовать несколько факторов аутентификации.
Реагирование на нарушения безопасности В случае системного оповещения управление передается нашим круглосуточно (24/7) дежурящим командам, которые занимаются вопросами эксплуатации, сетевых технологий и безопасности. Сотрудники обучены реагированию на нарушения безопасности, в том числе работе с каналами связи и методам эскалации.
Шифрование
Шифрование при передаче Данные, которыми вы обмениваетесь с серверами Zendesk Support и Chat через общедоступные сети, шифруются с помощью лучших в отрасли протоколов HTTPS и TLS. Кроме того, TLS может использоваться для шифрования электронных писем.
Шифрование в состоянии покоя Кроме того, данные клиентов Zendesk защищены шифрованием в состоянии покоя. Служебные данные шифруются в состоянии покоя в AWS с помощью 256-разрядных ключей AES.
Доступность и непрерывность
Работоспособность Zendesk ведет общедоступную веб-страницу состояния системы, на которой публикуются сведения о доступности системы, плановом обслуживании, история инцидентов и приводится описание случаев нарушения безопасности.
Резервирование В Zendesk применяется кластеризация служб и резервирование сетей, благодаря чему единая точка отказа становится невозможной. Наш строгий режим резервного копирования, а также услуга расширенного аварийного восстановления позволяет предлагать клиентам высокий уровень доступности сервиса, так как служебные данные дублируются по разным зонам доступности.
Аварийное восстановление Наша программа аварийного восстановления гарантирует, что наши услуги останутся доступными или их предоставление будет легко возобновить и после аварии. Это достигается путем создания надежной технической рабочей среды, разработки планов аварийного восстановления и проведения испытаний.
Расширенное аварийное восстановление Пакет расширенного аварийного восстановления предусматривает обязательства с нашей стороны по соблюдению целевого времени восстановления (RTO) и целевой точки восстановления (RPO). Мы можем брать на себя такие обязательства благодаря своей способности устанавливать приоритетность обслуживания пользователей пакета при любом объявленном аварийном событии. *Доступно только вместе с компонентом «Повышенная безопасность»

Безопасность приложений

Безопасная разработка (SDLC)
Обучение обеспечению безопасности Минимум раз в год инженеры проходят обучение по созданию безопасного кода. Программа обучения охватывает 10 важнейших рисков для безопасности согласно OWASP, основные направления атак, а также средства управления безопасностью Zendesk.
Средства обеспечения безопасности Ruby on Rails Framework Во многих продуктах Zendesk используются средства обеспечения безопасности платформы Ruby on Rails для ограничения влияния важнейших 10 факторов риска согласно OWASP. Эти собственные средства контроля уменьшают нашу подверженность межсайтовому скриптингу (XSS), подделке межсайтовых запросов (CSRF) и SQL-инъекциям (SQLI), а также атакам других типов.
Контроль качества Наш отдел контроля качества проверяет и тестирует нашу базу исходного кода. Штатные инженеры по прикладной безопасности выявляют, анализируют и классифицируют уязвимые места в коде.
Раздельные окружения Тестовое окружение и подготовительное окружение логически отделено от рабочего программного окружения. В окружении разработки или тестирования не используются реальные данные служб.
Уязвимости приложений
Динамический поиск уязвимостей С помощью стороннего специализированного инструментария обеспечения безопасности мы проводим непрерывное сканирование своих приложений Support и Chat на 10 важнейших рисков для безопасности согласно OWASP. У нас работает собственная специализированная группа безопасности продуктов, которая проводит тестирование и вместе с инженерными группами занимается устранением любых обнаруженных проблем.
Статический анализ кода Наши репозитории исходного кода, как для платформы, так и для мобильных приложений сканируются на наличие проблем безопасности с помощью нашего интегрированного инструментария статического анализа.
Испытания на проницаемость системы безопасности В дополнение к нашей обширной внутренней программе сканирования и тестирования Zendesk каждый квартал привлекает сторонних экспертов в области безопасности для детального тестирования различных приложений из нашего семейства продуктов на проницаемость.
Программа ответственного разглашения сведений об ошибках и вознаграждения за них Наша программа ответственного разглашения открывает исследователям безопасности и клиентам широкие возможности для безопасного тестирования продуктов Zendesk и информирования об уязвимостях в системе безопасности благодаря нашему партнерству с HackerOne.

Функции безопасности продукта

Надежная проверка подлинности
Варианты проверки подлинности Для администраторов и агентов Support и Chat мы предлагаем функцию входа в Zendesk. Для Zendesk Support также можно задействовать сквозную авторизацию (SSO) и аутентификацию Google.

