Veilige klantenservice

Zorg dat overal aan is gedacht

Zendesk neemt beveiliging uiterst serieus. Vraag het maar aan de Fortune 100- en Fortune 500-bedrijven die ons met hun gegevens vertrouwen. Wij hanteren diverse beveiligingsfuncties voor bedrijven en verrichten uitgebreide audits van onze toepassingen, systemen en netwerken om ervoor te zorgen dat je gegevens altijd beschermd zijn. Dit betekent volledige gemoedsrust voor elke klant - en voor onszelf.

Compliancecertificeringen en lidmaatschappen

We hanteren best practices en normen om te voldoen aan de door de industrie geaccepteerde algemene beveiligings- en privacykaders, wat onze klanten weer helpt om aan hun eigen compliance-normen te voldoen.

Naleving van beveiligingsnormen
SOC 2 Type II

We ondergaan periodiek audits om actuele SOC's 2 Type II-rapporten te ontvangen. Deze zijn op aanvraag beschikbaar. Hierop is een niet-openbaarmakingsovereenkomst van toepassing. Het meest recente SOC 2 Type II-rapport kan hier worden opgevraagd.

ISO 27001:2013

Zendesk is ISO 27001:2013-gecertificeerd. Het certificaat kan hier worden gedownload.

ISO 27018:2014

Zendesk is ISO 27018:2014-gecertificeerd. Het certificaat kan hier worden gedownload.

FedRAMP LI-SaaS

Zendesk heeft FedRAMP-autorisatie voor LI-SaaS (Low Impact Software-as-a-Service) en staat vermeld in de FedRAMP Marketplace. Amerikaanse overheidsinstellingen kunnen toegang aanvragen tot het Zendesk FedRAMP Security Package door hier een aanvraagformulier (een Package Access Request Form) in te vullen of door een aanvraag in te dienen via fedramp@zendesk.com.

Naleving van regels in de sector
HIPAA

Wij helpen klanten hun HIPAA-verplichtingen na te komen door gebruik te maken van de juiste beveiligingsconfiguratie-opties in Zendesk-producten. Daarnaast stellen wij onze Business Associate Agreement (BAA) beschikbaar voor uitvoering door abonnees.

*BAA is alleen beschikbaar bij de aankoop van de add-on Geavanceerde compliance en is alleen van toepassing op bepaalde Zendesk-producten (er zijn speciale configuratievereisten van toepassing).

PCI DSS

Lees ons whitepaper over PCI-naleving of lees meer informatie over ons PCI-compliant-veld voor Zendesk Support.

*Enterprise-account vereist

Klik hier voor onze PCI Attestation of Compliance (AoC) en het Certificate of Compliance.

Lidmaatschappen
Skyhigh Enterprise-Ready

Zendesk beschikt over het Skyhigh Enterprise-Ready™-zegel, de hoogst mogelijke classificatie in het CloudTrust™-programma. Dit zegel is verleend voor onze cloudservices, die voldoen aan de meest stringente vereisten op het gebied van gegevensbescherming, identiteitsverificatie, servicebeveiliging, bedrijfspraktijken en juridische bescherming.

Cloud Security Alliance

Zendesk is lid van de Cloud Security Alliance (CSA). Dit is een not-profitorganisatie met als missie het bevorderen van het gebruik van aanbevolen werkwijzen op het gebied van de beveiliging van cloudcomputing. CSA heeft Security, Trust & Assurance Registry (STAR) opgericht. Dit is een openbaar toegankelijk register waarin de beveiligingscontroles staan beschreven die diverse cloudcomputingbedrijven hanteren. Wij hebben een openbaar beschikbare CAI-enquête (Consensus Assessment Initiative) ingevuld, op basis van de resultaten van onze zorgvuldige zelfevaluatie.

De CSA CAIQ kan hier worden gedownload.

IT-ISAC

Zendesk is lid van IT-ISAC, een groep die zich bezighoudt met het samenbrengen van uiteenlopende bedrijven die gebruik willen maken van nieuwe technologieën en zich gezamenlijk willen inzetten voor beveiligingstechnologiën. IT-ISAC maakt samenwerking en het delen van relevante, bruikbare kennis en werkwijzen mogelijk. De groep heeft een belang in speciale doelgroepen die zich richten op kennis, dreigingen van binnenuit en fysieke beveiliging, evenals andere speciale aandachtsgebieden die de missie van een veilig Zendesk bevorderen.

