Zendesk Suite Produktkontrollen und Empfehlungen – Leitfaden

Dieser Beitrag bietet eine grundlegende Produktreferenz für die erfolgreiche Sicherung und Verwaltung Ihrer Zendesk Suite-Instanz. Zendesk empfiehlt nachdrücklich, diese Produktkontrollen und Empfehlungen von Anfang an konsequent umzusetzen, die Einstellungen und Best Practices Ihres Unternehmens regelmäßig zu überprüfen und sicherzustellen, dass beide von Ihren Mitarbeitern eingehalten werden. Die Schulung der Agenten und Administratoren in der Anwendung dieser Produktkontrollen trägt – ganz im Sinne unseres Modells der geteilten Verantwortung – dazu bei, Risiken zu minimieren.

Einen allgemeinen Überblick über die von uns empfohlenen Sicherheitsmaßnahmen finden Sie im Dokument Bewährte Sicherheitspraktiken.

Dieser Beitrag enthält die folgenden Abschnitte zu den Produktkontrollen der Zendesk Suite:

• Support
• Guide
• Chat
• Talk
• Explore
• Messaging

Bewährte Sicherheitspraktiken: Produktkontrollen der Zendesk Suite

Support

• Angepasste Kennwortkonfigurationen. Wählen Sie die Kennwortsicherheitsstufe, die den internen Richtlinien Ihres Unternehmens entspricht. Zendesk bietet die folgenden Kennwortsicherheitsstufen: Empfohlen, Hoch, Mittel und Niedrig. Informationen zur Implementierung finden Sie unter Festlegen der Kennwortsicherheitsstufe. Hinweis: Wenn die Zendesk-Authentifizierung aktiviert ist, können Sie die Ablaufzeit der Sitzung, den Timeout bei Inaktivität und/oder den Ablauf des Kennworts für Agenten und Administratoren anpassen.
• Zwei-Faktor-Authentifizierung (‚2FA‘). Implementieren Sie eine zweite Authentifizierungssicherheitsebene. Verwenden Sie dazu die vom Produkt selbst bereitgestellte Authentifizierung per SMS-Nachricht, eine auf dem Mobilgerät des Benutzers installierte 2FA-App oder die für Single-Sign-On eingerichtete 2FA-Lösung Ihrer Umgebung.
• Single-Sign-On (‚SSO‘, für Business- oder Social-Media-Konten der Endbenutzer). Verringern Sie die Angriffsfläche durch die einmalige Anmeldung der Benutzer mit einem einzigen Set an Anmeldedaten.
• Eingeschränkte IP-Adressen. Beschränken Sie den Zugriff auf die Agentenoberfläche auf Benutzer aus einem bestimmten Bereich genehmigter IP-Adressen. 
• Gesicherter Zugriff auf Anhänge. Aktivieren Sie private Anhänge, damit sich die Benutzer vor dem Zugriff auf Anhänge bei ihrem Konto anmelden müssen. 
• Malware-Scanning. Stellen Sie sicher, dass Administratoren beim Umgang mit Anhängen, die von unserem Malware-Scanner markiert wurden, die entsprechenden Unternehmensrichtlinien einhalten. 
• E-Mail
  
