O Zendesk oferece três níveis de segurança da senha: baixo, médio e alto. Você também pode especificar um nível de segurança personalizado. Um administrador pode definir um nível de segurança da senha para usuários finais e outro para agentes e administradores.

Aumente a segurança dos requisitos de senha para ajudar a impedir que usuários não autorizados adivinhem as senhas de seus agentes. Os administradores e agentes devem selecionar senhas exclusivas para a sua conta Zendesk e evitar usar as mesmas senhas em sistemas externos.

Incentive os agentes a monitorar as contas deles. O Zendesk enviará uma notificação por e-mail para os agentes quando a senha deles for alterada. Além disso, uma maneira fácil de os agentes monitorarem suas contas é ativar alertas de e-mail quando há acessos a partir de novos dispositivos. Se você vir um novo acesso de um dispositivo suspeito, remova o dispositivo para encerrar a sessão do usuário e escolha uma nova senha.

Use a autenticação de dois fatores para agentes e administradores com o intuito de aumentar ainda mais a segurança. Recomendamos que você envie uma mensagem para sua equipe de suporte com um link para o artigo Uso da autenticação de dois fatores.

Os agentes e administradores do Zendesk nunca devem fornecer nomes de usuário, endereços de e-mail nem senhas.

Se você estiver usando a autenticação de entrada padrão do Zendesk, a única maneira segura de redefinir uma senha é o usuário clicar no link Esqueci minha senha na tela de entrada do Zendesk. O usuário será solicitado a inserir um endereço de e-mail válido (um que já tenha sido confirmado em sua conta como usuário legítimo). Após o envio da solicitação, ele recebe um e-mail com o link para ele redefinir a senha.

Se você estiver usando um sistema single sign-on de terceiros, como Active Directory, Open Directory, LDAP ou SAML, as senhas podem ser redefinidas de forma semelhante através desses serviços.

Os hackers às vezes utilizam técnicas de engenharia social para pressionar pessoas a fornecer a eles a senha de uma conta. Alguns hackers usam ferramentas que falsificam endereços de e-mail para representar usuários de domínios de e-mail legítimos. Consequentemente, o que parece ser uma solicitação de e-mail legítimo de um usuário talvez não venha desse endereço real.

Se alguém que diz ser um usuário ou administrador de uma conta entrar em contato com você, anote o endereço IP (exibido na visualização de eventos do ticket) e, independentemente disso, verifique a identidade dele (por exemplo, ligando para o número de telefone que consta no perfil de usuário dessa pessoa). Em caso de dúvida, nunca forneça informações confidenciais ou faça alterações de conta em nome de outra pessoa. Usuários legítimos podem alterar suas próprias configurações de conta.

É importante que seus agentes estejam cientes desses tipos de riscos de segurança. Além disso, crie uma política de segurança que precisa ser de conhecimento de todos e de fácil acesso em caso de incidentes dessa natureza.

Os administradores têm acesso a partes de sua conta do Zendesk que os agentes habituais não têm. Para diminuir a chance de se ter um risco de segurança, restrinja o número de agentes com acesso de administrador. A função de agente oferece o acesso que os agentes comuns necessitam para gerenciar e resolver tickets.

Você pode selecionar funções de agentes predefinidas que concedem permissões adicionais a eles. Também é possível criar sua própria função personalizada de agente e definir quais partes do Zendesk essa função pode acessar e gerenciar. Essas permissões são limitadas. Somente os responsáveis pelas contas e os administradores têm acesso, por exemplo, às configurações de segurança.

Se estiver preocupado com o acesso de seus agentes a informações sobre seus usuários finais, você pode criar uma função que não permita que eles editem os perfis desses usuários ou vejam a lista de todos os seus usuários finais.

Além da autenticação de usuários fornecida pelo Zendesk, você também pode usar o single sign-on, que autentica seus usuários fora do Zendesk. Há duas opções de single sign-on: de redes sociais e single sign-on corporativo.

O single sign-on de redes sociais permite que seus clientes entrem com sua conta do Zendesk ou com uma de suas contas de redes sociais, como Google ou Microsoft. Embora essas opções sejam práticas, recomendamos desativar os acessos com rede social.

O single sign-on corporativo ignora o Zendesk e autentica seus usuários externamente. Quando os usuários navegam até a página de entrada do Zendesk ou clicam em um link para acessar a conta do Zendesk, eles podem fazer a autenticação entrando em um servidor corporativo ou provedor de identidade terceirizado, como o OneLogin ou o Okta.

Ao fornecer o single sign-on corporativo ou de redes sociais, recomendamos aproveitar os benefícios da autenticação de dois fatores (também conhecida como autenticação multifator) que esses serviços oferecem. Isso adiciona outra camada de proteção ao solicitar comprovações adicionais de identidade. Se você estiver usando JWT ou SAML, precisará configurar isso para a sua conta do Zendesk. Para o single sign-on de redes sociais, seus usuários precisarão configurar isso sozinhos. Todos esses serviços fornecem a documentação necessária para configurá-los.

Os agentes e usuários finais podem ter maneiras distintas de autenticação. Você pode proteger o Zendesk Support criando uma política de autenticação mais rígida para os agentes, ao mesmo tempo em que fornece acesso fácil a seus clientes e usuários finais.

O registro de auditoria monitora alterações significativas em sua conta. Usando o registro de auditoria, você pode monitorar diversos eventos de segurança como as suspensões de usuários, alterações da política de senha, exportações de dados do cliente, alterações na definição da função personalizada e muitas outras.

Você pode usar a REST API do Zendesk e a Zendesk App Framework para expandir a funcionalidade da sua instância do Zendesk Support.

Se você quer expandir a sua instância do Zendesk, recomendamos que siga as práticas recomendadas de codificação segura. Uma boa referência para isso é o Open Web Application Security Project (OWASP), que pode ser encontrado aqui.