Защищенная поддержка клиентов

Будьте готовы ко всему

Zendesk очень серьезно относится к безопасности — достаточно вспомнить, сколько компаний из списков Fortune 100 и Fortune 500 доверяют нам свои данные. Мы гарантируем постоянную защиту ваших данных благодаря объединению функций безопасности корпоративного класса с комплексной проверкой наших приложений, систем и сетей. Иначе говоря, каждый клиент (в том числе ваш) может быть спокоен.

Сертификаты соответствия и принадлежности

Мы используем передовые методы и отраслевые стандарты, чтобы обеспечить соблюдение принятых в отрасли общих принципов безопасности и конфиденциальности, что, в свою очередь, помогает нашим клиентам добиться соответствия их собственным стандартам.

Соответствие требованиям безопасности
SOC 2 Type II

Мы регулярно проводим аудиты на соблюдение требований SOC 2 Type II и по запросу предоставляем их результаты на условиях договора о неразглашении. Последнюю версию отчета о SOC 2 Type II можно заказать здесь.

ISO 27001:2013

Система Zendesk сертифицирована по стандарту ISO 27001:2013. Сертификат можно загрузить здесь.

ISO 27018:2014

Система Zendesk сертифицирована по стандарту ISO 27018:2014. Сертификат можно загрузить здесь.

FedRAMP LI-SaaS

Программное обеспечение Zendesk получило разрешение программы FedRAMP в классе «Программа как услуга с низким уровнем риска» (LI-SaaS) и внесено в каталог FedRAMP Marketplace. Клиенты правительственных учреждений США могут запросить доступ к пакету безопасности Zendesk FedRAMP, заполнив здесь форму запроса доступа к пакету или отправив запрос на адрес fedramp@zendesk.com.

Соответствие отраслевым нормам
HIPAA

Мы помогаем клиентам выполнять свои обязательства по HIPAA, используя соответствующие возможности конфигурации безопасности в продуктах Zendesk. Кроме того, мы предлагаем подписчикам заключить соглашение о деловом партнерстве (Business Associate Agreement, BAA).

*BAA предлагается только при покупке дополнения «Полное соответствие нормам» и распространяется лишь на отдельные продукты Zendesk (действуют специальные требования к конфигурации).

PCI DSS

Прочитайте наш информационный документ о соответствии нормам PCI или узнайте больше о нашем PCI-совместимом поле для Zendesk Support.

*Требуется аккаунт Enterprise

Нашу документацию по аттестации и сертификат соответствия PCI можно получить здесь.

Принадлежность к организациям
Skyhigh Enterprise-Ready

Компания Zendesk получила печать Skyhigh Enterprise-Ready™ — высшую оценку в программе CloudTrust™. Эта печать выдается облачным сервисам, которые полностью удовлетворяют самым строгим требованиям к защите данных, проверке личности, безопасности обслуживания, деловой практике и правовой защите.

Cloud Security Alliance

Zendesk входит в состав Cloud Security Alliance (CSA) — некоммерческой организации, цель которой — содействие использованию передового опыта для обеспечения гарантий безопасности при облачной обработке данных. CSA ведет общедоступный реестр Security, Trust & Assurance Registry (STAR), в котором документируются средства обеспечения безопасности, предоставляемые различными поставщиками облачных сервисов. Мы заполнили общедоступный опросник Consensus Assessment Initiative (CAI), описывающий нашу комплексную самооценку.

Результаты CSA CAIQ доступны для загрузки здесь.

IT-ISAC

Zendesk участвует в работе группы IT-ISAC, нацеленной на объединение усилий различных компаний частного сектора с целью использования новых технологий и совместного поддержания безопасности. Группа содействует сотрудничеству и обмену актуальной, полезной информацией и опытом аналитики угроз. В IT-ISAC действуют специализированные группы интересов, которые занимаются вопросами аналитики, инсайдерских угроз, физической безопасности и других конкретных областей, помогая осуществлению нашей основной задачи по обеспечению безопасности Zendesk.

