Add-on | Advanced Data Privacy and Protection (ADPP) |
高级加密允许您的公司使用您自己的企业密钥管理服务 (KMS) 加密服务数据,从而提高数据的安全性。这样可以确保未经授权的各方无法访问存储在 Zendesk 中的敏感信息。维护您自己的加密密钥可提供更高的安全性和合规性,同时使您能够完全控制访问和使用。
您可以在生产或沙盒环境帐户中启用高级加密。Zendesk 建议先在沙盒环境中进行测试。请参阅 设置高级加密 以了解更多信息。
本文章涵盖以下主题:
了解高级加密的工作方式
使用高级加密时,您可以在 Zendesk 之外管理自己的加密密钥。您可以使用以下任意受支持的密钥管理系统:AWS KMS、Azure Key 保管库、Google Cloud KMS 或 Talk 泰雷兹密码信任管理器(T着手)是一个位于欧洲、由欧洲公司管理和托管的 KMS。
高级加密依赖于信封加密。加密时,Zendesk 会为数据块生成一个数据加密密钥 (DEK),并请求 KMS 加密此密钥。然后它会放弃明文密钥,保留加密的密钥。
每当 Zendesk 需要访问加密数据时,都会请求 KMS 使用主密钥对数据密钥进行加密。这发生在运输途中;数据在我们的应用程序进行处理之前进入 Zendesk 时已加密,并一直保持加密状态,直到有用例需要加密为止。
数据加密不会影响专员体验。专员可继续搜索并访问其用户角色允许查看的数据。但也有一些 限制。
在 Zendesk 中加密的数据
高级加密支持回填和加密 Zendesk 帐户中新建和现有的用户。
高级加密可为Zendesk Support、Guide 和 Talk 中的终端用户数据加密以下用户字段:
- 名称
- 别名
- 签名
- 详情
- 注释
上述用户字段在Zendesk Support的以下区域已加密:
- 终端用户管理
- 团队成员管理
- 工单背景信息中的用户数据(请求者、抄送、关注者、受托人)
- 组和组织成员身份
- 工单评论和电邮中的用户占位符解决方案
- 通过单点登录、 Web Widget和电邮创建用户
- 工单视图
- Support 搜索
- 触发器和自行程序(业务规则)
- 通过消息传送对话创建的 Support 用户
- 协作快捷对话
Guide 和 Talk 中的所有功能都将受到保护,但 Gather 和 Guide 中的 @提及功能除外(如果已激活加密,后者将被关闭)。
高级加密与标准加密
高级加密是对所有 Zendesk 帐户使用的标准加密的补充。
状态 | 高级加密 | 标准加密 |
---|---|---|
在途 |
尽快在 HTTP 代理层或等效入口点使用客户管理的密钥对数据进行加密。 |
与 Zendesk UI 和 API 的所有通信都通过公共网络通过行业标准 HTTPS 和传输层安全(TLS 1.2 或更高版本)进行加密。这可确保您和 Zendesk 之间的所有流量在传输过程中都是安全的。 对于电邮,Zendesk 默认使用机会式 TLS。TLS 可安全地加密和发送电邮,在对等服务支持此协议的邮件服务器之间减少窃听。加密的例外情况可能包括产品内短信功能的任何使用,客户可能选择使用的任何其他第三方应用、整合或服务订阅者。 |
休息时 |
数据库中的数据保持加密状态。如果第三方或外国政府尝试访问正在运行的数据库,则数据将以密文返回。 |
服务数据在AWS中使用 AES-256 密钥加密进行静态加密。 |
使用中 |
数据在使用中保持加密状态,仅在用例需要时进行解锁。当利用外部安全信息和事件管理 (SIEM) 整合时,任何加密操作都会被记录下来并可审核。 |
从数据存储区抓取的数据以明文形式进行处理。 |
高级加密限制
您应注意,高级加密有一些缺点。当数据加密时,您可能会遇到功能限制甚至不可用的功能。
一般限制
- 任何超出 Zendesk 数据加密中所述范围的功能(包括但不限于旧版 Chat、Sell、 质量保证、整合和移动设备)都可能被破坏,或在 UI 或 API 响应中显示加密数据。因此,Zendesk 建议您在沙盒帐户中激活并测试高级加密,然后再在生产环境中激活。
- 尚不支持密钥轮换。
Support 限制
- 尚不支持工单共用。
- 已加密帐户将不可移动帐户区域。如果您要将数据移动到其他区域,请在激活高级加密之前请求移动。
- 激活高级加密后创建的高级沙盒环境将显示加密的复制数据。
- 条件基于终端用户名称的消息传送触发器将无法工作。
- 代码段突出显示、通配符搜索、短语搜索和非空格分隔的语言(例如中文和日语)将不起作用。
- 搜索匹配和排名可能不同。
- 无法根据用户名搜索协作快捷对话。而应按协作快捷对话或父工单的主题行进行搜索。
- 对于已激活加密的帐户,按用户名(请求者和受托人)排序的 Support 视图将关闭。
- 按用户名(请求者和受托人)分组的 Support 视图将显示乱序的用户名。
- CSV 导出将显示占位符而不是用户名。
导入和导出降级
Gather 和 Guide 降级
- @提及功能将关闭。
数据存储空间限制
高级加密引入了一种使用客户管理密钥 (CMK) 对敏感数据进行加密的新方式。为确保 Zendesk 的功能不受影响,Zendesk 服务会在处理来自多种渠道(包括浏览器、REST API 和电邮)的请求时对敏感数据进行加密。Zendesk 保证纯文本数据永远不会存储在永久存储中,仅保留满足请求所需的最短时间。
以下项目是当前的例外情况:
- 网关 (Nginx + Cloudflare) 存储公开帮助中心页面,其中可能包含用户个人资料数据,最长持续三分钟。
- 出站电邮在通过简单邮件传输协议 (SMTP) 发送之前,会暂时存储电邮正文。
- 入站电邮的 原始电邮正文 将在工单或评论创建后予以维护,并为其他协作功能提供支持。
- Explore 用户数据集以明文存储。
- 批量导入和导出的文件会以纯文本格式暂时存储 30 天。文件将在 30 天后删除。
- Sunshine Conversations数据存储区中的用户数据以明文存储。(涵盖 Support 数据存储区。)
- 实时服务(例如专员在线状态和 Talk 通话控制台)中的用户数据以明文形式保留最多 7 天,以支持专员 UI。
- 专员和管理员用户数据将以明文显示,用于客户销售和支持案例,以便为客户提供帮助。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。
0 条评论