읽기 소요 시간: 7분

이 리소스는 Zendesk Suite 가입자가 자체 인스턴스에 구현할 수 있는 추천 보안 관행의 개요를 제공합니다. 도입을 시작할 때 이러한 관행을 구현하는 것을 고려하고 설정 및 회사 모범 관행을 정기적으로 점검하여 직원들이 적절하고 올바르게 준수하고 있는지 확인하는 것이 좋습니다.

Zendesk는 귀사와 고객의 정보를 안전하게 보호하는 데 도움이 되는 다양한 통제 기능을 제공합니다. 책임 공유 모델에 따라 이러한 보안 모범 관행을 적용하고 위험 노출을 최소화하도록 상담사와 관리자를 교육하는 것이 좋습니다. 이 프레임워크는 해당 인스턴스의 보안 보장과 관련하여 각 Zendesk 가입자의 책임을 간략히 설명합니다. 자세한 내용은 Zendesk 책임 공유 모델을 참조하세요.

 

이 문서에는 Zendesk Suite의 모범 관행에 대한 다음 섹션이 포함되어 있습니다.

  • 일반
  • 액세스 제어
  • 시스템 액세스, 네트워크 및 도메인
  • 데이터 관리
  • 이메일
  • API
  • 모니터링
  • 재해 복구

 

Zendesk Suite의 보안 모범 관행

일반

  • 프로덕션 인스턴스에 아무 영향을 미치지 않도록 샌드박스를 사용하여 테스트하고 개발하세요.
  • 상담사 워크플로우 및/또는 해당 사용 사례에 대한 모바일 앱 사용을 제한하세요.
  • Guide 헬프 센터 및 포럼 스레드에 콘텐츠 중재를 사용 설정하여 Gather 커뮤니티에서 원하지 않는 콘텐츠 및/또는 스팸을 방지하세요.
  • 알림을 보내는 모든 자동화 기능을 살펴보면서 올바른 사람들에게 알림이 전송되고 있는지 확인하세요.

 

액세스 제어

일반

  • Zendesk 기본 인증을 사용하는 경우:
    • 비밀번호 보안 수준을 사용자 지정하여 회사 내부 정책과 일치하도록 하세요.
    • 상담사 및 관리자에게 필요한 가장 낮은 세션 만료 시간을 설정하세요.
    • 최종 사용자의 불필요한 소셜 로그인을 사용 중지하세요.
  • 통합 인증(SSO)을 사용하는 경우:
    • 기본 제품 내 SSO 또는 기존 엔터프라이즈 통합 인증을 활용하여 중앙 집중식으로 구성을 관리하세요.
    • 운영 중인 다단계 인증(MFA)을 SSO와 결합하여 Zendesk 로그인에 적용하세요.
    • SSO 작동 중단 중에 가용성이 우려되는 경우 Zendesk 기본 인증을 통해 비밀번호 인증을 계속 허용하려면 비밀번호 인증을 사용 중지하지 마세요.  하지만 일단 SSO가 구성된 후 비밀번호가 사용되지 않도록 하려면 비밀번호 사용을 중지하세요.  비밀번호 액세스를 사용 중지하면 비밀번호를 사용하여 인증한 모든 열려 있는 세션이 종료됩니다.
  • 사용자 가정 로그인을 사용 중지된 상태로 유지하세요. 단, Zendesk 지원 팀이나 전문 서비스 팀 등과 대화할 때와 같이 Zendesk 직원이 해당 계정에 액세스해야 하는 경우는 예외입니다.

사용자

  • 상담사 프로필과 연결된 기기를 검토하여 더 이상 사용하지 않거나 의심스러워 보이는 기기를 제거하세요. 상담사, 관리자 및 소유자만 이 기능을 이용할 수 있습니다.
  • “폐쇄형” Zendesk 인스턴스를 만드는 경우에는 최종 사용자 등록을 필수로 설정하고 최종 사용자가 티켓을 제출하기 전에 이메일을 검증하여 잠재적인 스팸을 줄이세요.
  • 상담사의 사용자 지정 역할을 적용하여 사용자가 각 업무에 필요한 것에만 액세스할 수 있도록 제한하세요.
  • Guide 사용 시 사용자 세그먼트 및/또는 브랜드 기반 권한 액세스를 고려하세요.
  • 허용 목록을 활용하여 계정 액세스 권한이 있거나 요청/채팅을 제출할 수 있는 특정 사용자 또는 사용자 그룹을 정의하세요.
  • 필요한 경우 차단 목록을 통해 사용자가 Zendesk 서비스를 사용하지 못하도록 일시 중단, 거부 및/또는 방지하세요.
  • 계정의 사용자를 검토하여 더 이상 시스템에 액세스할 필요가 없는 사용자를 일시 중단/강등하세요.

