O Zendesk oferece vários níveis de segurança da senha: baixo, médio e alto. Você pode especificar seu próprio nível de segurança da senha personalizado. Um administrador pode definir um nível de segurança da senha para usuários finais e outro para agentes e administradores.

Aumentar a segurança dos requisitos de senha pode ajudar a impedir que usuários não autorizados adivinhem as senhas de seus agentes. No nível mais alto de segurança, os agentes devem escolher uma nova senha a cada 90 dias. Para obter mais informações, consulte Configuração do nível de segurança da senha.

Os administradores e agentes devem selecionar senhas exclusivas para a sua conta Zendesk. Em outras palavras, eles devem usar uma senha que não esteja sendo usada em sistemas externos, como Salesforce, GoodData e assim por diante. Se uma conta for atacada por um hacker e a senha for descoberta, o acesso dele será limitado apenas a essa conta.

Por fim, é possível exigir uma autenticação de dois fatores de agentes e administradores. Consulte Gerenciamento da autenticação de dois fatores. Recomendamos o envio de uma mensagem para sua equipe de suporte com um link para o artigo Uso da autenticação de dois fatores no Guia do agente.

Embora haja uma linha tênue entre satisfazer as necessidades dos seus usuários e manter a segurança, as práticas recomendadas para os administradores e agentes Zendesk são as de que eles nunca devem divulgar nomes de usuário, endereços de e-mail ou senhas.

Se você estiver usando a autenticação de acesso padrão do Zendesk, a única maneira segura de redefinir uma senha é o usuário clicar no link Esqueci minha senha na tela de acesso do seu Zendesk. É solicitado que o usuário insira um endereço de e-mail válido (um que já tenha sido verificado em sua conta como usuário legítimo) para que ele receba um e-mail com o link para ele redefinir a senha.

Se você estiver usando um sistema single sign-on de terceiros, como Active Directory, Open Directory, LDAP ou SAML, as senhas podem ser redefinidas de forma semelhante através desses serviços.

Lembre-se de que os hackers às vezes utilizam técnicas de engenharia social para pressionar pessoas a ajudá-los, dando-lhes a senha de uma conta. Em alguns casos, isso é feito ao entrarem em contato com o pessoal de atendimento ao cliente durante a noite ou nos fins de semana, quando há menos supervisores trabalhando. Eles ainda podem reclamar que houve uma violação de segurança e que a senha deve ser redefinida imediatamente para algum texto novo que eles fornecerem.

Alguns hackers possuem ferramentas que permitem falsificar endereços de e-mail para representar usuários de domínios de e-mail legítimos. Como resultado, mesmo o que parece ser uma solicitação de e-mail legítimo de um usuário talvez não venha desse endereço real. Se alguém que afirma ser um administrador ou usuário de uma conta entrar em contato com você, anote o endereço IP (exibido na visualização de notificações e eventos dos tickets) e, independentemente disso, verifique sua identidade (por exemplo, ligando para o número de telefone dele no perfil de usuário). Em caso de dúvida, nunca forneça informações confidenciais ou faça alterações de conta em nome de outra pessoa. Usuários legítimos devem alterar suas configurações de conta usando os métodos descritos acima.

Recomendamos que você instrua seus agentes sobre esses tipos de riscos de segurança e também crie uma política de segurança que todo mundo conheça e possa consultá-la quando estes incidentes ocorrerem.

Os administradores têm acesso a partes de seu Zendesk que os agentes habituais não têm. Por exemplo, todos os recursos de segurança descritos neste documento estão disponíveis apenas para os administradores. Ao limitar o número de agentes com acesso de administrador, você reduz o risco de segurança. A função de agente oferece o acesso que os agentes típicos necessitam para gerenciar e resolver tickets.

Você pode selecionar funções de agentes predefinidas que concedem permissões adicionais a eles. Também é possível criar sua própria função personalizada de agente e decidir quais partes do Zendesk Support essa função pode acessar. No entanto, essas permissões são limitadas ao usuário, ticket, fórum e partes do gerenciamento do fluxo de trabalho do Zendesk Support. Somente os responsáveis pelas contas e os administradores têm acesso, por exemplo, às configurações de segurança.

Se estiver preocupado com o acesso de seus agentes a informações sobre seus usuários finais, você pode criar uma função que não permita que eles editem os perfis desses usuários ou vejam a lista de todos os seus usuários finais. Para evitar esse acesso, defina as duas permissões a seguir:

Para obter mais informações, consulte Criação de funções personalizadas e sua atribuição a agentes.

O Zendesk notifica automaticamente todos os administradores quando a maioria desses eventos ocorre, mas você deve assegurar que essas notificações são enviadas para as pessoas adequadas. Você pode criar um grupo no Zendesk que receberá esses alertas.

Você pode monitorar diversos eventos de segurança como as suspensões de usuários, alterações da política de senha, tomada de usuário, exportações de dados do cliente, alterações na definição da função personalizada e muitas outras usando o Registro de auditoria. Isso fornece uma maneira de rastrear diversas alterações importantes à sua conta. Para obter mais informações, consulte Visualização do Registro de auditoria de alterações.

Como os agentes têm uma função mais privilegiada, eles podem ser o sinal que indica que um hacker ganhou acesso não autorizado ao seu Zendesk. Para assegurar o acesso futuro, um intruso pode adicionar um novo endereço de e-mail para um perfil de administrador e iniciar uma redefinição de senha.

