Tempo de leitura: 7 minutos

Este recurso fornece uma visão geral das práticas recomendadas de segurança para que os assinantes da Zendesk Suite o implementem em sua própria instância. Recomendamos que você implemente essas práticas no início da adoção e verifique com frequência as configurações e práticas recomendadas da empresa para garantir que sejam apropriadas e seguidas corretamente pelos funcionários.

A Zendesk oferece uma ampla variedade de controles para ajudar você a manter suas informações (e as de seus clientes) seguras e protegidas. É altamente recomendável o treinamento de agentes e administradores para aplicar essas práticas recomendadas de segurança e minimizar sua exposição a riscos – em conformidade com nosso Modelo de responsabilidade compartilhada da Zendesk. Essa estrutura descreve as responsabilidades de cada Assinante do Zendesk quando o assunto é garantir a segurança de sua instância. Para obter mais informações, consulte: Modelo de responsabilidade compartilhada da Zendesk. 

 

Este artigo contém estas seções sobre as Práticas recomendadas para a Zendesk Suite:

  • Geral 
  • Controle de acesso
  • Acesso ao sistema, redes e domínios
  • Gerenciamento de dados
  • E-mail
  • API
  • Monitoramento
  • Recuperação de desastres

 

Práticas recomendadas para a Zendesk Suite

Geral

  • Use uma sandbox para teste e desenvolvimento para manter sua instância de produção limpa.
  • Restrinja o uso do aplicativo para dispositivos móveis para os fluxos de trabalho e/ou casos de uso do agente. 
  • Ative a moderação do conteúdo na Central de Ajuda do Guide e nos tópicos do fórum para evitar receber spam e/ou conteúdo indesejado em sua comunidade do Gather.
  • Verifique se todas as funções automatizadas que enviam notificações estão notificando as pessoas certas.

 

Controle de acesso 

Geral

  • Com a autenticação nativa do Zendesk: 
    • Personalize o nível de segurança da senha para corresponder às políticas internas da empresa. 
    • Defina a menor validade da sessão necessária para agentes e administradores. 
    • Desative os acessos com rede social para os usuários finais.
  • Com o Single Sign-On (SSO): 
    • Utilize o SSO nativo no produto ou seu Single Sign-On corporativo existente para gerenciar suas configurações de forma centralizada. 
    • Combine qualquer MFA que você utiliza com o seu SSO para abranger os acessos do Zendesk
    • Se você ainda deseja permitir a autenticação por senha pela autenticação nativa do Zendesk e está preocupado com a disponibilidade durante uma interrupção do SSO, deixe a opção de não desativar a autenticação por senha.  Se, no entanto, você deseja eliminar a capacidade de usar senhas após a configuração do SSO, desative o uso de senha.  É importante ressaltar que o acesso por senha encerrará todas as sessões abertas nas quais as senhas foram usadas para autenticação.
  • Deixe o recurso Assunção da conta desativado a menos que você exija que o funcionário da Zendesk insira sua conta (mesmo quando interagindo com os representantes do Zendesk Support, Serviços profissionais etc.).

Usuários

  • Analise os dispositivos conectados associados ao perfil do agente e remova os que não estão mais em uso ou parecem suspeitos. Observe que apenas agentes, administradores e responsáveis têm acesso a essa funcionalidade. 
  • Se você está criando uma instância do Zendesk "fechada", exija que os usuários finais se cadastrem e confirmem seus e-mails para que eles possam enviar tickets, assim reduz-se a chance de ser um spam. 
  • Aplique as funções personalizadas para que seus agentes limitem o acesso do usuário apenas ao necessário para cada função do cargo.
  • Sugerimos que você use o segmento de usuário e/ou o acesso privilegiado baseado na marca ao usar o Guide.
  • Aproveite a lista de autorização para definir usuários específicos, que têm acesso a sua conta e/ou o recurso de enviar solicitações / chats.
  • Suspenda, rejeite e/ou impeça que usuários interajam com os serviços da Zendesk por meio da lista de bloqueios, quando necessário.
  • Analise os usuários que estão em sua conta e suspenda/rebaixe usuários que não precisam mais acessar o seu sistema. 