비밀번호

  • 상담사 및 관리자의 Zendesk 로그인을 위한 표준으로 2단계 인증(2FA)을 권장합니다.
  • 사용자 역할에 따라 보안 요구 사항이 다른 경우에는 Zendesk 기본 인증을 사용할 때 최종 사용자에 대한 비밀번호 보안 수준과 상담사와 관리자에 대한 비밀번호 보안 수준을 따로 설정하는 것이 좋습니다.
  • Zendesk 계정에 고유한 비밀번호 즉, 외부 시스템이나 애플리케이션에 로그인할 때 현재 사용하는 것과 다른 비밀번호를 만드세요.
  • 새 기기에서 로그인할 경우에 대한 이메일 알림을 사용 설정하여 상담사가 승인되지 않은 새 기기에서 계정에 로그인하는 것을 모니터링할 수 있도록 하세요. Zendesk 상담사 가이드에서 계정에 액세스한 기기 및 애플리케이션 확인하기를 참조하세요.

 

시스템, 네트워크 액세스 및 도메인

  • 상황별 워크스페이스를 사용하여 워크플로우를 최적화하고 해당 도구(예: 매크로, 앱, 양식 등)만 표시하고 상담사가 작업을 완료하는 데 필요한 시스템 기능 및 워크플로우에만 액세스할 수 있도록 하세요.
  • 상담사 및/또는 최종 사용자의 IP 주소에 따라 액세스를 제한하세요.
  • 필요한 경우 차단 목록을 통해 사용자가 Zendesk 서비스를 사용하지 못하도록 일시 중단, 거부 및/또는 방지하세요.
  • Zendesk 외의 URL이 필요한 경우에는 자체 SSL 인증서나 호스트 맵핑이 포함된 Zendesk 프로비저닝된 SSL 인증서를 생성하여 헬프 센터에 대한 보안 액세스를 제공하세요.  자체 SSL 인증서를 제공하는 경우에는 이 인증서가 항상 최신 상태를 유지하도록 하세요.

 

데이터 관리

  • 데이터 사용량
    • 해당 사용 사례를 완료하는 데 필요한 데이터만 캡처하여 민감한 고객 및/또는 내부 데이터의 노출을 최소화하세요.
  • 삭제/내용 삭제
    • 프라이버시 규제를 준수한 삭제 및 내용 삭제 권장 사항은 "프라이버시 및 데이터 보호 법 준수하기" 가이드를 참조하세요.
    • Talk 기능 사용 시 통화를 녹음하지 않거나 녹음 자동 삭제를 고려하세요. 이러한 녹음은 업계 또는 법적 규제 준수와 관련하여 문제가 될 수 있습니다.
    • 자동 내용 삭제를 사용 설정하여 티켓 및 채팅에 있는 민감한 고객 데이터를 보호하세요. 참고: 이 기능은 전부는 아니지만 대부분의 신용카드 번호를 삭제하는 Luhn 검사를 활용합니다.
    • 권한이 있는 경우 Zendesk 상담사 워크스페이스에서 직접 신용카드 정보의 내용을 삭제할 수 있습니다. 데이터 삭제 후에도 최대 30일 동안 로그에 해당 데이터가 계속 나타날 수 있습니다.
  • 규정 준수
    • 사용 사례에 Protected Health Information(민감한 건강 정보, “PHI”)이 관여된 경우에는 Zendesk와 Business Associate Agreement(사업 제휴 계약, BAA)를 체결하고 의료 서비스 제공자나 의료 데이터 관리자로서 필요에 따라 Health Insurance Portability and Accountability Act(건강 보험 양도 및 책임에 관한 법안) 관련 개인 건강 정보(Personal Health Information, PHI) 및 전자 개인 건강 정보(electronic Personal Health Information, ePHI) 데이터 관리에 필요한 보안 구성을 구현해야 합니다.
    • 신원 확인 목적으로 신용카드 번호를 사용하는 경우에는 신용카드 필드를 티켓 양식에 추가하여 PCI 데이터 보안 표준(PCI DSS) 규정 준수 요건을 충족해야 합니다. 이 필드는 전체 신용카드 번호를 저장하거나 표시하지 않으며 결제나 거래에 사용될 수 없습니다.
    • PHI, ePHI, HIPAA 및/또는 PCI DSS 규정 준수 범주에 있어야 하는 경우 다음과 같이 하세요.
  • 프라이버시
    • 제품별 프라이버시 고려 사항은 헬프 센터의 "프라이버시 및 데이터 보호 법 준수하기" 섹션을 참조하세요.
    • 신뢰 센터(Trust Center)에 액세스하여 Zendesk의 글로벌 프라이버시 프로그램이 어떻게 위치 또는 사업 상대에 관계없이 규정 준수 상태를 유지할 수 있도록 도움을 주는지 알아보세요.

