일반 제공업체의 책임

권장 보안 구성(SCG-CSO-RSC)

SCG-CSO-RSC-01: 다단계 인증(MFA/2FA/2SV)

관리자는 관리자와 상담원(선택 사항으로 최종 사용자)에 대해 다단계 인증을 시행하여 로그인 시 추가적인 확인 단계를 추가하여 자격 증명 손상 위험을 줄일 수 있습니다. Zendesk 이메일/비밀번호 자격 증명에 적용되는 반면 통합 인증 사용자는 ID 제공업체가 시행하는 MFA에 의존해야 합니다. 관리자는 2단계 인증 상태 보고서를 실행하여 채택을 확인할 수도 있습니다.

설정 안내:

• 2단계 인증 설정
• 2FA 관리
• 2단계 인증에 대한 정보

SCG-CSO-RSC-02: 통합 인증(SSO)

Zendesk는 SAML(Secure Assertion Markup Language), JWT(JSON 웹 토큰) 및 IODC( OpenID Connect)를 통한 계정에 대한 엔터프라이즈 SSO 액세스를 지원합니다. 고객은 가능하면 항상 스태프(관리자 및 상담원)에 대해 엔터프라이즈 SSO를 사용해야 합니다. SSO를 사용하면 조직에서 ID 교정, MFA, 조건부 액세스 및 디프로비저닝을 조직 ID 제공업체(IDP)에서 한 곳에서 관리할 수 있습니다.

설정 안내:

• SSO 옵션
• SSO 구성 관리
• SSO(SAML) 사용
• SSO(JWT) 사용
• 통합 인증(OIDC) 사용
• 소셜 및 비즈니스 SSO 사용

SCG-CSO-RSC-03: 비밀번호 보안 수준

관리자는 상담사, 관리자 및 최종 사용자에 대해 별도로 비밀번호 보안 수준을 설정할 수 있습니다. Zendesk는 강력한 비밀번호를 시행하고 비밀번호 유출을 차단하기 위해 권장 수준을 권장합니다. 보안 수준을 높이려면 사용자가 비밀번호를 업데이트해야 할 수 있으므로 관리자는 안전한 구성 관리 의 일부로 변경을 계획하고 문서화해야 합니다.

설정 안내:

• 비밀번호 보안 수준 설정하기

SCG-CSO-RSC-04: Zendesk 계정 가정

관리자는 Zendesk Support 상담원에게 일시적인 "사용자 가정 로그인" 액세스 권한을 부여하여 복잡한 문제를 해결할 수 있도록 하여 계정의 상담원 역할을 가정할 수 있습니다. 이 설정은 기본적으로 해제되어 있습니다. FedRAMP 맞춤의 경우에는 필요한 경우에만 가능한 최단 기간 동안 사용 설정하고, 사용 설정/사용 중지되면 문서화/추적합니다.

설정 안내:

• Zendesk 계정 가정 사용 설정

SCG-CSO-RSC-05: 감사 로그

관리자는 Zendesk 감사 로그(Enterprise 및 Enterprise+ 플랜)를 사용하여 관리자와 상담원이 수행한 구성 및 계정 변경 내용을 추적할 수 있습니다. 이는 일반 보안 모니터링 및 조사를 지원하며 필터링 및 CSV 내보내기 기능도 허용합니다.

설정 안내:

• 감사 로그 사용하기

SCG-CSO-RSC-06: 이메일 인증(SPF/DKIM/DMARC/ARC)

관리자는 수신 이메일 인증을 사용 설정하여 스푸핑된 이메일과 무단 티켓 생성을 줄일 수 있습니다. 인증에 실패한 이메일은 검토를 위해 일시 중단되며 “일시 중단된 티켓” 보기를 사용하여 모니터링할 수 있습니다. Zendesk는 먼저 기본 이메일 트래픽을 사용 설정한 다음 전달된 메일 플로우의 유효성을 검사할 것을 권장합니다.

