Veilige klantenservice

Zorg dat overal aan is gedacht

Zendesk neemt beveiliging uiterst serieus. Vraag het maar eens na bij de Fortune 100- en Fortune 500-bedrijven die ons met hun gegevens vertrouwen. Wij hanteren diverse beveiligingsfuncties voor bedrijven en verrichten uitgebreide audits van onze toepassingen, systemen en netwerken om ervoor te zorgen dat je gegevens altijd beschermd zijn. Zo kunnen alle klanten (inclusief de onze) met gerust hart onze producten gebruiken.

Nalevingscertificaten en lidmaatschappen

We hanteren best practices en industrienormen om te voldoen aan de algemeen aanvaarde beveiligings- en privacykaders van de sector. Hiermee ondersteunen we ook onze klanten om aan hun eigen nalevingsnormen te voldoen.

Naleving veiligheidseisen
SOC 2 Type II

We ondergaan periodiek audits om actuele SOC 2 Type II-rapporten te ontvangen. Deze zijn op aanvraag beschikbaar (NDA vereist). Het meest recente SOC 2 Type II-rapport kan hier worden opgevraagd.

ISO 27001:2013

Zendesk is ISO 27001:2013-gecertificeerd. Het certificaat kan hier worden gedownload.

ISO 27018:2014

Zendesk is ISO 27018:2014-gecertificeerd. Het certificaat kan hier worden gedownload.

FedRAMP LI-SaaS

Zendesk heeft FedRAMP-autorisatie voor LI-SaaS (Low Impact Software-as-a-Service) en staat vermeld in de FedRAMP Marketplace. Amerikaanse overheidsinstellingen kunnen toegang aanvragen tot het Zendesk FedRAMP Security Package door hier een aanvraagformulier (Package Access Request Form) in te vullen of door een aanvraag in te dienen via fedramp@zendesk.com.

Naleving conform de industrie
HIPAA

Wij helpen klanten hun HIPAA-verplichtingen na te komen door gebruik te maken van de juiste beveiligingsconfiguratie-opties in Zendesk-producten. Daarnaast stellen wij onze Business Associate Agreement (BAA) beschikbaar voor uitvoering door abonnees.

*BAA is alleen beschikbaar bij de aankoop van de add-on Geavanceerde compliance en is alleen van toepassing op bepaalde Zendesk-producten (er zijn speciale configuratievereisten van toepassing).

PCI DSS

Lees ons whitepaper over PCI-compliance of lees meer informatie over ons veld voor PCI-compliance voor Zendesk Support.

*Enterprise-account vereist

Klik hier voor onze PCI Attestation of Compliance (AoC) en Certificate of Compliance.

HDS

De HDS-certificering bevestigt dat Zendesk de geheimhouding, integriteit en beschikbaarheid van vertrouwelijke gegevens voor zijn klanten en partners kan garanderen. Zendesk heeft samengewerkt met een onafhankelijke derde partij om deze certificering te behalen. Wij helpen klanten hun HDS-verplichtingen na te komen door gebruik te maken van gepaste opties voor de beveiligingsconfiguratie van bepaalde Zendesk-producten (er gelden speciale configuratie-eisen). Daarnaast hebben we een HDS Exhibit die onze abonnees kunnen uitvoeren.

FSQS

Zendesk heeft voldaan aan alle vereisten (fase 1 en fase 2) om volledig geregistreerd te worden in het FSQS-kwalificatiesysteem (Financial Services Qualification System), zoals uiteengezet door de deelnemende inkooporganisaties. Het laatste FSQS-certificaat kan hier worden aangevraagd.

Ga naar https://hellios.com/fsqs/ voor meer informatie over FSQS.

Lidmaatschappen
Skyhigh Enterprise-Ready

Zendesk beschikt over het Skyhigh Enterprise-Ready™-zegel, de hoogst mogelijke classificatie in het CloudTrust™-programma. Dit zegel is verleend voor onze cloudservices, die voldoen aan de meest strenge vereisten op het gebied van databescherming, identiteitsverificatie, servicebeveiliging, bedrijfspraktijken en juridische bescherming.