FIRST

Zendesk входит в состав FIRST — международной конфедерации групп реагирования на инциденты, которые совместно устраняют нарушения компьютерной безопасности и продвигают программы предотвращения инцидентов. Члены FIRST обмениваются технической информацией, инструментами, методиками, процессами и передовым опытом. Zendesk Security сотрудничает с другими членами FIRST, используя коллективные знания, квалификацию для продвижения более надежной и безопасной глобальной электронной среды.

Сертификаты конфиденциальности и защита данных
Политика конфиденциальности
Правовые ресурсы

Информацию о наших правовых положениях и условиях соблюдения конфиденциальности можно найти здесь:

Артефакты

У нас есть ряд ресурсов, которые мы можем предоставить по вашему запросу.

Ресурсы для непосредственной загрузки (без подписки о неразглашении)

Для доступа к следующим загружаемым ресурсам нажмите кнопку ниже:

Сертификат ISO 27001:2013

Сертификат ISO 27018:2014

SOC 3 Report

Спецификации/информационные документы

Документация по аттестации и сертификат соответствия PCI

Схемы сетевой архитектуры

  • Support/Guide
  • Chat
  • Talk

CSA CAIQ

Получить ресурсы
Ресурсы с подпиской о неразглашении

Для доступа к следующим ресурсам может потребоваться подписка о неразглашении. Нажмите кнопку ниже, чтобы получить доступ.

Свидетельство о страховании

SOC 2 Type II Report

Результаты ежегодного теста на проницаемость

Результаты теста на устойчивость бизнеса и аварийное восстановление

SIG LIte

VSA

Получить ресурсы

Облачная безопасность

Физическая безопасность центров хранения данных
Оборудование

Служебные данные в Zendesk в основном содержатся в центрах хранения данных AWS, сертифицированных на соответствие нормам ISO 27001, PCIDSS Service Provider Level 1 и (или) SOC 2. Подробнее о соответствии нормам в AWS.

В службах инфраструктуры AWS предусмотрены: резервное электропитание, системы отопления, вентиляции и кондиционирования воздуха, а также противопожарное оборудование для защиты серверов и, в конечном счете, ваших данных. Подробнее о мерах контроля в центрах хранения данных AWS.

Объектовая безопасность

В системах безопасности AWS на объекте обеспечивается ряд функций, таких как охрана, ограждение, видеонаблюдение, технология обнаружения вторжений и другие меры безопасности. Подробнее о физической безопасности AWS.

Места хранения данных

Zendesk использует центры хранения данных AWS в США, Западной Европе и АТР. Подробнее о местах хранения служебных данных Zendesk.

Клиенты могут выбрать размещение своих служебных данных только в США или только в Европейской экономической зоне.* Подробнее о наших возможностях хранения данных в разных регионах и об ограничениях на типы служебных данных.

*Доступно только вместе с компонентом «Местоположение центра хранения данных»

Сетевая безопасность
Специальная группа безопасности

Наша распределенная по всему миру группа безопасности круглосуточно находится на связи, готовая реагировать на вызовы и опасные ситуации.

Защита

Защита нашей сети обеспечивается путем использования ключевых служб безопасности AWS, интеграции с нашими сетями периферийной защиты Cloudflare, регулярного аудита и применения технологии сетевого интеллекта, в которой отслеживается и (или) блокируется известный вредоносный трафик и сетевые атаки.

Наша архитектура сетевой безопасности включает несколько защищенных зон. Наиболее важные системы, такие как серверы баз данных, располагаются в зонах максимального доверия. Другие системы размещаются в зонах, соответствующих их ценности, в зависимости от назначения, классификации информации и степени риска. В зависимости от зоны применяются дополнительные меры мониторинга безопасности и контроля доступа. Между Интернетом и зонами зонами доверия, а также между самими зонами доверия установлены демилитаризованные зоны.

Сканирование сети на уязвимости

Сканирование безопасности сети дает нам глубокое понимание ее состояния для быстрого выявления не соответствующих требованиям или потенциально уязвимых систем.

