Este artigo fornece uma referência básica em nível de produto para proteger e gerenciar com sucesso sua instância do Zendesk Suite. A Zendesk recomenda que você considere implementar esses controles e recomendações de produtos no início da adoção e revise regularmente suas configurações e as práticas recomendadas da empresa para garantir que ambas sejam apropriadas para seu caso de uso específico e corretamente seguidas pelos funcionários. Treinar agentes e administradores sobre como aplicar esses controles de produtos ajudará a minimizar a exposição a riscos, de acordo com nosso Modelo de responsabilidade compartilhada.

Para uma visão geral de alto nível das nossas práticas recomendadas de segurança, consulte o documento Práticas gerais e recomendadas de segurança.

Este artigo contém as seguintes seções sobre os controles de produtos do Zendesk Suite:

  • Support
  • Guide
  • Chat
  • Talk
  • Explore
  • Mensagens

Práticas recomendadas de segurança: controles de produtos do Zendesk Suite

Support

  • Configurações personalizadas de senha. Personalize seu próprio nível de segurança de senha para alinhá-lo às políticas internas. O Zendesk oferece os seguintes níveis de segurança de senha: Recomendado, Alto, Médio e Baixo. Consulte as etapas de implementação em Definição do nível de segurança da senha. Observação: quando a autenticação do Zendesk está ativada, você pode definir restrições de validade da sessão ou tempo limite de inatividade e/ou a validade da senha no nível do agente e do administrador.
  • Autenticação de dois fatores (“2FA”). Implemente uma segunda camada de segurança de autenticação. Com disponibilidade nativa no produto por meio de mensagem SMS ou um aplicativo de autenticação de dois fatores instalado no dispositivo móvel do usuário, ou com sua solução 2FA a ser usada caso você a combine com single sign-on no seu ambiente.
  • Single sign-on (“SSO”) (para contas de usuários finais empresariais e de redes sociais). Reduza o número de superfícies de ataque fazendo com que os usuários acessem suas próprias contas uma vez, com um único conjunto de credenciais.
  • Endereços IP restritos. Limite a interface do agente apenas aos usuários provenientes de um intervalo específico de endereços IP aprovados. 
  • Acesso seguro a anexos. Exija que os usuários acessem suas respectivas contas antes de acessar anexos ativando os anexos privados. 
  • Verificação de malware. Os administradores devem seguir as diretrizes da empresa sobre como gerenciar anexos que foram marcados pela nossa verificação de malware. 
  • E-mail
      • Desative o conteúdo sofisticado em e-mails (por exemplo, texto sem formatação/HTML).
      • Desative endereços de e-mail de suporte não utilizados.
      • Desative o endereço de e-mail curinga quando não for necessário.
      • Ative a autenticação de e-mail com SPF, DKIM e DMARC para reduzir a falsificação de e-mails e o comprometimento de e-mails comerciais.
      • Use DKIM em e-mails enviados para verificar a origem dos e-mails (por exemplo, de dentro da sua organização).
  • Monitoramento de dispositivos. Gerencie dispositivos de usuários e remova aqueles que não estão mais em uso (com acesso de agente ou administrador).
  • Sandbox. Recomendamos usar um ambiente sandbox para testar e implantar código antes que vá para o ambiente de produção. Esse recurso está disponível somente nos planos Enterprise.
  • Aplicativo móvel do Support. Decida se quer permitir o acesso de agentes por meio do aplicativo móvel do Support e, caso não queira, remova o acesso ao aplicativo na Central de administração em “Mais configurações de segurança”. O acesso por senha à API precisa ser permitido para que os aplicativos para dispositivos móveis funcionem. 
  • Gerenciamento de registros.
      • Registros de auditoria. Gerencie os registros de auditoria para acompanhar as alterações em sua conta. Exporte relatórios por meio da API ou como CSV. Disponível somente nos planos Enterprise.
      • Registros de interação/eventos de ticket. Veja todas as ações e notificações que ocorreram na sua conta.  
      • Registros de integração. Monitore a sincronização de dados entre sua instância do Support e sua integração por meio desta ferramenta na Central de administração.  
  • Verificação do usuário final. Exija que os usuários finais se registrem e verifiquem os respectivos endereços de e-mail. 
  • Privilégio mínimo. Restrinja o acesso dos usuários para garantir que acessem somente os produtos relevantes relacionados às suas próprias tarefas. Saiba mais sobre as funções de usuário do Support. 
  • Funções personalizadas. Delegue acesso por função ou descrição de tarefa. Esse recurso está disponível somente nos planos Enterprise.
  • Lista de autorização. Defina quem tem acesso à sua instância para reduzir a exposição de dados confidenciais e o acesso não autorizado ao sistema.
  • Lista de bloqueios. Suspenda, rejeite ou impeça que usuários acessem sua instância se e quando você perceber uma ameaça à sua segurança.
  • Remoção de contas e usuários. Revise regularmente os usuários da sua conta e suspenda ou rebaixe os usuários que não precisam mais de acesso ao sistema. 
  • Funções personalizadas. Delegue acesso por função ou descrição de tarefa. Esse recurso está disponível somente nos planos Enterprise.
  • Lista de bloqueios de CC e seguidores. Evite que outras pessoas sejam marcadas em tickets e notificadas sobre conversas de clientes para limitar o acesso a informações confidenciais de clientes e a vulnerabilidade a uma violação de dados.
  • Limitação da duração de sessão inativa de membros da equipe e usuários finais. Delimite por quanto tempo uma sessão pode ser utilizada, até que seja necessário entrar no sistema novamente, para reduzir o acesso não autorizado a sistemas e dados. 
  • Desativação de métodos de acesso com redes sociais desnecessários para usuários finais.
  • Desativação do recurso que permite aos administradores definir senhas para os usuários. Adote o privilégio mínimo e remova a permissão de definir uma senha sem que o usuário aplique a 2FA e verifique o próprio endereço de e-mail por meio do processo habitual de redefinição de senha. Consulte este documento para obter mais informações sobre como definir níveis de segurança de senha.
  • Webhooks. Use TLS ou HTTPS para conectar-se com segurança a pontos de extremidade de terceiros, como aplicativos ou websites.
  • Acesso à API.
      • Desative o acesso por senha à sua API para limitar a exposição de informações protegidas.
      • Tokens da API. Peça que seu administrador configure o acesso com privilégio mínimo para reduzir o número de pessoas que têm acesso à sua API e aos dados confidenciais dos clientes (por exemplo, IIP, PHI e etc.). Consulte os Requisitos de configuração de segurança para contas com HIPAA ou HDS para obter informações relacionadas ao gerenciamento de tokens da API. 
  • Clientes OAuth. Acesso seguro à sua API (e dados relacionados). Escolha o tipo de fluxo certo para o seu caso de uso e prefira concessão de código de autorização ou concessão implícita em vez de concessão de senha, se possível. Acesse OWASP para obter uma lista detalhada das práticas recomendadas do setor. 

