Servizio clienti sicuro

Protezione a tutto tondo

Zendesk prende molto sul serio la sicurezza – lo possono testimoniare le aziende Fortune 100 e Fortune 500 che si affidano ai nostri prodotti. Abbiniamo caratteristiche di sicurezza di classe enterprise a funzioni complete per la verifica di applicazioni, sistemi e reti per garantire la protezione costante dei dati dei nostri clienti e, di conseguenza, quelli dei loro clienti.

Certificazioni di conformità e appartenenza ad associazioni

Seguiamo le prassi ottimali e gli standard dell'industria per garantire la conformità ai requisiti di sicurezza e privacy comunemente accettati in questo settore, il che aiuta i nostri clienti a soddisfare a loro volta gli standard applicabili.

Conformità agli standard di sicurezza
SOC 2 tipo II

Ci sottoponiamo a verifiche di routine per ricevere regolarmente report SOC 2 tipo II aggiornati, disponibili su richiesta e dietro firma di un Accordo di non divulgazione. Il più recente report SOC 2 tipo II è disponibile su richiesta qui.

ISO 27001:2013

Zendesk detiene la certificazione ISO 27001:2013. Il certificato è disponibile per il download qui.

ISO 27018:2014

Zendesk detiene la certificazione ISO 27018:2014. Il certificato è disponibile per il download qui.

FedRAMP LI-SaaS

Zendesk ha ricevuto l'autorizzazione Li-SaS (Low Impact Software-as-a-Service) nell'ambito del programma statunitense FedRAMP ed è elencata nel marketplace FedRAMP. I clienti di enti pubblici statunitensi possono richiedere l'accesso al Pacchetto sicurezza Zendesk FedRAMP compilando l'apposito modulo di domanda qui o inviando una richiesta a fedramp@zendesk.com.

Conformità agli standard dell'industria
HIPAA

I prodotti Zendesk forniscono opzioni di configurazione riguardanti la sicurezza che permettono ai clienti di adempiere agli obblighi previsti dal regolamento HIPAA. Inoltre, possiamo mettere a disposizione degli abbonati il relativo accordo BAA (Business Associate Agreement).

*L'accordo BAA è disponibile solo con l'acquisto del componente aggiuntivo di conformità avanzata ed è applicabile solo ad alcuni prodotti Zendesk (sono previsti speciali requisiti di configurazione).

PCI DSS

Visualizza il nostro whitepaper sulla conformità PCI o scopri i dettagli del campo conforme allo standard PCI per Zendesk Support.

*È necessario un account Enterprise

Per la nostra attestazione di conformità PCI (AoC) e il certificato di conformità, fai clic qui.

Appartenenza ad associazioni
Skyhigh Enterprise-Ready

Zendesk ha ricevuto l'approvazione Skyhigh Enterprise-Ready™, la valutazione più alta nel programma CloudTrust™. Viene concessa ai servizi di cloud che soddisfano pienamente i più rigorosi requisiti di protezione dei dati, verifica delle identità, sicurezza del servizio, pratiche aziendali e protezione legale.

Cloud Security Alliance

Zendesk è membro del Cloud Security Alliance (CSA), un'organizzazione no profit dedicata a promuovere le prassi ottimali per garantire la massima sicurezza nel cloud computing. CSA ha lanciato il programma Security, Trust & Assurance Registry (STAR), un registro pubblico che documenta i controlli di sicurezza forniti da svariati servizi di cloud computing. Abbiamo completato il questionario Consensus Assessment Initiative (CAI), disponibile al pubblico, in base ai risultati dell'autovalutazione sulle obbligazioni assunte.

Il questionario CAIQ della CSA è disponibile per il download qui.

IT-ISAC

Zendesk è membro di IT-ISAC, un gruppo focalizzato sulla cooperazione tra svariate aziende del settore privato per sfruttare le tecnologie in evoluzione e condividere l'impegno verso la sicurezza. IT-ISAC facilita la collaborazione e la condivisione di informazioni pertinenti e fruibili, oltre a pratiche di intelligence sulle minacce informatiche. La struttura modera gruppi di interesse speciali che si concentrano su intelligence, insider threat, sicurezza fisica e altre tematiche specifiche per aiutare a rafforzare la nostra missione: proteggere Zendesk.

