Lesedauer: 7 Minuten
Diese Ressource bietet einen Überblick über empfohlene Sicherheitsmaßnahmen, die Abonnenten der Zendesk Suite in ihrer Instanz ergreifen sollten. Wir empfehlen Ihnen, diese Maßnahmen von Anfang an umzusetzen, die Einstellungen regelmäßig zu überprüfen und sicherzustellen, dass die Best Practices von Ihren Mitarbeitern eingehalten werden.
Zendesk bietet eine ganze Reihe von Kontrollen, mit deren Hilfe Sie für die Sicherheit Ihrer Informationen (und der Ihrer Kunden) sorgen können. Wir empfehlen dringend, die Agenten und Administratoren im Sinne des Zendesk-Modells der geteilten Verantwortung zu schulen, damit sie diese Best Practices einhalten und so Ihr Risiko minimieren. Dieses Modell beschreibt die Verantwortlichkeiten der Zendesk-Abonnenten im Hinblick auf die Sicherheit ihrer Instanz. Weitere Informationen finden Sie im Beitrag „Das Zendesk-Modell der geteilten Verantwortung“.
Dieser Beitrag enthält die folgenden Abschnitte zu den Best Practices für die Zendesk Suite:
- Allgemein
- Zugriffssteuerung
- Systemzugang, Netzwerke und Domänen
- Datenmanagement
- API
- Überwachung
- Disaster Recovery
Best Practices für die Sicherheit der Zendesk Suite
Allgemein
- Nutzen Sie für das Testen und Entwickeln eine Sandbox, um die Integrität Ihrer Produktionsinstanz zu gewährleisten.
- Beschränken Sie die Nutzung der Mobile App auf Agenten-Workflows und/oder -Anwendungsfälle.
- Aktivieren Sie die Inhaltsmoderation in Ihrem Guide Help Center und Ihren Foren, um Spam und unerwünschte Inhalte in Ihrer Gather-Community zu vermeiden.
- Überprüfen Sie alle automatisierten Funktionen, die Benachrichtigungen versenden, und vergewissern Sie sich, dass die richtigen Personen benachrichtigt werden.
Zugriffssteuerung
Allgemein
-
Wenn Sie die native Zendesk-Authentifizierung verwenden:
- Wählen Sie die Kennwortsicherheitsstufe, die den internen Richtlinien Ihres Unternehmens entspricht.
- Stellen Sie einen möglichst kurzen Timeout bei Inaktivität für Ihre Agenten und Administratoren ein.
- Deaktivieren Sie unnötige Social-Media-Logins für Endbenutzer.
-
Wenn Sie Single-Sign-On (SSO) verwenden:
- Nutzen Sie entweder das native produktintegrierte SSO oder Ihr vorhandenes Enterprise-SSO für die zentrale Verwaltung Ihrer Konfigurationen.
- Erweitern Sie vorhandene Multi-Faktor-Authentifizierung mit Ihrem SSO um Zendesk-Logins.
- Falls Sie die Kennwortauthentifizierung per nativer Zendesk-Authentifizierung weiterhin zulassen möchten, um für SSO-Ausfälle vorzusorgen, sollten Sie die Kennwortauthentifizierung nicht deaktivieren. Wenn hingegen nach der SSO-Konfiguration keine Kennwörter mehr verwendet werden sollen, deaktivieren Sie die Kennwortauthentifizierung. Beachten Sie, dass beim Deaktivieren des Kennwortzugriffs alle laufenden Sitzungen beendet werden, die per Kennwort authentifiziert wurden.
- Aktivieren Sie die Kontoannahme nur, wenn ein Zendesk-Mitarbeiter auf Ihr Konto zugreifen muss (z. B. Support, Kundenbetreuung oder Professional Services).
Benutzer
- Überprüfen Sie die verbundenen Geräte in Ihrem Agentenprofil und entfernen Sie nicht mehr genutzte oder verdächtig wirkende Geräte. Beachten Sie, dass nur Agenten, Administratoren und Inhaber auf diese Funktion zugreifen können.
- Wenn Sie eine „geschlossene“ Zendesk-Instanz erstellen, sorgen Sie dafür, dass sich Endbenutzer vor dem Einreichen von Tickets registrieren und ihre E-Mail-Adresse verifizieren müssen, um Spam zu vermeiden.
- Richten Sie angepasste Rollen für Ihre Agenten ein, um den Benutzerzugriff auf die für ihre jeweiligen Aufgaben notwendigen Funktionen zu beschränken.
- Weisen Sie benutzersegment- oder markenbasierte privilegierte Zugangsberechtigungen für Guide zu.
- Definieren Sie anhand der Zulassungsliste bestimmte Benutzer oder Benutzergruppen, die Zugriff auf Ihr Konto und/oder die Möglichkeit haben, Anfragen/Chatanfragen einzureichen.
