Guía de controles y recomendaciones de los productos de Zendesk Suite

Este artículo ofrece información de referencia básica para administrar y proteger correctamente los productos de su instancia de Zendesk Suite. Zendesk recomienda firmemente que los controles y las recomendaciones que presentamos aquí se apliquen desde el comienzo. Asimismo, aconseja que cada cierto tiempo se examinen la configuración y las mejores prácticas de su compañía para cerciorarse de que son las adecuadas para su caso de uso y de que los empleados las cumplan como corresponde. Capacitar a agentes y administradores para que sepan aplicar estos mecanismos de control de los productos contribuye a reducir al mínimo los riesgos de exposición de conformidad con nuestro Modelo de responsabilidad compartida.

Si desea ver una descripción general de nuestras prácticas de seguridad recomendadas, consulte el documento Mejores prácticas generales de seguridad.

Este artículo describe los controles de los productos de Zendesk Suite:

• Support
• Guide
• Chat
• Talk
• Explore
• Mensajería

Mejores prácticas de seguridad: controles de los productos de Zendesk Suite

Support

• Configuración de contraseñas personalizadas. Personalice su propio nivel de seguridad de contraseñas de acuerdo con las políticas internas. Zendesk proporciona los siguientes niveles de seguridad de contraseñas: Recomendado, Alto, Mediano y Bajo. Consulte Configuración del nivel de seguridad de contraseñas si desea conocer los pasos de implementación. Nota: Cuando se activa la autenticación de Zendesk, se puede definir el vencimiento de la sesión o las restricciones de tiempo máximo de inactividad para el agente o administrador.
• Autenticación de dos factores (“2FA”). Implemente una segunda capa de seguridad de autenticación. Disponible de forma nativa en el producto a través de mensaje SMS o desde una aplicación de autenticación de 2 factores instalada en el dispositivo móvil del usuario, o bien mediante la solución 2FA que se va a utilizar en caso de combinarla con el inicio de sesión único utilizado dentro de su entorno.
• Inicio de sesión único (“SSO”) para cuentas empresariales y cuentas con acceso por redes sociales. Reduzca el número de posibles puntos de ataque permitiendo que los usuarios inicien sesión una sola vez, con un juego de credenciales único.
• Restringir direcciones IP. Limite la interfaz de agente a solo aquellos usuarios que vienen de un intervalo concreto de direcciones IP aprobadas. 
• Acceso a archivos adjuntos seguro. Active la función Archivos adjuntos privados para exigir a los usuarios que inicien sesión en su cuenta antes de poder acceder a los archivos adjuntos. 
• Escaneo de malware. Los administradores deben observar las pautas de la compañía en relación a cómo administrar archivos adjuntos que han sido marcados por nuestro servicio de escaneo de malware. 
• Correo electrónico
  
  • • Desactivar el contenido enriquecido en los correos electrónicos (p. ej., texto sin formato o en HTML).
    • Retirar las direcciones de correo electrónico de soporte que ya no están en uso.
    • Desactivar la dirección de correo electrónico comodín, si ya no se necesita.
    • Activar la autenticación de correo electrónico con SPF, DKIM y DMARC para reducir el spoofing y el acceso no autorizado a los sistemas de correo electrónico de la empresa.
    • Use DKIM para el correo electrónico de salida con el fin de verificar la procedencia de los correos electrónicos (p. ej., desde la propia organización).
• Seguimiento de dispositivos. Administre los dispositivos de los usuarios y elimine los que ya no se usan (con acceso de agente o administrador).
• Sandbox. Recomendamos que use un entorno de sandbox para hacer pruebas y lanzar código antes de introducirlo en el entorno de producción. Tenga en cuenta que esto solo está disponible con los planes Enterprise.
• Aplicación de Support para móviles. Decida si desea permitir el acceso a los agentes a través de la aplicación de Support para móviles. Si no lo va a permitir, elimine el acceso a la aplicación para móviles mediante la opción “Más configuraciones de seguridad” en el Centro de administración. Tenga en cuenta que se debe permitir el acceso con contraseña a la API para que puedan funcionar las aplicaciones para móviles. 
• Administración de registros.
  • • Registros de auditoría. Administre los registros de auditoría para llevar control de los cambios en su cuenta. Exporte los informes a través de la API o como archivo CSV. Solo disponible con los planes Enterprise.
    • Interacción con los tickets y registros de eventos. Vea todas las acciones y notificaciones que han tenido lugar en su cuenta.  
    • Registros de integración. Lleve seguimiento de la sincronización entre los datos de la instancia de Support y su integración a través de esta herramienta del Centro de administración.  
• Verificación de usuarios finales. Exija que los usuarios finales se registren y verifiquen su dirección de correo electrónico. 
• Privilegio mínimo. Restrinja el acceso de los usuarios garantizando que solo tengan acceso a los productos que se ocupan de tareas concretas. Más información sobre los roles de usuario de Zendesk Support. 
• Roles personalizados. Delegue el acceso por rol o por descripción de puesto de trabajo. Tenga en cuenta que esta función solo está disponible para los planes Enterprise.
• Utilizar la lista autorizada. Defina quién tiene acceso a su instancia para reducir la exposición a datos confidenciales y el acceso no autorizado al sistema.
• Utilizar la lista bloqueada. Suspenda a los usuarios, rechácelos o impida que puedan acceder a su instancia ante una sospecha de amenaza a la seguridad.
• Eliminar cuentas y usuarios. Cada cierto tiempo, verifique a los usuarios de una cuenta y suspenda o baje de categoría a aquellos que ya no necesiten acceder al sistema. 
• Roles personalizados. Delegue el acceso por rol o por descripción de puesto de trabajo. Tenga en cuenta que esta función solo está disponible para los planes Enterprise.
• Lista bloqueada de CC y seguidores. Evite que otras personas sean etiquetadas en los tickets o reciban notificaciones sobre las conversaciones de los clientes a fin de limitar el acceso a la información confidencial de los clientes y reducir, además, la vulnerabilidad ante una posible filtración de datos.
• Limitar la duración de una sesión inactiva de un integrante del equipo o un usuario final. Esta función ayuda a limitar el tiempo de validez de una sesión para reducir el acceso no autorizado a sistemas y datos. Cuando venza el periodo establecido, será necesario volver a iniciar sesión. 
• Desactivar los métodos de inicio de sesión por red social innecesarios para los usuarios finales.
• Desactivar la capacidad de los administradores para establecer contraseñas para los usuarios. Imponga el privilegio mínimo de acceso y elimine la capacidad de configurar una contraseña sin hacer que un usuario aplique la autenticación de dos factores (2FA) y verifique su dirección de correo electrónico a través del proceso normal de restablecimiento de contraseña. Consulte este documento si desea más información sobre cómo establecer niveles de seguridad para las contraseñas. 
• Webhooks. Use TLS/HTTPS para conectarse con seguridad a los extremos de terceros como aplicaciones o sitios web.
• Acceso a la API
  • • Desactive el acceso con contraseña a su API a fin de limitar la exposición de información protegida.
    • Tokens de API. Haga que el administrador configure el privilegio mínimo de acceso para reducir el número de personas que tienen acceso a su API y los datos confidenciales del cliente (p. ej., PII, PHI, etc.). Consulte los Requisitos de configuración de seguridad para cuentas con HIPAA o HDS activado en Zendesk si desea información relacionada con la administración de tokens de API. 
• Clientes OAuth. Asegure el acceso a su API (y a los datos relacionados). Elija el tipo de flujo correcto para su caso de uso y dé preferencia a la concesión de código de autorización o a la concesión implícita en lugar de a la concesión de contraseña, si fuera posible. Visite esta página de OWASP si desea ver una lista detallada de las mejores prácticas del sector. 

