Servizio clienti sicuro

Sicurezza Zendesk

Oltre 110.000 clienti affidano i propri dati a Zendesk. Non è una cosa che prendiamo alla leggera. Abbiniamo caratteristiche di sicurezza di classe enterprise a funzioni complete per la verifica di applicazioni, sistemi e reti per garantire la protezione costante dei dati aziendali e dei clienti. I nostri clienti sanno che possono contare sulla protezione dei loro dati, delle loro interazioni e delle loro aziende.

Sicurezza dei data center e della rete

Sicurezza fisica
Strutture L'hosting dei server Zendesk avviene presso strutture conformi agli standard Tier IV o III+, SSAE-16, PCI DSS o ISO 27001. Ciascun cliente usufruisce di uno spazio nei nostri cage in co-locazione, separato dal punto di vista fisico e logico da quello degli altri clienti del data center. Le strutture dei data center sono alimentate in modo ridondante, ciascuna con gruppi di continuità e generatori di riserva.
Sicurezza in loco Le strutture dei nostri data center sono caratterizzate da un perimetro di protezione con svariati livelli di sicurezza; personale di sorveglianza impegnato 24 ore al giorno, 7 giorni alla settimana; telecamere a circuito chiuso; identificazione multifattoriale con controllo dell'accesso mediante tecniche biometriche; meccanismi fisici; allarmi antintrusione.
Monitoraggio Tutti i sistemi della rete di produzione, i dispositivi in rete e i circuiti sono monitorati costantemente e amministrati logicamente dallo staff Zendesk. La sicurezza fisica, l'alimentazione elettrica e la connettività a Internet oltre le porte dei cage in co-locazione o i servizi Amazon sono monitorate dai fornitori delle strutture.
Sedi Zendesk si avvale di data center negli Stati Uniti, in Europa e in Giappone. I clienti possono scegliere l'hosting dei propri dati di servizio solo negli USA o solo in Europa (al momento, Zendesk Chat è solo in Europa). Ulteriori informazioni sulle nostre politiche di hosting dei dati nell'UE.*Disponibile solo con il componente aggiuntivo Ubicazione del centro dati.
Sicurezza della rete
Team di sicurezza dedicato Il nostro team di sicurezza, dislocato a livello globale, è attivo 24 al giorno, 7 giorni alla settimana, per rispondere ad allarmi e altri eventi.
Protezione La nostra rete è protetta da firewall ridondanti, tecnologia router all'avanguardia, trasporto HTTPS sicuro su reti pubbliche, verifiche regolari e tecnologie di rilevamento e/o prevenzione delle intrusioni nella rete (IDS/IPS) che controllano e/o bloccano il traffico dannoso e gli attacchi alla rete.
Architettura La nostra architettura di sicurezza della rete si articola in numerose zone di protezione. I sistemi più sensibili, come i server dei database, sono protetti nelle zone più affidabili. Gli altri sistemi sono alloggiati in zone con livelli di protezione proporzionati alla rispettiva criticità, valutata in base a funzione, classificazione dei dati e livello di rischio. In base alla zona, possono venire applicati altri livelli di monitoraggio e controllo degli accessi. Questo approccio stratificato permette di interporre livelli differenziati di affidabilità e protezione tra i sistemi aziendali e Internet, come pure tra le diverse zone della rete interna.
Scansione della vulnerabilità della rete La scansione per la sicurezza della rete offre dati importanti per la rapida identificazione di sistemi non conformi o potenzialmente vulnerabili.
Test di penetrazione di terzi Oltre all'esauriente programma interno di scansione e test, ogni anno Zendesk si affida a esperti di sicurezza esterni per effettuare un rigoroso test di penetrazione nella rete di produzione Zendesk.
Sistema di gestione degli eventi di sicurezza (SIEM) Il nostro sistema di gestione degli eventi di sicurezza (SIEM) raccoglie registri di dati completi da importanti dispositivi in rete e sistemi di hosting. Il sistema SIEM si attiva in risposta a trigger che notificano il team di sicurezza in base a eventi correlati che richiedono indagini e risposte.