EERSTE

Zendesk is lid van FIRST, een internationale confederatie van 'incident response teams' die samen computerbeveiligingsincidenten afhandelen en incidentpreventieprogramma's promoten. FIRST-leden ontwikkelen en delen technische informatie, tools, methodologieën, processen en best practices. Als lid van FIRST werkt Zendesk Security samen met andere leden om hun gezamenlijke kennis, vaardigheden en ervaring in te zetten om wereldwijd een veiligere elektronische omgeving te bewerkstelligen.

Privacycertificeringen en gegevensbeveiliging
Juridische resources

Ga voor meer informatie over onze juridische voorwaarden en privacyvoorwaarden naar:

Bewijsmateriaal

Wij hebben diverse resources die wij op verzoek beschikbaar stellen.

Resources direct downloaden (geen NDA vereist)

Klik op de onderstaande knop om de volgende resources te downloaden:

ISO 27001:2013-certificaat

ISO 27018:2014-certificaat

SOC 3-rapport

Datasheet/whitepaper

PCI Attestation of Compliance (AoC) en Certificate of Compliance

Netwerkarchitectuurdiagrammen

  • Support/Guide
  • Chat
  • Talk

CSA CAIQ

Resources downloaden
NDA-resources

Voor de volgende resources is mogelijk een ondertekende NDA nodig. Klik op de onderstaande knop om toegang te krijgen.

Certificate of Insurance

Rapport SOC 2 Type II

Annual Penetration Test Summary

Business Continuity and Disaster Recovery Test Summary

SIG Lite

VSA

Resources downloaden

Cloudbeveiliging

Fysieke beveiliging van datacenters
Faciliteiten

Zendesk host servicegegevens hoofdzakelijk in AWS-datacenters die ISO 27001- en PCI DSS Service Provider Level 1-gecertificeerd zijn, en/of SOC 2-compliant zijn. Meer informatie over compliance bij AWS.

AWS-infrastructuurservices bestaan uit back-upvoeding, HVAC-systemen en brandonderdrukkende apparatuur om servers en uiteindelijk je gegevens te beschermen. Meer informatie over datacenterbeveiliging bij AWS.

Beveiliging on-site

AWS-beveiliging on-site bestaat uit diverse functies, waaronder bewakers, hekwerken, beveiligingscamera's, inbraakdetectietechnologie en andere beveiligingsmaatregelen. Meer informatie over fysieke AWS-beveiliging.

Locatie van datahosting

Zendesk maakt gebruik van AWS-datacenters in de Verenigde Staten, Europa en Azië/Oceanië. Meer informatie over datahostinglocaties voor je Zendesk-servicegegevens.

Klanten kunnen ervoor kiezen om hun servicegegevens alleen in de VS of alleen in de EER op te slaan.* Meer informatie over onze opties voor regionale gegevenshosting en beperkingen voor servicegegevenstypen.

*Alleen beschikbaar met de add-on Locatie van datacenter

Netwerkbeveiliging
Speciaal beveiligingsteam

Ons wereldwijde Security Team is telefonisch 24 uur per dag 7 per week bereikbaar om te reageren op beveiligingsmeldingen en -gebeurtenissen.

Bescherming

Ons netwerk wordt beschermd door belangrijke AWS-beveiligingsdiensten, integratie in onze Cloudflare-edgebeveiligingsnetwerken, regelmatige audits en netwerkintelligentietechnologieën die waken voor bekend schadelijk verkeer en netwerkaanvallen, en deze blokkeren.

Onze netwerkbeveiligingsarchitectuur bestaat uit meerdere beveiligde zones. Gevoeligere systemen, zoals databaseservers, worden beschermd in de meest vertrouwde zones. Andere systemen zijn geplaatst in zones die in verhouding staan tot hun gevoeligheid, afhankelijk van functie, informatieclassificatie en risico. Afhankelijk van de zone zijn er aanvullende bewaking en toegangscontroles van kracht. DMZ's worden gebruikt tussen internet en tussen de verschillende interne vertrouwenszones.

Scannen op potentiële netwerkbeveiligingsproblemen

Door het netwerk te scannen op potentiële beveiligingsproblemen krijgen we een gedegen inzicht in zwakke plekken in het netwerk en kunnen we snel systemen identificeren die niet aan de compliancevereisten voldoen of mogelijk kwetsbaar zijn

Penetratietesten van derden

Naast onze uitvoerige interne scans en testprogramma's, huurt Zendesk elk jaar externe beveiligingsexperts in om een brede penetratietest uit te voeren op het gehele Zendesk-productienetwerk en -bedrijfsnetwerk.