Guide

• Moderar contenido. Revise el contenido de Guide para asegurarse de que no se esté publicando spam en el centro de ayuda. 
• API. Desactive el acceso con contraseña a su API a fin de reducir al mínimo la exposición de datos confidenciales.
• Tokens de API. Haga que el administrador configure el privilegio mínimo de acceso para reducir el número de personas que tienen acceso a su API, así como el riesgo de que los datos se vean expuestos.
• Restringir el acceso al centro de ayuda. Aplique las restricciones de dirección IP para poder limitar el acceso de los usuarios en función de la autenticación y la segmentación. 
• Interacción con los artículos y registros de eventos. Consulte todas las acciones que los agentes han realizado en un artículo para garantizar el cumplimiento de las mejores prácticas de la compañía.
• Nombre mostrado de agente o de alias. Permita que los agentes personalicen sus firmas para poder cultivar la confianza entre los agentes y los clientes, además de mejorar la seguridad de los agentes cuando estén conectados.
• Contenido poco seguro. Impida que el contenido poco seguro se muestre en el centro de ayuda. 

Chat

• API de Chat. Haga que el administrador configure el privilegio mínimo de acceso para reducir el número de personas que tienen acceso a los datos confidenciales. Tenga en cuenta que se aplican las siguientes restricciones. 
• Incluir solo archivos adjuntos nativos en la lista autorizada. Restrinja la función de compartir archivos únicamente a los archivos que tienen las extensiones necesarias para ejecutar tareas concretas.
• Restringir el acceso a través de Support. Aplique configuraciones de seguridad en cascada en todos los productos (solo se aplica a los planes Suite).
• Autenticación de visitantes. Active la autenticación de visitantes a través de token o secreto compartido para garantizar el acceso únicamente a usuarios autorizados.
• Controles de autenticación. Envíe archivos adjuntos de chat privado con controles de autenticación (disponible solamente con el espacio de trabajo de agente).
• Restringir el widget de Chat por ubicación (p. ej., país o dominio) con el propósito de reducir la exposición a actores malintencionados o naciones-estado que pueden comportarse como actores maliciosos.
• Roles personalizados. Delegue el acceso a Chat por rol o por descripción de puesto de trabajo. Tenga en cuenta que esta función solo está disponible con los planes Enterprise.

Talk

• Grabación de llamadas. Dé consentimiento o niéguelo según el número, la persona que llama o el usuario final.
• Borrar grabaciones. El borrado automático de grabaciones permite la eliminación automática de las grabaciones de voz.
• Función de borrado de grabación con la API de Talk. Use esta función de extremo para borrar mediante programación las grabaciones de los tickets, donde sea aplicable. El borrado manual también se puede aplicar para cumplir una obligación de borrado o el derecho al olvido, así como cualquier requisito de cumplimiento relacionado con la privacidad que exista en el sector. Nota: La supresión automática es una función independiente que no se puede utilizar actualmente para suprimir datos de tarjeta de crédito de las transcripciones de buzón de voz.

Explore

• Administrar permisos de Explore. Active el acceso a Explore en función del privilegio mínimo de acceso (con acceso de administrador).
• Configurar los permisos de conjunto de datos. Configure permisos de conjunto de datos por medio del privilegio mínimo de acceso (con acceso de administrador).

Mensajería (nativa)

• Autenticación de usuarios finales. Active la autenticación de usuarios finales para el Web Widget y el SDK para móviles. 
• Lista autorizada. Permita que el Web Widget se cargue únicamente en dominios especificados.