Rilevamento e prevenzione delle intrusioni I maggiori punti di ingresso e uscita dei dati applicativi sono monitorati con sistemi di rilevamento o prevenzione delle intrusioni (IDS/IPS). Tali sistemi sono configurati per generare avvisi quando gli incidenti e i valori superano le soglie prestabilite e si avvalgono di firme aggiornate regolarmente in base alle nuove minacce. Ciò include il monitoraggio dei sistemi 24 ore al giorno, 7 giorni alla settimana.
Programma di intelligence delle minacce Zendesk partecipa a svariati programmi di condivisione dell'intelligence relativa alle minacce, monitorandone le reti per prendere le misure più adatte a livello di rischio e di esposizione.
Mitigazione degli attacchi DDoS Oltre alle nostre capacità e ai nostri strumenti, ci affidiamo a provider di scrubbing on-demand per mitigare gli attacchi DDoS (Distributed Denial of Service).
Accesso logico L'accesso alla rete di produzione Zendesk è limitato agli addetti ai lavori in base al principio del "minimo privilegio", è oggetto di frequenti verifiche e monitoraggio ed è controllato dal nostro team operativo. Inoltre, il personale che accede alla rete di produzione Zendesk deve usare un tipo di autenticazione a più fattori.
Risposta alle violazioni della sicurezza In caso di allarme, la gestione degli eventi viene demandata ai nostri team attivi 24 ore al giorno, 7 alla settimana, che provvedono alla salvaguardia delle operazioni, della rete e della protezione. Il personale riceve formazione in merito alle procedure di risposta alle violazioni della sicurezza, inclusi i canali di comunicazione e i percorsi di escalation.
Crittografia
Crittografia DIT Le comunicazioni tra gli utenti e i server Zendesk Support e Chat sono crittografate tramite i protocolli HTTPS e TLS (Transport Layer Security) su reti pubbliche, i più usati nel settore. Il TLS viene usato anche per la crittografia delle email.
Crittografia DAR Tutti i clienti Zendesk Support e Chat usufruiscono della protezione offerta dalla crittografia DAR, per la memorizzazione offsite degli allegati, e da backup giornalieri completi. I clienti Support che desiderano la crittografia DAR anche per i propri archivi dati di disaster recovery primari e secondari possono acquistarla tramite il componente aggiuntivo di sicurezza avanzata. Sono inoltre disponibili per l'acquisto funzioni di crittografia DAR per i dati dei servizi di chat.
Disponibilità e continuità
Disponibilità del sistema Zendesk mette a disposizione del pubblico una pagina web sullo stato del sistema che include dettagli sulla disponibilità dei servizi, interventi di manutenzione programmata, cronologia degli incidenti ed eventi relativi alla sicurezza.
Ridondanza Zendesk si avvale del clustering del servizio e di ridondanze di rete per eliminare i singoli punti di errore. Il nostro rigoroso regime di backup assicura la duplicazione dei dati del servizio su strutture e sistemi di disaster recovery primari e secondari. I database in co-locazione sono memorizzati in efficienti dispositivi di memoria flash con molteplici server per ciascun cluster del database.
Disaster recovery Il nostro programma di disaster recovery (DR) garantisce la disponibilità ininterrotta dei nostri servizi o il facile recupero in caso di emergenza, grazie a un solido impianto tecnico, piani di disaster recovery e procedure di test.
Disaster recovery avanzato Il servizio di disaster recovery avanzato prevede la duplicazione dell'intero ambiente operativo, inclusi i dati del servizio, su un sito secondario che agevola il ripristino del servizio nel caso in cui il sito principale risulti non disponibile. Gli strumenti per garantire gli obiettivi RTO e RPO (operatività e recupero del servizio) sono disponibili con il componente aggiuntivo di sicurezza avanzata. *Disponibile solo per Chat quando si acquista un piano Support con il componente aggiuntivo di sicurezza avanzata.

