Servizio clienti sicuro

Sicurezza Zendesk

Oltre 145.000 clienti affidano i propri dati a Zendesk. Non è una cosa che prendiamo alla leggera. Abbiniamo caratteristiche di sicurezza di classe enterprise a funzioni complete per la verifica di applicazioni, sistemi e reti per garantire la protezione costante dei dati aziendali e dei clienti. I nostri clienti sanno che possono contare sulla protezione dei loro dati, delle loro interazioni e delle loro aziende.

Visualizza scheda tecnica

Sicurezza dei data center e della rete

Sicurezza fisica dei data center
Strutture Zendesk gestisce i dati in hosting principalmente presso data center AWS certificati secondo gli standard ISO 27001, PCI/DSS Service Provider Level 1 e/o SOC II. Ulteriori informazioni sulla conformità garantita da AWS.

I servizi di infrastruttura AWS includono alimentazione di riserva, impianti di climatizzazione e apparecchiature antincendio per aiutare a proteggere i server e i relativi dati. Ulteriori informazioni sui controlli dei data center AWS.
Sicurezza in loco La sicurezza nelle sedi AWS include servizi quali guardie giurate, recinzioni, videocamere di sorveglianza, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza. Ulteriori informazioni sulla sicurezza fisica dei centri AWS.
Sedi di hosting dei dati Zendesk si avvale di data center AWS negli Stati Uniti, in Europa e nell'area Asia Pacifico. Ulteriori informazioni sulle sedi di hosting dei dati di servizio Zendesk.

I clienti possono scegliere che i propri dati di servizio siano gestiti in hosting solo negli USA o solo nello Spazio Economico Europeo**. Ulteriori informazioni sulle opzioni di hosting dei dati in base all'area geografica e limitazioni relative al tipo di dati d servizio.