Security Incident Event Management

Ons Security Incident Event Management Team (SIEM) verzamelt uitvoerige logbestanden bij belangrijke netwerkapparaten en hostsystemen. Het SIEM-systeem geeft waarschuwingen af wanneer er triggers worden geactiveerd, die het beveiligingsteam op de hoogte stellen van gebeurtenissen die moeten worden onderzocht of waarop actie moet worden ondernomen.

Inbraakdetectie en -preventie

In- en uitstappunten voor onderhoud worden gevolgd en gemonitord om afwijkend gedrag te detecteren. Deze systemen zijn geconfigureerd om waarschuwingen af te geven wanneer er zich incidenten en waarden voordoen die vooraf ingestelde drempels overschrijden. Verder maken de systemen gebruik van handtekeningen die regelmatig op basis van nieuw ontdekte bedreigingen worden bijgewerkt. Dit bestaat uit 24/7 systeembewaking.

Bedreigingsinformatieprogramma's

Zendesk neemt deel aan verschillende programma's die tot doel hebben informatie over bedreigingen te delen. Wij controleren op bedreigingen die bij deze informatienetwerken worden gemeld en ondernemen actie op basis van het risico dat wordt gelopen.

Risico op DDoS-aanvallen verkleinen

Zendesk heeft een meerlagige aanpak ontwikkeld om de gevolgen van DDoS-aanvallen te minimaliseren. Een kerntechnologiepartnerschap met Cloudflare zorgt voor verdediging aan de randen van het netwerk, terwijl AWS-schaalvergrotings- en beschermingstools, samen met het gebruik van DDoS-specifieke services van AWS, voor diepgaande bescherming zorgen.

Logische toegang

Toegang tot het Zendesk-productienetwerk wordt beperkt tot degenen voor wie toegang noodzakelijk is. Hierbij wordt gebruikgemaakt van beperkende machtigingen. De toegang wordt gecontroleerd en bewaakt, en dit wordt aangestuurd door ons Operations Team. Medewerkers die toegang tot het Zendesk-productienetwerk willen, krijgen dit pas na verificatie op basis van meerdere factoren.

Reageren op beveiligingsincidenten

In het geval van een systeemwaarschuwing worden gebeurtenissen geëscaleerd naar onze 24/7 teams die zijn samengesteld uit experts op het gebied van operations, netwerktechniek en beveiliging. Werknemers krijgen training waarin ze leren hoe te reageren op beveiligingsincidenten. Ze leren onder andere wat de communicatiekanalen en escalatiepaden zijn.

Versleuteling
Versleuteling tijdens overdracht

Alle communicatie via openbare netwerken met de Zendesk-gebruikersinterface en API's wordt versleuteld met de industrienorm HTTPS/TLS (TLS 1.2 of hoger). Zo is al het verkeer tussen jou en Zendesk veilig tijdens de overdracht. Bovendien maakt ons product standaard gebruik van opportunistische TLS voor e-mail. Transport Layer Security (TLS) versleutelt e-mails en levert deze veilig af, waardoor de kans op het afluisteren van mailservers, waar peerservices dit protocol ondersteunen, wordt geminimaliseerd. Uitgezonderd van versleuteling kunnen zijn in-product sms-functies, apps van derden en integraties. Service-abonnees kunnen ervoor kiezen om hier naar eigen goeddunken gebruik van te maken.

Versleuteling van opgeslagen gegevens

Servicegegevens worden in rust met behulp van 256-bits AES-versleuteling bij AWS versleuteld.

Beschikbaarheid en continuïteit
Uptime

Zendesk heeft een openbaar toegankelijke systeemstatuswebpagina waarop je informatie over systeembeschikbaarheid vindt, evenals info over gepland onderhoud, de service-incidentgeschiedenis en relevante beveiligingsgebeurtenissen.

Redundantie

Zendesk maakt gebruik van serviceclustering en netwerkredundantie om niet te maken te krijgen met single-points-of-failure. Dankzij ons strikte back-upregime en/of onze Enhanced Disaster Recovery-service kunnen wij een hoog servicebeschikbaarheidsniveau leveren, aangezien servicegegevens naar alle beschikbaarheidszones worden gerepliceerd.

Noodherstel

Ons noodherstelprogramma (Disaster Recovery (DR)) zorgt ervoor dat onze services beschikbaar blijven en eenvoudig kunnen worden hersteld als er zich een noodsituatie voordoet. Dit wordt gerealiseerd door middel van een robuuste technische omgeving, het opstellen van noodherstelplannen en testactiviteiten.

Uitgebreid noodherstel

Ons Enhanced Disaster Recovery-pakket voegt contractuele doelstellingen toe voor Recovery Time Objective (RTO) en Recovery Point Objective (RPO). Deze contractuele doelstellingen worden ondersteund door de mogelijkheid om tijdens een noodscenario de activiteiten van klanten met het Enhanced Disaster Recovery-pakket voorrang te geven bij de uitvoering van hun activiteiten.

