Servizio clienti sicuro

Sicurezza Zendesk

Oltre 140.000 clienti affidano i propri dati a Zendesk. Non è una cosa che prendiamo alla leggera. Abbiniamo caratteristiche di sicurezza di classe enterprise a funzioni complete per la verifica di applicazioni, sistemi e reti per garantire la protezione costante dei dati aziendali e dei clienti. I nostri clienti sanno che possono contare sulla protezione dei loro dati, delle loro interazioni e delle loro aziende.

Visualizza scheda tecnica

Sicurezza dei data center e della rete

Sicurezza fisica
Strutture Zendesk gestisce i dati in hosting presso data center AWS certificati secondo gli standard ISO 27001, PCI/DSS Service Provider Level 1 e/o SOC II.

I servizi di infrastruttura AWS includono alimentazione di riserva, impianti di climatizzazione e apparecchiature antincendio per aiutare a proteggere i server e i relativi dati.
Sicurezza in loco La sicurezza nelle sedi AWS include servizi quali guardie giurate, recinzioni, videocamere di sorveglianza, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza. Ulteriori informazioni sulla sicurezza fisica dei centri AWS.
Monitoraggio Tutti i sistemi della rete di produzione, i dispositivi in rete e i circuiti sono monitorati costantemente e amministrati logicamente dallo staff Zendesk. La sicurezza fisica, l'alimentazione elettrica e la connettività a Internet sono monitorate da AWS.
Sedi Zendesk si avvale di data center AWS negli Stati Uniti, in Europa e nell'area Asia Pacifico. I clienti possono scegliere l'hosting dei propri dati di servizio solo negli USA o solo in Europa* (al momento, Zendesk Chat è solo in Europa). Ulteriori informazioni sulle opzioni di hosting dei dati in base all'area geografica.