Sicurezza delle applicazioni

Sviluppo sicuro (SDLC)
Addestramento alla sicurezza Almeno una volta all'anno, i nostri tecnici partecipano a un corso di formazione sulla programmazione sicura, che tratta delle 10 principali falle nella sicurezza secondo il progetto OWASP, dei comuni vettori di attacco e dei controlli di sicurezza Zendesk.
Controlli di sicurezza del framework Ruby on Rails Zendesk Support si avvale dei controlli di sicurezza del framework Ruby on Rails per limitare l'esposizione alle 10 principali falle nella sicurezza secondo il progetto OWASP. Sono inclusi controlli intrinsechi che riducono l'esposizione ai problemi di Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e SQL Injection (SQLi), per citarne alcuni.
Controllo qualità Il nostro reparto di controllo della qualità si occupa di verificare e testare il nostro codice base. Diversi tecnici incaricati della sicurezza delle applicazioni identificano, collaudano e vagliano le vulnerabilità nel codice.
Ambienti separati Gli ambienti di testing e staging sono separati fisicamente e logicamente dall'ambiente di produzione. Durante le fasi di sviluppo e test, non vengono mai usati i dati reali del servizio.
Vulnerabilità delle applicazioni
Scansione dinamica delle vulnerabilità Impiegando diversi strumenti di terzi specifici per la sicurezza, sottoponiamo le nostre applicazioni Support e Chat a scansioni dinamiche continue alla ricerca delle 10 principali falle nella sicurezza secondo il progetto OWASP. Abbiamo in organico un team dedicato alla sicurezza che si occupa di testare e collaborare con i team di tecnici per rimediare quanto prima ai problemi riscontrati.
Analisi statica del codice I repository del codice sorgente di Zendesk Support, sia per la piattaforma che per le applicazioni mobili, sono continuamente sottoposti a scansione tramite strumenti integrati di analisi statica per individuare problemi di sicurezza.
Test di penetrazione di sicurezza Oltre alle esaurienti scansioni interne e al programma di testing, ogni trimestre Zendesk si affida a esperti esterni per effettuare dettagliati test di penetrazione in diverse applicazioni della nostra linea di prodotti.
Programma di "bug bounty" e divulgazione responsabile Il nostro programma di divulgazione responsabile offre ai ricercatori nel campo della sicurezza un canale di testing e la possibilità di segnalare a Zendesk le vulnerabilità attraverso la partnership con HackerOne.

Caratteristiche di sicurezza del prodotto

Sicurezza dell'autenticazione
Opzioni di autenticazione

Per gli amministratori e gli agenti di Support e Chat, offriamo l'accesso a Zendesk con credenziali ordinarie, mentre in Zendesk Support è possibile attivare anche la modalità SSO e l'autenticazione Google.

Per gli utenti finali di Support e Chat, offriamo l'accesso a Zendesk con credenziali ordinarie, mentre in Zendesk Support è possibile attivare anche la modalità SSO e l'autenticazione SSO tramite social media (Facebook, Twitter, Google).