설정 안내:

• 이메일 인증 사용

SCG-CSO-RSC-07: 비공개 첨부 파일/보안 다운로드

관리자는 여러 채널에서 티켓 첨부 파일을 제어할 수 있으며 선택 사항으로 안전한 다운로드/비공개 첨부 파일을 통해 인증된 액세스를 요구할 수 있어 전달 또는 잘못된 링크로 인한 노출을 줄일 수 있습니다. 첨부 파일 만료 및 파일 유형 제한도 지원합니다.

설정 안내:

• 비공개 첨부 파일 사용

SCG-CSO-RSC-08: 보안 연락처

기본적으로 Zendesk는 지정된 계정 소유자에게 보안 관련 알림을 보냅니다. 하지만 대부분의 조직에는 보안을 전담하는 사람, 그룹 또는 부서가 있습니다. 관리자는 추가 보안 연락처 이메일을 지정하여 적절한 당사자에게 알림을 보낼 수 있습니다.

설정 안내:

• 보안 연락처 지정

사용 설명서(SCG-CSO-AUP)

이 보안 구성 가이드는 연결된 Zendesk 헬프 센터 구성 문서를 통해 구현됩니다. 이러한 문서 이외의 구성이 필요하거나 특정 환경에 대한 FedRAMP 조정 상태를 검증하려면 fedramp@zendesk.com으로 문의하세요.

공개 안내(SCG-CSO-PUB)

이 가이드는 공개 문서로 Zendesk 헬프 센터의 문서를 참조합니다.

보안 기본값(SCG-CSO-SDF)

SCG-CSO-SDF-01: 세션 시간 초과

관리자는 비활성 기반 세션 시간 제한을 구성하여 무인 세션의 무단 액세스 위험을 줄일 수 있습니다. 기본적으로 Zendesk는 60분 동안 활동이 없으면 상담원과 8시간 후에는 최종 사용자가 로그아웃됩니다. 관리자는 각 사용자 유형에 대해 서로 다른 값을 설정할 수 있습니다. 운영상의 필요를 지원하는 가장 짧은 세션 시간 제한 값을 사용하고 선택한 값을 문서화하는 것이 좋습니다.

설정 안내:

• 세션 시간 제한 추가하기

---

향상된 기능

비교 기능(SCG-ENH-CMP)

Zendesk는 관리 센터 내에 보안 태세 대시보드를 제공하여 관리자가 현재 권한 있는 계정 보안 설정을 Zendesk 권장 보안 설정과 나란히 비교할 수 있도록 합니다. 

설정 안내:

• Security Posture 대시보드 사용하기

내보내기 기능(SCG-ENH-EXP)

Zendesk에는 현재 보안 설정을 내보내는 기능이 없습니다.

API 기능(SCG-ENH-API)

Zendesk는 특정 계정 수준 보안 구성 값의 프로그래밍 방식 검색(일부 설정의 경우 관리 업데이트)을 지원하는 보안 설정 API 엔드포인트를 제공합니다. 이 API를 사용하여 지속적인 지속적 모니터링의 일부로 반복 가능한 증거 수집, 기준선 유효성 검사 및 구성 드리프트 감지를 지원할 수 있습니다.

설정 안내:

• 보안 설정

기계 판독 가능 안내(SCG-ENH-MRG)

이 보안 구성 가이드는 Zendesk 헬프 센터에 웹 기반 문서(HTML)로 게시됩니다. 오프라인 액세스, 배포 제어 및 기록 보존을 위해 웹 페이지 콘텐츠(예: HTML 또는 PDF)를 저장하여 이 페이지를 내보낼 수 있습니다.

버전 관리 및 릴리스 기록(SCG-ENH-VRH)

버전	날짜	변경 내용 요약
1.0	2026-03-11	SCG 및 제어 참고자료의 초기 릴리스