Nome

Zendesk è membro di FIRST, una confederazione internazionale di team di risposta agli incidenti che gestisce le violazioni della sicurezza informatica e promuove programmi di prevenzione degli incidenti. I membri di FIRST sviluppano e condividono informazioni tecniche, strumenti, metodologie, processi e prassi ottimali. In qualità di membro di FIRST, Zendesk Security collabora con altri membri per applicare conoscenze, competenze ed esperienze al fine di promuovere un ambiente elettronico globale più sicuro e meglio protetto.

Certificazioni relative alla privacy e protezione dei dati
Risorse legali

Per informazioni sulle nostre politiche legali e sulla privacy, puoi visitare i siti seguenti.

Artefatti

Su richiesta, possiamo fornire un ampio numero di risorse a questo riguardo.

Risorse per il download diretto (non soggette a NDA)

Per accedere alle seguenti risorse scaricabili liberamente, fai clic sul pulsante in basso:

Certificazione ISO 27001:2013

Certificazione ISO 27018:2014

Report SOC3

Scheda tecnica / Whitepaper

Attestazione di conformità PCI (AoC) e certificato di conformità

Diagrammi di architettura di rete

  • Support / Guide
  • Chat
  • Talk

CAIQ CSA

Scarica risorse
Risorse soggette a NDA

Le risorse seguenti potrebbero richiedere la firma di un accordo di non divulgazione. Per accedervi, fai clic sul pulsante qui sotto.

Certificato di assicurazione

Report SOC 2 Tipo II

Riepilogo del test annuale di penetrazione

Riepilogo del test di continuità operativa e disaster recovery

SIG Lite

VSA

Scarica risorse

Sicurezza sul cloud

Sicurezza fisica dei data center
Strutture

Zendesk gestisce i dati in hosting principalmente presso centri dati AWS certificati secondo gli standard ISO 27001, PCI DSS Service Provider Level 1 e/o SOC 2. Ulteriori informazioni sulla conformità AWS.

I servizi di infrastruttura AWS includono alimentazione di riserva, impianti di climatizzazione e apparecchiature antincendio per aiutare a proteggere i server e i relativi dati. Ulteriori informazioni sui controlli dei data center AWS.

Sicurezza in loco

La sicurezza nelle sedi AWS include servizi quali guardie giurate, recinzioni, videocamere di sorveglianza, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza. Ulteriori informazioni sulla sicurezza fisica dei centri AWS.

Sedi di hosting dei dati

Zendesk si avvale di data center AWS negli Stati Uniti, in Europa e nell'area Asia Pacifico. Ulteriori informazioni sulle sedi di hosting dei dati di servizio Zendesk.

I clienti possono scegliere l'hosting dei propri dati solo negli USA o solo nello Spazio Economico Europeo.* Ulteriori informazioni sulle opzioni di hosting dei dati in base all'area geografica e alle limitazioni sui tipi di dati di servizio.

*Disponibile solo con il componente aggiuntivo di localizzazione del data center.

Sicurezza della rete
Team di sicurezza dedicato

Il nostro team di sicurezza, dislocato a livello globale, è attivo 24 al giorno, 7 giorni alla settimana, per rispondere ad allarmi e altri eventi.

Protezione

La nostra rete è protetta da efficaci servizi di sicurezza AWS, integrazione con i sistemi di protezione periferica Cloudflare, verifiche regolari e tecnologie di intelligence che controllano e/o bloccano il traffico dannoso e gli attacchi alla rete.

La nostra architettura di sicurezza della rete si articola in numerose zone di protezione. I sistemi più sensibili, come i server dei database, sono protetti nelle zone più affidabili. Gli altri sistemi sono alloggiati in zone con livelli di protezione proporzionati alla rispettiva criticità, valutata in base a funzione, classificazione dei dati e livello di rischio. In base alla zona, possono venire applicati altri livelli di monitoraggio e controllo degli accessi. Questo approccio stratificato permette di interporre livelli differenziati di affidabilità e protezione tra i sistemi aziendali e Internet, come pure tra le diverse zone della rete interna.

Scansione della vulnerabilità della rete

La scansione per la sicurezza della rete offre dati importanti per la rapida identificazione di sistemi non conformi o potenzialmente vulnerabili.

