Tempo di lettura: 7 minuti
Questa risorsa fornisce una panoramica delle best practice per la sicurezza consigliate per gli abbonati a Zendesk Suite da implementare nelle proprie istanze. Ti consigliamo di prendere in considerazione l’implementazione di queste prassi al momento dell’adozione e di controllare regolarmente le impostazioni e le best practice aziendali per garantire che siano appropriate e che i dipendenti si attengano correttamente.
Zendesk offre un’ampia gamma di controlli per aiutare a mantenere le tue informazioni (e quelle dei tuoi clienti) al sicuro. Consigliamo vivamente di addestrare agenti e amministratori ad applicare queste best practice per la sicurezza e ridurre al minimo l’esposizione ai rischi, in linea con il nostro Modello di responsabilità condivisa. Questo framework delinea le responsabilità di ciascun abbonato Zendesk quando si tratta di garantire la sicurezza della propria istanza. Per ulteriori informazioni su consigli e controlli di prodotto specifici, consulta la Guida ai controlli e suggerimenti per i prodotti Zendesk Suite.
Questo articolo contiene le sezioni seguenti sulle prassi ottimali per Zendesk Suite:
- Generale
- Controllo di accesso
- Accesso ai sistemi, reti e domini
- Gestione dei dati
- API
- Monitoraggio
- Disaster recovery
Prassi ottimali di sicurezza per Zendesk Suite
Generale
- Usa una sandbox per i test e lo sviluppo per mantenere pulita la tua istanza di produzione.
- Limita l’ usodell’app mobile per i workflow e/o i casi d’uso degli agenti.
- Attiva la moderazione dei contenuti nel centro assistenza di Guide e nelle discussioni del forum per evitare spam e/o contenuti indesiderati nella community Gather.
- Verifica tutte le funzioni automatizzate che inviano notifiche per assicurarti che le notifiche siano alle persone corrette.
Controllo di accesso
Generico
-
Quando si usa l’autenticazione nativa Zendesk:
- Personalizza il livello di sicurezza della password in modo che corrisponda alle policy interne della tua azienda.
- Imposta la scadenza minima delle sessioni necessaria per agenti e amministratori.
- Disabilita gli accessi socialnon necessari per gli utenti finali.
-
Quando si usa Single Sign-On (SSO):
- Per gestire centralmente le configurazioni , usa l’ SSO nativo nel prodottoo ilSingle Sign-On aziendaleesistente .
- Per garantire gli accessi a Zendesk, abbina l’autenticazione a più fattori che gestisci con il tuo SSO
- Se vuoi comunque consentire l’autenticazione con password tramite l’autenticazione nativa Zendesk in caso di dubbi sulla disponibilità durante un'interruzione del servizio SSO, non disabilitare l'autenticazione con password. Se, tuttavia, desideri eliminare la possibilità di usare le password dopo aver configurato SSO, disabilita l’uso della password. Tieni presente che la disabilitazione dell’accesso con password interromperà tutte le sessioni aperte in cui le password sono state usate per l’autenticazione.
- Tieni disabilitata l’introduzione nell’account, a meno che tu non richieda a un dipendenteZendesk di accedere all’account (durante l’interazione con Support, i rappresentanti, i servizi professionali di Zendesk , ecc.).
Utenti
- Verifica i dispositivi connessi associati al tuo profilo agente e rimuovi quelli che non sono più in uso o che sembrano sospetti. Tieni presente che solo gli agenti, gli amministratori e i proprietari hanno accesso a questa funzionalità.
- Se crei un’istanza Zendesk “chiusa”, richiedi agli utenti finali di registrarsi e verificare le proprie email prima di poter inviare ticket per ridurre il potenziale spam.
- Applica ruoli personalizzati agli agenti per limitare l’accesso degli utenti solo a quanto necessario per ciascuna funzione lavorativa.
- Quando usi Guide, prendi in considerazione l’accesso privilegiatoper segmenti di utenti e/o brand.
- Sfrutta l’elenco consentito per definire specifici utenti, o gruppi di utenti, che hanno accesso al tuo account e/o che possono inviare richieste / chat.
