Tempo di lettura: 7 minuti

Questa risorsa fornisce una panoramica delle best practice di sicurezza consigliate per gli abbonati alla suite Zendesk da implementare nella propria istanza. Ti consigliamo di prendere in considerazione l’implementazione di queste pratiche all’inizio dell’adozione e di controllare regolarmente le impostazioni e le best practice aziendali per assicurarti che siano appropriate e rispettate correttamente dai dipendenti.

Zendesk offre un'ampia gamma di controlli per aiutarti a mantenere le tue informazioni (e quelle dei tuoi clienti) al sicuro. Consigliamo vivamente di formare agenti e amministratori per applicare queste best practice di sicurezza e ridurre al minimo l’esposizione ai rischi, in linea con il nostro Modello di responsabilità condivisa. Questo framework delinea le responsabilità di ciascun abbonato Zendesk quando si tratta di garantire la sicurezza della propria istanza. Per ulteriori informazioni sui controlli e sui consigli specifici dei prodotti, consulta Guida ai controlli e ai suggerimenti dei prodotti Zendesk Suite. 

 

Questo articolo contiene le seguenti sezioni sulle best practice per Zendesk Suite:

• Generale 
• Controllo accessi
• Accesso ai sistemi, reti e domini
• Gestione dei dati
• Email
• API
• Monitoraggio
• Ripristino di emergenza

 

Best practice di sicurezza per Zendesk Suite

Generale

• Usa una sandbox per il test e lo sviluppo per mantenere pulita l’istanza di produzione.
• Limita l’ uso delleapp mobili per i workflow e/o i casi d’uso degli agenti.
• Abilita la moderazione dei contenuti nel centro assistenza di Guide e nelle discussioni del forum per prevenire spam e/o contenuti indesiderati nella community Gather.
• Esamina tutte le funzioni automatizzate che inviano notifiche per assicurarti che le notifiche siano alle persone corrette.

 

Controllo accessi 

Generali

• Quando si usa l’autenticazione nativa Zendesk: 
  • Personalizza il livello di sicurezza della password in modo che corrisponda alle policy interne della tua azienda.
  • Imposta la scadenza minima della sessione necessaria per agenti e amministratori.
  • Disabilita gli accessi socialnon necessari per gli utenti finali.
• Quando si usa Single Sign-On (SSO): 
  • Usa l’ SSO interno al prodottoo ilSingle Sign-On aziendaleesistente per gestire centralmente le configurazioni.
  • Abbina qualsiasi MFA che operi al tuo SSO per coprire gli accessi Zendesk
  • Se vuoi comunque consentire l’autenticazione tramite password tramite l’autenticazione nativa Zendesk se sei preoccupato per la disponibilità durante un’interruzione SSO, non disabilitare l’autenticazione con password.  Se, tuttavia, vuoi eliminare la possibilità di usare le password dopo aver configurato SSO, disabilita l’uso delle password.  Tieni presente che la disabilitazione dell’accesso con password interromperà tutte le sessioni aperte in cui le password sono state usate per l’autenticazione.
• Mantieni la funzionePresupposto account disabilitata a meno che tu non richieda a un dipendente Zendesk di accedere al tuo account (durante l’interazione con l’assistenza Zendesk, gli avvocati, i servizi professionali, ecc.).

Utenti

• Verifica i dispositivi connessi associati al tuo profilo agente e rimuovi quelli che non sono più in uso o che sembrano sospetti. Tieni presente che solo gli agenti, gli amministratori e i proprietari hanno accesso a questa funzionalità. 
• Se crei un’istanza Zendesk “chiusa”, chiedi agli utenti finali di registrarsi e verificare le proprie email prima di poter inviare ticket per ridurre il potenziale spam.
• Applica ruoli personalizzati agli agenti per limitare l’accesso degli utenti solo a quanto necessario per ciascuna funzione lavorativa.
• Quando usi Guide, prendi in considerazione l’accesso privilegiato basato sulsegmento di utenti e/o sul brand.
• Sfrutta l’elenco consentito per definire utenti o gruppi di utenti specifici che hanno accesso al tuo account e/o la possibilità di inviare richieste / chat.
• Sospendere, rifiutaree/o impedire agli utenti di interagire con i servizi Zendesk tramite l’elenco bloccato, quando necessario.
• Esamina gli utenti nel tuo account e sospendi/abbassadi livello gli utenti che non hanno più bisogno di accedere al tuo sistema.

