这是我们安全最佳实践系列的第三次也是最后一次安装。它为如何成功、安全地管理您的 Zendesk Suite 实例提供了产品级基准参考。与往常一样，我们强烈建议您在采用时考虑实施这些产品控制和建议，并定期审查您的设置和公司最佳实践，以确保其既适合您的特定用例，又得到您员工的正确遵守。对专员和管理员进行如何应用这些产品控制措施的培训将有助于将风险暴露降至最低。 责任共担模式。

有关我们推荐的安全实践的高级概述，请参阅 一般安全最佳实践 文档。如果您需要更深入的（但非针对特定产品）安全性资源，请参阅我们的 Zendesk Suite 可操作安全指南。

本文章包含以下关于 Zendesk Suite 产品控件的部分：

• Support
• Guide
• Chat
• Talk
• Explore
• 消息传送

安全性最佳实践：Zendesk Suite 产品控件

Support

• 使用帐户身份。启用（或禁用）临时或永久的“使用”权限，允许 Zendesk 员工在特定的时间内进入帐户，而不会影响您的许可证或允许的专员数量。请注意， 在紧急情况下，或在帐户或应用程序的使用违反了《主要服务协议》的情况下，Zendesk 专业员工可能会取消功能启用。
• 自定义密码配置。自定义您自己的密码安全级别，以符合内部政策。Zendesk 提供以下密码安全级别：推荐、高、中等和低。如需了解实施步骤，请参阅 设置密码安全级别 。注意：启用 Zendesk 身份验证后，您可以在专员/管理员级别设置会话过期/非活跃状态超时限制和/或密码过期。
• 双重身份验证 （“2FA”）实施第二个身份验证安全层。通过短信 在产品中 提供，或通过安装在用户移动设备上的双重身份验证应用提供，或者如果您将其与环境中的单点登录结合使用，则使用双重身份验证解决方案。
• 单点登录 （“SSO”）（用于企业和社交终端用户帐户）。让用户使用一组凭证一次性登录，减少攻击面的数量。
• 限制 IP 地址。将专员界面限制 为仅允许来自已批准的特定 IP 地址范围的用户访问。 
• 安全附件访问。要求用户登录其帐户，然后才能通过 激活私密附件访问附件。 
• 恶意软件扫描。管理员应遵循公司指南来管理由我们的 恶意软件扫描标记的附件。 
• 标记为密文。在专员工作区中按需将个人或敏感数据标记为密文 （具有管理员/专员访问权限）。 
• 电邮
  • • 存档客户通讯以用于审核/法律目的。
    • 禁用电邮中的丰富内容 （即非纯文本/HTML）。
    • 停用未使用的支持电邮地址。
    • 在不需要时禁用通配符电邮地址。
    • 启用 SPF、DKIM 和 DMARC 的电邮身份验证，以减少电邮欺骗和企业电邮盗用。
    • 使用 DKIM 来发送电邮，以验证电邮的来源（例如，来自您的组织内部）
    • 对个性化电邮进行设置，以提高透明度，帮助在客户和专员之间建立信任。
• 垃圾邮件。通过被阻止工单通知确保工单没有被错误标为“垃圾信息”。
• 设备跟踪。管理并移除不再使用的用户设备 （具有专员/管理员访问权限）。
• 沙盒环境。我们建议在代码进入生产环境之前使用沙盒环境进行测试和启动。请注意，这仅适用于 Enterprise 服务模式。
• Support 移动应用。如果允许专员通过 Support 手机应用进行访问，如果不允许，请在管理中心的“更多安全设置”下移除移动应用访问。请注意，需要允许对 API 的密码访问才能使移动应用正常工作。 
• 信用卡 (PCI) 数据。自动将信用卡数据信息标记 为密文（可能有限制）或添加 PCI 合规的信用卡字段 
• 日志管理。
  • • 审核日志。管理您的审核日志，跟踪帐户中的更改。通过 API 导出报告或将报告导出为 CSV。仅适用于 Enterprise 服务模式。
    • 工单互动/事件日志。查看在您的帐户中发生的所有操作和通知。  
    • 整合日志。通过管理中心中的此工具跟踪 Support 实例与整合之间的数据同步。
• 终端用户验证更新。需要 终端用户 注册并验证他们的电邮地址。
• 最小权限。限制用户访问以确保用户只能访问任务相关产品。详细了解 Support 用户角色。
• 自定义用户角色。代表访问权限 按用户角色/工作描述。请注意，此功能仅供 Enterprise 服务模式使用。
• 允许列表。定义谁拥有 对您实例的访问 ，以减少敏感数据的暴露和未经授权的系统访问。
• 阻止列表。如果/当您感知到安全受到威胁时，阻止、拒绝或阻止用户访问您的实例。
• 移除帐户/用户。定期审查您帐户中的用户， 阻止/降级 不再需要访问您系统的用户。
• 自定义用户角色。根据用户角色/工作描述分配访问权限。请注意，此功能仅供 Enterprise 使用。
• 将抄送和关注者加入阻止列表更新。阻止他人 在工单上添加工单标签 并通知客户对话，以限制对敏感客户信息的访问，避免数据泄露。
• 限制团队成员和终端用户的非活跃会话长度更新。帮助限制 在必须再次登录之前，可以利用会话的时间窗口，以减少对系统和数据的未授权访问。
• 禁用管理员为用户设置密码的功能更新。强制执行最低权限，并取消设置密码的功能，除非用户通过正常的密码重置流程应用 2FA 并验证其电邮地址。查看 有关设置密码安全级别的更多信息，请参阅此文档 。
• Webhooks。使用 TLS/HTTPS 安全地 连接到 第三方 端点， 例如 应用 程序 或 网站 。
• Zendesk 市场 仅安装您信任的第三方应用程序。要了解更多信息，请参阅 在这里。
• API 访问
  • • 禁用对 API 的密码访问，以限制受保护信息的泄露。
    • API 密钥。让您的管理员设置最小权限访问，以减少有权访问您的 API 和敏感客户数据（例如 PII、PHI 等）的人数。请参阅已 启用 HIPAA 或 HDS 帐户的安全配置要求 了解关于 API 密钥管理的相关信息。 
• OAuth 客户端：安全访问您的 API（和相关数据）。为您的用例选择正确的工作流程类型，如果可能，优先选择授权代码授予或隐式授予，而不是密码授予。请访问 OWASP ，获取行业最佳实践的详细列表。 
• 自定义构建应用和整合 有关 应用 和 整合的最佳实践 ，请访问文档门户。

