Die erweiterte Verschlüsselung erhöht die Datensicherheit, indem sie Ihrem Unternehmen ermöglicht, Dienstdaten über den eigenen Key Management Service (KMS) zu verschlüsseln. Das gewährleistet die Sicherheit der in Zendesk gespeicherten vertraulichen Informationen, da diese nur von autorisierten Personen abgerufen werden können. Die Verwaltung Ihrer eigenen Verschlüsselungsschlüssel sorgt für mehr Sicherheit und Compliance und bietet Ihnen die uneingeschränkte Kontrolle über den Zugriff und die Nutzung.
Sie können die erweiterte Verschlüsselung in Ihrem Produktions- oder Sandbox-Konto aktivieren. Zendesk empfiehlt, sie zunächst in der Sandbox zu testen. Weitere Informationen finden Sie unter Einrichten der erweiterten Verschlüsselung.
In diesem Beitrag werden folgende Themen behandelt:
Funktionsweise der erweiterten Verschlüsselung
Wenn Sie die erweiterte Verschlüsselung verwenden, verwalten Sie Ihre eigenen Verschlüsselungsschlüssel außerhalb von Zendesk. Hierbei werden folgende Key-Management-Systeme (KMS) unterstützt: AWS KMS, Azure Key Vault, Google Cloud KMS und Thales CipherTrust Manager, ein EU-basiertes KMS, das von europäischen Unternehmen verwaltet und gehostet wird.
Die erweiterte Verschlüsselung basiert auf Umschlagverschlüsselung. Dabei generiert Zendesk einen Data Encryption Key (DEK) für den Datenblock und fordert das KMS auf, diesen Schlüssel zu verschlüsseln. Anschließend wird der ursprüngliche Schlüssel verworfen und der verschlüsselte Schlüssel gespeichert.
Vor jedem Zugriff auf verschlüsselte Daten fordert Zendesk das KMS auf, den Datenschlüssel mit dem Hauptschlüssel zu entschlüsseln. Dies geschieht während der Übertragung: Die Daten gehen verschlüsselt bei Zendesk ein, bevor sie von unseren Anwendungen verarbeitet werden, und bleiben verschlüsselt, bis ein Anwendungsfall ihre Entschlüsselung erfordert.
Die Verschlüsselung der Daten hat keinen Einfluss auf das Agentenerlebnis. Die Agenten können nach wie vor alle Daten durchsuchen und abrufen, auf die sie aufgrund ihrer Rolle zugreifen dürfen. Hierbei gelten allerdings bestimmte Einschränkungen.
In Zendesk verschlüsselte Daten
Die erweiterte Verschlüsselung unterstützt das Aktualisieren und Verschlüsseln neu erstellter und vorhandener Benutzer in Ihrem Zendesk-Konto.
Die erweiterte Verschlüsselung verschlüsselt die folgenden Benutzerfelder für Endbenutzerdaten in Zendesk Support, Guide und Talk:
- Name
- Alias
- Signatur
- Details
- Notizen
Die oben genannten Benutzerfelder werden in den folgenden Bereichen von Zendesk Support verschlüsselt:
- Endbenutzerverwaltung
- Teammitgliederverwaltung
- Benutzerdaten im Kontext eines Tickets (Anfragender, CC, Follower, Mitarbeiter)
- Gruppen- und Organisationsmitgliedschaften
- Auflösung von Benutzerplatzhaltern in Ticketkommentaren und E-Mails
- Erstellung von Benutzern per Single-Sign-On, Web Widget und E-Mail
- Ticketansichten
- Support-Suche
- Auslöser und Automatisierungen (Business-Regeln)
- Durch Messaging-Konversationen erstellte Support-Benutzer
- Nebenkonversationen
Alle Funktionen in Guide und Talk sind abgedeckt, mit Ausnahme von @Erwähnungen in Gather und Guide, die bei eingeschalteter Verschlüsselung deaktiviert sind.
Erweiterte und standardmäßige Verschlüsselung
Die erweiterte Verschlüsselung ergänzt die von allen Zendesk-Konten verwendete Standardverschlüsselung.
Status | Erweiterte Verschlüsselung | Standardverschlüsselung |
---|---|---|
Bei der Übertragung |
Die Daten werden so früh wie möglich mit vom Kunden verwalteten Schlüsseln auf der HTTP-Proxy-Ebene oder an einem entsprechenden Einstiegspunkt verschlüsselt. |
Die gesamte Kommunikation mit der Zendesk-Benutzeroberfläche und den APIs wird per Industriestandard HTTPS und Transport Layer Security (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk sicher ist. Für E-Mail nutzt Zendesk standardmäßig opportunistische TLS-Verschlüsselung. TLS ermöglicht die sichere Verschlüsselung und Übertragung von E-Mail-Nachrichten, um Eavesdropping zwischen Mailservern zu verhindern, sofern die Peer-Dienste dieses Protokoll unterstützen. Von der Verschlüsselung ausgenommen sind produktinterne SMS-Funktionen, Drittanbieter-Apps, Integrationen oder Dienstabonnements, die Kunden nach eigenem Ermessen nutzen. |
Im Ruhezustand |
Daten in der Datenbank bleiben verschlüsselt. Wenn Dritte oder ausländische Behörden versuchen, auf eine laufende Datenbank zuzugreifen, werden die Daten in verschlüsselter Form zurückgegeben. |
Die Dienstdaten werden bei der Speicherung in AWS mit einem AES-256-Schlüssel verschlüsselt. |
Bei der Nutzung |
Die Daten bleiben während der Nutzung verschlüsselt und werden nur entschlüsselt, wenn ein Anwendungsfall dies erfordert. Alle Entschlüsselungsvorgänge werden protokolliert und lassen sich über eine externe SIEM-Integration (Security Information and Event Management) überprüfen. |
Die aus den Datenspeichern abgerufenen Daten werden im Klartext verarbeitet. |
Einschränkungen der erweiterten Verschlüsselung
Die erweiterte Verschlüsselung hat einige Nachteile, über die Sie sich im Klaren sein sollten. Einige Verschlüsselungsfunktionen sind nicht oder nur eingeschränkt verfügbar.
