Zendesk offre una gamma di opzioni di sicurezza che puoi usare per garantire che le informazioni private siano protette. Questo articolo illustra le best practice generali per la sicurezza per aiutarti a iniziare. Ti consigliamo vivamente di addestrare i tuoi agenti e amministratori a seguire le best practice per garantire un ambiente sicuro.
Per un elenco dettagliato delle best practice per la sicurezza che consigliamo di implementare nella tua istanza, consulta Zendesk Suite Actionable Security Guide .
- Aumenta la sicurezza delle password per gli agenti
- Non fornire mai nomi utente, indirizzi email o password
- Limita il numero di agenti con accesso come amministratore
- Autentica gli utenti in remoto con Single Sign-On
- Monitora i registri di verifica dell’account
- Limita l’accesso o segui le prassi di codifica sicura se usi l’API REST
- Fornisci un indirizzo email per le notifiche di sicurezza
Per qualsiasi domanda sulla sicurezza della tua istanza Zendesk, contatta direttamente Zendesk. In caso di sospetta violazione della sicurezza, invia un ticket con l’oggetto “Sicurezza” insieme ai dettagli. In alternativa, puoi inviare un’email a security@zendesk.com.
Aumenta la sicurezza delle password per gli agenti
Zendesk offre quattro livelli di sicurezza delle password: Consigliata, Alta, Media e Bassa. Puoi anche specificare un livello di sicurezza personalizzato. Un amministratore può impostare un livello di sicurezza della password per gli utenti finali e un altro per agenti e amministratori.
Per salvaguardare il tuo account, Zendesk consiglia vivamente di impostare il livello di sicurezza della password consigliato sia per i membri del team che per gli utenti finali. Questo livello di sicurezza è configurato con requisiti rigorosi per le password, verifica le password note per le violazioni e si basa sulle best practice di sicurezza e sugli standard del settore.
Aumenta i requisiti di password per gli agenti per evitare che utenti non autorizzati possano indovinare le password degli agenti. Dovresti anche richiedere ad amministratori e agenti di selezionare password univoche per i propri account Zendesk ed evitare di riutilizzare le password per sistemi esterni.
Incoraggia gli agenti a monitorare i propri account. Zendesk invia agli agenti una notifica email quando la password viene cambiata. Inoltre, gli agenti possono monitorare comodamente i propri account attivando avvisi email per gli accessi da nuovi dispositivi. Se vedi un nuovo accesso proveniente da un dispositivo sospetto, rimuovi il dispositivo per terminare la sessione dell’utente, quindi scegli una nuova password.
Per un ulteriore livello di sicurezza, richiedi l’autenticazione a due fattori per agenti e amministratori. Ti consigliamo di inviare un messaggio al team dell’assistenza con un link all’articolo Come usare l’autenticazione a due fattori .
Prendi in considerazione l’uso di un gestore di password come 1Password o LastPass. I gestori di password aiutano a generare un’unica password sicura che può essere usata per tutti gli altri siti.
Non fornire mai nomi utente, indirizzi email o password
Gli agenti e gli amministratori Zendesk non devono mai fornire nomi utente, indirizzi email o password.
Se stai usando l'autenticazione di accesso Zendesk standard, l'unico modo sicuro per reimpostare una password è che l'utente faccia clic sul link Password dimenticata nella schermata di accesso a Zendesk. Questo richiede all’utente di inserire un indirizzo email valido (già verificato come utente legittimo nel tuo account). Dopo averla inviata, riceverà un’email contenente un link per reimpostare la password.
Se usi un sistema di autenticazione Single Sign-On di terzi come Active Directory, Open Directory, LDAP o SAML, le password possono essere reimpostate in modo simile tramite tali servizi.
Gli hacker a volte usano tecniche di ingegneria sociale per indurre le persone a fornire loro la password per un account. Alcuni hacker usano strumenti che falsificano gli indirizzi email per impersonare utenti provenienti da domini email legittimi. Di conseguenza, quella che sembra essere una richiesta email legittima da parte di un utente potrebbe non provenire da quell’indirizzo effettivo.
Se qualcuno che afferma di essere un utente o un amministratore ti contatta, prendi nota dell’indirizzo IP (mostrato nella vista eventi nei ticket) e verificane l’identità in modo indipendente (ad esempio, chiamando il numero di telefono nel profilo utente). In caso di dubbi, non fornire mai informazioni sensibili e non apportare mai modifiche all’account per conto di terzi. Gli utenti legittimi possono modificare le impostazioni del proprio account.
Informa gli agenti su questi tipi di rischi per la sicurezza. Inoltre, crea una policy di sicurezza che tutti conoscono e a cui possono fare riferimento quando si verificano questi incidenti.
