한국어
  1. Zendesk 도움말
  2. 정책 및 프로그램
  3. Zendesk 정책

Zendesk 공동 책임 모델

Craig Lima
  • 편집된 시간

Zendesk 공동 책임 모델

Zendesk는 다양한 업종의 수많은 유수 기업에게 높은 구성력과 신속한 확장력을 갖춘 고객 지원 서비스 플랫폼을 제공합니다.  Zendesk는 가입자들이 고객 지원 서비스에 Zendesk의 클라우드 플랫폼을 활용하여 오버헤드를 줄이고, 수요에 맞게 확장하며, 고객과 효율적이고 편리하게 대화할 수 있도록 돕습니다.

비즈니스를 클라우드로 옮겨가면 위에 설명된 이점을 누리지만, 동시에 누가 무엇을 책임지는지가 모호해집니다.  하지만 걱정하지 마세요. 아래 공동 책임 모델에 그러한 부분이 간단하고 명료하게 정리되어 있습니다.  이 프레임워크는 데이터의 보안 및 개인정보 보호와 관련하여 누가 어떤 부분에 책임이 있는지를 명확하게 밝혀줍니다.  성실한 관리자이든, 기업 보안, 규정 준수 또는 개인정보 보호 담당자이든, 또는 회사 환경에서 Zendesk 서비스 사용에 대한 적절한 제어 수단을 설정하는 작업을 하는 누구든 이 표준이 인지해야 할 사항을 명확히 설명해 줍니다.

한 문장으로 압축하면 “Zendesk는 서비스 자체의 보안을 담당하는 반면 가입자는 서비스의 특정 인스턴스 내에서의 보안을 담당합니다.” 

  1. 액세스 제어 및 예방
  2. 연동 서비스
  3. 데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항
  4. 모니터링
  5. 보안 인시던트(역할 및 책임)
  6. 유용한 링크

영문본에서 대문자로 표시된 용어는 Zendesk Master Subscription Agreement (“MSA”)에 명시된 의미를 갖습니다.

I. 액세스 제어 및 예방
민감한 시스템과 그 안의 데이터에 대한 액세스를 제어하는 일은 보안 원칙의 핵심입니다.

  1. 가입자는 다음을 포함한 서비스의 해당 인스턴스에 대한 모든 액세스 제어를 담당합니다.
    1. 사내 근무 직원이든, 원격 근무 직원이든, 타사 직원이든 상관없이 최종 사용자 및 상담원을 포함하여 모든 사용자의 프로비저닝, 수정, 지속적 예방, 권한 정확성 유지 및 프로비저닝 해지
    2. 비밀번호, MFA, SSO 등을 포함할 수 있는 지원되는 제품에서 서비스에 대한 인증 방법 선택 및 구성
    3. 로그아웃, 로그인된 기기 등의 세션 처리 관련 사항 구성 및 모니터링
    4. Zendesk 지원 스태프가 도움을 주기 위해 가입자의 Support 인스턴스에 들어갈 수 있도록 허용 또는 허용 취소
    5. 해당되는 경우 연동 서비스 및 Zendesk Sunshine 서비스 사용 등을 포함하여 Zendesk의 REST API 서비스에 대한 액세스 구성 및 그 사용에 따른 영향 및 결과 이해
    6. 원하는 경우 제품에서 지원하는 IP 제한 구성
    7. 사용자 또는 허용된 기기에 대한 모든 해당 물리적, 논리적 또는 정책적 제어는 물론 상담원이 인스턴스에 액세스할 때 사용하도록 허용하는 기기 유형 등 기타 비 제품 관련 액세스 제어 고려
  2. Zendesk는 다음을 포함하여 서비스를 지지하는 시스템들에 대한 모든 액세스 제어를 담당합니다.
    1. 사내 근무 직원이든, 원격 근무 직원이든, 타사 직원이든 상관없이 모든 사용자의 안전한 프로비저닝, 수정, 지속적 예방, 권한 정확성 유지 및 프로비저닝 해지를 위한 정책 및 절차 유지
    2. 가입자의 서비스 데이터가 들어 있는 중대한 시스템 및 애플리케이션에 대한 모든 직원 및 계약직원의 액세스에 대한 역할 기반 액세스 제어(RBAC), 최소 권한 원칙(PLP), 다단계 인증(MFA)을 포함한 적절한 자격 증명 보안 시행
    3. 위의 사항에 대한 주기적인 점검 수행

