Das Zendesk-Modell der geteilten Verantwortung
Zendesk stellt eine hochgradig konfigurierbare und schnell skalierbare Kundenserviceplattform für viele der weltweit führenden Unternehmen in den verschiedensten Branchen bereit. Durch Nutzung unserer Cloud-Plattform für ihren Kundenservice können die Abonnenten ihren Verwaltungsaufwand verringern, ihren Dienst je nach Bedarf skalieren und mit herrlich einfachen Interaktionen ansprechende Kundenerlebnisse bieten.
Auf der anderen Seite kann der Umzug in die Cloud aber auch zu Unklarheiten über die Zuständigkeiten für die verschiedenen Aspekte der Sicherheit und des Datenschutzes führen. Doch keine Sorge, diese sind in unserem Modell der geteilten Verantwortung ganz klar und einfach geregelt. Es beschreibt, welche Partei für welche Kontrollen in Bezug auf die Sicherheit und Vertraulichkeit Ihrer Daten verantwortlich ist Ganz gleich, ob Sie als gewissenhafter Administrator, als Sicherheits-, Compliance- oder Datenschutzbeauftragter oder in einer anderen Funktion angemessene Kontrollen für die Nutzung der Zendesk-Dienste in Ihrer Umgebung einrichten müssen, in diesem Standard finden Sie genaue Vorgaben dazu.
Um es in einem Satz zusammenzufassen: „Zendesk ist für die Sicherheit des Dienstes selbst zuständig, während Sie für die Sicherheit innerhalb Ihrer eigenen Instanzen des Dienstes verantwortlich sind.“
- Zugangskontrollen und Hygiene
- Integrationen
- Überlegungen zu Daten, Datenschutz, Compliance und gesetzlichen Bestimmungen
- Überwachung
- Wartung
- Sicherheitsvorfälle (Rollen und Verantwortlichkeiten)
- Hilfreiche Links
- Änderungsprotokoll
Beachten Sie, dass Begriffe, die in dieser Richtlinie verwendet, aber nicht definiert werden, die im Zendesk-Hauptdienstleistungsvertrag festgelegte Bedeutung haben.
I Zugangskontrollen und Hygiene
Die Kontrolle des Zugangs zu sensiblen Systemen und den in ihnen enthaltenen Daten ist ein zentraler Aspekt der Sicherheitsgrundsätze.
-
Der Abonnent ist verantwortlich für die Kontrolle des Zugriffs auf seine Instanzen des Dienstes. Hierzu gehören das:
- Bereitstellen, Ändern und Entfernen aller Endbenutzer und Agenten (Mitarbeiter vor Ort, Remote-Mitarbeiter oder externe Beschäftigte) mit fortlaufender Hygiene und Berechtigungsverwaltung
- Auswählen der Authentifizierungsmethode für den Dienst aus unterstützten Angeboten (Kennwörter, MFA, SSO usw.) und Konfigurieren dieser Methode
- Konfigurieren und Überwachen von Aspekten der Sitzungsverarbeitung wie Abmeldungen, angemeldete Geräte usw.
- Erlauben oder Verweigern des Zugriffs unserer Supportmitarbeiter auf Ihre Support-Instanz
- Konfigurieren und sicheres Implementieren des Zugriffs auf die REST API-Services von Zendesk (falls zutreffend, einschließlich Integrationen, Nutzung des Zendesk Sunshine Service usw.)
- Konfigurieren aller vom Produkt unterstützten IP-Beschränkungen (falls gewünscht)
- Planen und Einrichten anderer, nicht produktbezogener Zugangskontrollen (z. B. Festlegen der für den Zugriff der Agenten auf Ihre Instanzen zulässigen Gerätetypen) sowie aller physischen, logischen oder richtlinienbasierten Kontrollen in Bezug auf Benutzer oder zugelassene Geräte
-
Zendesk ist verantwortlich für die Kontrolle des Zugriffs auf die dem Dienst zugrunde liegenden Systemen. Hierzu gehören das:
- Verwalten der Richtlinien und Verfahren für die sichere Bereitstellung, Änderung, fortlaufende Hygiene, Berechtigungsverwaltung und Entfernung aller Benutzer (Mitarbeiter vor Ort, Remote-Mitarbeiter und externe Beschäftigte)
- Umsetzen der rollenbasierten Zugangskontrolle (Role Based Access Control – RBAC), des Prinzips der geringsten Berechtigungen (Principle of Least Privilege – PLP) und eines angemessenen Schutzes der Anmeldedaten etwa durch Multi-Faktor-Authentifizierung (MFA) für den Zugriff aller Beschäftigten und externen Mitarbeiter auf kritische Systeme und Anwendungen, die Servicedaten der Abonnenten enthalten
- Regelmäßiges Überprüfen der oben genannten Sicherheitsfunktionen
II. Integrationen
Dienste von Drittanbietern können die Effizienz erheblich steigern, sind aber auch mit besonderen Sicherheitsanforderungen verbunden.