Test di penetrazione di terzi

Oltre all'esauriente programma interno di scansione e test, ogni anno Zendesk si affida a esperti di sicurezza esterni per effettuare un rigoroso test di penetrazione nella rete aziendale e di produzione Zendesk.

Sistema di gestione degli eventi di sicurezza

Il nostro sistema di gestione degli eventi di sicurezza (SIEM) raccoglie registri di dati completi da importanti dispositivi in rete e sistemi di hosting. Il sistema SIEM si attiva in risposta a trigger che notificano il team di sicurezza in base a eventi correlati che richiedono indagini e risposte.

Rilevamento e prevenzione delle intrusioni

I punti di ingresso e uscita del servizio sono monitorati con strumenti atti a rilevare attività anomale. Tali sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano le soglie prestabilite e si avvalgono di firme aggiornate regolarmente in base alle nuove minacce. È inoltre incluso il monitoraggio dei sistemi 24 ore al giorno, 7 giorni alla settimana.

Programma di intelligence delle minacce

Zendesk partecipa a svariati programmi di condivisione dell'intelligence relativa alle minacce, monitorandone le reti per prendere le misure più adatte al livello di rischio.

Mitigazione degli attacchi DDoS

Zendesk ha progettato un approccio multilivello alla mitigazione degli attacchi DDoS (Distributed Denial of Service). La partnership tecnologica con CloudFlare provvede alla difesa periferica della rete, mentre l'uso di strumenti di scalabilità e protezione AWS fornisce una protezione più approfondita insieme all'utilizzo dei servizi AWS mirati agli attacchi DDoS.

Accesso logico

L'accesso alla rete di produzione Zendesk è limitato agli addetti ai lavori in base al principio del "minimo privilegio", è oggetto di frequenti verifiche e monitoraggio ed è controllato dal nostro team operativo. Inoltre, il personale che accede alla rete di produzione Zendesk deve usare un tipo di autenticazione a più fattori.

Risposta alle violazioni della sicurezza

In caso di allarme, la gestione degli eventi viene demandata ai nostri team attivi 24 ore al giorno, 7 alla settimana, che provvedono alla salvaguardia delle operazioni, della rete e della protezione. Il personale riceve formazione in merito alle procedure di risposta alle violazioni della sicurezza, inclusi i canali di comunicazione e i percorsi di escalation.

Crittografia
Crittografia DIT

Tutte le comunicazioni con le interfacce utente e le API Zendesk sono criptate usando lo standard HTTPS/TLS (TLS 1.2 o superiore) su reti pubbliche, che garantisce la sicurezza del traffico da e per Zendesk. Per le email esiste per impostazione predefinita un livello di protezione ulteriore fornito dal protocollo TLS (Transport Layer Security) opportunistico, che codifica i messaggi e li consegna in tutta sicurezza, mitigando le interferenze tra i server di posta i cui servizi di peer-to-peer supportano questo protocollo. Vi sono eccezioni alla crittografia che possono includere qualsiasi utilizzo di funzionalità SMS all'interno del prodotto e qualunque altra integrazione, servizio o app di terzi. Gli abbonati possono scegliere di avvalersene a propria discrezione.

Crittografia DAR

I dati di servizio sono protetti presso AWS con crittografia DAR mediante chiave AES a 256 bit.

Disponibilità e continuità
Disponibilità del sistema

Zendesk mette a disposizione del pubblico una pagina web sullo stato del sistema che include dettagli sulla disponibilità dei servizi, interventi di manutenzione programmata, cronologia degli incidenti ed eventi relativi alla sicurezza.

Ridondanza

Zendesk si avvale del clustering del servizio e di ridondanze di rete per eliminare i singoli punti di errore. Il nostro rigoroso regime di backup e/o i nostri servizi di disaster recovery avanzato ci consentono di offrire un elevato livello di disponibilità del servizio, poiché i dati di servizio vengono replicati nelle zone di disponibilità.

Disaster recovery

Il nostro programma di disaster recovery (DR) garantisce la disponibilità ininterrotta dei nostri servizi e il facile recupero in caso di emergenza, grazie a un solido impianto tecnico, piani di disaster recovery e attività di test.

