Zendesk proporciona tres niveles de seguridad de contraseñas: baja, mediana y alta. También se puede especificar un nivel de seguridad personalizado. Un administrador puede establecer un nivel de seguridad de contraseñas para los usuarios finales y otro para los agentes y administradores.

Aumente los requisitos de las contraseñas de los agentes para ayudar a evitar que usuarios no autorizados adivinen las contraseñas de sus agentes. También debe requerir que los administradores y agentes seleccionen contraseñas únicas para sus cuentas de Zendesk y eviten utilizar las mismas contraseñas para sistemas externos.

Anime a los agentes a que monitoreen sus propias cuentas. Zendesk envía una notificación por correo electrónico a los agentes cuando se cambia su contraseña. Además, los agentes pueden monitorear sus cuentas activando alertas por correo electrónico para los inicios de sesión desde dispositivos nuevos. Si ve un nuevo inicio de sesión desde un dispositivo sospechoso, elimine el dispositivo para finalizar la sesión del usuario y luego elija otra contraseña.

Exija la autenticación de dos factores para los agentes y administradores, para agregar una capa de seguridad adicional. Recomendamos enviar un mensaje al equipo de soporte con un vínculo al artículo Uso de la autenticación de dos factores.

Los agentes y administradores de Zendesk nunca deben divulgar nombres de usuario, direcciones de correo electrónico ni contraseñas.

Si está usando la autenticación de inicio de sesión estándar de Zendesk, la única manera segura de restablecer una contraseña es que el usuario haga clic en el vínculo Olvidé mi contraseña en la pantalla de inicio de sesión de Zendesk. A continuación, se le solicitará al usuario que ingrese una dirección de correo electrónico válida (una ya verificada como usuario legítimo de la cuenta). Una vez que lo haga, recibirá un correo electrónico con un vínculo para restablecer su contraseña.

Si usa un sistema de autenticación de inicio de sesión único de terceros, como Active Directory, Open Directory, LDAP o SAML, las contraseñas pueden restablecerse de manera similar a través de esos servicios.

Los hackers a veces usan técnicas de ingeniería social para presionar a las personas para que les den la contraseña de una cuenta. Algunos hackers utilizan herramientas que imitan direcciones de correo electrónico para que parezca que vienen de dominios legítimos de correo electrónico. Como resultado, lo que parece ser una solicitud de correo electrónico legítima de un usuario puede en realidad no venir de esa dirección.

Si alguien que pretende ser un usuario o administrador se comunica con usted, tome nota de la dirección IP (se muestra en la vista de eventos de los tickets) y verifique su identidad por separado (por ejemplo, llamando al número de teléfono que aparece en su perfil de usuario). En caso de duda, nunca proporcione información confidencial ni haga cambios en una cuenta en nombre de otra persona. Los usuarios legítimos pueden cambiar la configuración de su propia cuenta.

Informe a los agentes sobre estos tipos de riesgos de seguridad. Además, cree una política de seguridad que todo el mundo conozca y que puedan consultar si se produce este tipo de incidentes.

Los administradores tienen acceso a partes de su cuenta de Zendesk a las que no pueden acceder los agentes normales. Para reducir el riesgo de seguridad, puede limitar el número de agentes que tienen acceso de administrador. El rol de agente proporciona el acceso que los agentes típicos necesitan para administrar y resolver tickets.

Puede seleccionar roles de agente predefinidos que conceden permisos adicionales a los agentes. También puede crear sus propios roles de agente personalizados y decidir a qué partes de Zendesk pueden acceder los agentes que tienen asignados esos roles y cómo las van a administrar. Estos permisos están limitados. Por ejemplo, solo los dueños de cuenta y los administradores tienen acceso a la configuración de seguridad.

Si le preocupa que sus agentes tengan acceso a la información sobre los usuarios finales, puede crear un rol que no les permita editar los perfiles de los usuarios finales ni ver la lista de todos los usuarios finales.

Además de la autenticación de usuario que proporciona Zendesk, también se puede usar el inicio de sesión único por el cual se autentica a los usuarios fuera de Zendesk. Existen dos opciones de SSO: el inicio de sesión único a través de redes sociales y el inicio de sesión único empresarial.

El inicio de sesión único a través de redes sociales permite que los clientes puedan iniciar sesión con su cuenta de Zendesk o con una de sus cuentas de redes sociales, como Google o Microsoft. Si bien estas opciones son prácticas, se recomienda desactivar los inicios de sesión con redes sociales innecesarios.

El inicio de sesión único empresarial no utiliza Zendesk y autentica a los usuarios externamente. Cuando los usuarios van a la página de inicio de sesión de Zendesk o hacen clic en un vínculo para acceder a su cuenta de Zendesk, pueden autenticarse iniciando sesión en un servidor corporativo o en un proveedor de identidad de terceros como OneLogin u Okta.

Cuando se proporciona un inicio de sesión único empresarial o a través de redes sociales, se recomienda aprovechar la autenticación de dos factores (también conocida como autenticación de varios factores) que estos servicios proporcionan. Esto agrega una capa más de protección ya que requiere una prueba de identidad adicional. Si está usando JWT o SAML, tendrá que configurar esto para su cuenta de Zendesk. Para el inicio de sesión único por redes sociales, los usuarios tendrán que configurarlo ellos mismos. Todos estos servicios proporcionan la documentación necesaria para la configuración.

Los agentes y usuarios finales pueden tener distintas maneras de autenticarse. Para proteger Zendesk Support, puede crear una política de autenticación más estricta para los agentes a la vez que proporciona un acceso fácil a los clientes y usuarios finales.

El registro de auditoría hace seguimiento de los cambios importantes en la cuenta. Con el registro de auditoría, es posible monitorear los distintos eventos de seguridad como la suspensión de usuarios, los cambios de política de contraseñas, las exportaciones de datos del cliente, los cambios de definición de los roles personalizados y mucho más.

Puede usar la API de REST de Zendesk y el Framework de aplicaciones de Zendesk para ampliar la funcionalidad de su cuenta de Zendesk Support.

Si desea ampliar su instancia de Zendesk, le recomendamos encarecidamente seguir las mejores prácticas de codificación segura. Una buena referencia sobre este tema es el proyecto Open Web Application Security Project (OWASP), que se encuentra aquí.