Защищенная поддержка клиентов

Безопасность Zendesk

Более 100 000 клиентов доверяют Zendesk свои данные. Мы относимся к этому со всей серьезностью. Мы гарантируем постоянную защиту пользовательских и коммерческих данных благодаря объединению функций безопасности корпоративного класса с комплексной проверкой наших приложений, систем и сетей. И наши клиенты спокойны, зная, что их информация в безопасности, а их операции и предприятия защищены.

Безопасность центров хранения данных и сетей

Физическая безопасность
Оборудование Серверы Zendesk располагаются в центрах обработки данных, соответствующих стандартам Tier IV или III+, SSAE-16, PCI DSS или ISO 27001. Они физически и логически отделены от оборудования других клиентов центров обработки данных. Наше совместно размещенное оборудование имеет резервированную систему питания, оснащенную ИБП и резервными генераторами.
Объектовая безопасность Наши центры хранения данных оборудованы защитным периметром с многоуровневыми зонами безопасности, имеют круглосуточную (24/7) охрану, систему видеонаблюдения, многофакторную идентификацию с биометрическим контролем доступа, физическое блокирование и сигнализацию нарушения безопасности.
Наблюдение Все системы, сетевые устройства и цепи рабочей сети находятся под постоянным наблюдением и логическим администрированием персонала Zendesk. Физической безопасностью, электроснабжением и подключением к Интернету за пределами объектов совместного размещения или служб Amazon занимаются поставщики центров.
Местоположение Центры обработки данных Zendesk находятся в США, Европе и Японии. Клиенты могут указать, чтобы данные их служб располагались только в США или только в Европе (в настоящее время данные Zendesk Chat располагаются только в Европе). Подробнее о наших правилах размещения данных в Европе*Доступно только вместе с компонентом «Местоположение центра хранения данных»
Сетевая безопасность
Специальная группа безопасности Наша распределенная по всему миру группа безопасности круглосуточно находится на связи, готовая реагировать на вызовы и опасные ситуации.
Защита Наша сеть защищена благодаря брандмауэрам (включая резервным), лучшей в своем классе технологии маршрутизации, безопасной передаче по протоколу HTTPS через общедоступные сети, регулярным проверкам и технологиям обнаружения и (или) предотвращения вторжений в сеть (IDS/​IPS), которые отслеживают и (или) блокируют вредоносный трафик и сетевые атаки.
Архитектура Наша архитектура сетевой безопасности включает несколько защищенных зон. Наиболее важные системы, такие как серверы баз данных, располагаются в зонах максимального доверия. Другие системы размещаются в зонах, соответствующих их ценности, в зависимости от назначения, классификации информации и степени риска. В зависимости от зоны применяются дополнительные меры мониторинга безопасности и контроля доступа. Между Интернетом и зонами зонами доверия, а также между самими зонами доверия установлены демилитаризованные зоны.
Сканирование сети на уязвимости Сканирование безопасности сети дает нам глубокое понимание ее состояния для быстрого выявления не соответствующих требованиям или потенциально уязвимых систем.
Сторонние тесты на проницаемость В дополнение к нашей обширной внутренней программе сканирования и тестирования Zendesk каждый год привлекает сторонних экспертов в области безопасности для проведения широкомасштабных тестов на проницаемость рабочей сети Zendesk.
Управление случаями нарушения безопасности (SIEM) Наша система управления случаями нарушения безопасности (SIEM) накапливает в журналах обширные данные из важных сетевых устройств и систем хостов. В состав SIEM входят триггеры, которые уведомляют группу безопасности о взаимосвязанных событиях, что позволяет их расследовать и реагировать на них.
Обнаружение и предотвращение вторжений Основные точки входа и выхода потока данных приложений находятся под наблюдением систем обнаружения вторжений (IDS) или систем предотвращения вторжений (IPS). Эти системы используют регулярно обновляемые сигнатуры угроз и сконфигурированы так, чтобы генерировать оповещения при нарушениях безопасности и при превышении заданных пороговых значений. Они осуществляют круглосуточный (24/7) контроль.
Программа аналитики угроз Zendesk участвует в нескольких программах обмена результатами аналитики угроз. Мы отслеживаем сообщения об угрозах, публикуемые в этих сетях и принимаем меры исходя из степени риска и нашей подверженности ему.
Смягчение последствия DDoS В дополнение к нашим собственным возможностям и средствам мы сотрудничаем с поставщиками Ddos-скраббинга по требованию, что позволяет смягчать последствия атак с распределенным отказом в обслуживании (DDoS).
Логический доступ Доступ к рабочей сети Zendesk ограничен по принципу явной служебной необходимости, дает минимум полномочий, часто проверяется и контролируется и находится под наблюдением нашей эксплуатационной группы. Для получения доступа к рабочей сети Zendesk сотрудники должны использовать несколько факторов аутентификации.
Реагирование на нарушения безопасности В случае системного оповещения управление передается нашим круглосуточно (24/7) дежурящим командам, которые занимаются вопросами эксплуатации, сетевых технологий и безопасности. Сотрудники обучены реагированию на нарушения безопасности, в том числе работе с каналами связи и методам эскалации.
Шифрование
Шифрование при передаче Данные, которыми вы обмениваетесь с серверами Zendesk Support и Chat через общедоступные сети, шифруются с помощью лучших в отрасли протоколов HTTPS и TLS. Кроме того, TLS может использоваться для шифрования электронных писем.
Шифрование в состоянии покоя К услугам всех пользователей Zendesk Support и Chat – защита путем шифрования данных в состоянии покоя для внешнего хранения прикрепленных файлов и ежедневных резервных копий. Если пользователи Support желают, чтобы их основные и дополнительные хранилища данных аварийного восстановления шифровались в состоянии покоя, для этого надо приобрести дополнение «Повышенная безопасность». Также предлагаются для приобретения гарантии шифрования данных службы Chat в состоянии покоя.
Доступность и непрерывность
Работоспособность Zendesk ведет общедоступную веб-страницу состояния системы, на которой публикуются сведения о доступности системы, плановом обслуживании, история инцидентов и приводится описание случаев нарушения безопасности.
Резервирование В Zendesk применяется кластеризация служб и резервирование сетей, что исключает возможность возникновения единой точки отказа. Наш строгий режим резервного копирования обеспечивает активную репликацию данных служб в основных и дополнительных системах аварийного восстановления. Наши совместно размещаемые базы данных хранятся на эффективных устройствах флэш-памяти с несколькими серверами в каждом кластере баз данных.
Аварийное восстановление Наличие программы аварийного восстановления гарантирует, что наши услуги останутся доступными или их будет легко возобновить и после аварии. Это достигается путем создания надежной технической рабочей среды, разработки планов аварийного восстановления и проведения испытаний.
Расширенное аварийное восстановление Расширенное аварийное восстановление предусматривает дублирование всего рабочего окружения, включая данные служб, на вспомогательном сайте, который должен поддерживать возобновление работы служб, когда основной сайт становится полностью недоступным. Гарантии времени возврата (RTO) и точки восстановления (RPO) предоставляются при покупке дополнения «Повышенная безопасность». *Доступно для Chat только при покупке тарифного пакета Support с дополнением «Повышенная безопасность»