- Quando necessario, puoi sospendere, rifiutaree/o impedire agli utenti di interagire con i servizi Zendesk tramite l’elenco bloccato.
- Verifica gli utenti del tuo account e sospendi/abbassadi livello gli utenti che non hanno più bisogno di accedere al tuo sistema.
Password
- Zendesk offre i seguenti livelli di sicurezza della password: Consigliata, Alta, Media e Bassa. Zendesk suggerisce il livello di sicurezza della password consigliato sia per i membri del team che per gli utenti finali. Per la procedura di implementazione, consulta Impostazione del livello di sicurezza della password .
- L’autenticazione a due fattori (2FA) è lo standard consigliato per l’accesso di agenti e amministratori a Zendesk.
- Laddove popolazioni diverse abbiano esigenze di sicurezza diverse, quando usi l'autenticazione nativa di Zendesk, valuta la possibilità di impostare un livello di sicurezza della password personalizzato per gli utenti finali e un altro per gli agenti e gli amministratori.
- Crea una password univoca per il tuo account Zendesk (ossia, una password non attualmente usata per accedere a sistemi o applicazioni esterni).
- Attiva gli avvisi email per gli accessi da nuovi dispositivi in modo che gli agenti possano monitorare i propri account per verificare la presenza di accessi da dispositivi nuovi (e non autorizzati). Vedi Controllo dei dispositivi e delle applicazioni che hanno avuto accesso al tuo account in Zendesk Agent Guide.
Sistema, accesso alla rete e domini
- Usa gli Spazi dilavoro contestuali per ottimizzare i workflow e mostrare solo gli strumenti applicabili (ad es., macro, app, moduli, ecc.) e garantire che gli agenti abbiano accesso solo alle funzioni di sistema e ai workflow necessari per completare un compito.
- Limita l’accesso degli agenti e/o degli utenti finali in base agli indirizzi IP.
- Quando necessario, puoi sospendere, rifiutaree/o impedire agli utenti di interagire con i servizi Zendesk tramite l’elenco bloccato.
- Laddove siano necessari URL non Zendesk, è possibile generare certificati SSL personalizzati o certificati SSL forniti da Zendesk con mappatura host. e fornisci un accesso sicuro al tuo centro assistenza. Quando fornisci il tuo certificato SSL, assicurati di rimanere aggiornato.
Gestione dei dati
-
Utilizzo dati
- Acquisisci solo i dati necessari per completare un dato caso d'uso, riducendo al minimo l'esposizione di dati sensibili dei clienti e/o interni.
-
Eliminazione/rimozione
- Per consigli sull’eliminazione e la rimozione dei dati, in conformità con le normative sulla privacy, fai riferimento alle guide“Conformità alla legge sulla privacy e la protezione dei dati”.
- Valuta la possibilità di non registrare le chiamate e/o di eliminare automaticamente le registrazioni quando usi la funzionalità Talk, in quanto tali registrazioni potrebbero essere difficili per la conformità alle normative del settore o alle normative legali.
- Abilita la rimozione automatica dei dati per proteggere i dati sensibili dei clienti in ticket e chat. Nota: Questa funzione sfrutta un assegno Luhn che maschera la maggior parte dei numeri di carta di credito, ma non tutti.
- Nascondi manualmente i dati della carta di credito dallo Spazio di lavoro agente Zendesk, dove le autorizzazioni lo consentono. Tieni presente che anche dopo l’eliminazione, i dati potrebbero persistere nei registri per un massimo di 30 giorni.
-
Conformità
- Se il tuo caso d’uso riguarda le informazioni sanitarie protette (“PHI”), concludi un Business Associate Agreement (BAA) con Zendesk e implementa le configurazioni di sicurezza necessarie perle informazioni sanitarie personali (PHI) e le elettroniche correlate all’HealthInsurance Portability and Accountability Act (HIPAA)gestione dei dati personali relativi alla salute (ePHI), se necessario per l’operatore sanitario o il gestore dei dati sanitari
- Se usi i numeri di carta di credito a scopo identificativo, aggiungi un campo relativo alla carta di credito al modulo del ticket per soddisfare i requisiti di conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) (questo campo non memorizza né visualizza il numero completo della carta di credito e non può essere usati per pagamenti o transazioni).