*Alleen beschikbaar bij aankoop van de add-on Uitgebreid noodherstel.

Toepassingsbeveiliging

Veilig ontwikkelen (SDLC)
Training inzake veilig coderen

Technici nemen minimaal een keer per jaar deel aan een training in veilig coderen, waarbij de OWASP-top 10 aan beveiligingsrisico's, bekende aanvalsvectoren en Zendesk-beveiligingsmaatregelen worden behandeld.

Framework-beveiligingsmaatregelen

Zendesk maakt gebruik van moderne en opensource-kaders met ingebouwde beveiligingsmaatregelen om de blootstelling aan de top 10 OWASP-beveiligingsrisico's te beperken. Deze inherente maatregelen verminderen onze blootstelling aan onder andere SQLi (SQLi), Cross Site Scripting (XSS) en Cross Site Request Forgery (CSRF).

Quality Assurance

Onze QA-afdeling (Quality Assurance) controleert en test onze codebasis. Diverse technici gespecialiseerd in toepassingsbeveiliging identificeren, testen en sorteren beveiligingsproblemen in code op ernst en urgentie.

Gescheiden omgevingen

Test- en stagingomgevingen zijn logisch gescheiden van de productieomgeving. Er worden geen servicegegevens gebruikt in onze ontwikkel- of testomgeving.

Beheer van beveiligingsproblemen
Dynamisch scannen op potentiële beveiligingsproblemen

Wij hanteren beveiligingstools van derden om onze belangrijkste toepassingen voortdurend dynamisch te scannen op de aanwezigheid van de OWASP-top 10 aan beveiligingsrisico's. Wij hebben een speciaal in-house productbeveiligingsteam om samen met engineeringteams oplossingen voor eventueel ontdekte problemen te testen en verhelpen.

Analyse van statische code

De opslagplaatsen voor broncode, voor zowel ons platform als mobiele toepassingen, worden gescand op beveiligingsproblemen met onze geïntegreerde statische analysetools.

Penetratietesten van derden

Afgezien van ons uitvoerige interne scan- en testprogramma, neemt Zendesk externe beveiligingsexperts in de arm om uitvoerige penetratietests uit te voeren op verschillende toepassingen binnen onze productfamilie.

Verantwoorde bekendmaking/
bugbeloningsprogramma

Ons Responsible Disclosure Program stelt beveiligingsonderzoekers en onze klanten in de gelegenheid om Zendesk op een veilige manier te testen op beveiligingsproblemen en Zendesk over de bevindingen te informeren. Dit is mogelijk dankzij onze samenwerking met HackerOne.

Productbeveiliging

Beveiliging dankzij authenticatie
Verificatie-opties

Klanten kunnen de eigen verificatiefunctie van Zendesk, SSO voor sociale media (Facebook, Twitter, Google) en/of zakelijke SSO (SAML, JWT) inschakelen voor verificatie van eindgebruikers en/of agenten. Meer informatie over gebruikerstoegang.

Configureerbaar wachtwoordbeleid

De eigen verificatiefunctie van Zendesk voor producten die beschikbaar zijn in het Beheercentrum biedt de volgende wachtwoordbeveiligingsniveaus: laag, gemiddeld en hoog, evenals een reeks aangepaste wachtwoordregels voor agenten en beheerders. Zendesk biedt ook de mogelijkheid om verschillende wachtwoordbeveiligingsniveaus toe te passen op eindgebruikers, agenten en admins. Alleen admins kunnen het wachtwoordbeveiligingsniveau wijzigen. Meer informatie over configureerbaar wachtwoordbeleid.

Verificatie op basis van twee factoren (2FA)

De eigen verificatiefunctie van Zendesk voor producten die beschikbaar zijn in het Beheercentrum werkt op basis van twee factoren (2FA) en is beschikbaar voor agenten en admins via sms of een verificatie-app. Meer informatie over 2FA.

Opslag van aanmeldingsgegevens voor services

Zendesk hanteert de aanbevolen werkwijzen voor het veilig opslaan van aanmeldingsgegevens en slaat nooit wachtwoorden op in een vorm die mensen kunnen lezen, maar alleen als een veilige, beproefde eenrichtings-hash.

Aanvullende beveiligingskenmerken van het product
Op rollen gebaseerd toegangsbeheer

Toegang tot gegevens in Zendesk-toepassingen wordt geregeld met op rollen gebaseerd toegangsbeheer (RBAC) en kan worden geconfigureerd om granulaire toegangsrechten te definiëren. Zendesk kent diverse machtigingsniveaus voor gebruikers (eigenaar, admin, agent, eindgebruiker, enz.).