Безопасность приложений

Безопасная разработка (SDLC)
Обучение обеспечению безопасности Минимум раз в год инженеры проходят обучение созданию безопасного кода. Программа обучения охватывает 10 важнейших слабых мест в системе безопасности согласно OWASP, основные направления атак, а также средства управления безопасностью Zendesk.
Средства обеспечения безопасности Ruby on Rails Framework В Zendesk Support используются средства обеспечения безопасности Ruby on Rails для ограничения влияния 10 важнейших слабых мест в системе безопасности согласно OWASP. К ним относятся собственные средства контроля, которые уменьшают подверженность межсайтовому скриптингу (XSS), подделке межсайтовых запросов (CSRF) и SQL-инъекциям (SQLI), а также атакам других типов.
Контроль качества Наш отдел контроля качества проверяет и тестирует нашу базу исходного кода. Несколько штатных инженеров по прикладной безопасности выявляют, анализируют и классифицируют уязвимые места в коде.
Раздельные окружения Среда тестирования и подготовки физически и логически отделены от операционного окружения. В средах разработки или тестирования не используются реальные данные служб.
Уязвимости приложений
Динамический поиск уязвимостей С помощью ряда сторонних специализированных средств обеспечения безопасности мы проводим непрерывное сканирование приложений Support и Chat на наличие 10 важнейших слабых мест в системе безопасности согласно OWASP. У нас работает собственная специализированная группа безопасности продуктов, которая проводит тестирование и вместе с инженерными группами занимается устранением любых обнаруженных проблем.
Статический анализ кода Наши репозитории исходного кода Zendesk Support как для платформ, так и для мобильных приложений, постоянно сканируются на наличие проблем безопасности с помощью нашего интегрированного инструментария статического анализа.
Испытания на проницаемость системы безопасности В дополнение к нашей обширной внутренней программе сканирования и тестирования Zendesk каждый квартал привлекает сторонних экспертов в области безопасности для детального тестирования различных приложений из нашего семейства продуктов на проницаемость.
Программа ответственного разглашения сведений об ошибках и вознаграждения за них Наша программа ответственного разглашения открывает исследователям безопасности широкую дорогу к безопасному тестированию продуктов Zendesk и информированию об уязвимостях в системе безопасности благодаря нашему партнерству с HackerOne.

