读取时间:7 分钟
此资源概述了推荐的最佳安全实践,供 Zendesk Suite 订阅者在其自己的实例中实施。我们建议您考虑在采用这些做法的一开始就实施这些做法,并定期检查您的设置和公司最佳实践,以确保其适当并得到员工正确遵守。
Zendesk 提供了多种控件,可帮助您(及客户)的信息安全无虞。我们强烈建议对专员和管理员进行培训,了解其应用这些安全最佳实践,并将您面临的风险降至最低。 责任共担模式更新。此框架概述了每个 Zendesk 订阅者在确保其实例安全方面的责任。如需了解关于特定产品控制和建议 的更多信息,请参阅 Zendesk Suite 产品控制和建议指南。
本文章包含 Zendesk Suite 最佳实践的以下部分:
Zendesk Suite 的安全性最佳实践
通用
- 使用 沙盒 环境进行测试和开发,以保持生产实例的整洁。
- 限制 专员工作流程和/或用例的移动应用。
- 在您的 Guide 帮助中心和论坛讨论串中启用内容审阅,以 防止 您的 Gather 社区中出现垃圾信息和/或不需要的内容。
- 审阅所有发送通知的自动功能,以确保其通知正确的人员。
访问控制
通用
- 使用 Zendesk 原生身份验证时:
-
使用单点登录 (SSO) 时:
- 利用 原生产品内 SSO或您现有的 企业单点登录 来集中管理您的配置。
- 将您操作的任何 MFA 与您的 SSO 结合在一起,以覆盖 Zendesk 登录
- 如果您仍允许通过 Zendesk 原生身份验证进行密码身份验证 如果您担心 SSO 中断期间的可用性,则可以保留不要禁用密码身份验证。 但是,如果您希望在配置 SSO 后就不能使用密码,则可以禁用密码使用。 请注意,禁用密码访问将终止所有使用密码进行身份验证的已开启会话。
- 使 帐户 身份保持禁用,除非您需要 Zendesk 员工进入您的帐户(与 Zendesk 的 Support、 客户代表、专业服务等互动时)。
用户
- 审阅已连接设备 与您的专员个人资料相关联,并删除那些不再使用或看起来可疑的。请注意,只有专员、管理员和负责人可以访问此功能。
- 如果创建“封闭式”Zendesk 实例, 则要求终端用户注册 并验证其电邮地址才能提交工单,以减少潜在的垃圾信息。
- 为您的专员应用 自定义用户角色 ,以将用户的访问权限限制为每个工作职能所必需的内容。
- 使用 Guide 时,请考虑 基于用户区段 和/或品牌的特权访问。
- 利用允许列表来定义有权访问您的帐户 和/或提交 请求 / 在线交谈的特定用户或用户组 。
- 必要时阻止、拒绝和/或 阻止用户 通过阻止列表与 Zendesk 服务互动。
- 审阅您帐户中的用户,并 阻止/降级 不再需要访问您系统的用户。
密码
- Zendesk 提供以下密码安全级别:推荐、高、中等和低。 Zendesk 为团队成员和终端用户建议推荐密码安全级别。如需了解实施步骤,请参阅 设置密码安全级别 。
- 双重身份验证 (2FA) 是专员和管理员登录 Zendesk 的推荐标准。
- 如果不同的人群有不同的安全需求,可以考虑在使用 Zendesk 的原生身份验证时为终端用户设置一个自定义密码安全级别,为专员和管理员设置另一个自定义密码安全级别。
- 为您的 Zendesk 帐户创建一个独特的密码(即当前未用于登录外部系统或应用程序的密码)。
- 启用来自新设备的登录电邮警报,以便专员监测其帐户是否来自新的(和未经授权的)设备登录。查看 在 Zendesk Agent Guide 中查看访问过您帐户的设备和应用程序 。
系统、网络访问和域名
- 使用 有背景信息的工作区 以优化您的工作流程,在其中仅显示适用的工具(例如宏、应用、表格等),并确保专员只能访问完成任务所需的系统功能和工作流程。
- 根据 IP 地址限制 专员和/或终端用户的访问。
- 必要时阻止、拒绝和/或 阻止用户 通过阻止列表与 Zendesk 服务互动。
- 如果需要非 Zendesk URL,请使用 主机映射生成您自己的 SSL 证书或 Zendesk 设置的 SSL 证书 并提供对您帮助中心的安全访问。 如提供您自己的 SSL 证书,请务必保持最新。
数据管理
-
数据使用量
- 仅捕获完成给定用例所需的数据,最大程度地减少敏感客户和/或内部数据的暴露。
-
删除/标记为密文