II. 연동 서비스
제3자를 활용하면 효율성이 크게 개선되지만 보안상의 우려도 생깁니다.

  1. 가입자는 다음을 포함하여 서비스와의 모든 타사 연동 서비스를 활용하는 데 따른 보안상의 영향을 고려할 책임이 있습니다.
    1. API를 통한 연동 서비스
    2. 마켓플레이스 앱 설치를 통한 연동 서비스
    3. Zendesk 인스턴스에 스태프, 툴, 코드를 제공하거나 직접 서비스를 수행함으로써 가입자를 지원하는 타사와의 연동 서비스
  2. Zendesk는 다음을 포함하여 서비스에 평판이 좋은 제3자를 신중하게 연동할 책임이 있습니다.
    1. 모든 하위 프로세서에 대한 지속적인 실사 시행 및 심사
    2. 안전한 방법으로 서비스에 인수 서비스 연동
    3. 제3자와의 제품 파트너십 및/또는 서비스 연동에 적절한 보안 조치가 되어 있도록 보장 

III. 데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항
사용 중인 데이터, 그러한 데이터의 적절한 취급, 모든 관련 규제 프레임워크 및 제3자 보증에 대해 반드시 설명해야 합니다.

  1. 가입자는 다음을 포함하여 취하고 사용하는 데이터의 적절한 취급에 대해 책임을 집니다.
    1. 데이터의 특정 사용 사례에 관련된 데이터 유형의 이해
    2. 회사의 데이터 분류 및 개인정보 보호방침, 데이터 자체, 데이터를 제공하는 사용자, 가입자의 업종 및 관련 관할지에 연관된 해당 법규에 따라 그러한 데이터 취급
    3. 서비스 인스턴스와의 소통을 허용하는 채널 선택
    4. 가입자의 업종, 사용자 또는 범위에 속할 수 있는 사용 사례에 해당되는 규정 준수, 법규 또는 규제 프레임워크에 따라 인스턴스 및 서비스 데이터 유지 관리
    5. Zendesk UI와 API를 오고 가는 트래픽의 암호화를 위해 비 Zendesk 상위 도메인에 대한 호스트 맵핑이 필요한 곳에서 대체 TLS 인증서를 Zendesk에 제공
    6. 전송 중인 데이터가 암호화되지 않을 수도 있는 경우를 이해하고 그에 따라 그러한 채널 또는 프로토콜을 처리(주로 이메일, SMS, 또는 가입자의 전적인 재량에 따라 암호화를 지원하지 않는 모든 타사 연동 서비스
    7. 가입자의 인스턴스에 연관된 데이터 유형이 Zendesk Master Subscription Agreement(Zendesk MSA 참조)의 이용 약관을 위반하지 않도록 보장
    8. 가입자가 선택하는 가동 시간 및 재해 복구의 수준이 가입자가 따라야 하는 모든 방침 또는 규제를 준수하도록 보장
  2. Zendesk는 다음과 같이 해야 할 책임이 있습니다.
    1. 서비스 수준(즉, 인프라 또는 코드)에서 모든 서비스 데이터가 공개되지 않도록 적절히 보호
    2. 공용 네트워크를 통해 Zendesk UI 또는 API로 오고 가는 전송 중 데이터 암호화
    3. 저장 중인 모든 서비스 데이터 암호화
    4. 가입자에게 서비스의 기본 사용은 물론 제품 내 쿠키를 통해 수집되는 데이터에 대한 정보 제공
    5. Zendesk가 서비스를 제공하기 위해 익명 처리 및 익명 처리하지 않는 방법으로 개인 데이터를 포함한 서비스 데이터를 어떻게 사용하는지에 대해 정확하게 설명
    6. 가입자에게 개인 데이터 또는 규제를 받는 데이터의 적합한 처리 의무를 이행하는 데 도움이 되는 툴 및 기능 제공
    7. Zendesk의 서비스 제공 및 비즈니스 위치와 관련된 해당 법규 및 규제 프레임워크 준수
    8. Zendesk의 서비스 제공과 관련된 독립 제3자 규정 준수 보증 확보 및 제공

