Защищенная поддержка клиентов

Безопасность Zendesk

Более 90 000 клиентов доверяют Zendesk свои данные. Мы относимся к этому со всей серьезностью. Мы гарантируем постоянную защиту пользовательских и коммерческих данных благодаря объединению функций безопасности корпоративного класса с комплексной проверкой наших приложений, систем и сетей. И наши клиенты спокойны, зная, что их информация в безопасности, а их операции и предприятия защищены.

Передовой опыт

Zendesk предлагает ряд средств обеспечения безопасности, которые гарантируют защиту данных. Но проблему намного легче предотвратить, чем потом решать. Следуя этим десяти рекомендациям, вы укрепите безопасность своей службы Zendesk.

Подробнее

Мнения клиентов

Безопасность центров хранения данных и сетей

Физическая безопасность
Оборудование Серверы Zendesk находятся в центрах обработки данных, соответствующих стандартам Tier III, SSAE-16, PCI DSS или ISO 27001. Они физически и логически отделены от оборудования других клиентов центров хранения данных. Совместно размещенное оборудование имеет резервированную систему питания, оснащенную ИБП и резервными генераторами.
Объектовая безопасность Наши центры хранения данных оборудованы защитным периметром с многоуровневыми зонами безопасности, имеют круглосуточную (24/7) охрану, систему видеонаблюдения, многофакторную идентификацию с биометрическим контролем доступа, физическое блокирование и сигнализацию нарушения безопасности.
Наблюдение Все системы, сетевые устройства и цепи находятся под постоянным наблюдением Zendesk и поставщиков совместного размещения.
Местоположение Центры обработки данных Zendesk находятся в Европейском союзе и в США. Клиенты могут выбрать размещение своих данных только в США или только в ЕС. Узнайте больше о нашей политике хранения данных в ЕС *Доступно только вместе с компонентом «Местоположение центра хранения данных»
Сетевая безопасность
Специальная группа безопасности Наша группа безопасности круглосуточно (24/7) находится на связи, готовая реагировать на вызовы и опасные ситуации.
Защита Наша сеть защищена брандмауэрами дополнительного уровня 7, лучшей в своем классе технологией маршрутизации, безопасной передачей по протоколу HTTPS через общедоступные сети, регулярными проверками и технологиями обнаружения/предотвращения вторжений в сеть (IDS/​IPS), которые отслеживают и блокируют вредоносный трафик и сетевые атаки.
Архитектура Наша архитектура сетевой безопасности включает несколько защищенных зон с разным уровнем доверия. Наиболее важные системы, такие как серверы баз данных, располагаются в зонах максимального доверия. Другие системы размещаются в зонах, соответствующих их ценности, в зависимости от назначения, классификации информации и степени риска. В зависимости от зоны применяются дополнительные меры мониторинга безопасности и контроля доступа. Зоны доверия отделены от Интернета и друг от друга «демилитаризованными зонами».
Сканирование сети на уязвимости Сканирование безопасности сети дает нам глубокое понимание ее состояния для быстрого выявления не соответствующих требованиям или потенциально уязвимых систем.
Сторонние тесты на проницаемость В дополнение к нашей обширной внутренней программе сканирования и тестирования Zendesk каждый год привлекает сторонних экспертов в области безопасности для проведения широкомасштабных тестов на проницаемость рабочей сети Zendesk.
Управление случаями нарушения безопасности (SIEM) Система управления случаями нарушения безопасности (SIEM) накапливает обширные журналы данных, получая их с важных сетевых устройств и систем хостов. Затем SIEM создает триггеры, которые срабатывают при наступлении взаимосвязанных событий и уведомляют группу безопасности. Группа безопасности реагирует на эти события.
Обнаружение и предотвращение вторжений Основные точки входа и выхода потока данных приложений находятся под наблюдением систем обнаружения вторжений (IDS) или систем предотвращения вторжений (IPS). Эти системы используют регулярно обновляемые сигнатуры угроз и сконфигурированы так, чтобы генерировать оповещения при нарушениях безопасности и при превышении заданных пороговых значений. Они осуществляют круглосуточный (24/7) контроль.
Программа аналитики угроз Zendesk участвует в нескольких программах обмена результатами аналитики угроз. Мы отслеживаем сообщения об угрозах, публикуемые в этих сетях и принимаем меры исходя из степени риска и нашей подверженности ему.
Смягчение последствия DDoS В дополнение к нашим собственным возможностям и средствам мы сотрудничаем с поставщиками Ddos-скраббинга по требованию, что позволяет смягчать последствия атак с распределенным отказом в обслуживании (DDoS).
Логический доступ Доступ к рабочей сети Zendesk ограничен по принципу явной служебной необходимости, дает минимум полномочий, часто проверяется и контролируется и находится под наблюдением нашей эксплуатационной группы. Для получения доступа к рабочей сети Zendesk сотрудники должны использовать несколько факторов аутентификации.
Реагирование на нарушения безопасности В случае системного оповещения управление передается нашим круглосуточно (24/7) дежурящим командам, которые занимаются вопросами эксплуатации, сетевых технологий и безопасности. Сотрудники обучены реагированию на нарушения безопасности, в том числе работе с каналами связи и методам эскалации.
Шифрование
Шифрование при передаче Обмен данными между вами и серверами Zendesk шифруется с использованием лучших в отрасли протоколов HTTPS и TLS.
Шифрование в состоянии покоя Zendesk поддерживает шифрование данных клиентов в состоянии покоя. *Доступно только вместе с дополнением «Повышенная безопасность»
Доступность и непрерывность
Работоспособность Zendesk ведет общедоступную веб-страницу состояния системы, на которой публикуются сведения о доступности системы, плановом обслуживании, история инцидентов и случаи нарушения безопасности.
Резервирование Кластеризация служб и резервирование сетей в Zendesk исключают возможность единой точки отказа. Наш строгий режим резервного копирования обеспечивает активную репликацию данных клиента в масштабе как системы, так и всего объекта. Данные наших баз данных хранятся на эффективных устройствах флэш-памяти с несколькими серверами в каждом кластере баз данных.
Аварийное восстановление Программа аварийного восстановления гарантирует, что наши услуги останутся доступными или их предоставление будет легко возобновить и после аварии. Это достигается путем создания надежной технической рабочей среды, разработки планов аварийного восстановления и проведения испытаний.
Расширенное аварийное восстановление Расширенное аварийное восстановление предусматривает дублирование всего рабочего окружения, включая данные клиентов, на вспомогательном сайте, который должен поддерживать предоставление услуг, когда основной сайт становится полностью недоступным. Для этой службы в Zendesk установлены показатели целевого времени восстановления (RTO) и точки восстановления (RPO). *Доступно только вместе с дополнением «Повышенная безопасность»