Функции безопасности продукта

Безопасная разработка (SDLC)
Варианты проверки подлинности

Для администраторов и агентов Support и Chat мы предлагаем вход в Zendesk. Для Zendesk Support можно также использовать SSO и проверку подлинности Google.

Для администраторов и агентов Support и Chat мы предлагаем вход в Zendesk. Для Zendesk Support можно также использовать SSO и SSO в социальных сетях (Facebook, Twitter, Google) для проверки подлинности конечных пользователей.

Сквозная авторизация (SSO) Сквозная авторизация (SSO) позволяет проверять подлинность пользователей в ваших собственных системах, не требуя от них ввода дополнительных учетных данных для доступа в Zendes Support. Поддерживаются технологии JSON Web Token (JWT) и Security Assertion Markup Language (SAML). Подробнее о SSO *SAML предлагается только для пользователей аккаунтов Professional и Enterprise*JWT предлагается только для пользователей аккаунтов, начиная с Team
Настраиваемая политика паролей Zendesk предлагает три уровня безопасности паролей: низкий, средний и высокий, а также позволяет задавать особые правила для паролей агентов и администраторов. Zendesk позволяет установить один из этих уровней для конечных пользователей и другой — для администраторов и агентов. Изменять уровень безопасности пароля могут только администраторы. *Применяется к аккаунтам Professional и Enterprise.
Двухэтапная проверка подлинности (2FA) При использовании в вашей службе Zendesk Support входа в Zendesk можно включить двухфакторную проверку подлинности (2FA) для агентов и администраторов. Zendesk поддерживает SMS и такие приложения, как Authy и Google Authenticator, для генерирования паролей. 2FA создает еще один защитный барьер для вашего аккаунта Zendesk, затрудняя посторонним лицам вход в него под вашим именем. Подробнее о 2FA
Безопасное хранение учетных данных Zendesk следует передовому опыту безопасного хранения учетных данных: пароли не хранятся в читаемом формате, а только в виде безопасного, надежного, одностороннего хэш-кода.
Безопасность и проверка подлинности для API Доступ к Zendesk Support API производится только через SSL, а делать запросы API разрешается только подтвержденным пользователям. Для авторизации в API можно использовать простую проверку подлинности с указанием имени пользователя и пароля либо указывать имя пользователя и токен API. Также поддерживается авторизация OAuth. Подробнее о безопасности API
Дополнительные функции безопасности продукта
Права доступа и роли Доступ к данным в Zendesk Support и Chat регулируется правами доступа, которые можно задать с большой степенью детализации. В Zendesk предусмотрены различные уровни разрешений для пользователей (владелец, администратор, агент, конечный пользователь и т.д.). Подробнее об уровнях доступа
Ограничения по IP-адресу В Zendesk Support и Chat можно разрешить доступ только из определенных заданных диапазонов IP-адресов. Эти ограничения можно применить ко всем пользователям или только к агентам. Подробнее об использовании ограничений по IP *Предлагается только для пользователей аккаунтов Professional и Enterprise Support и Premium Chat
Личные прикрепленные файлы В Zendesk Support можно установить обязательное требование, чтобы пользователи для просмотра прикрепленных к тикетам файлов входили в систему. Если эта настройка не включена, прикрепленные файлы доступны по длинному и случайно выбираемому идентификатору токена.
Безопасность передачи данных Весь обмен данными с серверами Zendesk через общедоступные сети шифруется с использованием отраслевого стандарта HTTPS. Это обеспечивает защиту всего трафика между вами и Zendesk при передаче. Кроме того, для электронной почты наш продукт поддерживает протокол Transport Layer Security (TLS), обеспечивающий шифрование и безопасную доставку почты и затрудняющий подслушивание и спуфинг между почтовыми серверами.
Подписывание электронных писем (DKIM/DMARC) Zendesk Support поддерживает технологии DKIM (Domain Keys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance) для подписывания исходящих из Zendesk писем, если в Zendesk настроен внешний почтовый домен. Использование почтовой службы, которая поддерживает эти функции, позволит вам избавиться от спуфинга. Подробнее о цифровом подписывании почты почтовыми серверами.
Отслеживание устройств С целью укрепления безопасности Zendesk Support следит за устройствами, которые используются для входа в аккаунт каждого пользователя. Когда кто-нибудь входит в аккаунт с нового устройства, это устройство добавляется в список устройств в профиле данного пользователя. Этот пользователь может получить по электронной почте уведомление о добавлении нового устройства и должен принять меры, если это действие выглядит подозрительным.
Автоматическое исключение Функция автоматического исключения для Zendesk Support позволяет исключать цифры из номеров кредитных карт, обнаруженных в комментариях или специальных полях тикетов, что обеспечивает защиту конфиденциальной информации. Эти данные исключаются из поступившего тикета, чтобы не допустить сохранения в Zendesk полного номера кредитной карты. Подробнее о функции исключения *Предлагается только для пользователей аккаунтов Enterprise
Спам-фильтр для справочного центра и веб-портала Zendesk Support поддерживает услугу фильтрации спама, которая предотвращает публикацию непрошеных сообщений от конечных пользователей в справочном центре или веб-портале. Подробнее о фильтрации спама в справочном центре и фильтрации спама в веб-портале

