Adotta precauzioni

Zendesk gestisce i dati in hosting principalmente presso centri dati AWS certificati secondo gli standard ISO 27001, PCI DSS Service Provider Level 1 e/o SOC 2. Informazioni sulla conformità in AWS.

I servizi di infrastruttura AWS includono alimentazione di riserva, impianti di climatizzazione e apparecchiature antincendio per aiutare a proteggere i server e i relativi dati. Informazioni sui controlli dei centri dati in AWS.

La sicurezza in loco in AWS include opzioni quali guardie giurate, recinzione, feed di sicurezza, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza. Informazioni sulla sicurezza fisica di AWS.

Zendesk si avvale di data center AWS negli Stati Uniti, in Europa e nell'area Asia Pacifico. Informazioni sulle sedi di hosting dei dati per i Dati di Servizio Zendesk.

Zendesk offre più scelte di località di dati tra cui Stati Uniti (USA), Australia (AU), Giappone (JP) o Spazio economico europeo (SEE). Per ulteriori informazioni su prodotti, piani e offerte regionali, consultare la nostra Politica regionale sull’hosting dei dati.

Il nostro team di sicurezza distribuito a livello globale è disponibile 24 ore su 24, 7 giorni su 7, per rispondere agli allarmi e agli eventi di sicurezza.

La nostra rete è protetta attraverso l'uso di servizi di sicurezza AWS chiave, l'integrazione con le reti di protezione edge Cloudflare, audit regolari e tecnologie di network intelligence, che monitorano e/o bloccano il traffico dannoso noto e gli attacchi alla rete.

La nostra architettura di sicurezza della rete è costituita da più zone di sicurezza. I sistemi più sensibili come i server di database sono protetti nelle nostre zone più affidabili. Altri sistemi sono alloggiati in zone commisurate alla loro sensibilità, a seconda della funzione, della classificazione delle informazioni e del rischio. A seconda della zona, verranno applicati ulteriori controlli di sicurezza e di accesso. Le DMZ sono utilizzate per Internet, e internamente tra le diverse zone di fiducia.

La scansione della sicurezza di rete ci fornisce informazioni approfondite per una rapida identificazione dei sistemi non conformi o potenzialmente vulnerabili.

Oltre al nostro vasto programma interno di scansione e analisi, ogni anno Zendesk assume esperti terzi in materia di sicurezza, addetti all’esecuzione di test esaustivi di penetrazione nelle reti aziendali e in quelle di produzione di Zendesk.

Il sistema SIEM (Security Incident Event Management) raccoglie registri estesi da importanti dispositivi di rete e sistemi host. Il sistema SIEM avvisa su trigger che notificano il team di sicurezza sulla base di eventi correlati per l'indagine e la risposta.

I punti di ingresso e di uscita del servizio sono dotati di strumentazione e monitorati per rilevare comportamenti anomali. Questi sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano soglie predeterminate e utilizzano firme regolarmente aggiornate in base alle nuove minacce. Questo include il monitoraggio del sistema 24/7.

Zendesk partecipa a diversi programmi di condivisione delle informazioni sulle minacce. Monitoriamo le minacce pubblicate su queste reti di informazioni sulle minacce e intraprendiamo azioni in base al rischio.

Zendesk ha architettato un approccio multilivello alla mitigazione DDoS. Una partnership tecnologica di base con Cloudflare fornisce difese del perimetro della rete, mentre l’utilizzo di strumenti di scalabilità e protezione AWS fornisce una protezione più profonda insieme al nostro utilizzo di servizi specifici AWS DDoS.

L’accesso alla rete di produzione di Zendesk è limitato in base alla necessità esplicita di sapere, utilizza il privilegio minimo, è frequentemente controllato e monitorato, anche dal nostro team operativo. I dipendenti che accedono alla rete di produzione Zendesk devono utilizzare più fattori di autenticazione.