Disaster recovery avanzato

Il pacchetto di disaster recovery avanzato aggiunge gli obiettivi contrattuali RTO e RPO di operatività e recupero del servizio, che sono possibili grazie alla nostra capacità di assegnare priorità alle operazioni dei clienti con disaster recovery avanzato durante un evento di emergenza dichiarato.

*Disponibile solo con l'acquisto del componente aggiuntivo di disaster recovery avanzato.

Sicurezza delle applicazioni

Sviluppo sicuro (SDLC)
Addestramento alla sicurezza nella programmazione software

Almeno una volta all'anno, i nostri tecnici partecipano a un corso di formazione sulla programmazione sicura, che tratta dei 10 principali rischi per la sicurezza secondo il progetto OWASP, dei comuni vettori di attacco e dei controlli di sicurezza Zendesk.

Controlli di sicurezza del framework

Zendesk si avvale di moderni e sicuri framework open source con controlli di sicurezza per limitare l'esposizione ai 10 principali rischi per la sicurezza secondo il progetto OWASP. I controlli intrinsechi riducono l'esposizione ai problemi di SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), per citarne alcuni.

Quality Assurance

Il nostro reparto di controllo della qualità si occupa di verificare e testare il nostro codice base. I tecnici incaricati della sicurezza delle applicazioni identificano, collaudano e vagliano le vulnerabilità nel codice.

Ambienti separati

Gli ambienti di testing e staging sono separati logicamente dall'ambiente di produzione. Durante le fasi di sviluppo e test, non vengono mai usati i dati di servizio.

Gestione delle vulnerabilità
Scansione dinamica delle vulnerabilità

Impiegando strumenti di terzi specifici per la sicurezza, sottoponiamo le nostre applicazioni principali a scansioni dinamiche continue, alla ricerca dei 10 principali rischi per la sicurezza secondo il progetto OWASP. Abbiamo in organico un team dedicato alla sicurezza che si occupa di testare e collaborare con i team di tecnici per rimediare quanto prima ai problemi riscontrati.

Analisi statica del codice

I repository del codice sorgente, sia per la nostra piattaforma che per le applicazioni mobili, sono sottoposti a scansione tramite strumenti integrati di analisi statica per individuare problemi di sicurezza.

Test di penetrazione di terzi

Oltre alle esaurienti scansioni interne e al programma di testing, Zendesk si affida a esperti esterni per effettuare dettagliati test di penetrazione in diverse applicazioni della nostra linea di prodotti.

Programma di "bug bounty" e divulgazione responsabile

Il nostro programma di divulgazione responsabile offre ai ricercatori nel campo della sicurezza, così come ai clienti, un canale di testing sicuro e la possibilità di segnalare a Zendesk le vulnerabilità attraverso la partnership con HackerOne.

Sicurezza del prodotto

Sicurezza dell'autenticazione
Opzioni di autenticazione

I clienti possono abilitare l'autenticazione Zendesk nativa, il Single Sign-On (SSO) su social media (Facebook, Twitter, Google) e/o a livello enterprise (SAML, JWT) per l'autenticazione degli utenti finali e/o degli agenti. Ulteriori informazioni sull'accesso da parte degli utenti.

Regole password configurabili

L'autenticazione Zendesk nativa dei prodotti, disponibile tramite il Centro amministrativo, fornisce i livelli basso, medio e alto di sicurezza delle password, oltre all'impostazione di regole personalizzate per le password di agenti e amministratori. È inoltre possibile assegnare livelli diversificati di sicurezza delle password a utenti finali, agenti e amministratori. Solo gli amministratori possono cambiare il livello di sicurezza delle password. Ulteriori informazioni sulle regole password configurabili.

Autenticazione a due fattori (2FA)

L'autenticazione Zendesk nativa dei prodotti, disponibile tramite il Centro amministrativo, fornisce l'autenticazione a due fattori (2FA) per agenti e amministratori tramite SMS o app di autenticazione. Ulteriori informazioni sull'autenticazione a 2 fattori.

Memorizzazione delle credenziali di servizio

Zendesk segue le migliori pratiche per la memorizzazione sicura delle credenziali: non salva mai le password in formato leggibile in chiaro, ma solo con una funzione di hash "salted" a senso unico.