Сторонние тесты на проницаемость

В дополнение к выполнению обширной внутренней программы сканирования и тестирования Zendesk каждый год привлекает сторонних экспертов в области безопасности для проведения широкомасштабных тестов на проницаемость корпоративных и рабочих сетей Zendesk.

Управление случаями нарушения безопасности

Наша система управления случаями нарушения безопасности (SIEM) накапливает в журналах обширные данных из важных сетевых устройств и систем хостов. В состав SIEM входят триггеры, которые уведомляют группу безопасности о взаимосвязанных событиях для их расследования и реагирования.

Обнаружение и предотвращение вторжений

Точки входа в сервис и выхода из него оснащены средствами контроля для обнаружения аномального поведения. Эти системы сконфигурированы так, чтобы генерировать оповещения при нарушениях безопасности и при превышении заданных пороговых значений, а также используют регулярно обновляемые сигнатуры угроз. Они осуществляют круглосуточный контроль.

Программа аналитики угроз

Zendesk участвует в нескольких программах обмена результатами аналитики угроз. Мы отслеживаем сообщения об угрозах, публикуемые в этих сетях, и принимаем меры исходя из степени риска.

Смягчение последствия DDoS

В Zendesk разработан многоуровневый подход к смягчению последствий DDoS. Тесное технологическое партнерство с Cloudflare обеспечивает защиту периферии сети, а использование инструментов масштабирования и защиты AWS наряду со специальными сервисами AWS против DDoS дополнительно усиливает эту защиту.

Логический доступ

Доступ к рабочей сети Zendesk ограничен по принципу явной служебной необходимости, дает минимум полномочий, часто проверяется и контролируется и находится под наблюдением нашей эксплуатационной группы. Для получения доступа к рабочей сети Zendesk сотрудники должны использовать несколько факторов аутентификации.

Реагирование на нарушения безопасности

В случае системного оповещения управление передается нашим круглосуточно (24/7) дежурящим командам, которые занимаются вопросами эксплуатации, сетевых технологий и безопасности. Сотрудники обучены реагированию на нарушения безопасности, в том числе работе с каналами связи и методам эскалации.

Шифрование
Шифрование при передаче

Весь обмен данными с пользовательским интерфейсом и интерфейсами API Zendesk через общедоступные сети шифруется с использованием отраслевого стандарта HTTPS/TLS (TLS 1.2 или выше). Это обеспечивает защиту всего трафика при передаче между вами и Zendesk. Кроме того, для электронной почты наш продукт по умолчанию поддерживает гибкий протокол TLS. Этот протокол обеспечивает шифрование и безопасную доставку почты, затрудняя прослушивание трафика между почтовыми серверами. Данные встроенных функций обмена SMS, любых сторонних приложений, интеграций или служб, которые по своему усмотрению могут выбрать подписчики, иногда не шифруются.

Шифрование в состоянии покоя

Служебные данные в состоянии покоя в AWS шифруются с помощью 256-разрядных ключей AES.

Доступность и непрерывность
Работоспособность

Zendesk ведет общедоступную веб-страницу состояния системы, на которой публикуются сведения о доступности системы и ее плановом обслуживании, история инцидентов, а также приводится описание случаев нарушения безопасности.

Резервирование

В Zendesk применяется кластеризация служб и резервирование сетей, благодаря чему у нас нет единых точек отказа. Наш строгий режим резервного копирования, а также услуга расширенного аварийного восстановления позволяет предлагать клиентам высокий уровень доступности сервиса, так как служебные данные дублируются по разным зонам доступности.

Аварийное восстановление

Наша программа аварийного восстановления гарантирует, что наши услуги останутся доступными или после аварии их предоставление будет легко возобновить. Это достигается путем создания надежной технической рабочей среды, разработки планов аварийного восстановления и проведения испытаний.