  • • Deaktivieren Sie Rich Content (d. h. andere als Nur-Text-/HTML-Inhalte) in E-Mails.
    • Legen Sie nicht genutzte Support-E-Mail-Adressen still.
    • Deaktivieren Sie Wildcard-E-Mail-Adressen, wenn diese nicht benötigt werden.
    • Aktivieren Sie die E-Mail-Authentifizierung mit SPF, DKIM und DMARC, um Spoofing und E-Mail-Betrug im Geschäftsverkehr zu reduzieren.
    • Verwenden Sie DKIM, um die Herkunft von E-Mails (z. B. aus Ihrer Organisation) zu verifizieren.
• Geräteverfolgung. Verwalten Sie die Geräte der Benutzer und entfernen Sie nicht mehr genutzte Geräte (mit Agenten-/Administratorzugriff).
• Sandbox. Wir empfehlen, Code in einer Sandbox-Umgebung zu testen und auszuführen, bevor Sie ihn in die Produktionsumgebung übernehmen. Diese Funktion ist nur bei Enterprise-Plänen verfügbar.
• Mobile Support-App. Überlegen Sie, ob die Agenten in der Lage sein sollen, die mobile Support-App zu verwenden. Falls nicht, deaktivieren Sie den Zugriff auf die mobile App im Admin Center unter „Mehr Sicherheitseinstellungen“. Beachten Sie, dass mobile Apps nur funktionieren, wenn der Kennwortzugriff auf die API möglich ist. 
• Protokollverwaltung
  • • Auditprotokolle. Verwalten Sie Ihre Auditprotokolle, um die Änderungen in Ihrem Konto zu verfolgen. Exportieren Sie Berichte per API oder als CSV. Nur bei Enterprise-Plänen verfügbar.
    • Ticketinteraktions-/Ereignisprotokolle. Sichten Sie alle Aktionen und Benachrichtigungen in Ihrem Konto.  
    • Integrationsprotokolle. Nutzen Sie dieses Tool im Admin Center, um die Datensynchronisation zwischen Ihrer Support-Instanz und Ihrer Integration zu verfolgen.
• Verifizierung der Endbenutzer. Stellen Sie sicher, dass Endbenutzer ihre E-Mail-Adresse registrieren und verifizieren müssen.
• Geringstmögliche Berechtigungen. Sorgen Sie dafür, dass die Benutzer nur auf die für ihre Aufgaben benötigten Produkte zugreifen können. Weitere Informationen finden Sie im Beitrag Überblick über die Benutzerrollen in Zendesk Support.
• Angepasste Rollen. Delegieren Sie den Zugriff nach Rolle/Aufgabenbeschreibung. Diese Funktion ist nur bei Enterprise-Plänen verfügbar.
• Zulassungsliste. Legen Sie fest, wer auf Ihre Instanz zugreifen kann, um sensible Daten zu schützen und unbefugten Systemzugriff zu verhindern.
• Sperrliste. Stellen Sie sicher, dass Benutzer, die Ihre Sicherheit gefährden könnten, gesperrt, abgewiesen oder vom Zugriff auf Ihre Instanz ausgeschlossen werden.
• Entfernen von Konten/Benutzern. Überprüfen Sie die Benutzer Ihres Kontos regelmäßig und sperren/degradieren Sie Benutzer, die keinen Zugang zu Ihrem System mehr benötigen.
• Angepasste Rollen. Delegieren Sie den Zugriff nach Rolle/Aufgabenbeschreibung. Diese Funktion ist nur bei Enterprise-Plänen verfügbar.
• Sperrliste für CCs und Follower. Verhindern Sie, dass andere Personen in Tickets hinzugefügt und über Kundenkonversationen benachrichtigt werden, um den Zugriff auf sensible Kundendaten und die Anfälligkeit für Datenschutzverletzungen zu begrenzen.
• Begrenzen der Dauer inaktiver Sitzungen von Teammitgliedern und Endbenutzern. Verkürzen Sie den Zeitraum, in dem eine Sitzung genutzt werden kann, bevor eine erneute Anmeldung erforderlich ist, um die Gefahr eines unbefugten Zugriffs auf Systeme und Daten zu mindern.
• Deaktivieren nicht benötigter Social-Media-Anmeldeoptionen für Endbenutzer.
• Deaktivieren der Einrichtung von Benutzerkennwörtern durch Administratoren. Stellen Sie sicher, dass entsprechend dem Prinzip der geringstmöglichen Berechtigungen kein Kennwort festgelegt werden kann, ohne dass sich der betreffende Benutzer gemäß dem üblichen Verfahren zum Zurücksetzen des Kennworts per 2FA anmeldet und seine E-Mail-Adresse bestätigt. Weitere Informationen zum Festlegen der Kennwortsicherheitsstufe finden Sie in diesem Dokument.
• Webhooks. Verwenden Sie TLS/HTTPS für sichere Verbindungen zu externen Endpunkten wie Anwendungen oder Websites.
• API-Zugriff
  • • Deaktivieren Sie den Kennwortzugriff auf Ihre API, um die Offenlegung geschützter Informationen zu begrenzen.
    • API-Token. Lassen Sie den Zugang von Ihrem Administrator mit geringstmöglichen Berechtigungen einrichten, damit möglichst wenige Personen auf Ihre API und sensible Kundendaten (z. B. personenbezogene Informationen oder Gesundheitsdaten) zugreifen können. Weitere Informationen zum API-Token-Management finden Sie im Beitrag Anforderungen an die Sicherheitskonfiguration für HIPAA- oder HDS-fähige Konten.
• OAuth-Clients. Sichern Sie den Zugang zu Ihrer API (und zugehörigen Daten). Wählen Sie den für Ihren Anwendungsfall geeigneten Ablauf und verwenden Sie nach Möglichkeit „Authorization Code Grant“ oder „Implicit Grant“ anstelle von „Password Grant“. Eine ausführliche Liste der Best Practices der Branche finden Sie auf der OWAPS-Website. 