Сертификаты соответствия и принадлежности

Соответствие требованиям безопасности
SOC 2 Type II У нас имеется отчет о соблюдении требований SOC 2 Type II, предоставляемый по запросу на условиях договора о неразглашении. За дополнительной информацией обращайтесь по адресу security@zendesk.com.
ISO 27001:2013 Система Zendesk сертифицирована по стандарту ISO 27001:2013.
ISO 27018:2014 Система Zendesk сертифицирована по стандарту ISO 27018:2014.
Принадлежность к организациям
Skyhigh Enterprise-Ready Компания Zendesk получила печать Skyhigh Enterprise-Ready™ — высшую оценку в программе CloudTrust™. Эта печать выдается облачным сервисам, которые полностью удовлетворяют самым строгим требованиям к защите данных, проверке личности, безопасности обслуживания, деловой практике и правовой защите.
Cloud Security Alliance Zendesk входит в состав Cloud Security Alliance (CSA) — некоммерческой организации, цель которой — содействие использованию передового опыта для обеспечения гарантий безопасности при облачной обработке данных. CSA ведет общедоступный реестр Security, Trust & Assurance Registry (STAR), в котором документируются средства обеспечения безопасности, предоставляемые различными поставщиками облачных сервисов. Мы заполнили общедоступный опросник Consensus Assessment Initiative (CAI), описывающий нашу комплексную самооценку.
Сертификаты конфиденциальности
Программы сертификации конфиденциальности TRUSTe® Мы получили печать конфиденциальности TRUSTe, удостоверяющую, что наше заявление о конфиденциальности и методы нашей работы проверены на соответствие требованиям программы TRUSTe, что представлено на странице подтверждения.
Программы США-ЕС Privacy Shield и США-Швейцария Safe Harbor Компания Zendesk подтвердила соответствие нормам программ Privacy Shield между США и ЕС и Safe Harbor между США и Швейцарией, установленным Министерством торговли США.
Политика конфиденциальности Подробнее о конфиденциальности в Zendesk
Соответствие отраслевым нормам
HIPAA Компания Zendesk успешно прошла оценку по стандартам HIPAA/HITECH и может предлагать подписчикам заключение соглашения о деловом партнерстве (BAA). *BAA предлагается только при покупке дополнения «Повышенная безопасность» и распространяется только на отдельные продукты Zendesk (применяются специальные правила конфигурации).
Использование Zendesk в окружении PCI Прочитайте наш информационный документ о соответствии нормам PCI или узнайте больше о проблемах соответствия PCI для Zendesk Support.*Требуется аккаунт Enterprise

Дополнительные методы поддержания безопасности

Осведомленность о безопасности
Политики В Zendesk разработан исчерпывающий набор политик безопасности, охватывающих целый ряд тем. Эти политики доводятся до сведения всех штатных сотрудников и подрядчиков, имеющих доступ к информационным ресурсам Zendesk.
Обучение При приеме на работу и впоследствии ежегодно все сотрудники проходят курс обучения основам безопасности. Кроме того, для всех инженеров проводится ежегодные курсы обучение безопасному кодированию. Группа безопасности распространяет новую информацию в этой области по электронной почте, в публикациях в блоге, а также на презентациях во время внутренних мероприятий.
Предварительный отбор сотрудников
Проверка биографических данных Zendesk проверяет биографические данные всех новых сотрудников в соответствии с местным законодательством. Такая проверка также обязательна для подрядчиков. Проверка биографических данных включает криминальную проверку, проверку образования и подтверждение прошлого места работы. Это распространяется и на уборщиков.
Соглашения о конфиденциальности Все новые сотрудники проходят отбор в процессе приема на работу и должны подписать соглашения о неразглашении и о конфиденциальности.
Обратитесь в отдел продаж
Оставьте нам сообщение

Подождите, мы информируем команду поддержки...

  • Число сотрудников
  • Наш представитель вскоре свяжется с вами.

    У нас какая-то неполадка!

    Перезагрузите страницу и повторите попытку.

    Оставьте нам сообщение Error