Zendesk Suite 제품 컨트롤 및 권장 사항 가이드

이 문서에서는 Zendesk Suite 인스턴스를 안전하게 보호하고 관리하기 위한 기본 제품 수준의 참고자료를 제공합니다. Zendesk는 채택 초기에 이러한 제품 컨트롤 및 권장 사항을 구현하는 것을 고려하고 설정과 회사 성공 사례를 정기적으로 검토하여 특정 사용 사례에 적합하고 직원들이 올바르게 준수하도록 보장할 것을 적극 권장합니다. 이러한 제품 컨트롤을 적용하는 방법에 대해 상담사와 관리자를 교육하면 책임 공유 모델에 따라 위험 노출을 최소화하는 데 도움이 됩니다.

추천 보안 관행에 대한 개괄적인 개요는 일반 보안 성공 사례 문서를 참조하세요.

이 문서에는 Zendesk Suite 제품 컨트롤에 대한 다음 섹션이 포함되어 있습니다.

• Support
• Guide
• Chat
• Talk
• Explore
• 메시징

보안 성공 사례: Zendesk Suite Product Controls

Support

• 사용자 지정 비밀번호 구성: 내부 정책에 맞게 자체 비밀번호 보안 수준을 사용자 지정합니다. Zendesk는 비밀번호 보안 수준으로 권장, 높음, 중간, 낮음을 제공합니다. 구현 단계는 비밀번호 보안 수준 설정하기를 참조하세요. 참고: Zendesk 인증이 사용 설정되면 상담사/관리자 수준에서 세션 만료/비활성 시간 제한 및/또는 비밀번호 만료를 설정할 수 있습니다.
• 2단계 인증(‘2FA’)은 2차적인 인증 보안 레이어를 구현합니다. SMS 메시지를 통해 제품에서 기본적으로 제공되거나 사용자의 모바일 기기에 설치된 2단계 인증 앱 또는 환경 내에서 통합 인증과 결합하는 경우 사용할 2단계 인증 솔루션에서 제공됩니다.
• 통합 인증(‘SSO’) (비즈니스 및 소셜 최종 사용자 계정): 사용자가 단일 자격 증명 세트로 한 번 로그인하여 공격 표면의 수를 줄입니다.
• IP 주소 제한: 승인된 특정 IP 주소 범위에서 오는 사용자에게만 상담사 인터페이스를 제한합니다. 
• 보안 첨부 파일 액세스: 비공개 첨부 파일을 활성화하여 사용자가 첨부 파일에 액세스하기 전에 계정에 로그인하도록 요구합니다. 
• 맬웨어 스캔: 관리자는 맬웨어 스캔으로 플래그가 지정된 첨부 파일을 관리하는 방법에 대한 회사 가이드라인을 따라야 합니다. 
• 이메일
  