-
Der Abonnent ist verantwortlich für die Beurteilung der Sicherheitsanforderungen im Hinblick auf alle seine Integrationen von Drittanbieterdiensten in den Dienst. Hierzu gehören:
- Integrationen per API und/oder SDK
- Integrationen durch Installieren von Marketplace Apps oder Aktivieren von Drittanbieterkanälen
- Integrationen mit Drittanbietern, die den Abonnenten in Form von Mitarbeitern, Werkzeugen, Code oder direkter Wartung seiner Zendesk-Instanzen unterstützen
-
Zendesk ist verantwortlich für die umsichtige Integration seriöser Drittanbieter in den Dienst. Hierzu gehören die:
- Auswahl und sorgfältige laufende Überprüfung aller Unterauftragsverarbeiter
- Sichere Integration von Akquisitionen in den Dienst
- Einhaltung der Sicherheitsanforderungen aller Produktpartnerschaften und/oder Integrationen von Drittanbietern in den Dienst
III. Überlegungen zu Daten, Datenschutz, Compliance und gesetzlichen Bestimmungen
Der sorgfältige Umgang mit den verwendeten Daten, die Einhaltung aller einschlägigen Vorschriften und entsprechende Zusicherungen von Drittanbietern sind entscheidend.
-
Der Abonnent ist verantwortlich für die ordnungsgemäße Behandlung der erfassten und genutzten Daten. Hierzu gehören das:
- Analysieren der für den jeweiligen Anwendungsfall relevanten Datentypen
- Verarbeiten der Daten gemäß den Datenklassifizierungs- und Datenschutzrichtlinien des eigenen Unternehmens, den für die Daten selbst, die Benutzer, die sie bereitstellen, und die Branche des Abonnenten geltenden Rechtsvorschriften und den Gesetzen des jeweiligen Landes
- Auswählen der für seine Instanz des Dienstes zulässigen Kommunikationskanäle
- Verwalten der Instanzen und Servicedaten gemäß den für die Branche, die Benutzer oder den Anwendungsfall des Abonnenten geltenden Vorschriften, Gesetzen und Bestimmungen
- Bereitstellen alternativer TLS-Zertifikate für die Verschlüsselung des Datenverkehrs mit Zendesk-Benutzeroberflächen oder -APIs, wenn Host-Mapping zu einer nicht zu Zendesk gehörenden übergeordneten Domäne gewünscht wird
- Untersuchen, wo Daten möglicherweise nicht verschlüsselt übertragen werden, und die entsprechende Behandlung der betreffenden Kanäle oder Protokolle (vor allem E-Mail, SMS oder vom Abonnenten nach eigenem Ermessen eingerichtete Drittanbieter-Integrationen, die keine Verschlüsselung unterstützen)
- Sicherstellen, dass die in der Instanz des Abonnenten verwendeten Datentypen nicht gegen die Bestimmungen des Zendesk-Hauptdienstleistungsvertrags verstoßen (siehe Zendesk-Hauptdienstleistungsvertrag)
- Sicherstellen, dass die vom Abonnenten gewählte Verfügbarkeit und Disaster Recovery mit den für ihn geltenden Richtlinien und Vorschriften übereinstimmen
-
Zendesk ist verantwortlich für das:
- Ordnungsgemäße Schützen aller Servicedaten vor Offenlegung auf Dienstebene (d. h. Infrastruktur oder Code)
- Verschlüsseln der Daten bei der Übertragung zu oder von unseren Benutzeroberflächen oder APIs über öffentliche Netze
- Verschlüsseln aller Servicedaten bei der Speicherung
- Bereitstellen von Information für Abonnenten über die von produktinternen Cookies und bei der standardmäßigen Nutzen der Dienste gesammelten Daten
- Präzise Beschreiben der Nutzung von personenbezogenen Daten und anderen Servicedaten in anonymisierter und nicht-anonymisierter Form für die Bereitstellung unserer Dienste und andere Zwecke
- Bereitstellen von Werkzeugen und Funktionen, die die Abonnenten bei der Einhaltung ihrer eigenen Verpflichtungen hinsichtlich des ordnungsgemäßen Umgangs mit personenbezogenen oder regulierten Daten unterstützen
- Einhalten der für unsere Dienstangebote und Geschäftsstandorte geltenden Gesetze und Vorschriften
- Einholen und Bereitstellen von Compliance-Zusicherungen der für unsere Dienstangebote relevanten Drittanbieter
IV. Überwachung
Eine angemessene Sicherheit erfordert Einblick in Prozesse und Aktivitäten.