*Disponibile solo con il componente aggiuntivo di localizzazione del data center.
Sicurezza della rete
Team di sicurezza dedicato Il nostro team di sicurezza, dislocato a livello globale, è attivo 24 al giorno, 7 giorni alla settimana, per rispondere ad allarmi e altri eventi.
Protezione La nostra rete è protetta da efficaci servizi di sicurezza AWS, integrazione con i sistemi di protezione periferica Cloudflare, verifiche regolari e tecnologie di intelligence che controllano e/o bloccano il traffico dannoso e gli attacchi alla rete.
Architettura La nostra architettura di sicurezza della rete si articola in numerose zone di protezione. I sistemi più sensibili, come i server dei database, sono protetti nelle zone più affidabili. Gli altri sistemi sono alloggiati in zone con livelli di protezione proporzionati alla rispettiva criticità, valutata in base a funzione, classificazione dei dati e livello di rischio. In base alla zona, possono venire applicati altri livelli di monitoraggio e controllo degli accessi. Questo approccio stratificato permette di interporre livelli differenziati di affidabilità e protezione tra i sistemi aziendali e Internet, come pure tra le diverse zone della rete interna.
Scansione della vulnerabilità della rete La scansione per la sicurezza della rete offre dati importanti per la rapida identificazione di sistemi non conformi o potenzialmente vulnerabili.
Test di penetrazione di terzi Oltre all'esauriente programma interno di scansione e test, ogni anno Zendesk si affida a esperti di sicurezza esterni per effettuare un rigoroso test di penetrazione nella rete di produzione Zendesk.
Sistema di gestione degli eventi di sicurezza (SIEM) Il nostro sistema di gestione degli eventi di sicurezza (SIEM) raccoglie registri di dati completi da importanti dispositivi in rete e sistemi di hosting. Il sistema SIEM si attiva in risposta a trigger che notificano il team di sicurezza in base a eventi correlati che richiedono indagini e risposte.
Rilevamento e prevenzione delle intrusioni I punti di ingresso e uscita del servizio sono monitorati con strumenti atti a rilevare attività anomale. Tali sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano le soglie prestabilite e si avvalgono di firme aggiornate regolarmente in base alle nuove minacce. È inoltre incluso il monitoraggio dei sistemi 24 ore al giorno, 7 giorni alla settimana.
Programma di intelligence delle minacce Zendesk partecipa a svariati programmi di condivisione dell'intelligence relativa alle minacce, monitorandone le reti per prendere le misure più adatte a livello di rischio e di esposizione.
Mitigazione degli attacchi DDoS Zendesk ha progettato un approccio multilivello alla mitigazione degli attacchi DDoS (Distributed Denial of Service). La partnership tecnologica con CloudFlare provvede alla difesa periferica della rete, mentre l'uso di strumenti di scalabilità e protezione AWS fornisce una protezione più approfondita insieme all'utilizzo dei servizi AWS mirati agli attacchi DDoS.
Accesso logico L'accesso alla rete di produzione Zendesk è limitato agli addetti ai lavori in base al principio del "minimo privilegio", è oggetto di frequenti verifiche e monitoraggio ed è controllato dal nostro team operativo. Inoltre, il personale che accede alla rete di produzione Zendesk deve usare un tipo di autenticazione a più fattori.
Risposta alle violazioni della sicurezza In caso di allarme, la gestione degli eventi viene demandata ai nostri team attivi 24 ore al giorno, 7 alla settimana, che provvedono alla salvaguardia delle operazioni, della rete e della protezione. Il personale riceve formazione in merito alle procedure di risposta alle violazioni della sicurezza, inclusi i canali di comunicazione e i percorsi di escalation.
Crittografia
Crittografia DIT Le comunicazioni tra gli utenti e i server Zendesk Support e Chat sono crittografate tramite i protocolli HTTPS e TLS (Transport Layer Security) su reti pubbliche, i più usati nel settore. Il TLS viene usato anche per la crittografia delle email.
Crittografia DAR I clienti Zendesk usufruiscono della protezione offerta dalla crittografia DAR, mentre i dati di servizio sono protetti presso AWS con crittografia DAR mediante chiave AES a 256 bit.
Disponibilità e continuità
Disponibilità del sistema Zendesk mette a disposizione del pubblico una pagina web sullo stato del sistema che include dettagli sulla disponibilità dei servizi, interventi di manutenzione programmata, cronologia degli incidenti ed eventi relativi alla sicurezza.
Ridondanza Zendesk si avvale del clustering del servizio e di ridondanze di rete per eliminare i singoli punti di errore. Il nostro rigoroso regime di backup e/o i nostri servizi di disaster recovery avanzato ci consentono di offrire un elevato livello di disponibilità del servizio, poiché i dati di servizio vengono replicati nelle zone di disponibilità.
Disaster recovery Il nostro programma di disaster recovery (DR) garantisce la disponibilità ininterrotta dei nostri servizi o il facile recupero in caso di emergenza, grazie a un solido impianto tecnico, piani di disaster recovery e attività di test.
Disaster recovery avanzato Il pacchetto di disaster recovery avanzato aggiunge gli obiettivi contrattuali RTO e RPO di operatività e recupero del servizio, che sono possibili grazie alla nostra capacità di assegnare priorità alle operazioni dei clienti con disaster recovery avanzato durante un evento di emergenza dichiarato. *Disponibile solo con il componente aggiuntivo di sicurezza avanzata.

Sicurezza delle applicazioni

Sviluppo sicuro (SDLC)
Addestramento alla sicurezza Almeno una volta all'anno, i nostri tecnici partecipano a un corso di formazione sulla programmazione sicura, che tratta dei 10 principali rischi per la sicurezza secondo il progetto OWASP, dei comuni vettori di attacco e dei controlli di sicurezza Zendesk.
Controlli di sicurezza del framework Ruby on Rails La maggior parte dei prodotti Zendesk si avvale dei controlli di sicurezza del framework Ruby on Rails per limitare l'esposizione ai 10 principali rischi per la sicurezza secondo il progetto OWASP. I controlli intrinsechi riducono l'esposizione ai problemi di Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e SQL Injection (SQLi), per citarne alcuni.
Controllo qualità Il nostro reparto di controllo della qualità si occupa di verificare e testare il nostro codice base. I tecnici incaricati della sicurezza delle applicazioni identificano, collaudano e vagliano le vulnerabilità nel codice.
Ambienti separati Gli ambienti di testing e staging sono separati logicamente dall'ambiente di produzione. Durante le fasi di sviluppo e test, non vengono mai usati i dati reali del servizio.
Vulnerabilità delle applicazioni
Scansione dinamica delle vulnerabilità Impiegando strumenti di terzi specifici per la sicurezza, sottoponiamo le nostre applicazioni principali a scansioni dinamiche continue, alla ricerca dei 10 principali rischi per la sicurezza secondo il progetto OWASP. Abbiamo in organico un team dedicato alla sicurezza che si occupa di testare e collaborare con i team di tecnici per rimediare quanto prima ai problemi riscontrati.
Analisi statica del codice I repository del codice sorgente, sia per la nostra piattaforma che per le applicazioni mobili, sono sottoposti a scansione tramite strumenti integrati di analisi statica per individuare problemi di sicurezza.
Test di penetrazione di sicurezza Oltre alle esaurienti scansioni interne e al programma di testing, ogni trimestre Zendesk si affida a esperti esterni per effettuare dettagliati test di penetrazione in diverse applicazioni della nostra linea di prodotti.
Programma di "bug bounty" e divulgazione responsabile Il nostro programma di divulgazione responsabile offre ai ricercatori nel campo della sicurezza, così come ai clienti, un canale di testing sicuro e la possibilità di segnalare a Zendesk le vulnerabilità attraverso la partnership con HackerOne.

