Questa è la terza e ultima installazione della nostra serie di best practice per la sicurezza. Fornisce un riferimento di base a livello di prodotto su come gestire in modo sicuro e corretto l’istanza Zendesk Suite. Come sempre, ti consigliamo vivamente di prendere in considerazione l’implementazione di questi controlli e consigli sui prodotti all’inizio dell’adozione e di rivedere regolarmente le impostazioni e le best practice aziendali per assicurarti che siano appropriate per il tuo caso d’uso specifico e che i dipendenti si attengano correttamente. La formazione di agenti e amministratori su come applicare questi controlli sui prodotti aiuterà a ridurre al minimo l’esposizione ai rischi, in linea con il nostro Modello di responsabilità condivisa.
Per una panoramica generale delle nostre pratiche di sicurezza consigliate, consulta Best practice generali per la sicurezza documento. Se hai bisogno di una risorsa di sicurezza più approfondita (ma non specifica del prodotto), dai un’occhiata al nostro Guida alla sicurezza fruibile da Zendesk Suite.
Questo articolo contiene le sezioni seguenti sui controlli dei prodotti Zendesk Suite:
Prassi ottimali per la sicurezza: Controlli prodotto Zendesk Suite
Support
- Assunzione account. Abilita (o disabilita) i privilegi temporanei o permanenti che consentono al personale Zendesk di accedere a un account per un periodo di tempo specifico, senza influire sulla licenza o sul numero consentito di agenti. Tieni presente che l’abilitazione delle funzioni potrebbe essere ignorata da personale Zendesk specializzato in caso di emergenza o quando l’uso dell’account o dell’applicazione viola l’Accordo di servizi principale.
- Configurazioni password personalizzate. Personalizza il tuo livello di sicurezza della password per allinearlo alle policy interne. Zendesk offre i seguenti livelli di sicurezza delle password: Consigliato, Alto, Medio e Basso. Consulta Impostazione del livello di sicurezza della password per i passaggi di implementazione. Nota: Quando l’autenticazione Zendesk è abilitata, puoi impostare limitazioni per la scadenza/timeout di inattività delle sessioni e/o la scadenza della password a livello di agente/amministratore.
- Autenticazione a due fattori ("2FA") Implementa un secondo livello di sicurezza dell'autenticazione. Disponibile in modo nativo nel prodotto tramite messaggio SMS o da un’app di autenticazione a 2 fattori installata sul dispositivo mobile dell’utente oppure come soluzione 2FA da usare in caso di abbinamento con Single Sign-On nel tuo ambiente.
- Single Sign-On ("SSO") (per account di utenti finali aziendali e social). Riduci il numero di superfici di attacco consentendo agli utenti di effettuare l’accesso una sola volta, con un unico set di credenziali.
- Limita gli indirizzi IP. Limita l’interfaccia agente ai soli utenti provenienti da un intervallo specifico di indirizzi IP approvati.
- Accesso sicuro agli allegati. Richiedi agli utenti di accedere al proprio account prima di accedere agli allegati attivando gli allegati privati.
- Scansione malware. Gli amministratori devono seguire le linee guida aziendali su come gestire gli allegati contrassegnati dalla nostra Scansione malware.
- Oscuramento. Elimina i dati personali o sensibili su richiesta nello spazio di lavoro agente (con accesso amministratore/agente).
-
Email
-
- Archivia le comunicazioni dei clienti a fini di verifica/legale.
- Disabilita i contenuti multimediali nelle email (ad esempio, non solo testo/HTML).
- Annullare l’autorizzazione degli indirizzi email di assistenza inutilizzati.
- Disabilita l’indirizzo email con caratteri jolly quando non è necessario.
- Abilita l’autenticazione email con SPF, DKIM e DMARC per ridurre lo spoofing email e le compromissioni email aziendali.
- Usa DKIM per le email in uscita per verificare l’origine delle email (ad es. dall’interno dell’organizzazione)
- Personalizza le email per migliorare la trasparenza e creare fiducia tra clienti e agenti.
-
- SPAM. Assicurati che i ticket non siano contrassegnati erroneamente come "SPAM" tramite le notifiche dei ticket sospesi.
- Tracciamento dispositivo. Gestisci i dispositivi degli utenti e rimuovi quelli non più in uso (con accesso agente/amministratore).