- 请参阅 “遵守隐私和数据保护法” 指南,了解删除和标记为密文建议,以符合隐私法规。
- 考虑不对通话进行录音,和/或 在使用 Talk 功能时自动删除录音 ,因为此类录音可能不便于您遵守行业或法律法规。
- 启用自动标记为密文以保护工单 和 在线交谈中的敏感客户数据更新。注意:此功能利用 Luhn 检查将大多数(但非全部)信用卡号标记为密文。
- 手动将信用卡信息标记为密文 在权限允许的情况下,从 Zendesk 专员工作区。请注意,即使删除后,数据仍可能在日志中保留长达 30 天。更新。
-
合规
- 如果您的用例涉及受保护的健康信息(“PHI”),请与 Zendesk 签订 Business Associate Agreement(业务伙伴协议),并 为Health Insurance Portability and Accountability Act(健康保险携带和责任法案) 相关的个人健康信息(PHI)和电子信息实施所需的安全配置。个人健康信息(ePHI)数据管理,作为您作为医疗提供者或医疗数据管理者的必要条件。
- 如果您使用信用卡号码进行身份识别, 请在您的工单表格中添加一个信用卡字段, 以满足支付卡行业数据安全标准 (PCI DSS) 合规要求(请注意,此字段不会存储或显示完整的信用卡号码,也无法更改)。用于支付或交易)。
- 对于需要符合 PHI、ePHI、HIPAA 和/或 PCI DSS 合规要求的人员:
-
隐私
- 请参阅帮助中心的 “遵守隐私和数据保护法” 部分,了解特定于产品的隐私注意事项。
- 访问信任中心,了解我们的 全球隐私计划 如何帮助您合规,无论您在哪里,无论您在做什么。
电邮
- 电邮存档适用 于出于政策、法规或法律目的,在 Zendesk 服务之外出于业务需要维护客户通讯存档。
- 禁用 Chat 电邮管道 处理,除非在使用 Chat 时需要。
- 仅在工作流程必要时在收到的电邮中使用 丰富内容。
- 启用 SPF、DKIM 和 DMARC 电邮身份验证, 以减少您的帐户收到的欺骗电邮和垃圾邮件。
- 对从 Zendesk发出的电邮进行数字签名 ,以验证其是否源自您的组织。
- 利用 个性化的电邮回复和专员别名 ,提高通过工单处理与专员沟通的终端用户的透明度。
- 停用未使用或不需要的 Support 地址 ,将欺骗风险降至最低。
API
- 使用密钥而不是密码来防止 对 API 进行未经授权的密码访问。
- 部署 OAuth 以进行身份验证,并限制授予 API 中密钥的访问量。在不需要的地方禁用。
- 保护 API 密钥 位于应用程序之外的安全位置。在可能的情况下,建议使用 OAuth 密钥,而不是 API 密钥。
监测
灾难恢复
Zendesk 推出了一个 Global Business Resilience Program,以确保我们能够快速适应和响应业务中断,保护人员和资产的安全,同时维持业务的持续运营。除此之外,您还可以采取几个步骤来进一步确保业务的连续性。
- 选择 增强型灾难恢复 以获得安全冗余,包括实时数据复制、流量优先级、区域可用性冗余和优先级恢复规划。
- 如果使用语音功能,请启用 Talk 故障转移号码 ,以便业务连续性。
- 如果您希望在外部 SSO 系统中断的情况下仍能使用密码进行访问,请不要 禁用 Zendesk 原生身份验证 (SSO 可设置为“严格”,或“允许绕过密码”)。
- 如果您需要在自己的环境中保留不可编辑的数据存储,请应用 增量导出 API 和/或 批量下载您的服务数据。
- 启用从个人第三方电邮地址到 Zendesk Support 的自动电邮转发 ,以便在 Zendesk 之外保留电邮副本。
- 选择 增强型灾难恢复 以获得安全冗余,包括实时数据复制、流量优先级、区域可用性冗余和优先级恢复规划。
- 使用增量导出 API 可检索自上一次 API 调用请求后已更改的 Zendesk Support 项目。请参阅 API 参考 以获取更多信息。
如果您怀疑 Zendesk 实例中的安全事件是由我们的服务本身直接引起的,请提交工单到 security@zendesk.com。关于何时就安全相关责任联系 Zendesk 的说明,请查阅责任共担 模式。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。