Cloud Security Alliance

Zendesk is lid van de Cloud Security Alliance (CSA). Dit is een non-profitorganisatie met als missie het promoten van het gebruik van best practices voor het bieden van veiligheidsgarantie binnen Cloud Computing. CSA heeft de Security, Trust & Assurance Registry (STAR) opgericht. Dit is een openbaar toegankelijk register waarin de beveiligingscontroles staan beschreven die diverse cloudcomputingbedrijven hanteren. We hebben een openbaar beschikbare CAI-enquête (Consensus Assessment Initiative) ingevuld, op basis van de resultaten van onze zorgvuldige zelfevaluatie.

Je kunt de CSA CAIQ hier downloaden.

IT-ISAC

Zendesk is lid van IT-ISAC, een groep van uiteenlopende privébedrijven die samen profiteren van nieuwe technologieën en een gedeelde toewijding aan beveiliging hebben. IT-ISAC maakt samenwerking en het delen van relevante, praktische kennis en werkwijzen mogelijk. Onderdeel van de groep zijn speciale doelgroepen die zich richten op kennis, dreigingen van binnenuit en fysieke beveiliging, evenals andere speciale aandachtsgebieden die de missie van een veilig Zendesk bevorderen.

FIRST

Zendesk is lid van FIRST, een internationale confederatie van “incident response teams” die samen computerbeveiligingsincidenten afhandelen en programma's ter preventie van incidenten promoten. FIRST-leden ontwikkelen en delen technische informatie, tools, methodologieën, processen en best practices. Als lid van FIRST werkt Zendesk Security samen met andere leden om hun gezamenlijke kennis, vaardigheden en ervaring in te zetten om wereldwijd een veiligere elektronische omgeving te bewerkstelligen.

Privacycertificaten en gegevensbescherming
Juridische middelen

Ga voor meer informatie over onze juridische en privacyvoorwaarden naar:

Artefacten

We hebben diverse hulpmiddelen die we op verzoek beschikbaar stellen.

Direct downloadbare hulpmiddelen (geen NDA vereist)

Klik op de onderstaande knop om de volgende hulpmiddelen te downloaden:

ISO 27001:2013 certificaat

ISO 27018:2014 certificaat

SOC 3-rapport

Datasheet/whitepaper

PCI Attestation of Compliance (AoC) en Certificate of Compliance

Diagrammen van netwerkarchitectuur

  • Support / Guide
  • Chat
  • Talk

CSA CAIQ

FSQS

Zendesk Security-profiel op Risk Ledger

Hulpmiddelen downloaden
Hulpmiddelen met NDA

Voor de volgende hulpmiddelen is mogelijk een ondertekende NDA nodig. Klik op de onderstaande knop om toegang te krijgen.

Verzekeringscertificaat

SOC 2 Type II-rapport

Samenvatting jaarlijkse penetratietest

Samenvatting test bedrijfscontinuïteit en noodherstel

SIG Lite

VSA

HECVAT Lite

Huidige klanten hebben toegang tot deze hulpmiddelen in de admin-interface:

Cloudbeveiliging

Fysieke beveiliging van datacenters
Voorzieningen

Zendesk host servicegegevens hoofdzakelijk in AWS-datacenters die ISO 27001- en PCI DSS Service Provider Level 1-gecertificeerd zijn, en/of SOC 2-compliant zijn. Meer informatie over compliance bij AWS.

AWS-infrastructuurdiensten omvatten noodstroomvoorziening, HVAC-systemen en apparatuur voor brandbestrijding om je servers (en dus je data) te beschermen. Meer informatie over datacenterbeveiliging bij AWS.

On-site beveiliging

AWS-beveiliging on-site beslaat diverse functies, waaronder bewakers, hekwerken, beveiligingscamera's, technologie voor inbraakdetectie en andere beveiligingsmaatregelen. Meer informatie over fysieke AWS-beveiliging.

Locatie van datahosting

Zendesk maakt gebruik van AWS-datacenters in de Verenigde Staten, Europa en Zuidoost-Azië. Meer informatie over datahostinglocaties voor je Zendesk-servicedata.

Klanten kunnen ervoor kiezen om hun servicegegevens alleen in de VS of alleen in de EER op te slaan.* Meer informatie over onze opties voor regionale datahosting en beperkingen voor soorten servicedata.

*Alleen beschikbaar met de add-on Data Center Location

Netwerkbeveiliging
Speciaal beveiligingsteam

Ons wereldwijde beveiligingsteam is 24/7 telefonisch bereikbaar om te reageren op beveiligingsmeldingen en -gebeurtenissen.

