Prassi ottimali per la sicurezza generale

Zendesk offre quattro livelli di sicurezza delle password: Consigliato, Alto, Medio e Basso. Puoi anche specificare un livello di sicurezza personalizzato. Un amministratore può impostare un livello di sicurezza della password per gli utenti finali e un altro per agenti e amministratori.

Zendesk consiglia vivamente di impostare il livello di sicurezza della password consigliato sia per i membri del team che per gli utenti finali per salvaguardare il tuo account. Questo livello di sicurezza è configurato con severi requisiti per le password, controlla le password note violate e si basa sulle best practice di sicurezza e sugli standard del settore.

Aumenta i requisiti di password per gli agenti per evitare che utenti non autorizzati possano indovinare le password degli agenti. Dovresti anche richiedere agli amministratori e agli agenti di selezionare password univoche per i propri account Zendesk ed evitare di riutilizzare le password per i sistemi esterni.

Incoraggia gli agenti a monitorare i propri account. Zendesk invierà agli agenti una notifica email quando la password viene modificata. Inoltre, gli agenti possono monitorare comodamente i propri account abilitando avvisi email per gli accessi da nuovi dispositivi. Se vedi un nuovo accesso da un dispositivo sospetto, rimuovi il dispositivo per terminare la sessione dell’utente, quindi scegli una nuova password.

Richiedi l’autenticazione a due fattori per agenti e amministratori per un ulteriore livello di sicurezza. Ti consigliamo di inviare un messaggio al team di assistenza con un link all’articolo Uso dell’autenticazione a due fattori .

Prendi in considerazione l’uso di un gestore di password come 1Password o LastPass. I gestori di password ti aiutano a generare un’unica password sicura che può essere usata per tutti gli altri siti.

Gli agenti e gli amministratori Zendesk non devono mai fornire nomi utente, indirizzi email o password.

Se stai usando l’autenticazione di accesso Zendesk standard, l’unico modo sicuro per reimpostare una password è che l’utente faccia clic sul link Password dimenticata nella schermata di accesso a Zendesk. Questo richiede all’utente di inserire un indirizzo email valido (già verificato come utente legittimo nel tuo account). Dopo averla inviata, riceverà un’email contenente un link per reimpostare la password.

Se usi un sistema di autenticazione Single Sign-On di terzi come Active Directory, Open Directory, LDAP o SAML, le password possono essere reimpostate in modo simile tramite tali servizi.

Gli hacker a volte usano tecniche di ingegneria sociale per indurre le persone a fornire loro una password per un account. Alcuni hacker usano strumenti che falsificano gli indirizzi email per impersonare utenti di domini email legittimi. Di conseguenza, quella che sembra essere una richiesta email legittima da parte di un utente potrebbe non provenire da quell’indirizzo effettivo.

Se qualcuno che afferma di essere un utente o un amministratore ti contatta, prendi nota dell’indirizzo IP (mostrato nella vista eventi nei ticket) e verificane l’identità (ad esempio, chiamando il numero di telefono nel suo profilo utente). In caso di dubbio, non fornire mai informazioni sensibili e non apportare modifiche all'account per conto di qualcun altro. Gli utenti legittimi possono modificare le impostazioni del proprio account.

Informa gli agenti su questi tipi di rischi per la sicurezza. Inoltre, crea una policy di sicurezza che tutti conoscano e a cui possano fare riferimento quando si verificano questi incidenti.

Gli amministratori possono accedere a parti del tuo account Zendesk che gli agenti regolari non possono accedere. Puoi ridurre i rischi per la sicurezza limitando il numero di agenti con accesso come amministratore. Il ruolo agente fornisce l’accesso necessario agli agenti per gestire e risolvere i ticket.