  • • 이메일에서 서식 있는 콘텐츠를 사용 중지합니다(즉, 비 일반 텍스트/HTML).
    • 미사용 지원 이메일 주소를 폐기합니다.
    • 필요하지 않은 경우 와일드카드 이메일 주소를 사용 중지합니다.
    • SPF, DKIM 및 DMARC로 이메일 인증을 사용 설정하여 이메일 스푸핑 및 비즈니스 이메일 침해 공격을 줄입니다.
    • 발신 이메일에 DKIM을 사용하여 이메일의 출처(예: 조직 내)를 확인합니다.
• 기기 추적: 사용자 기기를 관리하고 더 이상 사용하지 않는 기기를 제거합니다(상담사/관리자 액세스 권한 포함).
• 샌드박스: 프로덕션 환경에 배포하기 전에 샌드박스 환경에서 코드를 테스트하고 출시하는 것을 권장합니다. 이 기능은 Enterprise 플랜에서만 사용할 수 있습니다.
• Support 모바일 앱: Support 모바일 앱을 통해 상담사에 대한 액세스를 허용할지 여부를 결정하고, 허용하지 않을 경우 관리 센터의 “추가 보안 설정” 아래에서 모바일 앱 액세스를 제거합니다. 모바일 앱이 작동하려면 API에 대한 비밀번호 액세스가 허용되어야 합니다. 
• 로그 관리
  • • 감사 로그: 감사 로그를 관리하여 계정의 변경 내용을 추적합니다. API 또는 CSV를 통해 보고서를 내보냅니다. Enterprise 플랜에서만 사용할 수 있습니다.
    • 티켓 작업/이벤트 로그: 계정에서 발생한 모든 작업과 알림을 확인합니다.  
    • 연동 로그: 관리 센터의 이 도구를 통해 Support 인스턴스와 연동 서비스 간의 데이터 동기화를 추적합니다.
• 최종 사용자 확인: 최종 사용자에게 이메일 주소를 등록하고 확인하도록 요구합니다.
• 최소한의 권한: 사용자가 작업에 필요한 제품에만 액세스할 수 있도록 사용자 액세스를 제한합니다. Support 사용자 역할에 대해 자세히 알아보세요.
• 사용자 지정 역할: 역할/직무 설명별로 액세스를 위임합니다. 이 기능은 Enterprise 플랜에서만 사용할 수 있습니다.
• 허용 목록: 민감한 데이터의 노출과 무단 시스템 액세스를 줄이기 위해 인스턴스에 액세스할 수 있는 사용자를 정의합니다.
• 차단 목록: 보안에 위협이 감지되면 사용자가 인스턴스에 액세스하지 못하도록 사용자를 일시 중단, 거부 또는 차단합니다.
• 계정/사용자 제거: 계정의 사용자를 정기적으로 검토하고 더 이상 시스템에 액세스할 필요가 없는 사용자를 일시 중단/강등합니다.
• 사용자 지정 역할: 역할/직무 설명별로 액세스를 위임합니다. 이 기능은 Enterprise에서만 사용할 수 있습니다.
• 참조 및 팔로워 차단 목록: 다른 사람들이 티켓에서 태그로 지정되고 고객 대화에 대해 알림을 받지 못하도록 하여 민감한 고객 정보에 대한 액세스와 데이터 침해에 대한 취약성을 제한합니다.
• 팀원 및 최종 사용자 비활성 세션 길이 제한: 로그인이 다시 발생하기 전에 세션을 사용할 수 있는 시간을 제한하여 시스템과 데이터에 대한 무단 액세스를 줄이는 데 도움이 됩니다.
• 최종 사용자에 대해 불필요한 소셜 로그인 방법 사용 중지
• 관리자가 사용자의 비밀번호를 설정할 수 있는 기능 사용 중지: 최소한의 권한을 시행하고 사용자가 2단계 인증을 적용하지 않고 일반 비밀번호 재설정 프로세스를 통해 이메일 주소를 확인하지 않고 비밀번호를 설정할 수 있는 기능을 제거합니다. 비밀번호 보안 수준을 설정하는 데 대한 자세한 내용은 이 문서를 참조하세요.
• 웹훅: TLS/HTTPS를 사용하여 안전하게 애플리케이션이나 웹사이트와 같은 타사 엔드포인트에 연결합니다.
• API 액세스
  • • API에 대한 비밀번호 액세스를 사용 중지하여 보호되는 정보의 노출을 제한합니다.
    • API 토큰: 관리자가 최소한의 권한 액세스를 설정하여 API 및 민감한 고객 데이터(예: PII, PHI 등)에 액세스할 수 있는 사람 수를 줄입니다. API 토큰 관리에 대한 관련 정보는 HIPAA 또는 HDS 사용 설정된 계정에 대한 보안 구성 요구 사항을 참조하세요.
• OAuth 클라이언트: API 및 관련 데이터에 대한 보안 액세스를 제공합니다. 사용 사례에 적합한 플로우 유형을 선택하고 가능하면 비밀번호 권한 부여보다 인증 코드 권한 부여 또는 암시적 권한 부여를 선호합니다. 업계 성공 사례의 자세한 목록은 OWASP를 참조하세요. 