-
Der Abonnent ist verantwortlich für die Überwachung aller Aktivitäten innerhalb seiner Instanzen des Dienstes. Hierzu gehören das:
- Überwachen der Benutzeraktivitäten (anhand von UI-Ansichten oder API-Protokollen)
- Umsetzen angemessener Sicherheitsmaßnahmen bei der Kommunikation mit unbekannten Personen oder beim Umgang mit nicht vertrauenswürdigen Inhalten im Zusammenhang mit dem Dienst
- Protokollieren und Verwalten aus dem Dienst entnommener Daten gemäß den geltenden Vorschriften
-
Zendesk ist verantwortlich für die Überwachung der Prozesse und Aktivitäten des Dienstes selbst. Hierzu gehören:
- Privilegierter Zugang und Aktivitäten innerhalb des Produktionsnetzwerks
- Eingehender Datenverkehr zur Meldung oder Blockierung als schädlich bekannter Übertragungen oder IP-Adressen
- Dienstverfügbarkeit
- Anomales Verhalten innerhalb des Unternehmens- oder Produktionsnetzwerks
- Sicherheit von Code, Infrastruktur, Datenverkehr und relevanten Beschäftigten oder externen Mitarbeitern
V. Wartung
Durch lückenloses Aktualisieren und Patchen von Systemen und Code lassen sich viele Sicherheitsprobleme vermeiden.
-
Der Abonnent ist verantwortlich für die Wartung und das Patchen aller Systeme oder Codes außerhalb der Zendesk-Architektur und/oder des vertraglich vereinbarten Umfangs*. Hierzu gehören:
- Seine eigene Infrastruktur, einschließlich seiner eigenen Endgeräte, Netzwerke und anderen Infrastrukturkomponenten sowie der Middleware von Drittanbietern, die für den Zugriff auf die Zendesk-Dienste und/oder die Vor- und Nachverarbeitung seiner Servicedaten außerhalb von Zendesk-Systemen verwendet werden
- Sein eigener, nicht standardmäßiger Code, der zur Bereitstellung zusätzlicher Funktionen für Zendesk-Dienste verwendet wird – sei es intern oder extern entwickelter oder von Dritten entwickelter und vom Abonnenten für den Einsatz in Verbindung mit Zendesk-Diensten erworbener Code. Dies gilt auch für Code, der von Zendesk Professional Services auf Wunsch des Abonnenten für ihn entwickelt wurde, sofern die Zuständigkeit für diesen Code und seine Wartung vertraglich an den Abonnenten übertragen wurde.
-
Zendesk ist verantwortlich für die Wartung und das Patchen aller Systeme oder Codes innerhalb der Zendesk-Architektur und/oder des vertraglich vereinbarten Umfangs. Hierzu gehören:
- Seine eigene logisch verwaltete Infrastruktur innerhalb der für die Bereitstellung der Dienste verwendeten Einrichtungen des Hosting-Anbieters, einschließlich der Betriebssysteme, Sicherheitsinfrastrukturen und direkt von Zendesk kontrollierten Container-, Orchestrierungs- und sonstigen Systeme
- Seine eigene physisch und/oder logisch verwaltete Infrastruktur, die innerhalb der Zendesk-Unternehmensumgebung verwendet wird, z. B. Endgeräte von Mitarbeitern oder die Infrastruktur des Unternehmensnetzwerks
- Die den Zendesk-Diensten zugrunde liegende proprietäre Codebasis
* Beachten Sie, dass Marketplace Apps zwar innerhalb der Zendesk-Architektur ausgeführt werden, aber nicht unter den Zendesk-Hauptdienstleistungsvertrag fallen. Für diese gelten die in den Nutzungsbedingungen für Marketplace Apps ausgeführten Vereinbarungen zwischen dem Abonnenten und dem Entwickler der App selbst. Für die Wartung von Marketplace Apps ist der jeweilige App-Entwickler zuständig.
VI. Sicherheitsvorfälle
Trotz aller Bemühungen kann auch einmal etwas schief gehen. Wie Sie Sicherheitsvorfälle erkennen, behandeln und beheben, ist für die Schadensbegrenzung und das Kundenvertrauen entscheidend. In diesem Abschnitt sind die Rollen und Verantwortlichkeiten der Parteien während eines Sicherheitsvorfalls ausgeführt.