Password

• Zendesk offre i seguenti livelli di sicurezza delle password: Consigliato, Alto, Medio e Basso. Zendesk suggerisce il livello di sicurezza della password consigliato sia per i membri del team che per gli utenti finali. Consulta Impostazione del livello di sicurezza della password per i passaggi di implementazione.
• L’autenticazione a due fattori (2FA) è lo standard consigliato per l’accesso di agenti e amministratori a Zendesk.
• Laddove popolazioni diverse abbiano esigenze di sicurezza diverse, valuta la possibilità di impostare un livello di sicurezza della password personalizzato per gli utenti finali e un altro per gli agenti e gli amministratori quando usi l'autenticazione nativa di Zendesk.
• Crea una password univoca per il tuo account Zendesk (ovvero, una password non attualmente usata per accedere a sistemi o applicazioni esterni).
• Abilita gli avvisi email per gli accessi da nuovi dispositivi in modo che gli agenti possano monitorare i propri account per gli accessi da dispositivi nuovi (e non autorizzati). Vedi Verifica dei dispositivi e delle applicazioni che hanno effettuato l’accesso al tuo account in Zendesk Agent Guide.

 

Sistema, Accesso alla rete e Domini

• Usa gli spazi dilavoro contestuali per ottimizzare i workflow e mostrare solo gli strumenti applicabili (ad es. macro, app, moduli, ecc.) e garantire che gli agenti abbiano accesso solo alle funzioni di sistema e ai workflow necessari per completare un compito.
• Limita l’accesso in base agli indirizzi IP degli agenti e/o degli utenti finali.
• Sospendere, rifiutaree/o impedire agli utenti di interagire con i servizi Zendesk tramite l’elenco bloccato, quando necessario.
• Laddove siano necessari URL non Zendesk, genera i tuoi certificati SSL o i certificati SSL forniti da Zendesk con mappatura host e fornisci un accesso sicuro al tuo centro assistenza.  Quando fornisci il tuo certificato SSL, assicurati di essere sempre aggiornato.

 

Gestione dei dati

• Utilizzo dati 
  • Acquisisci solo i dati necessari per completare un determinato caso d’uso, riducendo al minimo l’esposizione di dati sensibili dei clienti e/o interni.
• Eliminazione/rimozione 
  • Fai riferimento alle guide"Conformità alla legge sulla privacy e sulla protezione dei dati" per consigli sull'eliminazione e la rimozione, in conformità con le normative sulla privacy.
  • Considera la possibilità di non registrare le chiamate e/o di eliminare automaticamente le registrazioni quando usi la funzionalità Talk, in quanto tali registrazioni potrebbero essere difficili per la conformità alle normative del settore o alle normative legali.
  • Abilita la rimozione automatica per proteggere i dati sensibili dei clienti nei ticket e nellechat. Nota: Questa funzione sfrutta un assegno Luhn che rimuove la maggior parte dei numeri di carta di credito, ma non tutti.
  • Elimina manualmente i dati della carta di credito dallo spazio di lavoro agente Zendesk, dove le autorizzazioni lo consentono. Tieni presente che anche dopo l’eliminazione, i dati potrebbero persistere nei registri per un massimo di 30 giorni.
• Conformità 
  • Se il tuo caso d’uso riguarda le informazioni sanitarie protette (“PHI”), stipula un Business Associate Agreement (BAA) con Zendesk e implementa le configurazioni di sicurezza richieste perle informazioni sanitarie personali (PHI) e elettroniche correlate all’HealthInsurance Portability and Accountability Act (HIPAA)gestione dei dati personali relativi alla salute (ePHI), se necessario per l’operatore sanitario o il gestore dei dati sanitari
  • Se usi i numeri di carta di credito a scopo identificativo, aggiungi un campo carta di credito al modulo ticket per soddisfare i requisiti di conformità PCI DSS (Payment Card Industry Data Security Standard) (tieni presente che questo campo non memorizza o mostra il numero completo della carta di credito e non può essere usato per pagamenti o transazioni).
  • Per coloro che devono rientrare nell’ambito della conformità a PHI, ePHI, HIPAA e/o PCI DSS: 
• Privacy 
  • Consulta la sezione "Conformità alla legge sulla privacy e sulla protezione dei dati" del Centro assistenza per considerazioni sulla privacy specifiche del prodotto.
  • Accedi al Centro protezione per scoprire in che modo il nostro Programma globale per la privacy ti aiuta a rimanere conforme, indipendentemente da dove ti trovi o con chi intrattieni rapporti commerciali.