Безопасность приложений

Безопасная разработка (SDLC)
Обучение обеспечению безопасности Минимум раз в год инженеры проходят обучение созданию безопасного кода. Программа обучения охватывает 10 важнейших слабых мест в системе безопасности согласно OWASP, основные направления атак, а также средства управления безопасностью Zendesk.
Средства обеспечения безопасности Ruby on Rails Framework Мы используем средства обеспечения безопасности Ruby on Rails Framework для ограничения влияния 10 важнейших слабых мест в системе безопасности согласно OWASP. К ним относятся собственные средства контроля, которые уменьшают нашу подверженность межсайтовому скриптингу (XSS), подделке межсайтовых запросов (CSRF) и SQL-инъекциям (SQLI), а также атакам других типов.
Контроль качества Наш отдел контроля качества проверяет и тестирует нашу базу исходного кода. Несколько штатных инженеров по прикладной безопасности выявляют, анализируют и классифицируют уязвимые места в коде.
Раздельные окружения Тестовое окружение и подготовительное окружение физически и логически отделены от рабочего программного окружения. В окружении разработки или тестирования не используются реальные данные клиентов.
Уязвимости приложений
Динамический поиск уязвимостей Мы непрерывно сканируем свои приложения с помощью ряда сторонних специализированных средств обеспечения безопасности. Ежедневно Zendesk проходит проверку на наличие 10 слабых мест в системе безопасности, признанных самыми важными согласно данным OWASP. У нас работает собственная специализированная группа безопасности продуктов, которая проводит тестирование и вместе с инженерными группами занимается устранением любых обнаруженных проблем.
Статический анализ кода Наши репозитории исходного кода, как для платформы, так и для мобильных приложений, постоянно сканируются на наличие проблем безопасности с помощью нашего интегрированного инструментария статического анализа.
Испытания на проницаемость системы безопасности В дополнение к нашей обширной внутренней программе сканирования и тестирования Zendesk каждый квартал привлекает сторонних экспертов в области безопасности для проведения детальных тестов на проницаемость различных частей приложения.
Программа ответственного разглашения сведений об ошибках и вознаграждения за них Наша программа ответственного разглашения открывает исследователям безопасности широкую дорогу к безопасному тестированию продуктов Zendesk и информированию об уязвимостях в системе безопасности благодаря нашему партнерству с HackerOne.