- Nutzen Sie die Blockierliste, um Benutzer bei Bedarf zu sperren, abzuweisen und/oder daran zu hindern, mit Zendesk Services zu interagieren.
- Gehen Sie die Liste der Benutzer Ihres Kontos durch und sperren/degradieren Sie Benutzer, die keinen Zugang zu Ihrem System mehr benötigen.
Kennwörter
- Zwei-Faktor-Authentifizierung (2FA) wird als Standard für die Anmeldung von Agenten und Administratoren bei Zendesk empfohlen.
- Wenn für verschiedene Personengruppen unterschiedliche Sicherheitsanforderungen gelten und Sie die native Zendesk-Authentifizierung verwenden, sollten Sie für Endbenutzer und für Agenten/Administratoren jeweils eigene angepasste Kennwortsicherheitsstufen einrichten.
- Erstellen Sie ein eindeutiges Kennwort für Ihr Zendesk-Konto, das nicht bereits für die Anmeldung bei externen Systemen oder Anwendungen verwendet wird.
- Aktivieren Sie E-Mail-Benachrichtigungen über Anmeldungen auf neuen Geräten, damit Agenten ihre Konten auf Logins mit neuen (und nicht autorisierten) Geräten überwachen können. Weitere Informationen finden Sie im Zendesk-Agentenhandbuch unter Überprüfen von Geräten und Anwendungen, die auf Ihr Konto zugegriffen haben.
System, Netzwerkzugriff und Domänen
- Nutzen Sie kontextbezogene Arbeitsbereiche, um Ihre Workflows zu optimieren und nur anwendbare Tools (z. B. Makros, Apps und Formulare) anzuzeigen, damit Agenten nur auf die Systemfunktionen und Workflows zugreifen können, die sie für ihre jeweilige Aufgabe benötigen.
- Beschränken Sie den Zugriff anhand der IP-Adresse auf Agenten und/oder Endbenutzer.
- Nutzen Sie die Blockierliste, um Benutzer bei Bedarf zu sperren, abzuweisen und/oder daran zu hindern, mit Zendesk Services zu interagieren.
- Wenn Sie URLs außerhalb der Zendesk-Domäne benötigen, generieren Sie eigene SSL-Zertifikate oder von Zendesk provisionierte SSL-Zertifikate mit Host-Mapping und sorgen Sie für sicheren Zugang zu Ihrem Help Center. Stellen Sie sicher, dass von Ihnen selbst bereitgestellte SSL-Zertifikate immer auf dem neuesten Stand sind.
Datenmanagement
-
Nutzung von Daten
- Erfassen Sie nur Daten, die für den jeweiligen Anwendungsfall benötigt werden, um das Risiko der Offenlegung sensibler Kundendaten und/oder interner Daten zu minimieren.
-
Löschung/Schwärzung
- Lesen Sie die Empfehlungen zum Löschen und Schwärzen von Daten gemäß den geltenden Datenschutzbestimmungen im Leitfaden Einhaltung der DSGVO.
- Verzichten Sie auf die Aufzeichnung von Anrufen und/oder nutzen Sie die automatische Löschung von Aufzeichnungen von Talk, wenn solche Aufzeichnungen die Einhaltung geltender Branchenvorschriften oder gesetzlichen Bestimmungen gefährden könnten.
- Aktivieren Sie die automatische Schwärzung, um sensible Kundendaten in Tickets und Chats zu schützen. Hinweis: Diese Funktion nutzt eine Luhn-Prüfung, bei der die meisten – aber nicht alle – Kreditkartennummern unkenntlich gemacht werden.
- Schwärzen Sie Kreditkarteninformationen im Zendesk-Arbeitsbereich für Agenten von Hand, soweit Ihre Berechtigungen dies erlauben. Beachten Sie, dass gelöschte Daten noch bis zu 30 Tage lang in Protokollen enthalten sein können.
-
Compliance
- Falls Ihr Anwendungsfall geschützte Gesundheitsinformationen betrifft, schließen Sie eine Geschäftspartnervereinbarung mit Zendesk ab und nehmen Sie die für Sie als Gesundheitsdienstleister oder Gesundheitsdatenmanager erforderlichen Sicherheitskonfigurationen für das Management personenbezogener Gesundheitsinformationen (PHI) und elektronischer personenbezogener Gesundheitsinformationen (ePHI) gemäß dem Health Insurance Portability and Accountability Act (HIPAA) vor.
- Falls Sie Kreditkartennummern zu Identifikationszwecken nutzen, fügen Sie Ihrem Ticketformular ein Kreditkartenfeld hinzu, um die Einhaltung der Datensicherheitsstandards für Zahlungskarten (PCI DSS) zu gewährleisten. Beachten Sie, dass dieses Feld nicht zur Speicherung oder Anzeige vollständiger Kreditkartennummern dient und nicht für Zahlungen oder Transaktionen verwendet werden kann.