 

이메일

  • 정책, 규제 또는 법적인 목적으로 Zendesk 서비스 외부에서 고객 커뮤니케이션을 보관해야 하는 비즈니스 요구 사항이 있는 경우에는 이메일 보관을 적용하세요.
  • Chat 사용 시 요구되지 않는 한 Chat 이메일 파이핑을 사용 중지하세요.
  • 워크플로우에 필요할 때에만 수신 이메일에 서식 있는 콘텐츠를 사용하세요.
  • SPF, DKIM 및 DMARC로 이메일 인증을 사용 설정하여 계정에서 받는 스푸핑 이메일 및 스팸을 줄이세요.
  • Zendesk에서 보낸 발신 이메일에 디지털 서명을 하여 조직 내에서 보냈는지 확인하세요.
  • 개인화된 이메일 답장과 상담사 별칭을 활용하여 통합 티켓 관리를 통해 상담사와 소통하는 최종 사용자에게 투명성을 제공하세요.
  • 미사용 또는 불필요한 Support 주소를 폐기하여 스푸핑 위험을 최소화하세요.

 

API

  • 비밀번호 대신 토큰을 사용하여 권한이 부여되지 않은 비밀번호로 API에 액세스하는 것을 방지하세요.
  • OAuth를 배포하여 API의 토큰에 부여된 액세스 권한을 인증하고 제한하세요. 필요하지 않은 곳에서는 사용 중지하세요.
  • 애플리케이션 밖의 안전한 장소에서 API 토큰을 보호하세요. 가능하다면 API 토큰보다 OAuth 토큰을 추천합니다.

 

모니터링

  • 계정 변경 내용을 보여주는 계정 감사 로그를 정기적으로 검토 및 모니터링하세요. 유용한 팁: API를 사용하여 필요에 따라 감사 로그를 내보낼 수도 있습니다.

 

재해 복구

Zendesk는 글로벌 비즈니스 대응 능력 프로그램을 통해 Zendesk가 비즈니스 중단에 신속하게 적응 및 대처할 수 있는 능력을 갖추고, 사람과 자산을 안전하게 보호하는 동시에 비즈니스 연속성을 유지하도록 합니다. 이 외에도 비즈니스 연속성을 추가적으로 보장하기 위해 취할 수 있는 몇 가지 단계가 있습니다.

  • 실시간 데이터 복제, 트래픽 우선 순위화, 지역 가용 중복성 및 우선 복구 계획을 포함하는 보안 중복성을 위한 향상된 재해 복구에 옵트인하세요.
  • 음성 기능을 사용하는 경우에는 비즈니스 연속성을 위해 Talk 장애 조치 번호를 사용 설정하세요.
  • 외부 SSO 시스템 작동 중단 시 비밀번호에 액세스하려면 Zendesk 기본 인증을 사용 중지하지 마세요(SSO는 엄격하게 설정하거나 비밀번호 우회를 허용할 수 있음).
  • 자체 환경 내에서 편집할 수 없는 데이터 저장 공간을 보존해야 하는 경우에는 서비스 데이터의 증분 내보내기 API 및/또는 일괄 다운로드를 적용하세요.
  • 개인용 타사 이메일 주소에서 Zendesk Support로 자동 이메일 전달을 사용 설정하여 Zendesk 밖에서 이메일 사본을 유지하세요.
  • 실시간 데이터 복제, 트래픽 우선 순위화, 지역 가용 중복성 및 우선 복구 계획을 포함하는 보안 중복성을 위한 향상된 재해 복구에 옵트인하세요.
  • 증분 내보내기 API를 사용하여 마지막 API 호출 요청 이후 변경된 Zendesk Support 항목을 검색하세요. 자세한 내용은 API 참고자료를 참조하세요.


Zendesk 인스턴스 내 보안 인시던트가 서비스 자체로 인한 것이라고 의심되면 security@zendesk.com으로 티켓을 제출해야 합니다. 보안 관련 책임에 대해 언제 Zendesk에 문의해야 하는지에 대한 명확한 안내는 책임 공유 모델을 참조하세요.

Zendesk 제공