Allgemeine Einschränkungen
- Legacy Chat, Sell, QA, Integration, Mobile und andere Funktionen, die nicht unter In Zendesk verschlüsselte Daten aufgeführt sind, können ausfallen oder in der Benutzeroberfläche sowie in API-Antworten verschlüsselte Daten anzeigen. Deshalb empfiehlt Zendesk, die erweiterte Verschlüsselung in einem Sandbox-Konto zu aktivieren und zu testen, bevor sie in der Produktion eingesetzt wird.
- Schlüsselrotation wird noch nicht unterstützt.
Einschränkungen in Support
- Das Teilen von Tickets wird noch nicht unterstützt.
- Verschlüsselte Konten können nicht mehr in eine andere Region verschoben werden. Beantragen Sie eine geplante Verlegung Ihrer Daten in eine andere Region deshalb, bevor Sie die erweiterte Verschlüsselung aktivieren.
- In Premium-Sandboxen, die nach dem Aktivieren der erweiterten Verschlüsselung erstellt wurden, werden kopierte Daten verschlüsselt angezeigt.
- Messaging-Auslöser mit Bedingungen, die auf einem Endbenutzernamen basieren, funktionieren nicht.
- Snippet-Hervorhebung, Platzhaltersuche, Phrasensuche und Sprachen ohne Leerzeichen (z. B. Chinesisch und Japanisch) werden nicht unterstützt.
- Suchtreffer und Ranking können abweichen.
- Die Suche nach Nebenkonversationen anhand des Benutzernamens funktioniert nicht. Suchen Sie stattdessen nach der Betreffzeile der Nebenkonversation oder des übergeordneten Tickets.
- Die Sortierung von Support-Ansichten nach Benutzernamen (Anfragender und Mitarbeiter) ist für Konten mit aktivierter Verschlüsselung deaktiviert.
- In nach Benutzernamen (Anfragender und Mitarbeiter) gruppierten Support-Ansichten werden die Benutzernamen nicht sortiert angezeigt.
- In CSV-Exporten werden anstelle von Benutzernamen Platzhalter angezeigt.
Beeinträchtigung der Import- und Exportfunktion
- Benutzer, die in einer Massenaktion importiert wurden, werden nicht verschlüsselt. Mit dem Datenimportprogramm hinzugefügte Benutzer hingegen werden verschlüsselt.
- XML-Exporte von Benutzern werden nicht unterstützt. CSV- und JSON-Exporte hingegen werden unterstützt.
Beeinträchtigung von Gather und Guide
- @Erwähnungen werden deaktiviert.
Einschränkungen der Datenspeicherung
Mit der erweiterten Verschlüsselung wird eine neue Methode zur Verschlüsselung vertraulicher Daten mithilfe von Customer Managed Keys (CMK) eingeführt. Um sicherzustellen, dass die Funktion von Zendesk nicht beeinträchtigt wird, entschlüsseln die Zendesk-Dienste vertrauliche Daten bei der Verarbeitung von Anfragen aus verschiedenen Kanälen wie Browsern, REST-APIs und E-Mails. Zendesk garantiert, dass Klartextdaten niemals dauerhaft gespeichert und nur so lange aufbewahrt werden, wie es für die Bearbeitung der Anfrage erforderlich ist.
Ausgenommen hiervon sind derzeit folgende Elemente:
- Gateway (NGINX + Cloudflare) speichert öffentliche Help-Center-Seiten, die Benutzerprofildaten enthalten können, für bis zu drei Minuten.
- Der Text abgehender E-Mail-Nachrichten wird vorübergehend gespeichert, bis die E-Mail per SMTP (Simple Mail Transfer Protocol) zugestellt wurde.
- Der Originaltext eingehender E-Mails wird nach dem Erstellen des Tickets oder Kommentars beibehalten und für weitere Kollaborationsfunktionen verwendet.
- Explore-Benutzerdatensätze werden im Klartext gespeichert.
- In Massenvorgängen importierte und exportierte Dateien werden vorübergehend im Klartext gespeichert und nach Ablauf von 30 Tagen gelöscht.
- Im Sunshine Conversations-Datenspeicher werden Benutzerdaten im Klartext gespeichert. (Support-Datenspeicher werden von der erweiterten Verschlüsselung unterstützt.)
- Benutzerdaten in Echtzeitdiensten (z. B. Agentenanwesenheit und die Talk-Anrufkonsole) werden zur Anzeige in der Agentenoberfläche für bis zu sieben Tage im Klartext gespeichert.
- Benutzerdaten von Agenten und Administratoren werden den Kunden für Vertriebs- und Supportzwecke im Klartext angezeigt.
0 Kommentare