Guide

• Moderation von Inhalten. Überprüfen Sie Guide-Inhalte, um sicherzustellen, dass in Ihrem Help Center kein Spam gepostet wird. 
• API. Deaktivieren Sie den Kennwortzugriff auf Ihre API, um die Offenlegung sensibler Daten zu minimieren.
• API-Token. Lassen Sie den Zugang von Ihrem Administrator mit geringstmöglichen Berechtigungen einrichten, damit möglichst wenige Personen auf Ihre API zugreifen und Daten kompromittieren können.
• Beschränkung des Help-Center-Zugriffs. Verwenden Sie IP-Adressbeschränkungen, um den Benutzerzugriff durch Authentifizierung und Segmentierung zu begrenzen.
• Beitragsinteraktions-/Ereignisprotokolle. Sichten Sie alle Aktionen der Agenten im Zusammenhang mit einem Beitrag, um sicherzustellen, dass die Best Practices des Unternehmens eingehalten werden.
• Anzeigename/Alias der Agenten. Erlauben Sie den Agenten, ihre Signaturen zu personalisieren, um das Vertrauen zwischen Agenten und Kunden sowie die Online-Sicherheit Ihrer Agenten zu erhöhen.
• Unsichere Inhalte. Verhindern Sie die Anzeige unsicherer Inhalte in Ihrem Help Center. 

Chat

• Chat API. Lassen Sie den Zugang von Ihrem Administrator mit geringstmöglichen Berechtigungen einrichten, damit möglichst wenige Personen auf sensible Daten zugreifen können. Beachten Sie die folgenden Einschränkungen. 
• Zulassungsliste für native Dateianhänge. Beschränken Sie die Weitergabe von Dateien auf die für die jeweilige Aufgabe benötigten Dateitypen.
• Gating über Support. Wenden Sie kaskadierende Sicherheitskonfigurationen für alle Produkte an (nur Suite-Pläne).
• Besucherauthentifizierung. Aktivieren Sie die Besucherauthentifizierung mittels Token oder geteiltem Schlüssel, um den Zugang auf autorisierte Benutzer zu beschränken.
• Authentifizierungskontrollen. Senden Sie private Chat-Anhänge mit Authentifizierungskontrollen (nur im Arbeitsbereich für Agenten verfügbar).
• Beschränken des Chat-Widgets nach Standort (z. B. Land oder Domäne). Auf diese Weise verringern Sie die Gefährdung durch böswillige Akteure oder Angriffe feindlicher Staaten.
• Angepasste Rollen. Delegieren Sie den Chat-Zugriff nach Rolle/Aufgabenbeschreibung. Diese Funktion ist nur bei Enterprise-Plänen verfügbar.

Talk

• Anrufaufzeichnung. Verwenden Sie Opt-in/Opt-out für Anrufaufzeichnung basierend auf Rufnummer, Anrufer oder Endbenutzer.
• Löschen von Aufzeichnungen. Richten Sie die automatische Löschung von Talk-Aufzeichnungen ein.
• Talk-API-Funktion „Aufzeichnung löschen“. Verwenden Sie diese Endpunktfunktion, um Aufzeichnungen in Tickets gegebenenfalls programmgesteuert zu löschen. Darüber hinaus lassen sich Aufzeichnungen manuell löschen, um Löschungsverpflichtungen, dem Recht auf Vergessenwerden sowie Datenschutz- und Compliance-Anforderungen der Branche gerecht zu werden. Hinweis: Die automatische Schwärzung ist eine separate Funktion, die derzeit nicht verwendet werden kann, um Kreditkarteninformationen aus Voicemail-Protokollen zu entfernen.

Explore

• Verwaltung von Berechtigungen für Explore. Aktivieren Sie den Zugriff auf Explore mit geringstmöglichen Berechtigungen (Administratorzugriff).
• Einrichten von Dataset-Berechtigungen. Richten Sie den Zugriff auf Datasets mit geringstmöglichen Berechtigungen ein (Administratorzugriff).

Messaging (Nativ)

• Authentifizierung für Endbenutzer. Aktivieren Sie die Endbenutzer-Authentifizierung für Web Widget und Mobile SDK. 
• Zulassungsliste. Stellen Sie sicher, dass das Web Widget nur für bestimmte Domänen geladen werden kann.