Single Sign-On (SSO) Il Single Sign-On (SSO) permette di autenticare gli utenti nei propri sistemi senza che debbano inserire credenziali aggiuntive per l'accesso a Zendesk Support. Sono supportati sia il linguaggio JSON Web Token (JWT) che il linguaggio Security Assertion Markup Language (SAML). Ulteriori informazioni su SSO. *La funzione SAML è disponibile solo con gli account Professional ed Enterprise.*La funzione JWT è disponibile solo con gli account Team e di livello superiore.
Regole password configurabili Zendesk Support fornisce i livelli basso, medio e alto di sicurezza delle password, oltre all'impostazione di regole personalizzate per le password di agenti e amministratori. È noltre possibile assegnare livelli di sicurezza diversi a utenti finali, amministratori e agenti. Solo gli amministratori possono cambiare il livello di sicurezza delle password. *Disponibile con gli account Professional ed Enterprise.
Autenticazione a due fattori (2FA) Chi accede a Zendesk Support con credenziali ordinarie può attivare l'autenticazione a 2 fattori (2FA) per gli agenti e gli amministratori. Zendesk supporta la generazione di codici di sicurezza tramite SMS e app come Authy e Google Authenticator . L'autenticazione a 2 fattori fornisce un ulteriore livello di protezione dell'account Zendesk in quanto rende più difficile l'assunzione di una falsa identità. Ulteriori informazioni sull'autenticazione a 2 fattori.
Memorizzazione sicura delle credenziali Zendesk segue le migliori pratiche per la memorizzazione sicura delle credenziali: non salva mai le password in formato leggibile in chiaro, ma solo con una funzione di hash "salted" a senso unico.
Sicurezza API e autenticazione L'API Zendesk Support accetta solo il protocollo SSL e gli utenti devono essere verificati per poter inoltrare richieste API. È possibile effettuare un'autenticazione API di base con nome utente e password o usare il nome utente e il token API. È anche supportata l'autenticazione OAuth. Ulteriori informazioni sulla sicurezza API.
Ulteriori caratteristiche di sicurezza del prodotto
Ruoli e privilegi di accesso L'accesso ai dati in Zendesk Support e Chat è regolato dai diritti di accesso e può essere configurato in modo da definire privilegi granulari. Zendesk ha vari livelli di autorizzazioni per gli utenti (proprietario, amministratore, agente, utente finale, ecc.). Ulteriori informazioni sui livelli di accesso.
Limitazioni IP Zendesk Support e Chat possono essere configurati per consentire l'accesso solo a specifici intervalli di indirizzi IP precedentemente definiti. Queste limitazioni possono essere applicate a tutti gli utenti o solo agli agenti. Ulteriori informazioni sulle limitazioni IP. *Disponibile solo con gli account Support Professional ed Enterprise e Chat Enterprise.
Allegati privati È possibile configurare Zendesk Support in modo che gli utenti debbano effettuare l'accesso per visualizzare gli allegati ai ticket. Se l'opzione non è attiva, gli allegati sono accessibili tramite ID ticket con un lungo token casuale.
Sicurezza delle trasmissioni Tutte le comunicazioni con i server Zendesk sono criptate usando lo standard HTTPS su reti pubbliche, che garantisce la sicurezza del traffico da e per Zendesk. Per le email esiste un livello di protezione ulteriore fornito dal protocollo TLS (Transport Layer Security), che codifica i messaggi e li consegna in tutta sicurezza, mitigando le interferenze e lo "spoofing" dei server di posta.
Email con firma digitale (DKIM/DMARC) Zendesk Support offre i protocolli DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) per la firma delle email in uscita da Zendesk in presenza di un dominio email esterno. L'uso di un servizio email che supporta queste funzioni è utile per fermare le attività di spoofing. Ulteriori informazioni sulla firma digitale per le email.
Monitoraggio dei dispositivi Per una protezione maggiore, Zendesk Support tiene traccia dei dispositivi usati per entrare in ciascun account utente. Quando qualcuno entra in un account da un nuovo dispositivo, questo viene aggiunto all'elenco dei dispositivi nel profilo dell'utente. Questi può ricevere una notifica email all'aggiunta di un nuovo dispositivo, consentendogli di esaminare le attività che sembrano sospette.
Mascheramento automatico Il mascheramento automatico per Zendesk Support permette di nascondere o rimuovere, in tutto o in parte, i numeri delle carte di credito inseriti nei commenti dei ticket o nei campi personalizzati, in modo da proteggere i dati riservati. Può essere utile nascondere i dati dei ticket in ingresso per impedire la memorizzazione dell'intero numero della carta di credito in Zendesk. Ulteriori informazioni sullo strumento di mascheramento. *Disponibile solo con gli account Enterprise.
Filtro anti-spam per il Centro assistenza e il portale web Zendesk Support offre un filtro anti-spam che impedisce la pubblicazione dei post di spam degli utenti finali nel Centro assistenza o nel portale web. Ulteriori informazioni sull'uso del filtro anti-spam nel Centro assistenza e nel portale web.