*Disponibile solo con il componente aggiuntivo di localizzazione del data center.
Sicurezza della rete
Team di sicurezza dedicato Il nostro team di sicurezza, dislocato a livello globale, è attivo 24 al giorno, 7 giorni alla settimana, per rispondere ad allarmi e altri eventi.
Protezione La nostra rete è protetta da efficaci servizi di sicurezza AWS, integrazione con i sistemi di protezione periferica Cloudflare, verifiche regolari e tecnologie di intelligence che controllano e/o bloccano il traffico dannoso e gli attacchi alla rete.
Architettura La nostra architettura di sicurezza della rete si articola in numerose zone di protezione. I sistemi più sensibili, come i server dei database, sono protetti nelle zone più affidabili. Gli altri sistemi sono alloggiati in zone con livelli di protezione proporzionati alla rispettiva criticità, valutata in base a funzione, classificazione dei dati e livello di rischio. In base alla zona, possono venire applicati altri livelli di monitoraggio e controllo degli accessi. Questo approccio stratificato permette di interporre livelli differenziati di affidabilità e protezione tra i sistemi aziendali e Internet, come pure tra le diverse zone della rete interna.
Scansione della vulnerabilità della rete La scansione per la sicurezza della rete offre dati importanti per la rapida identificazione di sistemi non conformi o potenzialmente vulnerabili.
Test di penetrazione di terzi Oltre all'esauriente programma interno di scansione e test, ogni anno Zendesk si affida a esperti di sicurezza esterni per effettuare un rigoroso test di penetrazione nella rete aziendale e di produzione Zendesk.
Sistema di gestione degli eventi di sicurezza (SIEM) Il nostro sistema di gestione degli eventi di sicurezza (SIEM) raccoglie registri di dati completi da importanti dispositivi in rete e sistemi di hosting. Il sistema SIEM si attiva in risposta a trigger che notificano il team di sicurezza in base a eventi correlati che richiedono indagini e risposte.
Rilevamento e prevenzione delle intrusioni I punti di ingresso e uscita del servizio sono monitorati con strumenti atti a rilevare attività anomale. Tali sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano le soglie prestabilite e si avvalgono di firme aggiornate regolarmente in base alle nuove minacce. È inoltre incluso il monitoraggio dei sistemi 24 ore al giorno, 7 giorni alla settimana.
Programma di intelligence delle minacce Zendesk partecipa a svariati programmi di condivisione dell'intelligence relativa alle minacce, monitorandone le reti per prendere le misure più adatte al livello di rischio.
Mitigazione degli attacchi DDoS Zendesk ha progettato un approccio multilivello alla mitigazione degli attacchi DDoS (Distributed Denial of Service). La partnership tecnologica con CloudFlare provvede alla difesa periferica della rete, mentre l'uso di strumenti di scalabilità e protezione AWS fornisce una protezione più approfondita insieme all'utilizzo dei servizi AWS mirati agli attacchi DDoS.
Accesso logico L'accesso alla rete di produzione Zendesk è limitato agli addetti ai lavori in base al principio del "minimo privilegio", è oggetto di frequenti verifiche e monitoraggio ed è controllato dal nostro team operativo. Inoltre, il personale che accede alla rete di produzione Zendesk deve usare un tipo di autenticazione a più fattori.
Risposta alle violazioni della sicurezza In caso di allarme, la gestione degli eventi viene demandata ai nostri team attivi 24 ore al giorno, 7 alla settimana, che provvedono alla salvaguardia delle operazioni, della rete e della protezione. Il personale riceve formazione in merito alle procedure di risposta alle violazioni della sicurezza, inclusi i canali di comunicazione e i percorsi di escalation.
Crittografia
Crittografia DIT Tutte le comunicazioni con le interfacce utente e le API Zendesk sono criptate usando lo standard HTTPS/TLS (TLS 1.2 o superiore) su reti pubbliche, che garantisce la sicurezza del traffico da e per Zendesk. Per le email esiste per impostazione predefinita un livello di protezione ulteriore fornito dal protocollo TLS (Transport Layer Security) opportunistico, che codifica i messaggi e li consegna in tutta sicurezza, mitigando le interferenze tra i server di posta i cui servizi di peer-to-peer supportano questo protocollo. Vi sono eccezioni alla crittografia che possono includere qualsiasi utilizzo di funzionalità SMS all'interno del prodotto e qualunque altra integrazione, servizio o app di terzi. Gli abbonati possono scegliere di avvalersene a propria discrezione.
Crittografia DAR I dati di servizio sono protetti presso AWS con crittografia DAR mediante chiave AES a 256 bit.
Disponibilità e continuità
Disponibilità del sistema Zendesk mette a disposizione del pubblico una pagina web sullo stato del sistema che include dettagli sulla disponibilità dei servizi, interventi di manutenzione programmata, cronologia degli incidenti ed eventi relativi alla sicurezza.
Ridondanza Zendesk si avvale del clustering del servizio e di ridondanze di rete per eliminare i singoli punti di errore. Il nostro rigoroso regime di backup e/o i nostri servizi di disaster recovery avanzato ci consentono di offrire un elevato livello di disponibilità del servizio, poiché i dati di servizio vengono replicati nelle zone di disponibilità.
Disaster recovery Il nostro programma di disaster recovery (DR) garantisce la disponibilità ininterrotta dei nostri servizi e il facile recupero in caso di emergenza, grazie a un solido impianto tecnico, piani di disaster recovery e attività di test.
Disaster recovery avanzato Il pacchetto di disaster recovery avanzato aggiunge gli obiettivi contrattuali RTO e RPO di operatività e recupero del servizio, che sono possibili grazie alla nostra capacità di assegnare priorità alle operazioni dei clienti con disaster recovery avanzato durante un evento di emergenza dichiarato. *Disponibile solo con il componente aggiuntivo di sicurezza avanzata.