Расширенное аварийное восстановление

Пакет расширенного аварийного восстановления предусматривает обязательства с нашей стороны по соблюдению целевого времени восстановления (RTO) и целевой точки восстановления (RPO). Мы можем брать на себя такие обязательства благодаря своей способности устанавливать приоритетность обслуживания пользователей пакета при любом объявленном аварийном событии.

*Доступно только при покупке дополнения «Расширенное аварийное восстановление».

Безопасность приложений

Безопасная разработка (SDLC)
Обучение безопасному кодированию

Минимум раз в год инженеры проходят обучение по созданию безопасного кода. Программа обучения охватывает 10 важнейших рисков для безопасности согласно OWASP, основные направления атак, а также средства управления безопасностью Zendesk.

Средства обеспечения безопасности платформы

В Zendesk используются современные и безопасные платформы с открытым кодом, оснащенные средствами обеспечения безопасности для ограничения влияния 10 важнейших факторов риска согласно OWASP. Эти собственные средства обеспечения безопасности уменьшают нашу подверженность SQL-инъекциям (SQLi), межсайтовому скриптингу (XSS) и подделке межсайтовых запросов (CSRF), а также атакам других типов.

Quality Assurance

Наш отдел контроля качества проверяет и тестирует нашу базу исходного кода. Штатные инженеры по прикладной безопасности выявляют, анализируют и классифицируют уязвимые места в коде.

Раздельные окружения

Тестовое окружение и подготовительное окружение логически отделено от рабочего программного окружения. Служебные данные не используются в окружении разработки или тестирования.

Управление уязвимостями
Динамический поиск уязвимостей

С помощью стороннего инструментария обеспечения безопасности мы проводим непрерывное сканирование своих приложений Support и Chat на 10 важнейших рисков для безопасности согласно OWASP. У нас работает собственная специализированная группа безопасности продуктов, которая проводит тестирование и вместе с инженерными группами занимается устранением любых обнаруженных проблем.

Статический анализ кода

Наши репозитории исходного кода, как для платформы, так и для мобильных приложений сканируются на наличие проблем безопасности с помощью нашего интегрированного инструментария статического анализа.

Стороннее тестирование на проницаемость

Обширную внутреннюю программу сканирования и тестирования Zendesk дополняет тем, что привлекает сторонних экспертов в области безопасности для детального тестирования на проницаемость различных приложений из нашего семейства продуктов.

Программа ответственного разглашения сведений об ошибках и вознаграждения за них

Наша программа ответственного разглашения открывает исследователям безопасности и клиентам широкие возможности для безопасного тестирования продуктов Zendesk и информирования об уязвимостях в системе безопасности благодаря нашему партнерству с HackerOne.

Безопасность продуктов

Надежная проверка подлинности
Варианты проверки подлинности

Клиенты могут применять для аутентификации конечных пользователей и (или) агентов встроенную проверку подлинности Zendesk, сквозную авторизацию для социальных сетей (Facebook, Твиттер, Google) и (или) корпоративную сквозную авторизацию (SAML, JWT). Подробнее о доступе пользователей.

Настраиваемая политика паролей

Встроенная аутентификация Zendesk для продуктов, доступных через Центр администрирования, предлагает три уровня безопасности паролей: низкий, средний и высокий, а также позволяет задавать особые правила для паролей агентов и администраторов. Кроме того, Zendesk предусматривает различные уровни безопасности паролей, применяемых, с одной стороны, к конечным пользователям, и, с другой стороны, к агентам и администраторам. Изменять уровень безопасности пароля могут только администраторы. Подробнее о настраиваемой политике паролей.

2-факторная аутентификация (2FA)

Встроенная аутентификация Zendesk для продуктов, доступных через Центр администрирования, предлагает 2-факторную аутентификацию (2FA) для агентов и администраторов с помощью SMS или приложения-аутентификатора. Подробнее о 2FA.

Хранение служебных учетных данных

Zendesk следует передовому опыту безопасного хранения учетных данных: пароли не хранятся в читаемом формате, а только в виде безопасного, надежного, одностороннего хэш-кода.