In caso di un allarme di sistema, gli eventi sono portati all'attenzione dei nostri team disponibili 24/7 che forniscono assistenza per operazioni, ingegneria di rete e sicurezza. I dipendenti hanno ricevuto la formazione adeguata sui processi di risposta agli incidenti di sicurezza, compresi i canali di comunicazione e i percorsi di escalation.

Tutte le comunicazioni con interfaccia utente e API Zendesk sono criptate tramite lo standard di settore HTTPS/TLS (TLS 1.2 o superiore) su reti pubbliche. Questo assicura che tutto il traffico tra l'utente e Zendesk sia sicuro durante il transito. Inoltre, per le e-mail, il nostro prodotto sfrutta TLS opportunistico per impostazione predefinita. Transport Layer Security (TLS) cripta e consegna le e-mail in modo sicuro, mitigando le intercettazioni tra i server di posta dove i servizi peer supportano questo protocollo. Le eccezioni per la crittografia possono includere qualsiasi uso della funzionalità SMS del prodotto, qualsiasi altra app di terze parti, integrazione o servizio che gli abbonati possono scegliere di sfruttare a propria discrezione.

I dati di servizio sono crittografati a riposo in AWS mediante chiave di crittografia AES-256.

Zendesk amministra una pagina web sullo stato del sistema disponibile al pubblico, che riporta dati sulla disponibilità, manutenzione programmata, cronologia degli incidenti di servizio ed eventi di sicurezza correlati.

Zendesk si avvale del clustering del servizio e di ridondanze di rete per eliminare i singoli punti di errore. Il nostro rigoroso regime di backup e/o la nostra offerta di Servizi di Ripristino di emergenza avanzato ci consentono di fornire un elevato livello di disponibilità del servizio, poiché i Dati di Servizio vengono replicati in tutte le zone di disponibilità.

Il nostro programma di Ripristino di emergenza (DR) garantisce che i nostri servizi rimangano disponibili e facilmente recuperabili in caso di disastro.

Questo risultato si ottiene attraverso lo sviluppo di un ambiente tecnico affidabile, la creazione di piani di disaster recovery e le attività di test.

Il nostro pacchetto di Ripristino di emergenza avanzato aggiunge obiettivi contrattuali per l’obiettivo del tempo di ripristino (RTO) e l’obiettivo del punto di ripristino (RPO). Questi sono supportati attraverso la nostra capacità di dare la priorità alle operazioni di sottoscrittori di Ripristino di emergenza avanzato durante qualsiasi evento di disastro dichiarato.

Zendesk sfrutta moderni e sicuri framework open-source con controlli di sicurezza per limitare l'esposizione ai 10 principali rischi per la sicurezza OWASP. Questi controlli intrinseci riducono, tra l'altro, l'esposizione a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF).

Il reparto di assicurazione qualità esamina e testa il nostro codice base. Ingegneri dedicati alla sicurezza delle applicazioni nello staff individuano, testano e risolvono le vulnerabilità di sicurezza nel codice.

Gli ambienti di test e di staging sono logicamente separati dall'ambiente di produzione. Nessun dato di servizio viene utilizzato nei nostri ambienti di sviluppo o di test.

Utilizziamo strumenti di sicurezza di terze parti per eseguire la scansione continua e dinamica delle nostre applicazioni principali rispetto ai rischi comuni per la sicurezza delle applicazioni Web, tra cui, a titolo esemplificativo ma non esaustivo, i rischi per la sicurezza OWASP Top 10. Ci avvaliamo di un team interno dedicato alla sicurezza dei prodotti per eseguire i test e collaboriamo con i team di progettazione per risolvere qualsiasi problema rilevato.

Scansioniamo le librerie e le dipendenze utilizzate nei nostri prodotti per identificare le vulnerabilità e garantire che le stesse siano gestite.

Oltre all'ampio programma interno di scansione e test, Zendesk si affida a esperti di sicurezza esterni per eseguire rigorosi test di penetrazione su diverse applicazioni della propria famiglia di prodotti.

