Le chiffrement avancé améliore la sécurité des données en permettant à votre entreprise de chiffrer les données de service à l’aide de votre propre système de gestion des clés (KMS, Key Management System). Cela garantit que les informations sensibles stockées dans Zendesk sont sécurisées et inaccessibles aux parties non autorisées. En ayant vos propres clés de chiffrement, vous profitez d’une sécurité et d’une conformité supérieures, ainsi que d’un contrôle intégral sur les accès et les utilisations.
Vous pouvez activer le chiffrement avancé dans votre compte de production ou dans votre sandbox. Zendesk vous conseille de commencer par le tester dans votre sandbox. Consultez Configuration du chiffrement avancé pour en savoir plus.
Cet article aborde les sujets suivants :
Fonctionnement du chiffrement avancé
Quand vous utilisez le chiffrement avancé, vous gérez vos propres clés de chiffrement hors de Zendesk. Vous pouvez utiliser l’un des systèmes de gestion des clés (KMS) suivants : AWS KMS, Azure Key Vault, Google Cloud KMS ou Thales CipherTrust Manager, un KMS européen géré et hébergé par des entreprises européennes.
Le chiffrement avancé utilise le chiffrement d’enveloppe. Au moment du chiffrement, Zendesk génère une clé de chiffrement des données (DEK, Data Encryption Key) pour le bloc de données et demande au KMS de chiffrer cette clé, puis supprime la clé de base pour ne garder que la clé chiffrée.
Chaque fois que Zendesk doit accéder à des données chiffrées, il demandera au KMS de déchiffrer la clé de données à l’aide de la clé principale. Cela se produit en transit : les données sont chiffrées quand elles entrent dans Zendesk avant que nos applications les traitent et elles restent chiffrées jusqu’à ce qu’un cas d’utilisation nécessite qu’elles soient déchiffrées.
Le chiffrement des données n’affecte pas l’expérience des agents. Les agents peuvent continuer de rechercher et d’accéder aux données qu’ils ont le droit de consulter en fonction de leur rôle. Il existe cependant quelques limites.
Données chiffrées dans Zendesk
Le chiffrement avancé prend en charge le « backfilling » et le chiffrement des utilisateurs nouveaux et existants dans votre compte Zendesk.
Le chiffrement avancé chiffre les champs utilisateur suivants pour les données des utilisateurs finaux dans Zendesk Support, Guide et Talk :
- Nom
- Pseudo
- Signature
- Détails
- Notes
Les champs utilisateur ci-dessus sont chiffrés dans les sections suivantes de Zendesk Support :
- Gestion des utilisateurs finaux
- Gestion des membres de l’équipe
- Données utilisateur dans le contexte d’un ticket (demandeur, CC, abonnés, assigné)
- Appartenance aux groupes et aux organisations
- Résolution des balises d’utilisateur dans les commentaires de ticket et les e-mails
- Création des utilisateurs via la connexion unique, le Web Widget et l’e-mail
- Vues de tickets
- Recherche Support
- Déclencheurs et automatismes (règles de gestion)
- Utilisateurs Support créés via les conversations par messagerie
- Conversations annexes
Toutes les fonctionnalités de Guide et Talk sont couvertes, à l’exception de la fonctionnalité @mentions dans Gather et Guide, qui sera désactivée si le chiffrement est activé.
Chiffrement avancé et chiffrement standard - Comparaison
Le chiffrement avancé vient compléter le chiffrement standard utilisé par tous les comptes Zendesk.
Statut | Chiffrement avancé | Chiffrement standard |
---|---|---|
En transit |
Les données sont chiffrées dès que possible avec des clés gérées par le client, au niveau de la couche du proxy HTTP ou point d’entrée équivalent. |
Toutes les communications avec l’interface utilisateur et les API Zendesk sont chiffrées via HTTPS et Transport Layer Security (TLS 1.2 ou supérieur) standards sur les réseaux publics. Cela garantit que tout le trafic entre vous et Zendesk est sécurisé pendant le transit. Pour l’e-mail, Zendesk utilise le protocole TLS opportuniste par défaut. TLS chiffre et achemine les e-mails de façon sécurisée, ce qui atténue le risque d’écoute entre les serveurs de messagerie lorsque les services pairs prennent en charge ce protocole. Les exceptions pour le chiffrement peuvent inclure l’utilisation des fonctionnalités SMS au sein du produit et les abonnements aux applications, intégrations ou services tiers que les clients peuvent choisir à leur discrétion. |
Au repos |
Les données de la base de données restent chiffrées. Si une tierce partie ou un gouvernement étranger essaie d’accéder à une base de données en cours d’exploitation les données sont renvoyées en texte chiffré. |
Les données de service sont chiffrées au repos dans AWS à l’aide du chiffrement par clés AES-256. |
En cours d’utilisation |
Les données restent chiffrées quand elles sont en cours d’utilisation et ne sont déchiffrées que si un cas d’utilisation le nécessite. Les actions de déchiffrement sont consignées et peuvent faire l’objet d’un audit si vous utilisez une intégration SIEM (gestion des événements et des informations de sécurité) externe. |
Les données extraites des entrepôts de données sont traitées en texte brut. |
Limites du chiffrement avancé
Le chiffrement avancé s’accompagne de certaines limites dont vous devez avoir conscience. Quand les données sont chiffrées, il est possible que certaines fonctionnalités soient limitées, voire indisponibles.