- Per coloro che devono rientrare nell’ambito della conformità PHI, ePHI, HIPAA e/o PCI DSS:
-
Privacy
- Consulta la sezione “Conformità alla legge sulla privacy e la protezione dei dati” del Centro assistenza per considerazioni sulla privacy specifiche dei prodotti.
- Accedi al Centro protezione per scoprire in che modo il nostro Programma globale per la privacy ti aiuta a mantenere la conformità, indipendentemente dal luogo in cui ti trovi o con le persone con cui intrattieni rapporti commerciali.
- Applica l’archiviazione email quando è necessario che l’azienda conservi gli archivi delle comunicazioni dei clienti al di fuori dei servizi Zendesk per scopi normativi, normativi o legali.
- Disabilita il piping email di Chat a meno che non sia necessario quando si usa Chat.
- Usa i contenuti avanzati nelle email in ingresso solo quando necessario per il tuo workflow.
- Abilita l’autenticazione email con SPF, DKIM e DMARC per ridurre le email fraudolente e lo spam ricevuto nell’account.
- Firma digitalmente le email in uscita da Zendesk per verificare che abbiano origine all’interno della tua organizzazione.
- Sfrutta le risposte personalizzate alle email e gli alias degli agenti per fornire trasparenza agli utenti finali che comunicano con gli agenti tramite il ticketing.
- Disattiva gli indirizzi Support inutilizzati o non necessari per ridurre al minimo il rischio di spoofing.
API
- Usa token anziché password per impedire l'accesso non autorizzato all'API tramite password.
- Distribuisci OAuth per autenticare e limitare la quantità di accesso concesso ai token nell’API. Disabilita quando non necessario.
- TokenAPI diSalvaguardia in un luogo sicuro al di fuori dell’applicazione. Laddove possibile, si consiglia l’uso di token OAuth anziché di token API.
Monitoraggio
- Verifica e monitora regolarmente i registri di verifica dell’account che mostrano le modifiche apportate all’account. Suggerimento utile: Tuo L’API può anche essere usata per esportare i registri di verifica, se necessario.
Disaster recovery
Zendesk adotta un Programma di resilienza aziendale globale per garantire la capacità di adattarci e rispondere rapidamente alle interruzioni dell’attività, salvaguardare le persone e gli asset, mantenendo al tempo stesso la continuità delle operazioni aziendali.' Oltre a ciò, sono disponibili diversi passaggi per garantire ulteriormente la continuità dell’azienda.
- Attiva la funzioneEnhanced Disaster Recovery per la ridondanza della sicurezza che include replica dei dati in tempo reale, definizione delle priorità del traffico, ridondanza della disponibilità delle zone e pianificazione prioritaria del ripristino.
- Se usi la funzionalità Voce, abilita un numero di failover Talk ai fini della continuità aziendale.
- Se desideri accedere con password in caso di interruzioni del sistema SSO esterno, valuta la possibilità di non disabilitare l'autenticazione nativa Zendesk (SSO può essere impostato come rigido o consentire il bypass della password).
- Applica un’API di esportazione incrementale e/o downloadin blocco dei dati del servizio se hai bisogno di conservare i datastore non modificabili nel tuo ambiente.
- Attiva l’inoltro automatico delle email dal tuo indirizzo email personale di terzi a Zendesk Support per conservare una copia dell’email al di fuori di Zendesk.
- Attiva la funzioneEnhanced Disaster Recovery per la ridondanza della sicurezza che include replica dei dati in tempo reale, definizione delle priorità del traffico, ridondanza della disponibilità delle zone e pianificazione prioritaria del ripristino.
- Usa l’API di esportazione incrementale per recuperare gli elementi Zendesk Support che sono stati modificati dopo l’ultima richiesta di chiamata API. Consulta Riferimento API per maggiori informazioni.
Se sospetti che un incidente di sicurezza nella tua istanza Zendesk sia stato causato direttamente dal nostro servizio, devi inviare un ticket a security@zendesk.com. Per chiarimenti su quando contattare Zendesk in merito a responsabilità correlate alla sicurezza, consulta il modello di responsabilità condivisa.
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.