Il nostro Programma di divulgazione responsabile offre ai ricercatori sulla sicurezza nonché ai sottoscrittori una sede per eseguire in sicurezza dei test e notificare a Zendesk le vulnerabilità della sicurezza tramite la nostra partnership con HackerOne.

Zendesk dispone di diverse opzioni di autenticazione: i sottoscrittori possono abilitare l’autenticazione nativa di Zendesk, il Single sign-on (SSO) sui social media (Facebook, Twitter, Google) e/o l’SSO aziendale (SAML, JWT) per l’autenticazione dell’utente finale e/o dell’agente. Informazioni sull’accesso utente.

L’autenticazione nativa di Zendesk per prodotti disponibili tramite l’Admin Center fornisce i seguenti livelli di sicurezza della password: basso, medio e alto nonché norme personalizzate per la password per agenti e amministratori. Zendesk consente inoltre diversi livelli di sicurezza della password da applicare a utenti finali piuttosto che ad agenti e amministratori. Solo gli amministratori possono cambiare il livello di sicurezza delle password. Informazioni su politiche di password configurabili.

L’autenticazione nativa di Zendesk per i prodotti disponibili tramite l’Admin Center offre l’autenticazione 2 fattori (2FA) per agenti e amministratori tramite SMS o un’app di autenticazione. Informazioni su 2FA.

Zendesk segue le migliori pratiche di archiviazione delle credenziali sicure non memorizzando mai le password in formato leggibile dall’uomo e solo come risultato di un hash unidirezionale sicuro.

Zendesk offre il componente aggiuntivo Protezione e privacy dei dati avanzate, ideale per le aziende che richiedono alti livelli di sicurezza e privacy dei dati. Questo componente aggiuntivo comprende capacità di crittografia BYOK, politiche di conservazione dei dati personalizzabili, mascheramento dei dati, redazione PII e registri accessi.

L'accesso ai dati all'interno delle applicazioni Zendesk è gestito dal controllo di accesso basato sui ruoli (RBAC) e può essere configurato per definire privilegi di accesso granulari. Zendesk supporta vari livelli di autorizzazione per gli utenti (proprietario, amministratore, agente, utente finale, ecc.).

Informazioni sui ruoli utente:

• Ruoli predefiniti Support
• Ruoli personalizzati di Support *Solo Enterprise
• Ruoli predefiniti Chat
• Ruoli personalizzati di Chat *Solo Enterprise
• Ruoli personalizzati Explore
• Ruoli predefiniti Guide
• Ruoli predefiniti Talk
• Durata della sessione

Qualsiasi account Zendesk può limitare l’accesso al proprio Zendesk Support per gli utenti all’interno di un intervallo specifico di indirizzi IP. Solo gli utenti dagli indirizzi IP consentiti saranno in grado di accedere al tuo account Zendesk. È possibile consentire ai sottoscrittori (non agli agenti o agli amministratori) di ignorare questa restrizione. Per ulteriori informazioni, consultare Limitazione dell’accesso al Zendesk Support e il proprio Centro assistenza utilizzando le restrizioni IP e Utilizzo delle restrizioni di accesso IP in Chat.

Zendesk fornisce la crittografia TLS gratuita per i centri assistenza di Guide mappati per gli host. Zendesk utilizza Let’s Encrypt per richiedere certificati e rinnova automaticamente il certificato prima della scadenza.

È possibile anche caricare il proprio certificato, se lo si desidera.

Per ulteriori informazioni sulla configurazione dei certificati di crittografia per un centro assistenza di Guide, vedere Impostazione di un certificato di crittografia TLS ospitato.

Zendesk Chat consente di limitare i tipi di file che vengono inviati agli agenti. In alternativa, è possibile scegliere di disattivare completamente l’invio di file nel prodotto Chat. Per saperne di più su questa funzione, si veda Gestione dell’invio di file in live chat.