Limites générales
- Toutes les fonctionnalités qui ne sont pas mentionnées dans la section Données chiffrées dans Zendesk, y compris, mais sans s’y limiter, Chat (legacy), Sell, QA, intégrations et les applications mobiles, peuvent ne pas fonctionner ou afficher des données chiffrées dans l’interface utilisateur ou dans les réponses d’API. Pour cette raison, Zendesk vous conseille d’activer et de tester le chiffrement avancé dans une sandbox avant de l’activer dans votre environnement de production.
- La rotation des clés n’est pas prise en charge actuellement.
Limites Support
- Le partage de tickets n’est pas pris en charge actuellement.
- Les comptes chiffrés ne seront plus éligibles pour les changements de région du compte. Si vous souhaitez transférer vos données dans une autre région, faites-en la demande avant d’activer le chiffrement avancé.
- Les sandbox premium créées après l’activation du chiffrement avancé afficheront les données copiées chiffrées.
- Les déclencheurs de messagerie avec des conditions basées sur le nom d’un utilisateur final ne fonctionneront pas.
- La mise en surbrillance des snippets, la recherche de caractères génériques, la recherche d’expressions et les langues non délimitées par des espaces (comme le chinois et le japonais) ne sont pas prises en charge.
- Les résultats de recherche et leur classement peuvent être différents.
- La recherche de conversations annexes par nom d’utilisateur ne fonctionnera pas. Vous devrez effectuer la recherche par sujet de la conversation annexe ou du ticket parent.
- Le tri des vues Support par nom d’utilisateur (demandeur et assigné) sera désactivé dans les comptes pour lesquels le chiffrement est activé.
- Les vues Support regroupées par nom d’utilisateur (demandeur et assigné) afficheront les noms d’utilisateur dans le désordre.
- Les exportations CSV afficheront des balises au lieu des noms d’utilisateur.
Impact sur les importations et les exportations
- Les utilisateurs importés via l’importateur d’actions en masse ne seront pas chiffrés, mais les utilisateurs ajoutés via l’importateur de données le seront.
- Les exportations XML pour les utilisateurs ne seront pas prises en charge, mais les exportations CSV et JSON le seront.
Impact sur Gather et Guide
- La fonctionnalité @mentions sera désactivée
Limites de stockage des données
Le chiffrement avancé introduit une nouvelle façon de chiffrer les données sensibles en utilisant les clés gérées par le client (CMK, Customer Managed Keys). Pour éviter que les fonctionnalités Zendesk ne soient compromises, les services Zendesk déchiffrent les données sensibles pendant le traitement des données provenant de nombreux canaux, notamment les navigateurs, les API REST et l’e-mail. Zendesk garantit que les données en texte brut ne sont jamais stockées de manière permanente et ne sont conservées que le temps minimum nécessaire pour répondre à la demande.
À l’heure actuelle, les éléments suivants sont des exceptions :
- La passerelle (NGINX + Cloudflare) stocke les pages de centre d’aide publiques, qui peuvent contenir des données de profil utilisateur pendant un temps pouvant atteindre trois minutes.
- L’e-mail sortant stocke temporairement le corps des e-mails, avant qu’ils ne soient livrés par SMTP.
- Le corps du message d’origine des e-mails entrants est conservé après la création du ticket ou du commentaire et permet d’optimiser des fonctionnalités de collaboration supplémentaires.
- Les jeux de données utilisateur Explore sont stockés en texte brut.
- Les fichiers d’importation et d’exportation en masse sont temporairement stockés en texte brut (30 jours). Ils sont supprimés après 30 jours.
- Les données utilisateur dans les entrepôts de données Sunshine Conversations sont stockées en texte brut (les entrepôts de données Support sont couverts).
- Les données utilisateur dans les services en temps réel (par exemple, la présence des agents et la console d’appel Talk) sont conservées en texte brut pendant un maximum de 7 jours afin d’optimiser l’interface d’agent.
- Les données utilisateur des agents et des administrateurs s’afficheront en texte brut dans le cas de ventes ou d’assistance aux clients.
0 commentaire