- Sandbox. Ti consigliamo di usare un ambiente sandbox per testare e avviare il codice prima che venga inserito nell’ambiente di produzione. Tieni presente che questa opzione è disponibile solo con i piani Enterprise.
- App Support per dispositivi mobili. Decidi se consentire l’accesso agli agenti tramite l’app Support Mobile e, in caso contrario, rimuovere l’accesso all’app mobile nel Centro amministrativo in “Altre impostazioni di sicurezza”. Tieni presente che l’accesso tramite password all’API deve essere consentito affinché le app mobili funzionino.
- Dati della carta di credito (PCI). Elimina automaticamente le informazioni relative ai dati delle carte di credito (potrebbero essere applicate limitazioni) o aggiungi un campo carta di credito conforme allo standard PCI
-
Gestione dei registri.
-
- Registri di verifica. Gestisci i registri di verifica per tenere traccia delle modifiche nel tuo account. Esporta i report tramite l’API o in formato CSV. Disponibile solo con i piani Enterprise.
- Registri interazioni/eventi ticket. Visualizza tutte le azioni e le notifiche che si sono verificate nel tuo account.
- Registri di integrazione. Tieni traccia della sincronizzazione dei dati tra l’istanza Support e l’integrazione tramite questo strumento nel Centro amministrativo.
-
- Verifica utente finale. Richiedi agli utenti finali di registrarsi e verificare il proprio indirizzo email.
- Privilegio minimo. Limita l’accesso degli utenti per garantire che gli utenti abbiano accesso solo ai prodotti dipendenti dalle attività. Ulteriori informazioni sui ruoli degli utenti in Support.
- Ruoli personalizzati. Accesso delegato per ruolo/descrizione del lavoro. Tieni presente che questa funzione è disponibile solo per i piani Enterprise.
- Elenco consentito. Definisci chi ha all’istanza per ridurre l’esposizione di dati sensibili e l’accesso non autorizzato al sistema.
- Block list. Sospendi, rifiuta o impedisci agli utenti di accedere alla tua istanza se/quando rilevi una minaccia per la tua sicurezza.
- Rimuovi account/utenti. Controlla regolarmente gli utenti del tuo account e sospendi/rileva di livello gli utenti che non hanno più bisogno di accedere al tuo sistema.
- Ruoli personalizzati. Delega l’accesso in base al ruolo/descrizione del lavoro. Tieni presente che questa funzione è disponibile solo per Enterprise.
- Bloccati in CC e follower. Impedisci ad altri di farlo essere taggato nei ticket e notificato delle conversazioni con i clienti per limitare l’accesso alle informazioni sensibili dei clienti e la vulnerabilità a una violazione dei dati.
- Limita la durata della sessione inattiva dei membri del team e degli utenti finali. Aiuta a limitare il periodo di tempo in cui una sessione può essere utilizzata, prima che si ripeta l’accesso per ridurre l’accesso non autorizzato a sistemi e dati.
- Disabilita la possibilità per gli amministratori di impostare le password per gli utenti. Applica il privilegio minimo e rimuovi la possibilità di impostare una password senza che un utente applichi l’autenticazione 2FA e verifichi il proprio indirizzo email attraverso il normale processo di reimpostazione della password. Vedi questo documento per ulteriori informazioni sull’impostazione dei livelli di sicurezza delle password.
- Webhook. Usa TLS/HTTPS per connetterti in modosicuroa endpointdi terzi , comeappli cazione o sitiweb .
- Zendesk Marketplace Installa solo applicazioni di terzi affidabili. Per maggiori informazioni, consulta qui.
-
Accesso API
-
- Disabilita l’accesso tramite password all’API per limitare l’esposizione delle informazioni protette.
- Token API. Chiedi al tuo amministratore di impostare l’accesso con privilegi minimi per ridurre il numero di persone che hanno accesso alla tua API e ai dati sensibili dei clienti (ad es. PII, PHI, ecc.). Consulta i Requisiti di configurazione della sicurezza per gli account abilitati HIPAA o HDS per informazioni correlate sulla gestione dei token API.
-
- Client OAuth . Proteggi l’accesso alla tua API (e ai dati correlati). Scegli il tipo di flusso giusto per il tuo caso d’uso e, se possibile, preferisci Concessione codice di autorizzazione o Concessione implicita rispetto a Concessione password. Visita OWASP per un elenco dettagliato delle best practice del settore.