 

Email 

• Applica l’archiviazione email quando è necessario che l’azienda conservi gli archivi delle comunicazioni dei clienti al di fuori dei Servizi Zendesk per scopi normativi, normativi o legali.
• Disabilita il piping email di Chat a meno che non sia necessario quando usi Chat.
• Usa contenuti avanzati nelle email in ingresso solo quando necessario per il tuo workflow.
• Abilita l’autenticazione email con SPF, DKIM e DMARC per ridurre le email contraffatte e lo spam ricevuto dall’account.
• Firma digitalmente le email in uscita da Zendesk per verificare che abbiano origine all’interno della tua organizzazione.
• Sfrutta le risposte email personalizzate e gli alias degli agenti per fornire trasparenza agli utenti finali che comunicano con gli agenti tramite ticketing.
• Ritira gli indirizzi Support inutilizzati o non necessari per ridurre al minimo il rischio di spoofing.

 

API

• Usa i token anziché le password per impedire l’accesso non autorizzato all’API tramite password.
• Distribuisci OAuth per autenticare e limitare la quantità di accesso concesso ai token nell’API. Disabilita quando non necessario.
• TokenAPI disalvaguardia in un luogo sicuro al di fuori dell’applicazione. Ove possibile, i token OAuth sono consigliati rispetto ai token API.

 

Monitoraggio

• Esamina e monitora regolarmente i registri di verifica degli account che mostrano le modifiche al tuo account. Suggerimento utile: Tuo L’API può anche essere sfruttata per esportare i registri di verifica in base alle esigenze.

 

Ripristino di emergenza

Zendesk mantiene un programma di resilienza aziendale globale per garantire la capacità di adattarci e rispondere rapidamente alle interruzioni aziendali, salvaguardare le persone e le risorse, mantenendo al contempo la continuità delle operazioni aziendali.' Oltre a ciò, sono disponibili diversi passaggi per garantire ulteriormente la continuità dell’azienda. 

• Attiva il ripristino di emergenza avanzato per la ridondanza della sicurezza che include la replica dei dati in tempo reale, la definizione delle priorità del traffico, la ridondanza della disponibilità delle zone e la pianificazione del ripristino delle priorità.
• Se usi la funzionalità Voce, abilita un numero di failover Talk ai fini della continuità aziendale.
• Se desideri accedere con password in caso di interruzioni del sistema SSO esterno, valuta la possibilità di non disabilitare l’autenticazione nativa Zendesk (l’autenticazione SSO può essere impostata come rigida o consentire il bypass della password).
• Applica un’API di esportazione incrementale e/o downloadin blocco dei dati del servizio se hai bisogno di conservare i datastore non modificabili nel tuo ambiente.
• Abilita l’inoltro automatico delle email dal tuo indirizzo email personale di terzi a Zendesk Support per conservare una copia dell’email al di fuori di Zendesk.
• Attiva il ripristino di emergenza avanzato per la ridondanza della sicurezza che include la replica dei dati in tempo reale, la definizione delle priorità del traffico, la ridondanza della disponibilità delle zone e la pianificazione del ripristino delle priorità.
• Usa l’API di esportazione incrementale per recuperare gli elementi Zendesk Support che sono stati modificati dall’ultima richiesta di chiamata API. Consulta il Riferimento API per maggiori informazioni.

Se sospetti che un incidente di sicurezza nella tua istanza Zendesk sia stato causato direttamente dal nostro Servizio stesso, devi inviare un ticket a security@zendesk.com. Per chiarimenti su quando contattare Zendesk in merito alle responsabilità relative alla sicurezza, consulta il Modello di responsabilità condivisa.