Caratteristiche di sicurezza del prodotto

Sicurezza dell'autenticazione
Opzioni di autenticazione Per gli amministratori e gli agenti di Support e Chat, offriamo l'accesso a Zendesk con credenziali ordinarie, mentre in Zendesk Support è possibile attivare anche la modalità SSO e l'autenticazione Google.

Per gli utenti finali di Support e Chat, offriamo l'accesso a Zendesk con credenziali ordinarie, mentre in Zendesk Support è possibile attivare anche la modalità SSO e l'autenticazione SSO tramite social media (Facebook, Twitter, Google).
Single Sign-On (SSO) Il Single Sign-On (SSO) permette di autenticare gli utenti nei propri sistemi senza che debbano inserire credenziali aggiuntive per l'accesso a Zendesk Support. Sono supportati sia il linguaggio JSON Web Token (JWT) che il linguaggio Security Assertion Markup Language (SAML). Ulteriori informazioni sulle impostazioni di sicurezza e di accesso.

Regole password configurabili Zendesk Support e Guide forniscono i livelli basso, medio e alto di sicurezza delle password, oltre all'impostazione di regole personalizzate per le password di agenti e amministratori. È inoltre possibile assegnare livelli diversificati di sicurezza delle password a utenti finali, agenti e amministratori. Solo gli amministratori possono cambiare il livello di sicurezza delle password.
Autenticazione a due fattori (2FA) Chi accede a Zendesk Support con credenziali ordinarie può attivare l'autenticazione a 2 fattori (2FA) per gli agenti e gli amministratori. Zendesk supporta la generazione di codici di sicurezza tramite SMS e svariate app di autenticazione. Permette anche di sfruttare il protocollo 2FA nel proprio ambiente operativo, abbinando l'accesso SSO aziendale come metodo di autenticazione a Zendesk. L'autenticazione a 2 fattori fornisce un ulteriore livello di protezione dell'account Zendesk in quanto rende più difficile l'assunzione di una falsa identità. Ulteriori informazioni sull'autenticazione a 2 fattori.
Memorizzazione sicura delle credenziali Zendesk segue le migliori pratiche per la memorizzazione sicura delle credenziali: non salva mai le password in formato leggibile in chiaro, ma solo con una funzione di hash "salted" a senso unico.
Sicurezza API e autenticazione L'API Zendesk Support accetta solo il protocollo TLS. È possibile effettuare un'autenticazione API di base con nome utente e password o usare il nome utente e il token API. È anche supportata l'autenticazione OAuth. Ulteriori informazioni sulla sicurezza API.
Ulteriori caratteristiche di sicurezza del prodotto
Controllo dell'accesso in base al ruolo L'accessibilità ai dati nelle applicazioni Zendesk è regolata dalla funzione RBAC di controllo dell'accesso in base al ruolo e può essere configurata in modo da definire privilegi granulari. Zendesk ha vari livelli di autorizzazioni per gli utenti (proprietario, amministratore, agente, utente finale, ecc.). Ulteriori informazioni sui ruoli degli utenti in Support e sulle funzioni di accesso e sicurezza degli utenti.
Limitazioni IP Zendesk Support e Chat possono essere configurati per consentire l'accesso solo a specifici intervalli di indirizzi IP precedentemente definiti. Queste limitazioni possono essere applicate a tutti gli utenti o solo agli agenti. Ulteriori informazioni sull'uso delle limitazioni IP.
Allegati privati È possibile configurare Zendesk Support in modo che gli utenti debbano effettuare l'accesso per visualizzare gli allegati ai ticket. Se l'opzione non è attiva, gli allegati sono accessibili tramite un ID ticket con un lungo token casuale.
Sicurezza delle trasmissioni Tutte le comunicazioni con le interfacce utente e le API Zendesk sono criptate usando lo standard HTTPS/TLS su reti pubbliche, che garantisce la sicurezza del traffico da e per Zendesk. Per le email esiste per impostazione predefinita un livello di protezione ulteriore fornito dal protocollo TLS (Transport Layer Security) opportunistico, che codifica i messaggi e li consegna in tutta sicurezza, mitigando le interferenze tra i server di posta i cui servizi di peer-to-peer supportano questo protocollo.
Email con firma digitale (DKIM/DMARC) Zendesk Support offre i protocolli DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) per la firma delle email in uscita da Zendesk in presenza di un dominio email esterno. L'uso di un servizio email che supporta queste funzioni è utile per fermare le attività di spoofing. Ulteriori informazioni sulla firma digitale per le email.