Sicurezza delle applicazioni

Sviluppo sicuro (SDLC)
Addestramento alla sicurezza nella programmazione software Almeno una volta all'anno, i nostri tecnici partecipano a un corso di formazione sulla programmazione sicura, che tratta dei 10 principali rischi per la sicurezza secondo il progetto OWASP, dei comuni vettori di attacco e dei controlli di sicurezza Zendesk.
Controlli di sicurezza del framework Zendesk si avvale di moderni e sicuri framework open source con controlli di sicurezza per limitare l'esposizione ai 10 principali rischi per la sicurezza secondo il progetto OWASP. I controlli intrinsechi riducono l'esposizione ai problemi di SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), per citarne alcuni.
Quality Assurance Il nostro reparto di controllo della qualità si occupa di verificare e testare il nostro codice base. I tecnici incaricati della sicurezza delle applicazioni identificano, collaudano e vagliano le vulnerabilità nel codice.
Ambienti separati Gli ambienti di testing e staging sono separati logicamente dall'ambiente di produzione. Durante le fasi di sviluppo e test, non vengono mai usati i dati di servizio.
Gestione delle vulnerabilità
Scansione dinamica delle vulnerabilità Impiegando strumenti di terzi specifici per la sicurezza, sottoponiamo le nostre applicazioni principali a scansioni dinamiche continue, alla ricerca dei 10 principali rischi per la sicurezza secondo il progetto OWASP. Abbiamo in organico un team dedicato alla sicurezza che si occupa di testare e collaborare con i team di tecnici per rimediare quanto prima ai problemi riscontrati.
Analisi statica del codice I repository del codice sorgente, sia per la nostra piattaforma che per le applicazioni mobili, sono sottoposti a scansione tramite strumenti integrati di analisi statica per individuare problemi di sicurezza.
Test di penetrazione di terzi Oltre alle esaurienti scansioni interne e al programma di testing, Zendesk si affida a esperti esterni per effettuare dettagliati test di penetrazione in diverse applicazioni della nostra linea di prodotti.
Programma di "bug bounty" e divulgazione responsabile Il nostro programma di divulgazione responsabile offre ai ricercatori nel campo della sicurezza, così come ai clienti, un canale di testing sicuro e la possibilità di segnalare a Zendesk le vulnerabilità attraverso la partnership con HackerOne.

Caratteristiche di sicurezza del prodotto

Sicurezza dell'autenticazione
Opzioni di autenticazione I clienti possono abilitare l'autenticazione Zendesk nativa, il Single Sign-On (SSO) su social media (Facebook, Twitter, Google) e/o a livello enterprise (SAML, JWT) per l'autenticazione degli utenti finali e/o degli agenti. Ulteriori informazioni sull'accesso da parte degli utenti.
Regole password configurabili L'autenticazione Zendesk nativa dei prodotti, disponibile tramite il Centro amministrativo, fornisce i livelli basso, medio e alto di sicurezza delle password, oltre all'impostazione di regole personalizzate per le password di agenti e amministratori. È inoltre possibile assegnare livelli diversificati di sicurezza delle password a utenti finali, agenti e amministratori. Solo gli amministratori possono cambiare il livello di sicurezza delle password. Ulteriori informazioni sulle regole password configurabili.
Autenticazione a due fattori (2FA) L'autenticazione Zendesk nativa dei prodotti, disponibile tramite il Centro amministrativo, fornisce l'autenticazione a due fattori (2FA) per agenti e amministratori tramite SMS o app di autenticazione. Ulteriori informazioni sull'autenticazione a due fattori (2FA).
Memorizzazione delle credenziali di servizio Zendesk segue le migliori pratiche per la memorizzazione sicura delle credenziali: non salva mai le password in formato leggibile in chiaro, ma solo con una funzione di hash "salted" a senso unico.
Ulteriori caratteristiche di sicurezza del prodotto
Controllo dell'accesso in base al ruolo L'accessibilità ai dati nelle applicazioni Zendesk è regolata dalla funzione RBAC di controllo dell'accesso in base al ruolo e può essere configurata in modo da definire privilegi granulari. Zendesk ha vari livelli di autorizzazioni per gli utenti (proprietario, amministratore, agente, utente finale, ecc.).

Ulteriori informazioni sui ruoli degli utenti:
Per dettagli sulla sicurezza globale e sull'accesso degli utenti, fai clic qui .
Limitazioni IP I prodotti Zendesk possono essere configurati per consentire l'accesso solo a specifici intervalli di indirizzi IP precedentemente definiti. Queste limitazioni possono essere applicate a tutti gli utenti o solo agli agenti.