- Für Unternehmen, die PHI-, ePHI-, HIPAA- und/oder PCI DSS-Anforderungen einhalten müssen:
-
Datenschutz
- Informieren Sie sich im Abschnitt „Einhaltung der DSGVO“ des Help Centers über produktspezifische Maßnahmen zur Einhaltung der Datenschutzbestimmungen.
- Informieren Sie sich im Trust Center über unser globales Datenschutzprogramm, das Sie bei Ihren Compliance-Bemühungen unterstützt – ganz gleich, wo und mit wem Sie geschäftlich tätig sind.
- Nutzen Sie die E-Mail-Archivierung, wenn es aufgrund von Richtlinien, Vorschriften oder gesetzlichen Bestimmungen geschäftlich notwendig ist, Kundenkommunikationen außerhalb der Zendesk Services zu archivieren.
- Deaktivieren Sie das E-Mail-Piping von Chat, wenn es für die Arbeit mit Chat nicht benötigt wird.
- Nutzen Sie Rich Content in eingehenden E-Mails nur, wenn dies in Ihrem Workflow erforderlich ist.
- Aktivieren Sie die E-Mail-Authentifizierung mit SPF, DKIM und DMARC, um Spoofing und Spam zu reduzieren.
- Signieren Sie abgehende E-Mail-Nachrichten in Zendesk digital, um zu bestätigen, dass sie aus Ihrer Organisation stammen.
- Nutzen Sie personalisierte E-Mail-Antworten und Agenten-Aliase für die transparente Kommunikation per Ticketing zwischen Endbenutzern und Agenten.
- Nehmen Sie ungenutzte oder nicht benötigte Supportadressen außer Betrieb, um das Spoofing-Risiko zu minimieren.
API
- Nutzen Sie Token anstelle von Kennwörtern, um unbefugten Kennwortzugriff auf die API zu verhindern.
- Nutzen Sie OAuth, um den Zugriff für Token in der API zu authentifizieren und zu begrenzen. Deaktivieren Sie OAuth, wenn Sie es nicht benötigen.
- Speichern Sie API-Token an einem sicheren Ort außerhalb der Anwendung. Verwenden Sie wenn möglich OAuth-Token anstelle von API-Token.
Überwachung
- Überprüfen und überwachen Sie Konto-Auditprotokolle regelmäßig auf Änderungen an Ihrem Konto. Tipp: Bei Bedarf können Sie Auditprotokolle auch per API exportieren.
Disaster Recovery
Zendesk unterhält ein Global Business Resilience-Programm, das es möglich macht, rasch auf Geschäftsstörungen zu reagieren, Personen und Sachwerte zu schützen und den reibungslosen Geschäftsbetrieb aufrechtzuerhalten. Darüber hinaus können Sie verschiedene weitere Maßnahmen ergreifen, um die Kontinuität Ihres Unternehmens sicherzustellen.
- Nutzen Sie Erweitertes Disaster Recovery für Sicherheitsredundanz mit Echtzeit-Datenreplikation, Traffic-Priorisierung, Zonenverfügbarkeitsredundanz und priorisierter Recovery-Planung.
- Wenn Sie Voice-Funktionen nutzen, aktivieren Sie eine Talk-Weiterleitungsnummer, um die Geschäftskontinuität bei Störungen zu gewährleisten.
- Wenn Sie bei einem Ausfall des externen SSO-Systems den Kennwortzugriff nutzen möchten, sollten Sie die native Zendesk-Authentifizierung nicht deaktivieren. SSO kann wahlweise ohne oder mit Umgehung per Kennwort eingerichtet werden.
- Richten Sie eine Incremental Export API oder Massendownloads Ihrer Servicedaten ein, wenn Sie nicht bearbeitbare Datenspeicher in Ihrer eigenen Umgebung benötigen.
- Aktivieren Sie die automatische E-Mail-Weiterleitung von Ihrer persönlichen, bei einem Drittanbieter gehosteten E-Mail-Adresse an Zendesk Support, um eine Kopie des Zendesk-externen E-Mail-Verkehrs zu speichern.
- Nutzen Sie Erweitertes Disaster Recovery für Sicherheitsredundanz mit Echtzeit-Datenreplikation, Traffic-Priorisierung, Zonenverfügbarkeitsredundanz und priorisierter Recovery-Planung.
- Nutzen Sie die Incremental Export-API für den Abruf von Zendesk Support-Elementen, die seit dem letzten API-Aufruf geändert wurden. Weitere Informationen finden Sie in der API-Referenz.
Wenn Sie vermuten, dass ein Sicherheitsvorfall in Ihrer Zendesk-Instanz direkt durch unseren Service selbst verursacht wurde, reichen Sie ein Ticket bei security@zendesk.com ein. Weitere Informationen dazu, wann Sie Zendesk wegen sicherheitsrelevanter Verantwortlichkeiten kontaktieren sollten, können Sie dem Modell der geteilten Verantwortung entnehmen.