Il modello di responsabilità condivisa Zendesk

Zendesk offre una piattaforma di assistenza clienti altamente configurabile e rapidamente scalabile a molte delle aziende leader a livello mondiale in un'ampia gamma di settori industriali.  Aiutando i nostri abbonati a sfruttare la nostra piattaforma cloud per le loro esigenze di assistenza clienti, consentiamo loro di ridurre le spese generali, di scalare per soddisfare la domanda e di fornire interazioni meravigliosamente semplici con i loro clienti.  

Lo spostamento dell’azienda nel cloud non solo offre i vantaggi descritti sopra, ma può includere ambiguità in merito a quale parte è responsabile del controllo.  Non preoccuparti, per semplificare le cose, di seguito troverai il nostro modello di responsabilità condivisa.  Questo framework chiarisce quale parte è responsabile di quali controlli relativi alla sicurezza e alla privacy dei tuoi dati.  Che tu sia un amministratore coscienzioso, un responsabile della sicurezza aziendale, della conformità o della privacy o chiunque altro abbia il compito di impostare i controlli appropriati per l'uso dei servizi Zendesk nel tuo ambiente, questo standard dovrebbe tracciare chiaramente i limiti di cui devi essere a conoscenza. 

Per riassumere in una frase, “Zendesk ha il compito di garantire la sicurezza del Servizio stesso, mentre a te è affidato il compito di garantire la sicurezza all’interno di particolari istanze del Servizio”. 

1. Controlli di accesso e igiene
2. Integrazioni
3. Considerazioni su dati, privacy, conformità e normative
4. Monitoraggio
5. Manutenzione
6. Incidenti di sicurezza (ruoli e responsabilità)
7. Link utili
8. Registro modifiche

Tieni presente che i termini in maiuscolo hanno il significato loro attribuito nell’Accordo sui servizi principali Zendesk (“MSA”).   

I. Controlli di accesso e igiene
Il controllo dell’accesso ai sistemi sensibili e ai dati al loro interno è fondamentale per i principi di sicurezza. 

1. L’abbonato è responsabile di tutti i controlli di accesso alle proprie istanze del servizio, tra cui:
   1. Fornitura, modifica, igiene continua, mantenimento dell’accuratezza dei privilegi e rimozione del provisioning di tutti gli utenti, inclusi utenti finali e agenti (sia che si tratti di personale locale, remoto o di terzi) 
   2. Scelta e configurazione del metodo di autenticazione nel servizio tra le offerte supportate (possono includere password, MFA, SSO, ecc.)
   3. Configurazione e monitoraggio di aspetti della gestione delle sessioni come logout, dispositivi connessi, ecc.
   4. Consentire o impedire al nostro staff di assistenza di accedere alla tua istanza Support per assistenza
   5. Configurazione dell’accesso e comprensione delle implicazioni dell’uso dei servizi API REST di Zendesk (ove applicabile, incluse integrazioni, uso di Zendesk Sunshine Service, ecc.)
   6. Configurazione di qualsiasi limitazione IP supportata dal prodotto, se lo si desidera
   7. Considerando altri controlli di accesso non correlati ai prodotti, come i tipi di dispositivi che gli agenti possono usare per accedere alle istanze, nonché eventuali controlli fisici, logici o di policy applicabili agli utenti o ai dispositivi consentiti
2. Zendesk è responsabile di tutti i controlli di accesso ai sistemi alla base del servizio, tra cui:
   1. Mantenimento di policy e procedure per il provisioning sicuro, la modifica, l’igiene continua, il mantenimento dell’accuratezza dei privilegi e l’annullamento del provisioning di tutti gli utenti (inclusa la forza lavoro locale, remota e di terzi)
   2. Applicazione del controllo degli accessi basato sui ruoli “RBAC”, il principio dei privilegi minimi “PLP”, sicurezza delle credenziali adeguata, inclusa l’autenticazione a più fattori “MFA” per tutti gli accessi di dipendenti e appaltatori a sistemi e applicazioni critici contenenti i dati di servizio dell’abbonato
   3. Esecuzione di controlli periodici su quanto sopra

II. Integrazioni 
L’uso di terzi può migliorare notevolmente l’efficienza, ma introduce anche considerazioni sulla sicurezza.

1. L’Abbonato è tenuto a considerare le implicazioni sulla sicurezza derivanti dallo sfruttamento di tutte le integrazioni di terzi effettuate con il Servizio, tra cui:
   1. Integrazioni effettuate tramite API e/o SDK
   2. Integrazioni effettuate tramite l’installazione di app del Marketplace o l’abilitazione di canali di terzi
   3. Integrazioni con qualsiasi abbonato di terze parti che fornisce personale, strumenti, codice o assistenza diretta per le istanze Zendesk
2. Zendesk è responsabile dell’attenta integrazione nel servizio di terze parti affidabili, tra cui:
   1. Verifica ed esercizio della due diligence continua per tutti i sub-responsabili del trattamento
   2. Integrazione sicura delle acquisizioni nel Servizio
   3. Garantire che eventuali partnership di prodotti e/o integrazioni di servizi con terzi abbiano le dovute considerazioni di sicurezza 

III. Considerazioni su dati, privacy, conformità e normative
È fondamentale tenere conto dei dati in uso, del loro corretto trattamento, di eventuali quadri normativi pertinenti e dell’importanza delle assicurazioni di terzi.