Для конечных пользователей Support и Chat мы поддерживаем вход в Zendesk. Для Zendesk Support также можно использовать SSO и SSO в социальных сетях (Facebook, Твиттер, Google) для аутентификации конечных пользователей.
Сквозная авторизация (SSO) Сквозная авторизация (SSO) позволяет проверять подлинность пользователей в ваших собственных системах, не требуя от них ввода дополнительных учетных данных для доступа в Zendes Support. Поддерживаются технологии JSON Web Token (JWT) и Security Assertion Markup Language (SAML). Подробнее о безопасности и настройках входа.
Настраиваемая политика паролей Zendesk Support/Guide предлагает три уровня безопасности паролей: низкий, средний и высокий, а также позволяет задавать особые правила для паролей агентов и администраторов. Кроме того, Zendesk предусматривает различные уровни безопасности паролей, применяемых, с одной стороны, к конечным пользователям, и, с другой стороны, к агентам и администраторам. Изменять уровень безопасности пароля могут только администраторы.
Двухэтапная проверка подлинности (2FA) При использовании в вашей службе Zendesk Support входа в Zendesk можно включить двухфакторную аутентификацию (2FA) для агентов и администраторов. Zendesk поддерживает SMS и многочисленные приложения-аутентификаторы для генерирования кодов доступа. Дополнительно можно применять 2FA в собственном окружении, где в качестве метода аутентификации для Zendesk задействуется принятая на предприятии система SSO. 2FA создает для аккаунта Zendesk еще один защитный барьер, затрудняя посторонним лицам вход в него под чужим именем. Подробнее о 2FA.
Безопасное хранение учетных данных Zendesk следует передовому опыту безопасного хранения учетных данных: пароли не хранятся в читаемом формате, а только в виде безопасного, надежного, одностороннего хэш-кода.
Безопасность и проверка подлинности для API API Zendesk Support поддерживает только протокол TLS. Для авторизации в API можно использовать простую проверку подлинности с указанием имени пользователя и пароля либо указывать имя пользователя и токен API. Также поддерживается авторизация OAuth. Подробнее о безопасности API.
Дополнительные функции безопасности продукта
Средства ролевого контроля доступа Доступ к данным в приложениях Zendesk регулируется средствами ролевого контроля (RBAC); права для ролей можно задать с большой степенью детализации. В Zendesk предусмотрены различные уровни разрешений для пользователей (владелец, администратор, агент, конечный пользователь и т.д.). Подробнее о ролях пользователей Support и доступе и безопасности пользователей.
Ограничения по IP-адресу В Zendesk Support и Chat можно разрешить доступ только с определенных IP-адресов в заданном диапазоне. Эти ограничения можно применить ко всем пользователям или только к вашим агентам. Подробнее об использовании ограничений по IP-адресу
Личные прикрепленные файлы В Zendesk Support можно потребовать, чтобы для просмотра прикрепленных к тикетам файлов пользователи обязательно должны были входить в систему. Если эта настройка не включена, прикрепленные файлы доступны по длинному и случайно выбираемому идентификатору токена.
Безопасность передачи данных Весь обмен данными с веб-интерфейсом и API Zendesk через общедоступные сети шифруется с использованием отраслевого стандарта HTTPS/TLS. Это обеспечивает защиту всего трафика при передаче между вами и Zendesk. Кроме того, для электронной почты наш продукт по умолчанию поддерживает протокол StartTLS. Этот протокол обеспечивает шифрование и безопасную доставку почты, затрудняя подслушивание между почтовыми серверами.
Подписывание электронных писем (DKIM/DMARC) Zendesk Support поддерживает технологии DKIM (Domain Keys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance) для подписывания исходящих из Zendesk писем, если в Zendesk настроен внешний почтовый домен. Использование почтовой службы, которая поддерживает эти функции, позволит вам избавиться от спуфинга. Подробнее о цифровом подписывании почты почтовыми серверами.
Отслеживание устройств С целью укрепления безопасности Zendesk Support следит за устройствами, используемыми для входа в аккаунт каждого пользователя. Когда кто-нибудь входит в аккаунт с нового устройства, это устройство добавляется в список устройств в профиле данного пользователя. Этот пользователь может получить по электронной почте уведомление о добавлении нового устройства и должен принять меры, если это действие выглядит подозрительным. Подозрительные сеансы можно прекращать из интерфейса агента.
Исключение конфиденциальных данных Функция исключения для Zendesk Support и Chat позволяет исключать (удалять) конфиденциальную информацию из комментариев к тикетам, специальных полей и сообщений чата, так что ваши секреты не будут разглашены. Эти данные исключаются из поступившего тикета, чтобы не допустить их сохранения в Zendesk. Подробнее о защите конфиденциальных данных.

*Только для пользователей аккаунтов Enterprise
Спам-фильтр для Справочного центра Zendesk Support поддерживает услугу фильтрации спама, которая предотвращает публикацию непрошеных сообщений от конечных пользователей в справочном центре или веб-портале. Подробнее о фильтрации спама в Справочном центре.