Certificazioni di conformità e appartenenza ad associazioni

Conformità agli standard di sicurezza
SOC 2 tipo II Il nostro rapporto SOC 2 tipo II è disponibile su richiesta e dietro firma di un Accordo di non divulgazione. Per maggiori informazioni, contatta security@zendesk.com.
ISO 27001:2013 Zendesk detiene la certificazione ISO 27001:2013.
ISO 27018:2014 Zendesk detiene la certificazione ISO 27018:2014.
Appartenenza ad associazioni
Skyhigh Enterprise-Ready Zendesk ha ricevuto l'approvazione Skyhigh Enterprise-Ready™, la valutazione più alta nel programma CloudTrust™. Viene concessa ai servizi di cloud che soddisfano pienamente i più rigorosi requisiti di protezione dei dati, verifica delle identità, sicurezza del servizio, pratiche aziendali e protezione legale.
Cloud Security Alliance Zendesk è membro del Cloud Security Alliance (CSA), un'organizzazione no profit dedicata a promuovere le prassi ottimali per garantire la massima sicurezza nel cloud computing. CSA ha lanciato il programma Security, Trust & Assurance Registry (STAR), un registro pubblico che documenta i controlli di sicurezza forniti da svariati servizi di cloud computing. Abbiamo completato il questionario Consensus Assessment Initiative (CAI), disponibile al pubblico, in base ai risultati dell'autovalutazione sulle obbligazioni assunte.
Certificazioni relative alla privacy
Programmi di certificazione della privacy TRUSTe® Abbiamo ottenuto la certificazione della privacy TRUSTe; ciò significa che la nostra Informativa sulla privacy e le nostre pratiche sono state esaminate nell'ambito del programma TRUSTe per valutarne la conformità e sono visualizzabili nella pagina di convalida di TRUSTe.
Programmi Scudo privacy UE-USA e Safe Harbor USA-Svizzera Zendesk ha certificato la conformità ai programmi Scudo privacy UE-USA e Safe Harbor USA-Svizzera, secondo quanto stabilito dal Dipartimento del Commercio USA.
Informativa sulla privacy Ulteriori informazioni sulla privacy Zendesk.
Conformità agli standard dell'industria
HIPAA Zendesk ha completato con successo la valutazione HIPAA/HITECH e può mettere a disposizione degli abbonati il relativo accordo BAA (Business Associate Agreement). *L'accordo BAA è disponibile solo con l'acquisto del componente aggiuntivo di sicurezza avanzata ed è applicabile solo ad alcuni prodotti Zendesk (sono previste speciali regole di configurazione).
Uso di Zendesk in un ambiente PCI Visualizza il nostro whitepaper sulla conformità PCI oppure scopri i dettagli del nostro campo conforme allo standard PCI per Zendesk Support.*È necessario un account Enterprise.

Ulteriori metodiche di sicurezza

Approfondimenti sulla sicurezza
Policy Zendesk ha sviluppato una serie completa di policy sulla sicurezza che coprono una vasta gamma di argomenti. Queste misure vengono rese disponibili e condivise con tutti i dipendenti e i contrattisti con accesso alle informazioni Zendesk.
Formazione Al momento dell'assunzione, tutti i nuovi dipendenti devono seguire un corso di formazione sulla sicurezza, che successivamente dovrà essere ripetuto con cadenza annuale. Tutto il personale tecnico riceve addestramento sulla sicurezza nella programmazione software. Il team preposto alla sicurezza si occupa di inviare ulteriori aggiornamenti tramite email, post sul blog e presentazioni durante eventi interni.
Controlli sui dipendenti
Verifica dei precedenti penali e di altro tipo Zendesk verifica i precedenti di tutti i nuovi assunti in osservanza alle leggi locali. Questi controlli si estendono anche ai contrattisti e al personale di pulizia e includono la fedina penale, la carriera scolastica e le precedenti esperienze lavorative.
Accordi di riservatezza Tutti i nuovi dipendenti vengono valutati nel corso del procedimento di assunzione e viene loro richiesto di firmare un Accordo di riservatezza e non divulgazione.