IV. 모니터링
적절한 보안을 위해서는 프로세스 및 활동에 대한 통찰이 필요합니다.

  1. 가입자는 다음을 포함하여 서비스 인스턴스 내의 모든 활동을 모니터링할 책임이 있습니다.
    1. 사용자 활동 모니터링(UI 보기를 통해서든 API 로그를 통해서든)
    2. 알 수 없는 개인과의 대화 또는 서비스를 통해 파생된 신뢰할 수 없는 콘텐츠의 실사 시행
    3. 모든 해당 규제에 따라 서비스로부터 가져온 로그 및 데이터 유지 관리
  2. Zendesk는 다음을 포함하여 서비스 자체의 프로세스 및 활동을 모니터링할 책임이 있습니다.
    1. 프로덕션 네트워크 내에서 권한 있는 액세스 및 활동
    2. 해로운 것으로 알려진 제출이나 IP 주소로 인해 알림을 보내거나 차단해야 하는 수신 트래픽
    3. 서비스 가동 시간
    4. 기업 또는 프로덕션 네트워크 자산 내의 비정상적 동작
    5. 코드, 인프라, 트래픽 및 관련 직원이나 계약직원의 보안

V. 보안 인시던트
아무리 노력을 기울여도 종종 문제가 발생할 수 있습니다.  보안 인시던트를 어떻게 인지하고, 대처하며, 복구하는지가 보안 위협을 성공적으로 완화하고 고객의 신뢰를 유지하는 핵심입니다.  이 섹션에서는 보안 인시던트 발생 중 각 당사자의 역할 및 책임에 대해 설명합니다.

  1. 가입자는 다음을 포함하여 서비스 자체 내의 보안 취약성이나 인시던트로 인해 발생한 것이 아닌 자체 특정 인스턴스 내의 모든 보안 인시던트 또는 위반에 대해 책임을 집니다. 
    1. (i) 액세스 제어 또는 예방 부족, (ii) 사용자 활동에 대한 모니터링 부족, (iii) 사용자와의 대화 또는 이를 통해 파생된 신뢰할 수 없는 콘텐츠에 대한 실사 미수행, 또는 (iv) 가입자의 전적인 재량하에 수행된 제3자와의 대화를 통해 유발된 모든 인시던트 또는 위반으로 야기된 가입자의 특정 인스턴스 내에서 의심되는 위반이나 실제 침해를 조사하고 수정
    2. 가입자 행동, 연동된 제3자로 야기된 위반과 관련하여, 또는 가입자의 인스턴스에 관해 Zendesk에서 받은 서비스 데이터 위반 알림과 관련하여 정부 또는 법 집행 기관이나 최종 사용자에게 반드시 알리기
  2. Zendesk는 다음을 포함하여 서비스 자체를 통해 발생하는 서비스 데이터 위반에 대해 가입자에게 알리는 것은 물론 보안 인시던트 조사를 관리할 책임이 있습니다. 
    1. 관련 보안 역할 및 책임을 지닌 스태프는 물론 보안 인시던트 대응 방침 문서화
    2. 비정상적인 활동 조사
    3. 모든 확인된 서비스 데이터 위반 억제
    4. 법에서 요구하는 바에 따라 영향을 받는 가입자나 관련 정부 또는 법 집행 기관에 알리기
    5. 반드시 강력한 백업 및 재해 복구 절차를 마련하여 테스트

VI. 유용한 링크

Zendesk 보안으로 안전한 고객 지원 서비스

Zendesk 보안 성공 사례

Zendesk 법률 포털

액세스 제어 및 예방

Zendesk Support에서 보안 및 사용자 액세스 관리하기(집계된 링크)

Chat에서 사용자 역할

Chat에서 사용자 인증

계정에 대한 Zendesk의 임시 액세스 권한 부여하기

연동 서비스

Zendesk API

Zendesk 마켓플레이스 앱

Zendesk 하위 프로세서

Zendesk Connect 하위 프로세서

Zendesk 파트너

데이터, 개인정보 보호, 규정 준수 및 규제 고려 사항

Zendesk 제품 내 쿠키 정책

Zendesk Master Subscription Agreement

Zendesk 데이터 및 개인정보 보호

모니터링

Support 인스턴스 변경 감사 로그(UI / API)

Support 티켓 이벤트 감사 로그 API

Chat 대시보드

채팅 기록 UI

Chat 증분 내보내기실시간 API

Talk 대시보드

Talk 증분 API

Sunshine 사용자 지정 개체, 이벤트 및 프로필 API

Sell 실시간/Firehose API

 

궁금한 점이 더 있으시면 security@zendesk.com으로 문의해 주세요.

0
맨 위로 돌아가기

0 댓글

이 문서에는 댓글을 달 수 없습니다.

Zendesk 제공