Функции безопасности продукта

Безопасная разработка (SDLC)
Варианты проверки подлинности Для администраторов и агентов мы предлагаем вход в Zendesk, сквозную авторизацию и проверку подлинности в Google. Для конечных пользователей мы поддерживаем вход в Zendesk, сквозную авторизацию и вход через социальные сети (Facebook, Twitter, Google).
Сквозная авторизация (SSO) Сквозная авторизация (SSO) позволяет проверять подлинность пользователей в ваших собственных системах, не требуя от них ввода дополнительных учетных данных для доступа в Zendesk. Zendesk разрешает доступ только тем пользователям, подлинность которые была проверена вами. Поддерживаются технологии JSON Web Token (JWT) и Security Assertion Markup Language (SAML). Подробнее о SSO *SAML предлагается только для пользователей аккаунтов Professional и Enterprise*JWT предлагается только для пользователей аккаунтов, начиная с Team
Настраиваемая политика паролей Zendesk предлагает три уровня безопасности паролей: низкий, средний и высокий. Zendesk позволяет установить один из этих уровней для конечных пользователей и другой — для администраторов и агентов. Изменять уровень безопасности пароля могут только администраторы. В тарифных пакетах Professional и Enterprise можно указать собственный уровень безопасности для паролей.
Двухэтапная проверка подлинности (2FA) При использовании входа в Zendesk можно включить 2-этапную проверку подлинности (2FA). Zendesk поддерживает SMS и такие приложения, как Authy и Google Authenticator, для генерирования паролей. 2FA создает еще один защитный барьер для вашего аккаунта Zendesk, затрудняя посторонним лицам вход в него под вашим именем. Подробнее о 2FA
Безопасное хранение учетных данных Zendesk следует передовому опыту безопасного хранения учетных данных: пароли не хранятся в читаемом формате, а только в виде безопасного, надежного, одностороннего хэш-кода.
Безопасность и проверка подлинности для API Доступ к Zendesk API производится только через SSL; делать запросы API разрешается только проверенным пользователям. Для авторизации в API можно использовать простую проверку подлинности с указанием имени пользователя и пароля либо указывать имя пользователя и токен API. Также поддерживается авторизация OAuth. Подробнее о безопасности API
Дополнительные функции безопасности продукта
Права доступа и роли Доступ к данным в вашей службе Zendesk регулируется правами доступа; эти права можно задать с большой степенью детализации. В Zendesk предусмотрены различные уровни разрешений для пользователей (владелец, администратор, агент, конечный пользователь и т.д.), которые обращаются к вашей службе. Подробнее об уровнях доступа
Ограничения по IP-адресу В вашей службе Zendesk можно разрешить доступ только с определенных заданных вами диапазонов IP-адресов и применить эти ограничения ко всем пользователям или только к вашим агентам. Подробнее об использовании ограничений по IP *Только для пользователей аккаунтов Enterprise
Личные прикрепленные файлы Можно установить обязательное требование к пользователям входить в систему Zendesk для просмотра прикрепленных к тикетам файлов. Если эта настройка не включена, прикрепленные файлы доступны по случайному идентификатору токена.
Безопасность передачи данных Весь обмен данными с серверами Zendesk шифруется с использованием отраслевого стандарта HTTPS. Это обеспечивает защиту всего трафика между вами и Zendesk при передаче. Кроме того, для электронной почты наш продукт поддерживает протокол Transport Layer Security (TLS), обеспечивающий шифрование и безопасную доставку почты и затрудняющий подслушивание и спуфинг между почтовыми серверами.
Подписывание электронных писем (DKIM/DMARC) Мы поддерживаем технологии DKIM (Domain Keys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance) для подписывания исходящих из Zendesk писем, если у вас в Zendesk настроен внешний почтовый домен. Использование почтовой службы, которая поддерживает эти функции, позволит вам избавиться от спуфинга. Подробнее о цифровом подписывании вашей почты.
Отслеживание устройств Для укрепления безопасности Zendesk следит за устройствами, которые используются для входа в аккаунт каждого пользователя. Когда кто-нибудь входит в аккаунт с нового устройства, оно добавляется в список устройств в профиле данного пользователя. Этот пользователь может получить по электронной почте уведомление о добавлении нового устройства и должен принять меры, если это действие выглядит подозрительным.
Автоматическое исключение Функция автоматического исключения позволяет исключать цифры из номеров кредитных карт, обнаруженных в комментариях или специальных полях тикетов, что обеспечивает защиту конфиденциальной информации. Эти данные исключаются из поступившего тикета, чтобы не допустить сохранения в Zendesk полного номера кредитной карты. Подробнее о нашей функции исключения *Предлагается только для пользователей аккаунтов Professional и Enterprise
Спам-фильтр для справочного центра и веб-портала Zendesk поддерживает услугу фильтрации спама, которая предотвращает публикацию непрошеных сообщений пользователей в вашем справочном центре или на веб-портале. Подробнее о фильтрации спама в справочном центре и фильтрации спама на веб-портале