Ulteriori informazioni sull'uso delle limitazioni IP:
Allegati privati È possibile configurare Zendesk in modo che gli utenti debbano effettuare l'accesso per visualizzare gli allegati ai ticket. Ulteriori informazioni sulla funzione Allegati privati.
Email con firma digitale (DKIM/DMARC) Zendesk Support offre i protocolli DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) per la firma delle email in uscita da Zendesk in presenza di un dominio email esterno. L'uso di un servizio email che supporta queste funzioni è utile per fermare le attività di spoofing. Ulteriori informazioni sulla firma digitale per le email.
Monitoraggio dei dispositivi Zendesk tiene traccia dei dispositivi usati per entrare in ciascun account utente. Quando qualcuno entra in un account da un nuovo dispositivo, questo viene aggiunto all'elenco dei dispositivi nel profilo dell'utente. L'utente interessato può quindi ricevere una notifica email non appena viene aggiunto il nuovo dispositivo, consentendogli di esaminare le attività che sembrano sospette ed eventualmente terminarle dall'interfaccia agente. Ulteriori informazioni sul monitoraggio dei dispositivi.
Mascheramento dei dati sensibili La funzione di mascheramento manuale permette di nascondere o rimuovere i dati sensibili inseriti nei commenti dei ticket Support e di eliminare gli allegati in tutta sicurezza, in modo da proteggere le informazioni riservate. Può essere utile nascondere i dati sensibili dei ticket tramite l'interfaccia utente o l'API per impedirne la memorizzazione in Zendesk. Ulteriori informazioni sul mascheramento tramite interfaccia utente o API.

Il mascheramento automatico offre, sia in Support che in Chat, la possibilità di rimuovere automaticamente sequenze di cifre che corrispondono a numeri di carte di credito valide (CC PAN) e che superano la verifica di Luhn. Ulteriori informazioni sul mascheramento automatico in Support e in Chat.

Zendesk Support offre un campo configurabile a norma PCI per le carte di credito, che elimina tutte le cifre, tranne le ultime quattro. Ulteriori informazioni sulla conformità Zendesk.
Filtro anti-spam per il Centro assistenza Il filtro anti-spam di Zendesk può essere utilizzato per impedire la pubblicazione dei post di spam da parte degli utenti finali nel Centro assistenza. Ulteriori informazioni sul filtro anti-spam per il Centro assistenza.

Certificazioni di conformità e appartenenza ad associazioni

Conformità agli standard di sicurezza
SOC 2 tipo II Ci sottoponiamo a verifiche di routine per ricevere regolarmente report SOC 2 tipo II aggiornati, disponibili su richiesta e dietro firma di un Accordo di non divulgazione. Per maggiori informazioni, contatta security@zendesk.com.
ISO 27001:2013 Zendesk detiene la certificazione ISO 27001:2013. Il certificato è disponibile per il download qui.
ISO 27018:2014 Zendesk detiene la certificazione ISO 27018:2014. Il certificato è disponibile per il download qui.
Appartenenza ad associazioni
Skyhigh Enterprise-Ready Zendesk ha ricevuto l'approvazione Skyhigh Enterprise-Ready™, la valutazione più alta nel programma CloudTrust™. Viene concessa ai servizi di cloud che soddisfano pienamente i più rigorosi requisiti di protezione dei dati, verifica delle identità, sicurezza del servizio, pratiche aziendali e protezione legale.
Cloud Security Alliance Zendesk è membro del Cloud Security Alliance (CSA), un'organizzazione no profit dedicata a promuovere le prassi ottimali per garantire la massima sicurezza nel cloud computing. CSA ha lanciato il programma Security, Trust & Assurance Registry (STAR), un registro pubblico che documenta i controlli di sicurezza forniti da svariati servizi di cloud computing. Abbiamo completato il questionario Consensus Assessment Initiative (CAI), disponibile al pubblico, in base ai risultati dell'autovalutazione sulle obbligazioni assunte.