Senhas

  • A autenticação de dois fatores (2FA) é a recomendação padrão para o acesso de agentes e administradores.
  • Em situações em que há populações diferentes com necessidades de segurança diferentes, sugerimos que você defina um nível de segurança de senha personalizado para usuários finais e outro para agentes e administradores ao usar a autenticação nativa do Zendesk.
  • Crie uma senha exclusiva para sua conta do Zendesk (ou seja, uma que não esteja sendo usada para entrar em sistemas ou aplicativos externos).
  • Ative alertas de e-mail para acesso de novos dispositivos para que os agentes possam monitorar suas contas em caso de acesso de dispositivos novos (e não autorizados). Consulte Verificação de dispositivos e aplicativos que acessaram a sua conta no Guia do agente do Zendesk.

 

Sistema, acesso à rede e domínios

  • Use os espaços de trabalho contextuais para otimizar seus fluxos de trabalho e exibir apenas as ferramentas aplicáveis ​​(ex.: macros, aplicativos, formulários etc.) e garantir que os agentes tenham acesso apenas a funções e fluxos de trabalho do sistema necessários para concluírem uma tarefa
  • Restrinja o acesso com base nos endereços IP para agentes e/ou usuários finais.
  • Suspenda, rejeite e/ou impeça que usuários interajam com os serviços da Zendesk por meio da lista de bloqueios, quando necessário.
  • Quando exigir URLs que não são da Zendesk, gere seus próprios certificados SSL ou os certificados SSL provisionados pela Zendesk com mapeamento do host e forneça o acesso seguro a sua central de ajuda.  Ao fornecer seu próprio certificado SSL, é importante mantê-lo atualizado.

 

Gerenciamento de dados

  • Uso de dados 
    • Capture apenas os dados necessários para concluir um determinado caso de uso, minimizando a exposição de dados confidenciais e/ou dados internos do cliente.
  • Exclusão/supressão 
    • Consulte os guias em "Conformidade com o RGPD" para obter recomendações de exclusão e supressão, de acordo com as legislações de privacidade.
    • Sugerimos que você não grave chamadas e/ou a exclusão automática de gravações ao usar a funcionalidade Talk, no qual tais gravações podem se tornar um desafio para garantir a conformidade com as determinações legais gerais e do setor. 
    • Ative a supressão automática de informações para proteger os dados confidenciais do cliente nos tickets e chats. Observação: esse recurso aproveita o algoritmo de Luhn que redigirá a maioria, mas não todos, os números do cartão de crédito.
    • Faça a supressão manual das informações do cartão de crédito no Espaço de trabalho do agente, onde permitido. É importante ressaltar que, mesmo após a exclusão, os dados ainda podem permanecer nos registros por até 30 dias. 
  • Conformidade 
    • Se o seu caso de uso envolve informações de integridade protegidas (PHI), assine um Business Associate Agreement (Contrato de associação comercial) com a Zendesk e implemente as configurações de segurança obrigatórias para a Health Insurance Portability and Accountability Act (Lei de portabilidade e responsabilidade de provedores de saúde) em relação ao gerenciamento de dados de informações de integridade protegidas (PHI) e informações eletrônicas de integridade protegidas (ePHI), conforme necessário para você como profissional de saúde ou gerente de dados de saúde.
    • Se você usa números do cartão de crédito para fins de identificação, adicione um campo de cartão de crédito ao formulário de ticket para atender aos requisitos de conformidade do PCI DSS (Payment Card Industry Data Security Standard). É importante notar que este campo não armazena nem exibe o número completo do cartão de crédito e nem pode ser usado para pagamentos ou transações.
    • Para os que precisam estar em conformidade com as determinação de PHI, ePHI, HIPAA e/ou PCI DSS: 
  • Privacidade 
    • Consulte a seção "Conformidade com o RGPD" da central de ajuda para ler as considerações de privacidade específicas do produto. 
    • Acesse o Trust Center para descobrir como o nosso Global Privacy Program pode ajudar você a estar em conformidade; não importa onde você esteja ou com quem faz negócios.