- Creazione autonoma di app e integrazioni Per le best practice relative alle app e all’integrazione, visita il portale della documentazione.
Guide
- Contenuti moderati. Consulta il contenuto della Guida per assicurarti che lo SPAM non venga pubblicato nel Centro assistenza.
- API. Disabilita l’accesso tramite password all’API per ridurre al minimo l’esposizione di dati sensibili.
- Token API. Chiedi al tuo amministratore di impostare l’accesso con privilegi minimi per ridurre il numero di persone che hanno accesso alla tua API e le opportunità di compromissione dei dati.
- Limita l’accesso al Centro assistenza. Applica le limitazioni degli indirizzi IP per limitare l’accesso degli utenti in base all’autenticazione e alla segmentazione.
- Articoli Registri interazioni/eventi. Visualizza tutte le azioni intraprese dagli agenti in un articolo per garantire il rispetto delle best practice aziendali.
- Nome visualizzato agente/alias. Consenti agli agenti di personalizzare le proprie firme, aumentando la fiducia tra agenti e clienti e la sicurezza online degli agenti.
- Contenuti non sicuri. Impedisci la visualizzazione di contenuti non sicuri nel Centro assistenza.
Chat
- API di chat. Chiedi all’amministratore di impostare l’accesso con privilegi minimi per ridurre il numero di persone che hanno accesso ai dati sensibili. Assicurati di riconoscere le seguenti limitazioni.
- Elenco consentiti allegati file nativi. Limita la condivisione di file alle sole estensioni necessarie per compiti specifici.
- Gating tramite Support. Applica configurazioni di sicurezza a cascata a tutti i prodotti (applicabile solo ai piani Suite).
- Dati della carta di credito (PCI). Elimina automaticamente le informazioni relative ai dati delle carte di credito nelle chat e nella cronologia chat (potrebbero essere applicate limitazioni) per ridurre la compromissione dei dati.
- Nome visualizzato agente/alias. Consenti agli agenti di personalizzare le proprie firme, aumentando la fiducia tra agenti e clienti e la sicurezza online degli agenti. (Chat autonomo)
- Autenticazione visitatore. Abilita l’autenticazione dei visitatori tramite token o segreto condiviso per garantire che solo gli utenti autorizzati abbiano accesso.
- Controlli di autenticazione. Invia allegati di chat private con controlli di autenticazione (disponibile solo con lo Spazio di lavoro agente).
- Block list. Sospendere, rifiutare o impedire agli utenti di accedere al tuo account se/quando rappresentano un rischio per la tua sicurezza o violano le policy aziendali.
- Limita il Chat Widget in base alla località (ad es., Paese o dominio) per ridurre l’esposizione a malintenzionati e/o malintenzionati in uno stato nazionale.
- Ruoli personalizzati. Delega l’accesso a Chat in base al ruolo/descrizione del lavoro. Tieni presente che questa funzione è disponibile solo con i piani Enterprise.
Talk
- Registrazione delle chiamate. Attiva o disattiva la registrazione delle chiamate in base al numero, al chiamante o all’utente finale.
- Elimina registrazioni. Eliminazione automatica delle registrazioni: consente di eliminare automaticamente le registrazioni delle conversazioni.
- Funzione di eliminazione registrazione API Talk. Usa questa funzione per gli endpoint per eliminare a livello di codice le registrazioni dai ticket, ove applicabile. L’eliminazione manuale può essere applicata anche per l’ obbligo di cancellazione, per il diritto all’oblio e per i requisiti di conformità e privacy del settore. Nota: La rimozione automatica è una funzione separata che attualmente non può essere usata per rimuovere i dati delle carte di credito dalle trascrizioni di posta vocale.
Explore
- Gestisci autorizzazioni Explore. Abilita l’accesso Explore in base all’accesso con privilegi minimi (con accesso amministratore).
- Imposta le autorizzazioni per i dataset. Imposta le autorizzazioni del dataset usando l’accesso con privilegi minimi (con accesso amministratore).
Messaggistica (nativa)
- Autenticazione utente finale. Abilita l’autenticazione degli utenti finali per il Web Widget e l’SDK per dispositivi mobili.
- Elenco consentito. Consenti il caricamento del Web Widget solo su domini specifici.
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.