Дополнительные методы поддержания безопасности

Осведомленность о безопасности
Политики В Zendesk разработан исчерпывающий набор политик безопасности, охватывающих целый ряд тем. Эти политики доводятся до сведения всех штатных сотрудников и подрядчиков, имеющих доступ к информационным ресурсам Zendesk.
Обучение Все новые сотрудники проходят обучение основам безопасности, а группа безопасности распространяет новую информацию в этой области по электронной почте, в виде публикаций в блоге, а также на презентациях во время внутренних мероприятий.
Предварительный отбор сотрудников
Проверка биографических данных Zendesk проверяет биографические данные всех новых сотрудников в соответствии с местным законодательством. Такая проверка также обязательна для подрядчиков. Проверка биографических данных включает криминальную проверку, проверку образования и подтверждение прошлого места работы. Это распространяется и на уборщиков.
Соглашения о конфиденциальности Все новые сотрудники проходят отбор в процессе приема на работу и должны подписать соглашения о неразглашении и о конфиденциальности.

Сертификаты соответствия и принадлежности

Соответствие требованиям безопасности
SOC 2 Type II По запросу и при условии подписки о неразглашении мы предоставляем отчет о соблюдении требований SOC 2 Type II. За дополнительной информацией обращайтесь по адресу security@zendesk.com.
ISO 27001:2013 Система Zendesk сертифицирована по стандарту ISO 27001:2013.
ISO 27018:2014 Система Zendesk сертифицирована по стандарту ISO 27018:2014.
Принадлежность к организациям
Skyhigh Enterprise-Ready Компания Zendesk получила печать Skyhigh Enterprise-Ready™ — высшую оценку в программе CloudTrust™. Эта печать выдается облачным сервисам, которые полностью удовлетворяют самым строгим требованиям к защите данных, проверке личности, безопасности обслуживания, деловой практике и правовой защите.
Cloud Security Alliance Zendesk входит в состав Cloud Security Alliance (CSA) — некоммерческой организации, цель которой — содействие использованию передового опыта для обеспечения гарантий безопасности при облачной обработке данных. CSA ведет общедоступный реестр Security, Trust & Assurance Registry (STAR), в котором документируются средства обеспечения безопасности, предоставляемые различными поставщиками облачных сервисов. Мы заполнили общедоступный опросник Consensus Assessment Initiative (CAI), описывающий нашу комплексную самооценку.
Сертификаты конфиденциальности
Программы сертификации конфиденциальности TRUSTe® Мы получили печать конфиденциальности TRUSTe, удостоверяющую, что наше заявление о конфиденциальности и методы нашей работы проверены на соответствие требованиям программы TRUSTe, что представлено на странице подтверждения.
Программы «безопасной гавани» между США и Швейцарией Компания Zendesk подтвердила соответствие нормам «безопасной гавани» между США и Швейцарией, установленным Министерством торговли США.
Политика конфиденциальности Подробнее о конфиденциальности в Zendesk
Соответствие отраслевым нормам
HIPAA Компания Zendesk успешно прошла оценку на соответствие стандартам HIPAA/HITECH и может предлагать подписчикам заключение соглашения о деловом партнерстве (BAA). *Оценка HIPAA/​HITECH успешно получена для всех тарифных планов; BAA предлагается только вместе с компонентом «Повышенная безопасность».
Использование Zendesk в окружении PCI Прочитайте наш информационный документ о соответствии нормам PCI или узнайте больше о проблемах соответствия PCI.
  • AICPA
  • BSI ISO/IEC 27001
  • Skyhigh Enterprise Ready
  • Cloud Security Alliance
  • TRUSTe Verified
  • BSI ISO/IEC 27018