Сертификаты соответствия и принадлежности

Соответствие требованиям безопасности
SOC 2 Type II У нас имеется отчет о соблюдении требований SOC 2 Type II, предоставляемый по запросу на условиях договора о неразглашении. За дополнительной информацией обращайтесь по адресу security@zendesk.com.
ISO 27001:2013 Система Zendesk сертифицирована по стандарту ISO 27001:2013. Сертификат можно загрузить здесь
ISO 27018:2014 Система Zendesk сертифицирована по стандарту ISO 27018:2014. Сертификат можно загрузить здесь
Принадлежность к организациям
Skyhigh Enterprise-Ready Компания Zendesk получила печать Skyhigh Enterprise-Ready™ — высшую оценку в программе CloudTrust™. Эта печать выдается облачным сервисам, которые полностью удовлетворяют самым строгим требованиям к защите данных, проверке личности, безопасности обслуживания, деловой практике и правовой защите.
Cloud Security Alliance Zendesk входит в состав Cloud Security Alliance (CSA) — некоммерческой организации, цель которой — содействие использованию передового опыта для обеспечения гарантий безопасности при облачной обработке данных. CSA ведет общедоступный реестр Security, Trust & Assurance Registry (STAR), в котором документируются средства обеспечения безопасности, предоставляемые различными поставщиками облачных сервисов. Мы заполнили общедоступный опросник Consensus Assessment Initiative (CAI), описывающий нашу комплексную самооценку.
Сертификаты конфиденциальности
Программы сертификации конфиденциальности TRUSTe® Разработчики Zendesk продемонстрировали соответствие наших продуктов, политик и практики соблюдения конфиденциальности требованиям программ Privacy Shield между ЕС и США и (или) между Швейцарией и США. Эти компании засвидетельствовали свое участие в программе Privacy Shield в Министерстве торговли США на веб-странице https://www.privacyshield.gov/list. TRUSTe удостоверяет соответствие требованиям Privacy Shield согласно Дополнительному принципу проверки Privacy Shield.
Сертификация по Privacy Shield между ЕС и США и Швейцарией и США Компания Zendesk подтвердила соответствие основным положениям программы Privacy Shield между ЕС и США и Швейцарией и США в Министерстве торговли США и была внесена в список самостоятельно сертифицированных участников программ Privacy Shield. Наши сертификации подтверждают, что соблюдаем принципы Privacy Shield при передаче персональных данных из Европы и Швейцарии в США.
Политика конфиденциальности Подробнее о конфиденциальности в Zendesk
Соответствие отраслевым нормам
HIPAA Мы помогаем клиентам выполнять свои обязательства по HIPAA, используя соответствующие возможности конфигурации безопасности в продуктах Zendesk. Кроме того, мы предлагаем подписчикам заключить соглашение о деловом партнерстве (Business Associate Agreement, BAA).

*BAA предлагается только при покупке дополнения «Повышенная безопасность» и распространяется только на отдельные продукты Zendesk (применяются специальные правила конфигурации).
Использование Zendesk в окружении PCI Прочитайте наш информационный документ о соответствии нормам PCI или узнайте больше о нашем PCI-совместимом поле для Zendesk Support.

*Требуется аккаунт Enterprise

Дополнительные методы поддержания безопасности

Осведомленность о безопасности
Политики В Zendesk разработан исчерпывающий набор политик безопасности, охватывающих целый ряд тем. Эти политики доводятся до сведения всех штатных сотрудников и подрядчиков, имеющих доступ к информационным ресурсам Zendesk.
Обучение При приеме на работу и впоследствии ежегодно все сотрудники проходят курс обучения основам безопасности. Кроме того, для всех инженеров проводится ежегодные курсы обучение безопасному кодированию. Группа безопасности распространяет новую информацию в этой области по электронной почте, в публикациях в блоге, а также на презентациях во время внутренних мероприятий.
Предварительный отбор сотрудников
Проверка биографических данных Zendesk проверяет биографические данные всех новых сотрудников в соответствии с местным законодательством. Такая проверка также обязательна для подрядчиков. Проверка биографических данных включает криминальную проверку, проверку образования и подтверждение прошлого места работы. Это распространяется и на уборщиков.
Соглашения о конфиденциальности Все новые сотрудники проходят отбор в процессе приема на работу и должны подписать соглашения о неразглашении и о конфиденциальности.

Загружаемые ресурсы для безопасности

Даже наши ресурсы защищены. Для получения доступа заполните следующую небольшую форму.

Укажите свое имя
Укажите свою фамилию
Укажите действительный адрес эл. почты
Выберите страну

Почти готово. Еще приведите краткие сведения о своей компании.

Введите название своей компании
Выберите число сотрудников
Выберите отрасль вашей деятельности
Также время от времени отправлять мне письма о продуктах и услугах Zendesk. (От этой рассылки можно отказаться в любое время.)
Выберите нужный вариант

Ваш запрос отправлен!

Наш представитель вскоре свяжется с вами.

У нас какая-то неполадка!

Перезагрузите страницу и повторите попытку или просто напишите нам на адрес support@zendesk.com.

Ваш запрос отправляется, подождите.

Для получения нашего отчета SOC 2 напишите нам на адрес security@zendesk.com.