Zendesk offre Registri di controllo agli account con piani Enterprise/Enterprise Plus. Questi registri includono modifiche dell’account, modifiche dell’utente, modifiche dell’app, regole aziendali, eliminazioni di ticket e impostazioni. Il Registro di controllo è disponibile sia nell’Admin Center che nell’API di Support. Per ulteriori informazioni sui Registri di controllo e per vedere quali informazioni sono disponibili all’interno del registro, vedere Visualizzazione del registro di controllo per le modifiche.

I sottoscrittori possono configurare la propria istanza in modo che gli utenti siano tenuti ad accedere per visualizzare gli allegati dei ticket. Informazioni sugli allegati privati.

Zendesk ha due tipi di redazione per la rimozione di dati sensibili: La redazione manuale consente la redazione o rimozione di dati sensibili in commenti ai ticket di Support nonché l’eliminazione di allegati in maniera sicura, in modo da poter proteggere informazioni riservate. Può essere utile nascondere i dati sensibili dei ticket tramite l'interfaccia utente o l'API per impedirne la memorizzazione in Zendesk. Informazioni sulla redazione tramite l’UI o l’API.

La redazione automatica consente la redazione automatica di numeri di carta di credito dai ticket inviati dal sottoscrittore. Se abilitata, i numeri della carta di credito vengono parzialmente sostituiti con caselle vuote nel biglietto. Vengono inoltre redatti dai registri e dalle voci del database. Per ulteriori informazioni su come abilitare questa funzione e su come identificare i numeri delle carte di credito, si veda Redazione automatica dei numeri delle carte di credito dai ticket e dalle chat.

Il servizio di filtraggio dello spam di Zendesk può essere utilizzato per impedire che i messaggi di spam degli utenti finali vengano pubblicati nel centro di assistenza di Guide. Informazioni sul filtraggio della posta indesiderata in Guide.

Zendesk offre DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) per la firma di e-mail in uscita da Zendesk quando l’utente deve impostare un dominio e-mail esterno sul proprio Zendesk. L’utilizzo di un servizio di posta elettronica che supporta queste funzionalità aiuta l’utente a fermare lo spoofing delle e-mail. Ulteriori informazioni sulla firma digitale dell’e-mail.

Zendesk tiene traccia dei dispositivi utilizzati per accedere a ciascun account utente. Quando qualcuno accede a un account da un nuovo dispositivo, questo viene aggiunto all'elenco dei dispositivi nel profilo dell'utente. L’utente può ricevere un’e-mail di notifica quando viene aggiunto un nuovo dispositivo e deve eseguire il follow-up se l’attività sembra sospetta. Le sessioni sospette possono essere terminate tramite l’UI dell’agente. Ulteriori informazioni sul tracciamento dei dispositivi.

Zendesk ha sviluppato una serie completa di politiche di sicurezza che coprono svariati argomenti. Queste politiche sono condivise e rese disponibili a tutti i dipendenti e collaboratori che hanno accesso alle risorse informative di Zendesk.

Tutti i dipendenti partecipano a una formazione di sensibilizzazione alla sicurezza, impartita al momento dell'assunzione e in seguito annualmente. Tutti gli ingegneri ricevono una formazione annuale sul codice sicuro. Il team addetto alla sicurezza fornisce ulteriori aggiornamenti sulla sensibilizzazione alla sicurezza tramite e-mail, post sul blog e nelle presentazioni durante gli eventi interni.

Zendesk esegue controlli dei precedenti personali di tutti i nuovi dipendenti in conformità alle leggi locali. Tali controlli sono richiesti anche per gli appaltatori. Il controllo dei precedenti personali include la verifica dei reati, dell'istruzione e dell'occupazione. Ciò vale anche per gli addetti alla pulizia.

Tutti i nuovi assunti sono tenuti a firmare accordi di non divulgazione e riservatezza.