Ulteriori caratteristiche di sicurezza del prodotto
Controllo dell'accesso in base al ruolo

L'accessibilità ai dati nelle applicazioni Zendesk è regolata dalla funzione RBAC di controllo dell'accesso in base al ruolo e può essere configurata in modo da definire privilegi granulari. Zendesk ha vari livelli di autorizzazioni per gli utenti (proprietario, amministratore, agente, utente finale, ecc.).

Ulteriori informazioni sui ruoli degli utenti:

Per dettagli sulla sicurezza globale e sull'accesso degli utenti, fai clic qui.

Limitazioni IP

I prodotti Zendesk possono essere configurati per consentire l'accesso solo a specifici intervalli di indirizzi IP precedentemente definiti. Queste limitazioni possono essere applicate a tutti gli utenti o solo agli agenti. Ulteriori informazioni sull'uso delle limitazioni IP:

Allegati privati

È possibile configurare Zendesk in modo che gli utenti debbano effettuare l'accesso per visualizzare gli allegati ai ticket. Ulteriori informazioni sulla funzione Allegati privati.

Email con firma digitale (DKIM/DMARC)

Zendesk offre i protocolli DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) per la firma delle email in uscita da Zendesk in presenza di un dominio email esterno. L'uso di un servizio email che supporta queste funzioni è utile per fermare le attività di spoofing. Ulteriori informazioni sulla firma digitale per le email.

Monitoraggio dei dispositivi

Zendesk tiene traccia dei dispositivi usati per entrare in ciascun account utente. Quando qualcuno entra in un account da un nuovo dispositivo, questo viene aggiunto all'elenco dei dispositivi nel profilo dell'utente. L'utente interessato può quindi ricevere una notifica email non appena viene aggiunto il nuovo dispositivo, consentendogli di esaminare le attività che sembrano sospette ed eventualmente terminarle dall'interfaccia agente. Ulteriori informazioni sul monitoraggio dei dispositivi.

Mascheramento dei dati sensibili

La funzione di mascheramento manuale permette di nascondere o rimuovere i dati sensibili inseriti nei commenti dei ticket Support e di eliminare gli allegati in tutta sicurezza, in modo da proteggere le informazioni riservate. Può essere utile nascondere i dati sensibili dei ticket tramite l'interfaccia utente o l'API per impedirne la memorizzazione in Zendesk. Ulteriori informazioni sul mascheramento tramite interfaccia utente o API.

Il mascheramento automatico offre, sia in Support che in Chat, la possibilità di rimuovere automaticamente sequenze di cifre che corrispondono a numeri di carte di credito valide (CC PAN) e che superano la verifica di Luhn. Ulteriori informazioni sul mascheramento automatico in Support e in Chat.

Zendesk Support offre un campo configurabile a norma PCI per le carte di credito, che elimina tutte le cifre, tranne le ultime quattro. Ulteriori informazioni sulla conformità PCI di Zendesk.

Filtro anti-spam per il Centro assistenza

Il filtro anti-spam di Zendesk può essere utilizzato per impedire la pubblicazione dei post di spam da parte degli utenti finali nel Centro assistenza. Ulteriori informazioni sul filtro anti-spam per il Centro assistenza.

Sicurezza per le risorse umane

Approfondimenti sulla sicurezza
Policy

Zendesk ha sviluppato una serie completa di policy sulla sicurezza che coprono una vasta gamma di argomenti. Queste misure vengono rese disponibili e condivise con tutti i dipendenti e i contrattisti con accesso alle informazioni Zendesk.

Formazione

Al momento dell'assunzione, tutti i dipendenti devono seguire un corso di formazione sulla sicurezza, che successivamente dovrà essere ripetuto con cadenza annuale. Tutto il personale tecnico riceve addestramento sulla sicurezza nella programmazione software. Il team preposto alla sicurezza si occupa di inviare ulteriori aggiornamenti tramite email, post sul blog e presentazioni durante eventi interni.

Controlli sui dipendenti
Verifica dei precedenti penali e di altro tipo

Zendesk verifica i precedenti di tutti i nuovi assunti in osservanza alle leggi locali. Questi controlli si estendono anche ai contrattisti e al personale di pulizia e includono la fedina penale, la carriera scolastica e le precedenti esperienze lavorative.

Accordi di riservatezza

A tutti i nuovi dipendenti viene richiesto di firmare un Accordo di riservatezza e non divulgazione.