Guide

  • Moderação de conteúdo. Revise o conteúdo do Guide para garantir que nenhum SPAM seja publicado na sua central de ajuda. 
  • API. Desative o acesso por senha à sua API para minimizar a exposição a dados confidenciais.
  • Tokens da API. Peça que seu administrador configure o acesso com privilégio mínimo para reduzir o número de pessoas que têm acesso à sua API e os riscos de comprometimento de dados.
  • Restrição de acesso à central de ajuda. Aplique restrições de endereço IP para limitar o acesso de usuários com base na autenticação e segmentação. 
  • Registros de interação e eventos de artigo. Veja todas as ações executadas pelos agentes em um artigo para garantir a adesão às práticas recomendadas da empresa.
  • Nome de exibição do agente e alias. Permita que os agentes personalizem as próprias assinaturas, aumentando a confiança entre agentes e clientes, bem como a segurança online dos agentes.
  • Conteúdo não seguro. Evite que qualquer conteúdo não seguro seja exibido na sua central de ajuda. 

Chat

  • API do Chat. Peça que o administrador configure o acesso com privilégio mínimo para reduzir o número de pessoas que têm acesso a dados confidenciais. Esteja ciente das restrições a seguir. 
  • Lista de autorização para anexos de arquivos nativos. Restrinja o compartilhamento de arquivos somente às extensões necessárias para tarefas específicas.
  • Controle de acesso via Support. Aplique configurações de segurança de maneira hierárquica em todos os produtos (aplicável somente aos planos Suite).
  • Autenticação do visitante. Ative a autenticação de visitantes por token ou segredo compartilhado para garantir que somente usuários autorizados tenham acesso.
  • Controles de autenticação. Envie anexos de chat privados com controles de autenticação (disponível somente com o Espaço de trabalho do agente).
  • Restrinja o Widget do Chat por localização (por exemplo, país ou domínio) para reduzir sua exposição a agentes mal-intencionados e/ou agentes de estados-nação maliciosos.
  • Funções personalizadas. Delegue o acesso ao Chat por função ou descrição de tarefa. Esse recurso está disponível somente nos planos Enterprise.

Talk

  • Gravação de chamada. Consentimento ou recusa da gravação de chamadas com base no número, no chamador ou no usuário final.
  • Exclusão de gravações. Exclusão automática de gravações: ative a exclusão automática de gravações do Talk.
  • Recurso de exclusão de gravação da API do Talk. Use esse recurso do ponto de extremidade para apagar gravações de tickets de maneira programática, quando aplicável. A exclusão manual também pode ser aplicada para obrigação de exclusão, direito de ser esquecido, bem como requisitos de privacidade e conformidade do setor. Observação: a supressão automática de informações é um recurso independente que atualmente não pode ser usado para suprimir informações de cartão de crédito de transcrições do correio de voz.

Explore

  • Gerenciamento de permissões do Explore. Ative o acesso ao Explore com base no acesso com privilégio mínimo (com acesso de administrador).
  • Definição de permissões para o conjunto de dados. Defina permissões para o conjunto de dados usando o acesso com privilégio mínimo (com acesso de administrador).

Mensagens (nativas)

  • Autenticação de usuário final. Ative a autenticação do usuário final para o Web Widget e o SDK para dispositivos móveis. 
  • Lista de autorização. Permita que o Web Widget seja carregado somente em domínios específicos.
Powered by Zendesk