Il questionario CAI CSA è disponibile per il download qui.
Certificazioni relative alla privacy
Programmi di certificazione della privacy TRUSTe® I programmi, le politiche e le pratiche Zendesk in materia di privacy soddisfano i requisiti dello Scudo per la privacy UE-USA e/o dello Scudo per la privacy Svizzera-USA. Le aziende che aderiscono a questi accordi autocertificano la propria conformità presso il Dipartimento del Commercio degli Stati Uniti, all'indirizzo https://www.privacyshield.gov/list. TRUSTe verifica la conformità di tale autocertificazione ai requisiti del principio supplementare di verifica dello scudo per la privacy.
Certificazione di conformità allo Scudo per la privacy UE-USA e allo Scudo per la privacy Svizzera-USA Zendesk ha certificato la propria conformità ai Framework dello Scudo per la privacy UE-U.S. e dello Scudo per la Privacy Svizzera-U.S. presso il Dipartimento del Commercio degli Stati Uniti, ed è stata perciò aggiunta all'elenco dei partecipanti autocertificati allo Scudo per la privacy del Dipartimento del Commercio. Le nostre certificazioni confermano il rispetto da parte dell'azienda dei Principi dello Scudo per la privacy in relazione al trasferimento di dati personali dall’Europa e dalla Svizzera verso gli Stati Uniti.Ulteriori informazioni sullo Scudo per la privacy.
Informativa sulla privacy Ulteriori informazioni sulla privacy Zendesk.
Conformità agli standard dell'industria
HIPAA I prodotti Zendesk forniscono opzioni di configurazione riguardanti la sicurezza che permettono ai clienti di adempiere agli obblighi previsti dal regolamento HIPAA. Inoltre, mettiamo a disposizione degli abbonati il relativo accordo BAA (Business Associate Agreement).

*L'accordo BAA è disponibile solo con l'acquisto del componente aggiuntivo di sicurezza avanzata ed è applicabile solo ad alcuni prodotti Zendesk (sono previste speciali regole di configurazione).
PCI Visualizza il nostro whitepaper sulla conformità PCI o scopri i dettagli del campo conforme allo standard PCI per Zendesk Support.

*È necessario un account Enterprise.
Per la nostra attestazione di conformità PCI (AoC) e il certificato di conformità, scrivi all'indirizzo security@zendesk.com

Sicurezza per le risorse umane

Approfondimenti sulla sicurezza
Policy Zendesk ha sviluppato una serie completa di policy sulla sicurezza che coprono una vasta gamma di argomenti. Queste misure vengono rese disponibili e condivise con tutti i dipendenti e i contrattisti con accesso alle informazioni Zendesk.
Formazione Al momento dell'assunzione, tutti i dipendenti devono seguire un corso di formazione sulla sicurezza, che successivamente dovrà essere ripetuto con cadenza annuale. Tutto il personale tecnico riceve addestramento sulla sicurezza nella programmazione software. Il team preposto alla sicurezza si occupa di inviare ulteriori aggiornamenti tramite email, post sul blog e presentazioni durante eventi interni.
Controlli sui dipendenti
Verifica dei precedenti penali e di altro tipo Zendesk verifica i precedenti di tutti i nuovi assunti in osservanza alle leggi locali. Questi controlli si estendono anche ai contrattisti e al personale di pulizia e includono la fedina penale, la carriera scolastica e le precedenti esperienze lavorative.
Accordi di riservatezza A tutti i nuovi dipendenti viene richiesto di firmare un Accordo di riservatezza e non divulgazione.

Risorse di sicurezza scaricabili

Anche le nostre risorse sono protette. Per ottenere l'accesso, compila il breve modulo qui sotto.

Inserisci il tuo nome
Inserisci il tuo cognome
Inserisci un indirizzo email valido
Seleziona il tuo Paese

Abbiamo quasi finito. Descrivi la tua azienda.

Inserisci il nome della tua azienda
Seleziona il numero di dipendenti
Seleziona il tuo settore industriale
Inviatemi anche eventuali email sui prodotti e servizi Zendesk. (Puoi annullare l'iscrizione in qualsiasi momento.)
Seleziona un'opzione.

La richiesta è stata inviata.

Uno dei nostri rappresentanti ti contatterà a breve.

Si è verificato un problema.

Aggiorna la pagina e riprova oppure inviaci un'email all'indirizzo support@zendesk.com.

Invio della richiesta in corso. Attendi...

Se devi accedere al nostro report SOC 2, scrivi all'indirizzo security@zendesk.com.