Monitoraggio dei dispositivi Per una protezione maggiore, Zendesk Support tiene traccia dei dispositivi usati per entrare in ciascun account utente. Quando qualcuno entra in un account da un nuovo dispositivo, questo viene aggiunto all'elenco dei dispositivi nel profilo dell'utente. L'utente interessato può quindi ricevere una notifica email non appena viene aggiunto il nuovo dispositivo, consentendogli di esaminare le attività che sembrano sospette ed eventualmente terminarle dall'interfaccia agente.
Mascheramento dei dati sensibili La funzione di mascheramento in Zendesk Support e Chat permette di nascondere o rimuovere i dati sensibili inseriti nei commenti dei ticket, nei campi personalizzati o nelle chat, in modo da proteggere le informazioni riservate. Può essere utile nascondere i dati sensibili dei ticket per impedirne la memorizzazione in Zendesk. Ulteriori informazioni sulla sicurezza dei dati sensibili.

*Disponibile solo con gli account Enterprise.
Filtro anti-spam per il Centro assistenza Zendesk Support offre un filtro anti-spam che impedisce la pubblicazione dei post di spam degli utenti finali nel Centro assistenza o nel portale web. Ulteriori informazioni sul filtro anti-spam per il Centro assistenza.

Certificazioni di conformità e appartenenza ad associazioni

Conformità agli standard di sicurezza
SOC 2 tipo II Il nostro rapporto SOC 2 tipo II è disponibile su richiesta e dietro firma di un Accordo di non divulgazione. Per maggiori informazioni, contatta security@zendesk.com.
ISO 27001:2013 Zendesk detiene la certificazione ISO 27001:2013. Il certificato è disponibile per il download qui.
ISO 27018:2014 Zendesk detiene la certificazione ISO 27018:2014. Il certificato è disponibile per il download qui.
Appartenenza ad associazioni
Skyhigh Enterprise-Ready Zendesk ha ricevuto l'approvazione Skyhigh Enterprise-Ready™, la valutazione più alta nel programma CloudTrust™. Viene concessa ai servizi di cloud che soddisfano pienamente i più rigorosi requisiti di protezione dei dati, verifica delle identità, sicurezza del servizio, pratiche aziendali e protezione legale.
Cloud Security Alliance Zendesk è membro del Cloud Security Alliance (CSA), un'organizzazione no profit dedicata a promuovere le prassi ottimali per garantire la massima sicurezza nel cloud computing. CSA ha lanciato il programma Security, Trust & Assurance Registry (STAR), un registro pubblico che documenta i controlli di sicurezza forniti da svariati servizi di cloud computing. Abbiamo completato il questionario Consensus Assessment Initiative (CAI), disponibile al pubblico, in base ai risultati dell'autovalutazione sulle obbligazioni assunte.
Certificazioni relative alla privacy
Programmi di certificazione della privacy TRUSTe® I programmi, le politiche e le pratiche Zendesk in materia di privacy soddisfano i requisiti dello Scudo per la privacy UE-USA e/o dello Scudo per la privacy Svizzera-USA. Le aziende che aderiscono a questi accordi autocertificano la propria conformità presso il Dipartimento del Commercio degli Stati Uniti, all'indirizzo https://www.privacyshield.gov/list. TRUSTe verifica la conformità di tale autocertificazione ai requisiti del principio supplementare di verifica dello scudo per la privacy.
Certificazione di conformità allo Scudo per la privacy UE-USA e allo Scudo per la privacy Svizzera-USA Zendesk ha certificato la propria conformità ai Framework dello Scudo per la privacy UE-U.S. e dello Scudo per la Privacy Svizzera-U.S. presso il Dipartimento del Commercio degli Stati Uniti, ed è stata perciò aggiunta all'elenco dei partecipanti autocertificati allo Scudo per la privacy del Dipartimento del Commercio. Le nostre certificazioni confermano il rispetto da parte dell'azienda dei Principi dello Scudo per la privacy in relazione al trasferimento di dati personali dall’Europa e dalla Svizzera verso gli Stati Uniti.
Informativa sulla privacy Ulteriori informazioni sulla privacy Zendesk.
Conformità agli standard dell'industria
HIPAA I prodotti Zendesk forniscono opzioni di configurazione riguardanti la sicurezza che permettono ai clienti di adempiere agli obblighi previsti dal regolamento HIPAA. Inoltre, mettiamo a disposizione degli abbonati il relativo accordo BAA (Business Associate Agreement).