Bescherming

Ons netwerk wordt beschermd door belangrijke AWS-beveiligingsdiensten, integratie met onze Cloudflare-netwerken, regelmatige audits en technologieën voor netwerkintelligentie die waken voor bekend schadelijk verkeer en netwerkaanvallen (en deze blokkeren).

Onze netwerkarchitectuur bestaat uit meerdere beveiligde zones. Gevoeligere systemen, zoals databaseservers, worden beschermd in de meest vertrouwde zones. Andere systemen zijn geplaatst in zones die in verhouding staan tot hun gevoeligheid, afhankelijk van functie, informatieclassificatie en risico. Afhankelijk van de zone zijn er extra veiligheids- en toegangscontroles van toepassing. DMZ's worden gebruikt tussen het internet en de verschillende interne vertrouwenszones.

Scans voor potentiële netwerkbeveiligingsproblemen

Het scannen van de netwerkbeveiliging geeft ons diepgaand inzicht zodat we snel systemen kunnen identificeren die niet aan de eisen voldoen of die potentieel kwetsbaar zijn.

Penetratietesten door derden

Naast onze uitvoerige interne scans en testprogramma's huurt Zendesk elk jaar externe beveiligingsexperts in om een brede penetratietest uit te voeren op het gehele productie en -bedrijfsnetwerk van Zendesk.

Beheren van beveiligingsincidenten

Ons Security Incident Event Management (SIEM)-systeem verzamelt uitgebreide logboeken van belangrijke netwerkapparaten en hostsystemen. SIEM waarschuwt via signalen die het beveiligingsteam op de hoogte brengen. Deze worden getriggerd op basis van gecorreleerde gebeurtenissen voor onderzoek en reactie.

Inbraakdetectie en -preventie

In- en uitstappunten voor onderhoud worden gevolgd en gemonitord om afwijkend gedrag te detecteren. Deze systemen zijn geconfigureerd om waarschuwingen af te geven wanneer er zich incidenten of waarden voordoen die vooraf ingestelde drempels overschrijden. Verder maken de systemen gebruik van handtekeningen die regelmatig op basis van nieuw ontdekte bedreigingen worden bijgewerkt. Dit is inclusief 24/7 systeemcontrole.

Bedreigingsinformatieprogramma's

Zendesk neemt deel aan verschillende programma's die tot doel hebben informatie over bedreigingen te delen. We houden bedreigingen die bij deze informatienetwerken worden gemeld in de gaten en ondernemen actie op basis van het ingeschatte risico.

Risico op DDoS-aanvallen verkleinen

Zendesk heeft een meerlaagse aanpak ontwikkeld om de gevolgen van DDoS-aanvallen te minimaliseren. Een technologisch partnerschap met Cloudflare zorgt voor verdediging aan de randen van het netwerk, terwijl AWS-tools voor opschaling en bescherming diepgaande bescherming bieden naast ons gebruik van de DDoS-specifieke services van AWS.

Logische toegang

De toegang tot het Zendesk-productienetwerk wordt beperkt tot degenen voor wie dit strikt noodzakelijk is. Hierbij maken we gebruik van beperkte machtigingen en wordt de toegang streng gecontroleerd en bewaakt onder aansturing van ons Operations Team. Medewerkers die toegang tot het Zendesk-productienetwerk willen krijgen dit pas na authenticatie op basis van meerdere factoren.

Reactie op beveiligingsincidenten

In het geval van een systeemwaarschuwing worden gebeurtenissen geëscaleerd naar onze teams die zijn samengesteld uit experts op het gebied van operations, netwerktechniek en beveiliging, en die 24/7 actief zijn. Werknemers krijgen training waarin ze leren hoe te reageren op beveiligingsincidenten, inclusief de juiste communicatiekanalen en escalatiepaden.

Versleuteling
Versleuteling tijdens overdracht

Alle communicatie via openbare netwerken met de Zendesk-gebruikersinterface en API's wordt versleuteld met de industrienorm HTTPS/TLS (TLS 1.2 of hoger). Zo is al het verkeer tussen jou en Zendesk veilig tijdens de overdracht. Bovendien maakt ons product standaard gebruik van opportunistische TLS voor e-mail. Transport Layer Security (TLS) versleutelt e-mails en levert deze veilig af, waardoor de kans op het afluisteren van mailservers (waar peerservices dit protocol ondersteunen) wordt geminimaliseerd. Interne sms-functies, apps van derden en integraties kunnen worden uitgezonderd van versleuteling. Service-abonnees kunnen ervoor kiezen om hier naar eigen goeddunken gebruik van te maken.