Meer informatie over gebruikersrollen:

Meer informatie over algemene beveiliging en gebruikerstoegang vind je hier.

IP-beperkingen

Zendesk-producten kunnen zodanig worden geconfigureerd dat alleen toegang mogelijk is vanaf bepaalde IP-adresbereiken die je opgeeft. Deze beperkingen kunnen worden toegepast op alle gebruikers of alleen op je agenten. Meer informatie over het gebruik van IP-restricties.

Privébijlagen

Je kunt je installatie zodanig configureren dat gebruikers zich moeten aanmelden om ticketbijlagen te bekijken. Meer informatie over privébijlagen.

Ondertekening van e-mail (DKIM/DMARC)

Zendesk Support biedt ondersteuning voor DKIM (Domain Keys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting & Conformance) om uitgaande e-mails van Zendesk te ondertekenen wanneer je een extern e-maildomein voor Zendesk hebt ingesteld. Door een e-mailservice te gebruiken die deze functies ondersteunt, kun je spoofing van e-mail een halt toeroepen. Meer informatie over e-mail digitaal ondertekenen.

Apparaten volgen

Zendesk houdt bij welke apparaten worden gebruikt voor aanmelding bij elk gebruikersaccount. Wanneer iemand zich vanaf een nieuw apparaat bij zijn account aanmeldt, wordt dat apparaat toegevoegd aan de lijst met apparaten in het gebruikersprofiel van die persoon. Die gebruiker ontvangt mogelijk een e-mailmelding wanneer er een nieuw apparaat is toegevoegd en hij kan actie ondernemen als die activiteit verdacht is. Verdachte sessies kunnen worden beëindigd vanuit de gebruikersinterface van de agent. Meer informatie over het volgen van apparaten.

Gevoelige gegevens verbergen

De functie Handmatig verbergen biedt de mogelijkheid om gevoelige gegevens te verbergen in of verwijderen uit ticketopmerkingen in Support, en om veilig bijlagen te verwijderen, zodat je vertrouwelijke informatie kunt beschermen. De gegevens worden in de gebruikersinterface of via de API uit tickets verwijderd om te voorkomen dat gevoelige informatie in Zendesk wordt opgeslagen. Meer informatie over de beveiliging van gevoelige gegevens via de gebruikersinterface of API.

Automatisch verbergen biedt de mogelijkheid in zowel Support als Chat om nummerreeksen automatisch onzichtbaar te laten maken als die bij een zogeheten Luhn-controle overeen blijken te komen met een geldig creditcardnummer of bankrekeningnummer (CC PAN). Lees meer informatie over de functie Automatisch verbergen in Support en Chat.

Zendesk Support heeft een configureerbaar credicardveld (PCI-compliant) waarin alle cijfers behalve de laatste vier worden verborgen. Meer informatie over PCI-compliance bij Zendesk.

Spamfilter voor Helpcenter

De spamfilterservice van Zendesk kan worden ingezet om te voorkomen dat spam die van eindgebruikers afkomstig is, in je Helpcenter wordt gepubliceerd. Meer informatie over het filteren van spam in Helpcenter.

HR-beveiliging

Bewustwording over veiligheid
Beleid

Zendesk heeft een uitvoerige reeks beveiligingsbeleidsregels opgesteld voor tal van onderwerpen. Deze beleidsregels worden gedeeld met en beschikbaar gesteld aan alle medewerkers en contractanten die toegang hebben tot apparaten en systemen waarin Zendesk-informatie is opgeslagen.

Training

Alle medewerkers nemen deel aan een Security Awareness Training, die wordt gegeven kort na begin van het dienstverband en daarna jaarlijks wordt herhaald. Alle technici ontvangen een jaarlijkse training in veilig coderen. Het Security Team zorgt voor meer aandacht voor beveiliging in e-mails, blogberichten en in presentaties tijdens interne evenementen.

Screening van werknemers
Achtergrondcontrole

Zendesk controleert de achtergrond van alle nieuwe werknemers overeenkomstig plaatselijke wetgeving. Deze checks zijn ook verplicht van toepassing op tijdelijke krachten. De achtergrondcontrole bestaat uit het nalopen van strafbladen, genoten onderwijs en arbeidsverleden. En dit geldt ook voor onze schoonmakers.

Verklaringen

Alle nieuwe medewerkers moeten een niet-openbaarmakings- en vertrouwelijkheidsovereenkomst ondertekenen.