Puoi selezionare ruoli agente predefiniti che concedono autorizzazioni aggiuntive agli agenti. Con i piani Enterprise, puoi anche creare ruoli agente personalizzati e decidere a quali parti di Zendesk il ruolo agente può accedere e gestire. Queste autorizzazioni sono limitate. Solo i proprietari di account e gli amministratori hanno accesso, ad esempio, alle impostazioni di sicurezza.

Se temi che gli agenti accedano alle informazioni sugli utenti finali, puoi creare un ruolo che non consenta loro di modificare i profili degli utenti finali o di visualizzare l’elenco di tutti gli utenti finali.

Con i piani Enterprise, gli amministratori possono designare un gruppo come privato. In genere, ciò limita l’accesso agli agenti all’interno del gruppo, sebbene gli amministratori e i team leader abbiano accesso per impostazione predefinita e agli agenti possa essere concessa l’autorizzazione a visualizzare i ticket privati. Gli agenti che lavorano con ticket privati non possono @menzionare o aprire conversazioni laterali con i membri del team al di fuori del gruppo privato. L’uso di gruppi di ticket privati può ridurre notevolmente la visibilità del contenuto dei ticket.

Se temi che gli agenti accedano alle informazioni sensibili nei ticket, puoi creare gruppi privati e assegnare gli agenti appropriati al gruppo per gestire quei ticket.

Oltre all’autenticazione utente fornita da Zendesk, puoi anche usare Single Sign-On, che autentica gli utenti al di fuori di Zendesk. Sono disponibili due opzioni SSO: Single Sign-On social media e Single Sign-On aziendale.

Il Single Sign-On sui social media consente ai clienti di accedere con il proprio account Zendesk o con uno dei propri account di social media, come Google o Microsoft. Sebbene queste opzioni siano utili, ti consigliamo di disattivare gli accessi social non necessari.

Il Single Sign-On aziendale ignora Zendesk e autentica gli utenti esternamente. Quando gli utenti arrivano alla tua pagina di accesso Zendesk o fanno clic su un link per accedere al tuo account Zendesk, possono autenticarsi accedendo a un server aziendale o a un provider di identità di terzi come OneLogin o Okta.

Quando fornisci il Single Sign-On aziendale o sui social media, ti consigliamo di sfruttare l’autenticazione a due fattori (nota anche come autenticazione a più fattori) fornita da questi servizi. Ciò aggiunge un ulteriore livello di protezione richiedendo un’ulteriore prova di identità. Se stai usando JWT o SAML, dovrai configurarlo per il tuo account Zendesk. Per il Single Sign-On sui social media, gli utenti dovranno configurarlo da soli. Tutti questi servizi forniscono la documentazione necessaria per la configurazione.

Gli agenti e gli utenti finali possono autenticarsi in modi diversi. Puoi proteggere Zendesk Support creando una policy di autenticazione più rigorosa per gli agenti, fornendo al contempo un facile accesso a clienti e utenti finali.

Il registro di verifica tiene traccia delle modifiche importanti al tuo account. Usando il registro di verifica, puoi monitorare vari eventi di sicurezza come sospensioni di utenti, modifiche alle policy delle password, esportazioni dei dati dei clienti, modifiche alle definizioni dei ruoli personalizzate e molto altro.

Puoi usare l’ API REST Zendesk e il Zendesk App Framework per estendere le funzionalità della tua istanza Zendesk Support .

Se vuoi estendere la tua istanza Zendesk, ti consigliamo vivamente di seguire le best practice per la codifica sicura. Un buon riferimento è il progetto OWASP (Open Web Application Security Project), che puoi trovare qui.

Se un incidente di sicurezza influisce sui dati del servizio, è una priorità assoluta e un obbligo legale di Zendesk informare i clienti entro il periodo di tempo richiesto. Aggiungi l’indirizzo email del contatto o del gruppo di sicurezza dell’organizzazione che deve ricevere notifiche di incidenti di sicurezza. Consulta Come designare un indirizzo email per la ricezione delle notifiche di sicurezza.