- Der Abonnent ist verantwortlich für alle Sicherheitsvorfälle und Sicherheitsverletzungen in seiner eigenen Instanz, die nicht auf Sicherheitslücken oder Vorfälle im Dienst selbst zurückzuführen sind. Hierzu gehören das:
- Untersuchen und Beheben von mutmaßlichen oder tatsächlichen Sicherheitsverletzungen in seiner eigenen Instanz, die auf (i) unzureichende Zugangskontrolle oder Hygiene (einschließlich der Verwendung schwacher oder ausnutzbarer Public Credentials), (ii) unzureichende Überwachung von Benutzeraktivitäten, (iii) mangelnde Sorgfalt im Umgang mit Kommunikationen oder nicht vertrauenswürdigen Inhalten aus Interaktionen mit Benutzern oder (iv) vom Abonnenten nach eigenem Ermessen eingerichtete Drittanbieter-Integrationen zurückzuführen sind.
- Benachrichtigen von Regierungs- oder Strafverfolgungsbehörden und Endbenutzern bei Sicherheitsverletzungen, die durch Handlungen des Abonnenten oder Drittanbieter-Integrationen verursacht wurden, oder von Zendesk gemeldeten Verletzungen der Sicherheit von Servicedaten, die die Instanz des Abonnenten betreffen
-
Zendesk ist verantwortlich für Kontrollen zur Untersuchung von Sicherheitsvorfällen und die Benachrichtigung der von Verletzungen der Sicherheit von Servicedaten im Dienst selbst betroffenen Abonnenten. Hierzu gehören das:
- Aufstellen einer dokumentierten Richtlinie für die Reaktion auf Sicherheitsvorfälle sowie das Zuweisen entsprechender Rollen und Verantwortlichkeiten an geeignete Mitarbeiter
- Untersuchen anomaler Aktivitäten
- Eindämmen bestätigter Verletzungen der Sicherheit von Servicedaten
- Benachrichtigen der betroffenen Abonnenten oder zuständigen Regierungs- oder Strafverfolgungsbehörden entsprechend den gesetzlichen Vorschriften
- Einrichten und Testen robuster Backup- und Disaster Recovery-Prozesse
VII. Hilfreiche Links
Sicherer Kundenservice dank Zendesk-Sicherheitsfunktionen
Bewährte Zendesk-Sicherheitspraktiken
Zugangskontrollen und Hygiene
Sicherheit und Benutzerzugriff in Zendesk Support (Linksammlung)
Benutzerauthentifizierung in Chat
Gewähren von temporärem Zugriff auf Ihr Konto durch Zendesk
Integrationen
Zendesk Unterauftragsverarbeiter
Zendesk Connect Unterauftragsverarbeiter
Überlegungen zu Daten, Datenschutz, Compliance und gesetzlichen Bestimmungen
Cookie-Richtlinie für Zendesk-Produkte
Zendesk-Hauptdienstleistungsvertrag
Zendesk Datensicherheit und Datenschutz
Überwachung
Auditprotokoll der Änderungen in der Support-Instanz (UI / API)
Auditprotokoll der Support-Ticketereignisse (API)
Inkrementelle Chat-Exporte und Echtzeit-API
Angepasste Sunshine-Objekte, -Ereignisse und -Profile (API)
Wenn Sie weitere Fragen haben, wenden Sie sich bitte an security@zendesk.com.
VIII. Änderungsprotokoll
16. Juni 2023
- Änderungsprotokoll hinzugefügt
- Abschnitt V. „Wartung“ hinzugefügt
- Klarstellung in Abschnitt VI. „Sicherheitsvorfälle“ zur Verantwortung des Abonnenten für Vorfälle hinzugefügt, die auf Verwendung schwacher oder ausnutzbarer Public Credentials durch den Abonnenten und/oder seine Endbenutzer zurückzuführen sind
Hinweis zur Übersetzung: Dieser Beitrag wurde mit automatischer Übersetzungssoftware übersetzt, um dem Leser ein grundlegendes Verständnis des Inhalts zu vermitteln. Trotz angemessener Bemühungen, eine akkurate Übersetzung bereitzustellen, kann Zendesk keine Garantie für die Genauigkeit übernehmen.
Sollten in Bezug auf die Genauigkeit der Informationen im übersetzten Beitrag Fragen auftreten, beziehen Sie sich bitte auf die englische Version des Beitrags, die als offizielle Version gilt.