 

Email 

  • Aplique o arquivamento de e-mails quando houver uma necessidade comercial de manter arquivos de comunicações do cliente fora dos serviços do Zendesk para fins legais, regulatórios ou de política. 
  • Desative o encaminhamento do Chat por e-mail a menos que seja obrigatório usando o Chat.
  • Use o conteúdo sofisticado apenas quando necessário para o seu fluxo de trabalho.  
  • Ative a autenticação de e-mail com SPF, DKIM e DMARC para reduzir o e-mail falsificado e o spam que sua conta recebe.
  • Assine digitalmente os e-mails enviados no Zendesk para confirmar que eles se originaram em sua organização. 
  • Aproveite as respostas de e-mail personalizadas e alias de agente para fornecer transparência aos usuários finais que estão se comunicando com os agentes por meio do trabalho com tickets. 
  • Desative endereços de suporte que nunca foram usados ou são desnecessários para diminuir o risco de falsificação.

 

API

  • Use tokens em vez de senhas para evitar que pessoas não autorizadas acessem a API por senha. 
  • Implemente o OAuth para autenticar e limitar a quantidade de acessos concedidos a tokens na API. Desative onde desnecessário.
  • Guarde os tokens da API em um local seguro fora do aplicativo. Sempre que possível, recomenda-se o uso de tokens OAuth em vez de tokens da API.

 

Monitoramento

  • Sempre analise e acompanhe os registros de auditoria que mostram alterações em sua conta. Dica útil: Sua API pode ser aproveitada para exportar os registros de auditoria conforme necessário.

 

Recuperação de desastres

A Zendesk mantém o programa Global Business Resilience da Zendesk para assegurar que nós consigamos nos adaptar rapidamente e responder a interrupções, proteger pessoas e ativos, mantendo seus negócios em operação contínua. Fora isso, existem várias etapas que você pode executar para assegurar ainda mais a continuidade do seu negócio. 

  • Aceite o complemento Recuperação avançada de desastres para redundância de segurança que inclui replicação de dados em tempo real, priorização de tráfego, redundância de disponibilidade de zona e planejamento de recuperação prioritária.
  • Se você usa a funcionalidade Voz, ative um número de failover do Talk para fins de continuidade dos negócios.
  • Se você deseja ter acesso por senha no caso de interrupções do sistema SSO externo, sugerimos que você não desative a autenticação nativa do Zendesk (o SSO pode ser configurado como estrito ou permitir ignorar a senha). 
  • Aplique uma API de exportação incremental e/ou downloads em massa de seus Dados de Serviço se você precisar que os armazenamentos de dados não editáveis ​​sejam preservados em seu próprio ambiente.
  • Ative o encaminhamento de e-mail automatizado do seu endereço de e-mail pessoal de terceiros para o Zendesk Support para manter uma cópia do e-mail fora do Zendesk.
  • Aceite o complemento Recuperação avançada de desastres para redundância de segurança que inclui replicação de dados em tempo real, priorização de tráfego, redundância de disponibilidade de zona e planejamento de recuperação prioritária. 
  • Use a API de exportação incremental para recuperar itens do Zendesk Support que foram alterados desde a última solicitação de chamada da API. Para obter mais informações, consulte a referência da API. 


Se você suspeitar que um incidente de segurança em sua instância do Zendesk foi causado diretamente por nosso próprio serviço, envie um ticket para security@zendesk.com. Para obter esclarecimentos sobre quando entrar em contato com a Zendesk sobre responsabilidades relacionadas à segurança, consulte o Modelo de responsabilidade compartilhada.

Powered by Zendesk