1. L’abbonato è responsabile del corretto trattamento dei dati che acquisisce e usa, tra cui:
   1. Informazioni sui tipi di dati coinvolti nel loro caso d’uso particolare
   2. Trattare tali dati in conformità con la classificazione dei dati e le politiche sulla privacy della propria azienda, le leggi applicabili relative ai dati stessi, gli utenti che li forniscono, il settore degli abbonati e qualsiasi giurisdizione pertinente
   3. Scegliere quali canali consentire per la comunicazione con le proprie istanze del servizio
   4. Conservazione delle istanze e dei dati di servizio in conformità con qualsiasi quadro normativo, legale o normativo applicabile per il quale il settore, gli utenti o il caso d’uso dell’abbonato potrebbero rientrare
   5. Fornitura a Zendesk di certificati TLS alternativi quando si desidera mappare l’host a un dominio principale non Zendesk per la crittografia del traffico da e verso l’interfaccia utente o l’API Zendesk
   6. Comprendere dove i dati potrebbero non essere crittografati durante il transito e trattare di conseguenza tali canali o protocolli (principalmente email, SMS o integrazioni di terzi effettuate a esclusiva discrezione dell’abbonato che non supportano la crittografia)
   7. Garantire che i tipi di dati coinvolti nell’istanza dell’abbonato non violino i termini e le condizioni dell’Accordo sui servizi principali di Zendesk (consulta Zendesk MSA)
   8. Garantire che il livello di uptime e ripristino di emergenza scelto dall’abbonato sia conforme alle policy o alle normative a cui gli abbonati sono tenuti
2. Zendesk è responsabile di: 
   1. Protezione adeguata di tutti i dati di servizio dalla divulgazione a livello di servizio (ad es. infrastruttura o codice) 
   2. Crittografia dei dati in transito da o verso la nostra interfaccia utente o API su reti pubbliche 
   3. Crittografia di tutti i dati di servizio inattivi
   4. Fornire agli abbonati informazioni sui dati raccolti dai cookie interni al prodotto e sull’uso predefinito dei servizi 
   5. Descrivendo accuratamente come utilizziamo i Dati dei servizi, inclusi i Dati personali, in modo anonimo e non per fornire i nostri Servizi o in altro modo.
   6. Fornire agli abbonati strumenti e funzionalità che li aiutano a adempiere ai propri obblighi in merito al corretto trattamento dei dati personali o regolamentati.
   7. Conformità alle leggi e ai quadri normativi applicabili relativi alle nostre offerte di servizi e alle sedi delle nostre attività
   8. Ottenere e fornire garanzie di conformità di terzi indipendenti pertinenti alle nostre offerte di servizi

IV. Monitoraggio
Una sicurezza adeguata richiede informazioni dettagliate su processi e attività.  

1. L’abbonato è responsabile del monitoraggio di tutte le attività all’interno delle proprie istanze del servizio, tra cui:
   1. Monitoraggio delle attività degli utenti (tramite viste dell’interfaccia utente o registri API)
   2. Due diligence sulle comunicazioni con persone sconosciute o contenuti non attendibili derivati dal servizio
   3. Gestione dei registri o dei dati estratti dal Servizio in conformità con le normative applicabili
2. Zendesk è responsabile del monitoraggio dei processi e delle attività del servizio stesso, tra cui:
   1. Accesso privilegiato e attività all’interno della rete di produzione
   2. Traffico in ingresso per allertare o bloccare invii o indirizzi IP non validi
   3. Tempo di attività del servizio
   4. Comportamento anomalo negli asset della rete aziendale o di produzione
   5. La sicurezza del codice, dell’infrastruttura, del traffico e del personale pertinente dei dipendenti o degli appaltatori

V. Manutenzione
Mantenere i sistemi e il codice aggiornati e corretti può prevenire molti problemi di sicurezza. 

1. L’abbonato è responsabile della manutenzione e dell’applicazione di patch a qualsiasi sistema o codice oltre i limiti architetturali e/o contrattuali Zendesk*, inclusi:
   1. La propria infrastruttura, inclusi gli endpoint dei dipendenti, le reti, l’infrastruttura personalizzata o il middleware di terzi che usa per accedere ai servizi Zendesk e/o per elaborare ulteriormente i dati del servizio prima dell’ingresso o dell’uscita dai sistemi Zendesk  
   2. Il proprio codice non standard viene sfruttato per fornire funzionalità aggiuntive ai Servizi Zendesk, incluso il codice sviluppato internamente o da terzi che l’Abbonato ha sviluppato o acquistato per l’uso con i Servizi Zendesk. Ciò include anche qualsiasi codice personalizzato sviluppato da Zendesk Professional Services su richiesta degli Abbonati, a condizione che la responsabilità di tale codice e della relativa manutenzione sia stata trasferita all’Abbonato come parte del coinvolgimento personalizzato.
2. Zendesk è responsabile della manutenzione e dell’aggiornamento di tutti i sistemi e del codice entro i suoi limiti architetturali e/o contrattuali, tra cui:
   1. La propria infrastruttura gestita logicamente all’interno delle strutture del provider di hosting usata per fornire i Servizi, inclusi i sistemi operativi, l’infrastruttura di sicurezza e i sistemi sotto il suo controllo diretto, i sistemi di container e di orchestrazione, ecc.
   2. La propria infrastruttura gestita fisicamente e/o logicamente usata nell’ambiente aziendale Zendesk, come gli endpoint dei dipendenti, l’infrastruttura di rete aziendale, ecc.
   3. Le basi di codice proprietarie alla base dei servizi Zendesk.