O Zendesk enviará uma notificação por e-mail para os agentes quando a senha deles for alterada. Além disso, os agentes podem monitorar suas contas de usuário ativando alertas por e-mail para acessos de novos dispositivos (consulte Verificação de dispositivos e aplicativo que acessaram a sua conta no Guia do agente do Zendesk). Se você vir um novo acesso de um local suspeito, remova esse dispositivo para encerrar a sessão do usuário e escolha uma nova senha.

Além da autenticação de usuários fornecida pelo Zendesk, você também pode usar o single sign-on, que autentica seus usuários fora do seu Zendesk. Há dois tipos: single sign-on de redes sociais e single sign-on corporativo.

O single sign-on de redes sociais consiste em opções adicionais de acesso que podem ser oferecidas para a conveniência de seus clientes. Por exemplo, você pode disponibilizar o acesso pelo Facebook, Google e Twitter na página de acesso da sua Central de Ajuda. Seus clientes podem entrar com a conta do Zendesk ou com uma de suas contas de redes sociais.

O single sign-on corporativo é diferente do single sign-on de redes sociais. Em vez de ser opcional e uma adição ao acesso por meio da conta do Zendesk, o single sign-on corporativo substitui todas as outras opções de acesso. Depois que ele for ativado em sua conta do Zendesk, seus clientes não verão nem usarão a página de entrada da sua Central de Ajuda. Em vez disso, eles geralmente entram em uma rede corporativa e acessam o Zendesk Support clicando em um link, sendo conectados automaticamente. O gerenciamento e a autenticação dos usuários acontecem fora do seu Zendesk. O Zendesk dá suporte ao single sign-on usando Secure Assertion Markup Language (SAML) e Token da web JSON (JWT).

Lembre-se: ao usar o SSO baseado em JWT ou SAML, você assume a responsabilidade de verificar a identidade de seus usuários, inclusive da verificação de endereços de e-mail. Se você não verifica seus usuários e os endereços de e-mail, sua conta está sob risco de acesso não autorizado e o Zendesk não poderá garantir ou assegurar a segurança de sua conta.

Em ambos os casos, fornecendo single sign-on aos seus usuários tanto por meio de single sign-on corporativo como de redes sociais, nós recomendamos que você e seus usuários aproveitem a autenticação de dois fatores (conhecida também como autenticação de diversos fatores) que esses serviços fornecem. Isso adiciona outra camada de proteção ao solicitar comprovações adicionais de identidade. Se você estiver usando JWT ou SAML, precisará configurar isso para o seu Zendesk. Para o single sign-on de redes sociais, seus usuários precisarão configurar isso sozinhos. Todos esses serviços fornecem a documentação necessária para configurá-los.

Para obter mais informações sobre a configuração do single sign-on, consulte:

Um administrador pode restringir o acesso de endereços IP específicos. Isso significa que apenas os usuários de endereços IP que você adiciona manualmente à sua conta têm permissão para entrar no Zendesk Support.

Isso pode ser aplicado a todos os usuários ou apenas aos agentes. Se você selecionar somente agentes, isso significa que o acesso dos agentes é restrito e o acesso do usuário final não.

Para obter mais informações sobre esse recurso, consulte Restrição do acesso para o seu Zendesk usando restrições de IP.

Você pode usar a REST API do Zendesk e a Zendesk App Framework para expandir a funcionalidade da sua instância do Zendesk Support.

Se você não prevê a utilização dessas ferramentas para expandir o Zendesk Support, deixe a API desativada. Em Admin. > Canais > API, desmarque as opções Acesso por token e Acesso por senha.

Se você quer expandir o seu Zendesk, recomendamos que siga as práticas recomendadas de codificação segura. Uma boa referência para isso é o Open Web Application Security Project (OWASP), que pode ser encontrado aqui.

Além disso, os aplicativos que acessam as APIs do Zendesk nunca devem usar seu nome de usuário e senha e sim um token de OAuth (consulte Uso de autenticação OAuth com seu aplicativo). Isso permite que você isole as ações tomadas por esse aplicativo e revogue o token se você suspeita que ele foi comprometido.

Os usuários finais, às vezes, incluem um número de cartão de crédito nas solicitações de suporte quando não deveriam. Além de ser exibido a qualquer pessoa com acesso ao ticket, o número do cartão de crédito é automaticamente armazenado em um banco de dados com o restante do texto do ticket. É possível suprimir ou remover os dígitos de números de cartões de crédito para que eles não possam ser usados. Consulte Supressão automática de números de cartão de crédito dos tickets.

Os anexos usam links no Zendesk Support. Sem a habilitação dos anexos privados, qualquer link encontrado por um indivíduo pode ser acessado sem passar primeiro pela autenticação no Zendesk. Os anexos privativos devem ser habilitados, a menos que haja motivos corporativos fortíssimos que peçam o contrário. Consulte o artigo Habilitação de anexos do ticket.

Você pode ativar um filtro para a Central de Ajuda que evita publicações de usuários finais que pareçam ser spam. As publicações suspeitas são enviadas para uma fila de spam em que os administradores podem analisar e gerenciá-las. Para obter detalhes, consulte Uso do filtro de spam para evitar spam na Central de Ajuda.