*L'accordo BAA è disponibile solo con l'acquisto del componente aggiuntivo di sicurezza avanzata ed è applicabile solo ad alcuni prodotti Zendesk (sono previste speciali regole di configurazione).
Uso di Zendesk in un ambiente PCI Visualizza il nostro whitepaper sulla conformità PCI oppure scopri i dettagli del nostro campo conforme allo standard PCI per Zendesk Support.

*È necessario un account Enterprise.

Ulteriori metodiche di sicurezza

Approfondimenti sulla sicurezza
Policy Zendesk ha sviluppato una serie completa di policy sulla sicurezza che coprono una vasta gamma di argomenti. Queste misure vengono rese disponibili e condivise con tutti i dipendenti e i contrattisti con accesso alle informazioni Zendesk.
Formazione Al momento dell'assunzione, tutti i nuovi dipendenti devono seguire un corso di formazione sulla sicurezza, che successivamente dovrà essere ripetuto con cadenza annuale. Tutto il personale tecnico riceve addestramento sulla sicurezza nella programmazione software. Il team preposto alla sicurezza si occupa di inviare ulteriori aggiornamenti tramite email, post sul blog e presentazioni durante eventi interni.
Controlli sui dipendenti
Verifica dei precedenti penali e di altro tipo Zendesk verifica i precedenti di tutti i nuovi assunti in osservanza alle leggi locali. Questi controlli si estendono anche ai contrattisti e al personale di pulizia e includono la fedina penale, la carriera scolastica e le precedenti esperienze lavorative.
Accordi di riservatezza Tutti i nuovi dipendenti vengono valutati nel corso del procedimento di assunzione e viene loro richiesto di firmare un Accordo di riservatezza e non divulgazione.

Risorse di sicurezza scaricabili

Anche le nostre risorse sono protette. Per ottenere l'accesso, compila il breve modulo qui sotto.

Inserisci il tuo nome
Inserisci il tuo cognome
Inserisci un indirizzo email valido
Seleziona il tuo Paese

Abbiamo quasi finito. Descrivi la tua azienda.

Inserisci il nome della tua azienda
Seleziona il numero di dipendenti
Seleziona il tuo settore industriale
Inviatemi anche eventuali email sui prodotti e servizi Zendesk. (Puoi annullare l'iscrizione in qualsiasi momento.)
Seleziona un'opzione.

La richiesta è stata inviata.

Uno dei nostri rappresentanti ti contatterà a breve.

Si è verificato un problema.

Aggiorna la pagina e riprova oppure inviaci un'email all'indirizzo support@zendesk.com.

Invio della richiesta in corso. Attendi...

Se devi accedere al nostro report SOC 2, scrivi all'indirizzo security@zendesk.com.