这是我们安全最佳实践系列的第三次,也是最后一次安装。它为如何成功、安全地管理您的 Zendesk Suite 实例提供了基准产品级别的参考。与往常一样,我们强烈建议您在开始采用这些产品控制措施和建议时考虑实施,并定期审查您的设置和公司最佳实践,以确保其适用于您的特定用例,并为您的员工正确遵循。就如何应用这些产品控制措施对专员和管理员进行培训,有助于将风险最小化——这与我们的 责任共担模型。
有关我们推荐的安全实践的简要概述,请参阅 一般安全最佳实践 文档。如果您需要更深入(但并非特定于产品)的安全资源,请查看我们的 Zendesk Suite 可操作安全指南。
本文章包含关于 Zendesk Suite 产品控制的以下部分:
安全最佳实践:Zendesk Suite 产品控制
Support
- 使用帐户身份。启用(或禁用)临时或永久“使用”权限,允许 Zendesk 员工在特定时间内输入帐户,而不会影响您的许可证或允许的专员数量。请注意, 在紧急情况下,或当帐户或应用程序的使用违反了主要服务协议时,Zendesk 专业工作人员可能会取消启用功能。
- 自定义密码配置。自定义您自己的密码安全级别,以符合内部政策。Zendesk 提供以下密码安全级别:推荐、高、中和低。有关实施步骤,请参阅 设置密码安全级别 。注意:启用 Zendesk 身份验证后,您可以在专员/管理员级别设置会话过期/非活动状态超时限制和/或密码过期。
- 双重身份验证 (“2FA”)实施第二个身份验证安全层。通过短信 在产品中原生 提供,或从安装在用户移动设备上的双重身份验证应用提供,或在您的环境中将其与单点登录结合使用时使用的双重身份验证解决方案。
- 单点登录 (“SSO”)(适用于企业和社交终端用户帐户)。让用户使用一组凭证登录一次,以减少攻击面的数量。
- 限制 IP 地址。将专员界面限制 为仅允许来自特定已批准 IP 地址范围的用户使用。
- 安全附件访问。通过 激活私密附件,要求用户在访问附件前登录其帐户。
- 恶意软件扫描。管理员应遵循公司指南,了解如何管理已被我们的 恶意软件扫描标记的附件。
- 标记为密文。在专员工作区中按需将个人数据或敏感数据标记为密文 (具有管理员/专员访问权限)。
-
电邮
-
- 存档客户通讯以供审核/法律使用。
- 禁用电邮中的丰富内容 (即非纯文本/HTML)。
- 停用未使用的客服电邮地址。
- 不需要时禁用通配符电邮地址。
- 启用带有 SPF、DKIM 和 DMARC 的电邮身份验证,以减少电邮欺骗和企业电邮泄露。
- 将 DKIM 用于出站电邮以验证电邮的来源(例如,来自您的组织内部)
- 个性化电邮以提高透明度,帮助在客户和专员之间建立信任。
-
- 垃圾信息。确保工单不会通过被阻止工单通知被错误地标为“垃圾邮件”。
- 设备跟踪。管理用户设备 并移除不再使用的设备(具有专员/管理员访问权限)。
- 沙盒环境。我们建议在代码进入生产环境之前,使用沙盒环境进行测试和启动。请注意,这仅适用于 Enterprise 服务模式。
- Support 移动应用。决定是否允许专员通过 Support 移动应用访问,如果不允许,请在管理中心的“更多安全设置”下移除移动应用访问权限。请注意,需要允许密码访问 API 才能使移动应用正常工作。
- 信用卡 (PCI) 数据。自动将信用卡数据信息标记 为密文(可能存在限制),或添加 符合 PCI 的信用卡字段
-
日志管理。
-
- 审核日志。管理您的审核日志,以跟踪您帐户中的更改。通过 API 或以 CSV 格式导出报告。仅适用于 Enterprise 服务模式。
- 工单互动/事件日志。查看您帐户中发生的所有操作和通知。
- 整合日志。通过管理中心中的此工具,跟踪您的 Support 实例和您的整合之间的数据同步。
-
- 终端用户验证。需要 终端用户 注册并验证其电邮地址。
- 最低权限。限制用户访问以确保用户仅可访问任务相关产品。了解更多关于 Support 用户角色的信息。
- 自定义用户角色。委托访问 根据用户角色/职位描述。请注意,此功能仅供 Enterprise 服务模式使用。
- 加入允许列表。定义谁拥有 访问 您的实例,以减少敏感数据的暴露和未经授权的系统访问。
- 加入阻止列表。如果/当您觉得您的安全受到威胁时,阻止、拒绝或阻止用户访问您的实例。
- 移除帐户/用户。定期审阅您帐户中的用户,并 阻止/降级 不再需要访问您的系统的用户。
- 自定义用户角色。根据用户角色/职位描述委托访问。请注意,此功能仅供 Enterprise 使用。
- 将抄送和关注者列入阻止列表。阻止他人访问 在工单上添加工单标签, 并通知客户对话,以将对敏感客户信息的访问限制在数据泄露的范围内。
- 限制团队成员和终端用户非活跃的会话长度。有助于限制 会话可用的时间窗口,在此之前必须再次登录,以减少对系统和数据的未经授权的访问。
- 禁用管理员为用户设置密码的功能。强制执行最小权限,并移除设置密码的功能,无需用户通过正常的密码重置流程应用 2FA 并验证其电邮地址。查看 此文档 了解更多关于设置密码安全级别的信息。
- Webhook。 使用TLS/HTTPS 安全连接到 第三方 端点, 例如 应用程序 或 网站 。