* Tieni presente che, sebbene le app del Marketplace vengano eseguite all’interno dei limiti dell’architettura Zendesk, non sono coperte dal Master Services Agreement standard di Zendesk, ma sono coperte da termini specifici tra l’abbonato e gli sviluppatori di app stessi, come indicato nelle Condizioni d’uso delle app del Marketplace. La manutenzione delle app del Marketplace è responsabilità degli sviluppatori terzi delle app del Marketplace.

VI. Incidenti di sicurezza
Nonostante i migliori sforzi, a volte le cose possono andare storte.  Il modo in cui riconosci, rispondi e risolvi un incidente di sicurezza è fondamentale per mitigare con successo e mantenere la fiducia dei clienti.  Questa sezione descrive i ruoli e le responsabilità di ciascuna parte durante gli incidenti di sicurezza. 

1. L’abbonato è responsabile di qualsiasi incidente o violazione della sicurezza nelle sue istanze particolari, che non sia stato causato o causato da vulnerabilità o incidenti all’interno del servizio stesso, inclusi 
1. Indagine e soluzione di qualsiasi violazione sospetta o effettiva all’interno della propria istanza specifica causata da (i) controllo degli accessi o igiene insufficienti (incluso l’uso di credenziali pubbliche deboli o sfruttabili), (ii) monitoraggio insufficiente delle attività degli utenti, (iii) mancata esecuzione diligenza sulle comunicazioni o sui contenuti non attendibili derivanti dalle interazioni con gli utenti, o (iv) qualsiasi incidente o violazione causato dall’integrazione con terzi, laddove tale integrazione sia stata effettuata a esclusiva discrezione dell’abbonato.
2. Invio delle notifiche richieste al governo o alle forze dell’ordine o agli utenti finali in relazione a violazioni causate da azioni degli abbonati, terze parti integrate o relative a notifiche di violazione dei dati del servizio ricevute da Zendesk in merito all’istanza dell’abbonato
2. Zendesk è responsabile dei controlli per le indagini sugli incidenti di sicurezza e della notifica agli abbonati interessati delle violazioni dei dati del servizio che si verificano tramite il servizio stesso, tra cui 
   1. Disporre di una policy di risposta agli incidenti di sicurezza documentata e di personale con ruoli e responsabilità di sicurezza pertinenti
   2. Indagine su attività anomale
   3. Contenente qualsiasi violazione dei dati del servizio confermata
   4. Notifica agli abbonati interessati o alle autorità competenti o alle forze dell’ordine ove richiesto dalla legge.
   5. Garantire che vengano implementati e testati processi di backup e ripristino di emergenza affidabili

VII. Link utili

Proteggi il servizio clienti con Zendesk Security

Best practice per la sicurezza Zendesk

Portale Zendesk Legal

Controlli di accesso e igiene

Gestione della sicurezza e dell’accesso degli utenti in Zendesk Support (link aggregati)

Ruoli utente in Chat

Autenticazione utente in Chat

Concedere a Zendesk l’accesso temporaneo al tuo account

Integrazioni

API Zendesk

App Zendesk Marketplace

Subprocessori Zendesk

Subprocessori Zendesk Connect

Partner Zendesk

Considerazioni su dati, privacy, conformità e normative

Informativa sui cookie interni al prodotto Zendesk

Accordo sui servizi principali Zendesk

Protezione dei dati e della privacy Zendesk

Monitoraggio

Log di verifica modifiche istanza Support (UI / API)

API del registro di verifica degli eventi dei ticket Support

Dashboard di Chat

Interfaccia utente Cronologia chat

Esportazioni incrementalidi Chat e API in tempo reale

Dashboard Talk

API Talk incrementale

API per oggetti, eventi e profili personalizzati Sunshine

API Sell in tempo reale/Firehose

 

In caso di ulteriori domande, non esitare a contattarci all’indirizzo security@zendesk.com  

VIII. Registro modifiche
16 giugno 2023

1. Aggiunta di un registro delle modifiche
2. Aggiunta della Sezione V Manutenzione
3. Chiarire i dettagli degli incidenti causati dall’uso di credenziali deboli o sfruttabili pubblicamente usate dagli abbonati e/o dai loro utenti finali come responsabilità dell’abbonato nella sezione VI "Incidenti di sicurezza"