读取时间:7 分钟
此资源概述了 Zendesk Suite 订阅者在其自己的实例中实施的推荐安全最佳实践。我们建议您在开始采用这些实践时考虑实施这些实践,并定期检查您的设置和公司最佳实践,以确保员工适当并正确遵守。
Zendesk 提供了广泛的控件,以帮助您保护您(以及您客户的)信息的安全。根据我们的 责任共担模型。此框架概述了每个 Zendesk 订阅者在确保其实例安全方面的责任。有关特定产品控制和建议 的更多信息,请参阅 Zendesk Suite 产品控制和建议指南。
本文章包含关于 Zendesk Suite 最佳实践的以下部分:
Zendesk Suite 安全最佳实践
通用
- 使用 沙盒 环境进行测试和开发,以保持生产实例的整洁。
- 限制 专员工作流程和/或用例的移动应用使用。
- 在您的 Guide 帮助中心和论坛讨论串中启用内容审阅,以 防止 Gather 社区中出现垃圾信息和/或不需要的内容。
- 审阅所有发送通知的自动函数,确保其通知正确的人员。
访问控制
通用
- 使用 Zendesk 原生身份验证时:
-
使用单点登录 (SSO) 时:
- 使用 原生产品内 SSO或您现有的 企业单点登录 来集中管理您的配置。
- 将您操作的任何 MFA 与您的 SSO 结合起来,以涵盖 Zendesk 登录
- 如果您仍希望允许通过 Zendesk 原生身份验证进行密码身份验证 如果您担心 SSO 中断期间的可用性,请保留“不要禁用密码身份验证”。 但是,如果您希望在配置 SSO 后取消使用密码的功能,请禁用密码使用。 请注意,禁用密码访问将终止所有使用密码进行身份验证的已开启会话。
- 禁用使用帐户 身份,除非您需要Zendesk 员工输入您的帐户(在与 Zendesk 的 Support、代表 、专业服务等互动时)。
用户
- 审阅已连接设备 与您的专员个人资料关联,并移除不再使用或看起来可疑的个人资料。请注意,只有专员、管理员和负责人可以访问此功能。
- 如果创建“已关闭”的 Zendesk 实例, 要求终端用户 在提交工单之前注册并验证其电邮,以减少潜在的垃圾信息。
- 为您的专员应用 自定义用户角色 ,以将用户访问权限限制在每个工作职能所需的范围内。
- 使用 Guide 时,请考虑 基于用户区段 和/或品牌的特权访问。
- 利用允许列表定义有权 访问您的帐户 和/或提交 请求 / 在线交谈的特定用户或用户组。
- 必要时通过阻止列表阻止、拒绝和/或 阻止用户 与 Zendesk 服务互动。
- 审阅您帐户中的用户,并 阻止/降级 不再需要访问您系统的用户。
密码
- Zendesk 提供以下密码安全级别:推荐、高、中和低。 Zendesk 建议团队成员和终端用户使用推荐的密码安全级别。有关实施步骤,请参阅 设置密码安全级别 。
- 双重身份验证 (2FA) 是专员和管理员登录 Zendesk 的推荐标准。
- 如果不同的人群有不同的安全需求,请考虑在使用 Zendesk 的原生身份验证时为终端用户设置一个自定义密码安全级别,为专员和管理员设置另一个自定义密码安全级别。
- 为您的 Zendesk 帐户创建一个唯一密码(即当前未用于登录外部系统或应用程序的密码)。
- 启用从新设备登录时的电邮警报,以便专员监测其帐户中是否有来自新的(和未经授权的)设备的登录。查看 在 Zendesk 专员指南中检查访问您帐户的设备和应用程序 。
系统、网络访问和域名
- 使用 有背景信息的工作区 可优化您的工作流程,仅显示适用的工具(例如宏、应用、表格等),并确保专员仅可访问完成任务所需的系统功能和工作流程。
- 根据 IP 地址限制 专员和/或终端用户的访问。
- 必要时通过阻止列表阻止、拒绝和/或 阻止用户 与 Zendesk 服务互动。
- 如果需要非 Zendesk URL,生成您自己的 SSL 证书或 Zendesk 设置的带有 主机映射的 SSL 证书 并提供对帮助中心的安全访问。 如果您提供自己的 SSL 证书,请务必保持最新状态。
数据管理
-
数据使用量
- 仅捕获完成给定用例所需的数据,最大限度地减少敏感客户和/或内部数据的暴露。