Limita il numero di agenti con accesso come amministratore
Gli amministratori possono accedere a parti dell’account Zendesk che gli agenti regolari non possono fare. Puoi ridurre i rischi per la sicurezza limitando il numero di agenti con accesso come amministratore. Il ruolo agente fornisce l’accesso necessario agli agenti per gestire e risolvere i ticket.
Puoi selezionare ruoli agente predefiniti che concedono autorizzazioni aggiuntive agli agenti. Con i piani Enterprise, puoi anche creare ruoli agente personalizzati e decidere a quali parti di Zendesk il ruolo agente può accedere e gestire. Queste autorizzazioni sono limitate. Solo i proprietari di account e gli amministratori hanno accesso, ad esempio, alle impostazioni di sicurezza.
Se temi che gli agenti possano accedere alle informazioni sugli utenti finali, puoi creare un ruolo che non consenta loro di modificare i profili degli utenti finali o di visualizzare l'elenco di tutti i tuoi utenti finali.
Limita l’accesso alle informazioni private nei ticket
Con i piani Enterprise, gli amministratori possono designare un gruppo come privato. In genere, ciò limita l’accesso agli agenti all’interno del gruppo, sebbene gli amministratori e i leader dei team abbiano accesso per impostazione predefinita e agli agenti possa essere concessa l’ autorizzazione a visualizzare i ticket privati. Gli agenti che lavorano con ticket privati non possono @menzionare o aprire conversazioni laterali con i membri del team al di fuori del gruppo privato. L’uso di gruppi di ticket privati può ridurre notevolmente la visibilità del contenuto dei ticket.
Se temi che gli agenti accedano a informazioni sensibili nei ticket, puoi creare gruppi privati e assegnare gli agenti appropriati al gruppo per gestire quei ticket.
Autentica gli utenti in remoto con Single Sign-On
Oltre all’autenticazione fornita da Zendesk, puoi anche usare Single Sign-On, che autentica gli utenti al di fuori di Zendesk. Esistono due opzioni SSO: Single Sign-On sui social media e Single Sign-On aziendale.
Single Sign-On sui social media consente ai clienti di accedere con il proprio account Zendesk o con uno dei propri account di social media, come Google o Microsoft. Sebbene queste opzioni siano utili, ti consigliamo di disattivare gli accessi social non necessari.
Il Single Sign-On aziendale aggira Zendesk e autentica gli utenti esternamente. Quando gli utenti arrivano alla tua pagina di accesso Zendesk o fanno clic su un link per accedere al tuo account Zendesk, possono autenticarsi accedendo a un server aziendale o a un provider di identità di terzi come OneLogin o Okta.
Quando si fornisce Single Sign-On aziendale o sui social media, si consiglia di sfruttare l’autenticazione a due fattori (detta anche autenticazione a più fattori) fornita da questi servizi. Ciò aggiunge un ulteriore livello di protezione richiedendo un’ulteriore prova di identità. Se stai usando JWT o SAML, dovrai configurarlo per il tuo account Zendesk. Per il Single Sign-On sui social media, gli utenti dovranno configurarlo da soli. Tutti questi servizi forniscono la documentazione necessaria per la configurazione.
Gli agenti e gli utenti finali possono autenticarsi in diversi modi. Puoi proteggere Zendesk Support creando una policy di autenticazione più rigorosa per gli agenti, fornendo al contempo un facile accesso a clienti e utenti finali.
Monitora i registri di verifica dell’account
Il registro di verifica tiene traccia delle modifiche importanti al tuo account. Il registro di verifica permette di monitorare vari eventi di sicurezza come sospensioni di utenti, modifiche alle policy delle password, esportazioni di dati dei clienti, modifiche alle definizioni di ruoli personalizzate e molto altro.
Limita l’accesso o segui le prassi di codifica sicura se usi l’API REST
Puoi usare l’ API REST di Zendesk e il framework Zendesk Apps per estendere le funzionalità della tua istanza di Zendesk Support.
Se vuoi estendere la tua istanza Zendesk, ti consigliamo vivamente di seguire le best practice per la codifica sicura. Un buon riferimento è il progetto OWASP (Open Web Application Security Project), che puoi trovare qui.
Fornisci un indirizzo email per le notifiche di sicurezza
Se un incidente di sicurezza influisce sui dati del servizio, è una priorità assoluta e un obbligo legale per Zendesk avvisare i clienti entro il periodo di tempo richiesto. Aggiungi l’indirizzo email del contatto o del gruppo di sicurezza della tua organizzazione che deve ricevere notifiche sugli incidenti di sicurezza. Consulta Come designare un indirizzo email per la ricezione delle notifiche di sicurezza.
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.