Дополнительные функции безопасности продукта
Средства ролевого контроля доступа

Доступ к данным в приложениях Zendesk регулируется средствами ролевого контроля (RBAC); права для ролей можно задать с большой степенью детализации. В Zendesk предусмотрены различные уровни разрешений для пользователей (владелец, администратор, агент, конечный пользователь и т.д.).

Подробнее о ролях пользователей:

Подробнее о глобальной безопасности и доступе пользователей можно узнать здесь.

Ограничения по IP-адресу

В продуктах Zendesk можно разрешить доступ только с определенных заданных вами диапазонов IP-адресов. Эти ограничения можно применить ко всем пользователям или только к агентам. Подробнее об использовании ограничений по IP-адресу:

Личные прикрепленные файлы

Можно установить обязательное требование к пользователям входить в систему для просмотра прикрепленных к тикетам файлов. Подробнее о новых возможностях прикрепления файлов.

Подписывание электронных писем (DKIM/DMARC)

Zendesk поддерживает технологии DKIM (Domain Keys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance) для подписывания исходящих из Zendesk писем, если в Zendesk настроен внешний почтовый домен. Использование почтовой службы, которая поддерживает эти функции, позволит вам избавиться от спуфинга. Подробнее о цифровом подписывании почты почтовыми серверами.

Отслеживание устройств

Zendesk следит за устройствами, применяемыми для входа в аккаунт каждого пользователя. Когда кто-нибудь входит в аккаунт с нового устройства, это устройство добавляется в список устройств в профиле данного пользователя. Этот пользователь может получить по электронной почте уведомление о добавлении нового устройства и должен принять меры, если это действие выглядит подозрительным. Подозрительные сеансы можно прекращать из интерфейса агента. Подробнее об отслеживании устройств.

Исключение конфиденциальных данных

Функция исключения вручную позволяет исключать (удалять) конфиденциальную информацию из комментариев к тикетам Support и безопасно удалять прикрепленные файлы, так что ваши секреты не будут разглашены. Эти данные исключаются из поступившего тикета через интерфейс пользователя или API, чтобы не допустить их сохранения в Zendesk. Подробнее об исключении через интерфейс пользователя или API.

Функция автоматического исключения позволяет исключать в Support и Chat последовательности цифр, которые могут быть номерами кредитных карт по результатам проверки Луна. Подробнее об автоматическом исключении в Support и Chat.

Zendesk Support предлагает настраиваемое поле номера кредитной карты, соответствующее стандарту PCI, в котором исключаются все цифры кроме четырех последних. Подробнее о соответствии нормам PCI в Zendesk.

Спам-фильтр для Справочного центра

Zendesk оснащается функцией фильтрации спама, которая предотвращает публикацию в Справочном центре непрошеных сообщений от конечных пользователей. Подробнее о фильтрации спама в Справочном центре.

Безопасность кадров

Осведомленность о безопасности
Политики

В Zendesk разработан исчерпывающий набор политик безопасности, охватывающих целый ряд тем. Эти политики доводятся до сведения всех штатных сотрудников и подрядчиков, имеющих доступ к информационным ресурсам Zendesk.

Обучение

После приема на работу, а затем ежегодно все сотрудники проходят обучение основам безопасности. Кроме того, для всех инженеров проводится ежегодное обучение безопасному написанию кода. Группа безопасности распространяет новую информацию в этой области по электронной почте в виде публикаций в блоге, а также на презентациях во время внутренних мероприятий.

Предварительный отбор сотрудников
Проверка биографических данных

Zendesk проверяет биографические данные всех новых сотрудников в соответствии с местным законодательством. Такая проверка также обязательна для подрядчиков. Проверка биографических данных включает криминальную проверку, проверку образования и подтверждение прошлого места работы. Это распространяется и на уборщиков.

Соглашения о конфиденциальности

Все новые сотрудники должны подписать соглашения о неразглашении и о конфиденциальности.