-
删除/标记为密文
- 根据隐私法规,有关删除和标记为密文的建议,请参阅 “遵守隐私和数据保护法”指南。
- 请考虑不要对通话进行录音,和/或 在使用 Talk 功能时自动删除录音 ,因为这样的录音可能会影响您遵守行业或法律法规。
- 启用自动标记为密文以保护工单 和 在线交谈中的敏感客户数据。注意:此功能利用了 Luhn 支票,可将大多数(但不是全部)信用卡号码标记为密文。
- 手动将信用卡信息标记为密文 从 Zendesk 专员工作区,在权限允许的情况下。请注意,即使在删除之后,数据仍可能在日志中保留最多 30 天。
-
合规
- 如果您的用例涉及受保护的健康信息(“PHI”),请与 Zendesk 签订业务伙伴协议(BAA),并实施与 健康保险携带和 责任法案(HIPAA) 相关的个人健康信息(PHI)和电子作为医疗保健提供者或医疗保健数据管理者,根据需要进行个人健康信息 (ePHI) 数据管理。
- 如果您将信用卡号用于身份识别, 请在您的工单表格中添加一个信用卡字段, 以满足支付卡行业数据安全标准 (PCI DSS) 合规性要求(请注意,此字段不会存储或显示完整的信用卡号,也不能用于支付或交易)。
- 对于需要在 PHI、ePHI、HIPAA 和/或 PCI DSS 合规范围内的人员:
-
隐私
- 请查阅帮助中心的 “遵守隐私和数据保护法” 部分,了解特定于产品的隐私注意事项。
- 访问信任中心,了解我们的 全球隐私计划 如何帮助您保持合规,无论您身在何处,或与谁有业务往来。
电邮
- 出于政策、法规或法律目的,当业务需要维护 Zendesk 服务以外的客户通讯存档时,可应用 电邮存档。
- 除非在使用 Chat 时需要,否则禁用 Chat 电邮管道。
- 仅当您的工作流程需要时,才在新到的电邮中使用 丰富内容。
- 启用带有 SPF、DKIM 和 DMARC 的电邮身份验证, 以减少您的帐户收到的欺骗电邮和垃圾邮件。
- 对来自 Zendesk 的出站电邮进行数字签名 ,以验证其是否来自您的组织。
- 利用 个性化的电邮回复和专员别名 ,为通过工单处理与专员沟通的终端用户提供透明度。
- 停用未使用或不必要的 Support 地址 ,以最大程度地降低欺骗风险。
API
- 使用密钥而不是密码,以防止未经授权的 密码访问 API。
- 部署 OAuth 以进行身份验证并限制授予 API 中密钥的访问量。在不需要的地方禁用。
- 保护 API 密钥 位于应用程序外部的安全位置。在可能的情况下,建议使用 OAuth 密钥而不是 API 密钥。
监测
灾难恢复
Zendesk 推行全球业务复原力计划,以确保我们有能力快速适应和响应业务中断,保护人员和资产,同时保持业务的持续运营。 除此之外,您还可以采取几个步骤来确保业务的连续性。
- 选择加入 增强型灾难恢复 以获得安全冗余,包括实时数据复制、流量优先级、区域可用性冗余和优先级恢复规划。
- 如果使用语音功能,启用 Talk 故障转移号码 以实现业务连续性。
- 如果您希望在外部 SSO 系统中断时有密码访问,请考虑不要 禁用 Zendesk 原生身份验证 (SSO 可设置为严格,或允许密码绕过)。
- 如果您需要在自己的环境中保留不可编辑的数据存储,应用 增量导出 API 和/或 批量下载您的服务数据。
- 启用 从您的个人第三方电邮地址到 Zendesk Support 的自动电邮转发,以便在 Zendesk 外部保留电邮副本。
- 选择加入 增强型灾难恢复 以获得安全冗余,包括实时数据复制、流量优先级、区域可用性冗余和优先级恢复规划。
- 使用增量导出 API 检索自上一次 API 调用请求后已更改的 Zendesk Support 项目。查看 API 参考 ,了解更多信息。
如果您怀疑您的 Zendesk 实例中的安全事件是由我们的服务本身直接引起的,您应提交工单到 security@zendesk.com。如需了解何时应就安全相关责任联系 Zendesk,请查阅责任共担 模型。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。