Guide

• 콘텐츠 중재: Guide 콘텐츠를 검토하여 헬프 센터에 스팸이 게시되지 않도록 합니다. 
• API: API에 대한 비밀번호 액세스를 사용 중지하여 민감한 데이터의 노출을 최소화합니다.
• API 토큰: 관리자가 최소한의 권한 액세스를 설정하여 API에 액세스할 수 있는 사람 수와 데이터 유출 가능성을 줄입니다.
• 헬프 센터 액세스 제한: IP 주소 제한을 적용하여 인증 및 세분화에 따라 사용자 액세스를 제한합니다.
• 문서 작업/이벤트 로그: 회사 성공 사례를 준수하기 위해 문서에서 상담사가 취한 모든 작업을 확인합니다.
• 상담사/별칭 표시 이름: 상담사가 자신의 서명을 개인화하여 상담사의 온라인 안전은 물론 상담사와 고객 간의 신뢰를 높일 수 있습니다.
• 안전하지 않은 콘텐츠: 헬프 센터에 안전하지 않은 콘텐츠가 표시되지 않도록 합니다. 

Chat

• Chat API: 관리자가 최소한의 권한 액세스를 설정하여 민감한 데이터에 액세스할 수 있는 사람 수를 줄입니다. 다음 제한 사항을 반드시 확인하세요. 
• 기본 파일 첨부 허용 리스팅: 파일 공유를 특정 작업에 필요한 확장기능으로만 제한합니다.
• Support를 통한 게이팅: 제품 전반에 걸쳐 계단식 보안 구성을 적용합니다(Suite 플랜에만 해당).
• 방문자 인증: 토큰이나 공유 비밀키를 통한 방문자 인증을 사용 설정하여 권한이 부여된 사용자만 액세스할 수 있도록 합니다.
• 인증 컨트롤: 인증 컨트롤과 함께 비공개 채팅 첨부 파일을 보냅니다(상담사 워크스페이스와만 이용 가능).
• 예를 들어 국가 또는 도메인과 같은 위치별로 Chat 위젯을 제한하여 악의적인 행위자나 악의적인 국가 행위자에 대한 노출을 줄입니다.
• 사용자 지정 역할: 역할/직무 설명별로 Chat에 대한 액세스를 위임합니다. 이 기능은 Enterprise 플랜에서만 사용할 수 있습니다.

Talk

• 통화 녹음: 번호, 발신자 또는 최종 사용자에 따라 통화 녹음을 옵트인하거나 옵트아웃합니다.
• 녹음 삭제: 녹음 자동 삭제—Talk 녹음의 자동 삭제를 사용 설정합니다.
• Talk API 녹음 삭제 기능: 이 엔드포인트 기능을 사용하여 해당되는 경우 프로그래밍 방식으로 티켓에서 녹음을 삭제합니다. 수동 삭제는 삭제 의무, 잊혀질 권리, 업계 프라이버시 및 규정 준수 요구 사항에도 적용될 수 있습니다. 참고: 자동 삭제는 현재 음성 메일 통화 내용에서 신용카드 정보를 삭제하는 데 사용할 수 없는 별도의 기능입니다.

Explore

• Explore 권한 관리: 최소한의 권한 액세스(관리자 액세스 포함)를 기반으로 Explore 액세스를 사용 설정합니다.
• 데이터 집합 권한 설정: 최소한의 권한 액세스(관리자 액세스 포함)를 사용하여 데이터 집합 권한을 설정합니다.

메시징(기본)

• 최종 사용자 인증: 웹 위젯 및 모바일 SDK에 대한 최종 사용자 인증을 사용 설정합니다. 
• 허용 목록: 웹 위젯을 특정 도메인에서만 로드할 수 있도록 허용합니다.