- Zendesk 市场 仅安装您信任的第三方应用程序。要了解更多信息,请参阅 在这里。
-
API 访问
-
- 禁用对您 API 的密码访问,以限制受保护信息的泄露。
- API 密钥。让您的管理员设置最低权限访问,以减少可访问您的 API 和敏感客户数据(例如 PII、PHI 等)的人数。请参阅已 启用 HIPAA 或 HDS 帐户的安全配置要求 有关 API 密钥管理的相关信息。
-
- OAuth 客户端。安全访问您的 API(和相关数据)。为您的用例选择正确的工作流程类型,并尽可能首选授权代码授予或隐式授予,而不是密码授予。访问 OWASP ,获取行业最佳实践的详细列表。
- 自行构建应用和整合 如需了解 应用 和 整合的最佳实践 ,请访问文档门户。
Guide/Gather
- 审阅内容。审阅 Guide/Gather 内容,确保 垃圾邮件 不会被发布到您的帮助中心。
- API。禁用对您 API 的密码访问,以尽量减少敏感数据的泄露。
- API 密钥。让您的管理员设置最低权限访问,以减少可访问您的 API 的人数和数据泄露的机会。
- 限制帮助中心访问。应用 IP 地址限制以根据身份验证和分段 限制 用户访问。
- 文章互动/活动日志。查看专员对文章执行的所有操作, 以确保遵循公司最佳实践。
- 专员/别名显示名称。允许专员个性化其签名,提高专员和客户之间的信任,以及专员的在线安全。
- 不安全的内容。防止 不安全的内容 显示在您的帮助中心里。
Chat
- 在线交谈 API。让您的管理员设置最低权限访问,以减少可访问敏感数据的人数。请务必确认以下 限制。
- 原生文件附件允许列表。将 文件共享 限制为仅限特定工作任务所需的扩展名。
- 通过 Support 设置门控。跨产品应用级联安全配置(仅适用于 Suite 服务模式)。
- 信用卡 (PCI) 数据。自动将在线交谈和在线交谈记录中的信用卡数据信息标记 为密文(可能存在限制),以减少数据泄露。
- 专员/别名显示名称。允许专员个性化其签名,提高专员和客户之间的信任,以及专员的在线安全。(独立的在线交谈)
- 访问者身份验证。启用通过密钥或共享密钥进行的访问者身份验证 ,以确保只有已授权的用户可以访问。
- 身份验证控件。使用身份验证控件发送 私密在线交谈附件 (仅适用于专员工作区)。
- 加入阻止列表。当用户对您的安全构成风险或违反公司政策时,阻止、拒绝或阻止用户访问您的帐户。
- 按位置(例如国家或地区)限制 Chat Widget, 以减少您暴露给不良行为者和/或恶意国家行为者的风险。
- 自定义用户角色。根据用户角色/职位描述委托对 Chat 的访问。请注意,此功能仅供 Enterprise 服务模式使用。
Talk
- 通话录音。根据号码、来电人或终端用户选择加入或退出通话录音 。
- 删除录音。自动删除录音——启用自动删除通话录音。
- Talk API 删除录音功能。使用此端点功能 以编程方式从工单中删除录音(如适用)。手动删除也可应用于 擦除义务、被遗忘权以及行业隐私和合规要求。注意:自动标记为密文是一项单独的功能,目前无法用于将语音信箱记录副本中的信用卡信息标记为密文。
Sell
- 使用帐户身份。启用(或禁用)临时或永久“使用”权限,允许 Zendesk 员工在特定时间内输入帐户,而不会影响您的许可证或允许的专员数量。请注意, 在紧急情况下,或当帐户或应用程序的使用违反了主要服务协议时,Zendesk 专业工作人员可能会取消启用功能。
- 自定义密码配置。自定义您自己的密码安全级别,以符合内部政策。Zendesk 提供以下密码安全级别:推荐、高、中和低。有关实施步骤,请参阅 设置密码安全级别 。
- 会话过期/非活跃的状态。设置专员的最小超时协议,以减少敏感数据暴露给未经授权的人员和/或外部攻击的风险。
- 双重身份验证 (“2FA”。) 实施第二个身份验证安全层。通过短信在产品中原生提供,或在您的环境中将其与单点登录结合使用时使用的 2FA 解决方案。
- 单点登录 (“SSO”)(适用于企业和社交终端用户帐户)。让用户使用一组凭证登录一次,以减少攻击面的数量。
- Sell OAuth 客户端。安全访问您的 API(和相关数据)。访问 OWASP ,获取行业最佳实践的详细列表。为您的用例选择正确的工作 流程类型 ,并尽可能首选授权代码授予或隐式授予,而不是密码凭证授予。
- 最低权限。限制用户访问以确保用户仅可访问特定已授权任务所需的产品。
- 加入阻止列表。当用户对安全构成风险或违反公司政策时,阻止、拒绝或阻止用户访问您的帐户。
- 正在弃用的帐户/用户。定期审阅您帐户中的用户,并阻止/降级不再需要访问您系统的用户。
Explore
- 管理 Explore 权限。启用基于最低权限访问的 Explore 访问 (有管理员访问权限)。
- 设置数据集权限。使用最低权限访问(有管理员访问权限)设置 数据集权限 。
消息传送 (原生)
- 终端用户身份验证。启用 Web Widget 和移动 SDK 的终端用户身份验证 。
- 加入允许列表仅允许 在特定域名上加载 Web Widget。
翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性
如对翻译准确性有任何疑问,请以文章的英语版本为准。