Guide

• 审阅内容。审阅 Guide 内容以确保 垃圾 信息没有发布到您的帮助中心。 
• API。禁用对 API 的密码访问，以尽量减少敏感数据的暴露。
• API 密钥。让您的管理员设置最小权限访问，以减少有权访问您的 API 的人数以及数据泄露的可能性。
• 限制帮助中心访问更新。应用 IP 地址限制，根据身份验证和细分 限制 用户访问。
• 文章交互操作/事件日志。查看专员对一篇文章执行的所有操作， 以确保遵循公司的最佳实践。
• 专员/别名显示名称。允许专员将其签名个性化，从而增加专员和客户之间的信任，以及专员的在线安全。
• 不安全内容。防止 不安全的内容 显示在您的帮助中心里。 

Chat

• Chat API。让您的管理员设置最小权限访问，以减少可以访问敏感数据的人数。请务必确认以下 限制。 
• 原生文件附件允许列表。限制 文件共享 仅限特定工作任务所需的扩展名。
• 通过 Support 进行门控。跨产品应用级联安全配置（仅适用于 Suite 服务模式）。
• 信用卡 (PCI) 数据。自动将在线交谈和交谈记录中的信用卡数据标记 为密文（可能有限制），以减少数据泄露。
• 专员/别名显示名称。允许专员将其签名个性化，从而增加专员和客户之间的信任，以及专员的在线安全。（独立的 Chat）
• 访问者身份验证。通过密钥或共享密钥启用访问者身份验证 ，以确保只有授权用户可以访问。
• 身份验证控件。使用身份验证控件发送 私密在线交谈附件 （仅适用于专员工作区）。
• 阻止列表。如果用户对您的安全构成风险或违反了公司政策，则阻止、拒绝或阻止他们访问您的帐户。
• 按位置（例如国家/地区或域名）限制 Chat 小组 件，以减少不良行为者和/或恶意国家行为者将您暴露给您的风险。
• 自定义用户角色。根据用户角色/工作描述委托访问 Chat。请注意，此功能仅供 Enterprise 服务模式使用。

Talk

• 通话录音。根据号码、来电人或终端用户选择加入或选择退出通话录音 。
• 删除录音。自动删除录音—启用自动删除演讲录音。
• Talk API 删除录音功能。使用此端点功能 以编程方式删除工单中的录音（如适用）。手动删除还可用于 履行删除义务、被遗忘的权利，以及行业隐私和合规要求。注意：自动标记为密文是一项单独的功能，当前无法用于将语音留言记录副本中的信用卡信息标记为密文。

Explore

• 管理 Explore 权限。根据最小访问权限（具有管理员访问权限）启用 Explore 访问 。
• 设置数据集权限。使用最小访问权限（具有管理员访问权限）设置 数据集权限 。

消息传送 （原生）

• 终端用户身份验证。启用 Web Widget 和移动 SDK 的终端用户身份验证 。 
• 允许列表。仅允许 在特定的域中加载 Web Widget。