Versleuteling in rust

Servicegegevens worden in rust versleuteld bij AWS met behulp van 256-bits AES-versleuteling.

Beschikbaarheid & continuïteit
Uptime

Zendesk heeft een openbaar toegankelijke systeemstatuspagina waar je informatie over systeembeschikbaarheid vindt, evenals info over gepland onderhoud, de service-incidentgeschiedenis en relevante beveiligingsevenementen.

Redundantie

Zendesk maakt gebruik van serviceclustering en netwerkredundanties om single-points-of-failure te elimineren. Dankzij ons strikte back-upregime en/of onze service voor Uitgebreid noodherstel kunnen we een hoog niveau van servicebeschikbaarheid leveren, aangezien servicegegevens naar alle beschikbaarheidszones worden gekopieerd.

Noodherstel

Ons noodherstelprogramma (Disaster Recovery of DR) zorgt ervoor dat onze services beschikbaar blijven en eenvoudig kunnen worden hersteld als er zich een noodsituatie voordoet. Dit wordt gerealiseerd door middel van een robuuste technische omgeving, het opstellen van noodherstelplannen en testactiviteiten.

Uitgebreid noodherstel

Ons pakket voor Uitgebreid noodherstel voegt contractuele doelstellingen toe voor Recovery Time Objective (RTO) en Recovery Point Objective (RPO). Deze contractuele doelstellingen worden ondersteund door ons vermogen om prioriteit te geven aan de activiteiten van klanten met het Uitgebreid noodherstel-pakket tijdens een afgekondigd noodgeval.

*Alleen beschikbaar bij aankoop van de add-on Uitgebreid noodherstel.

Toepassingsbeveiliging

Veilig ontwikkelen (SDLC)
Training inzake veilig coderen

Engineers nemen minimaal één keer per jaar deel aan een training in veilig coderen, waarbij de OWASP top 10 aan beveiligingsrisico's, bekende aanvalsvectoren en Zendesk-beveiligingsmaatregelen worden behandeld.

Framework-beveiligingsmaatregelen

Zendesk maakt gebruik van moderne en opensource-kaders met ingebouwde beveiligingsmaatregelen om de blootstelling aan de top 10 OWASP-beveiligingsrisico's te beperken. Deze inherente maatregelen verminderen onze blootstelling aan onder andere SQL Injection (SQLi), Cross Site Scripting (XSS) en Cross Site Request Forgery (CSRF).

Kwaliteitsborging

Onze QA-afdeling (Quality Assurance) controleert en test onze codebasis. Diverse technici gespecialiseerd in toepassingsbeveiliging identificeren, testen en verhelpen beveiligingsproblemen in de code.

Gescheiden omgevingen

Test- en stagingomgevingen zijn logisch gescheiden van de productieomgeving. Er worden geen servicegegevens gebruikt in onze ontwikkel- of testomgeving.

Beheer van beveiligingsproblemen
Dynamisch scannen op potentiële beveiligingsproblemen

We hanteren beveiligingstools van derden om onze belangrijkste toepassingen voortdurend dynamisch te scannen op de aanwezigheid van beveiligingsrisico's zoals gedefinieerd in de OWASP-top 10. We hebben een speciaal in-house productbeveiligingsteam die samen met onze engineeringteams oplossingen voor eventuele problemen testen en verhelpen.

Analyse van statische code

De broncodebestanden voor zowel ons platform als onze mobiele applicaties worden gescand op beveiligingsproblemen via onze geïntegreerde tool voor statische analyse.

Penetratietesten door derden

Naast ons uitvoerige interne scan- en testprogramma maakt Zendesk gebruik van externe beveiligingsexperts om uitvoerige penetratietests uit te voeren op verschillende toepassingen binnen onze productfamilie.

Verantwoorde openbaarmaking / bugbeloningsprogramma

Ons Responsible Disclosure Program stelt beveiligingsonderzoekers en klanten in de gelegenheid om Zendesk op een veilige manier te testen op beveiligingsproblemen, en Zendesk over de bevindingen te informeren. Dit is mogelijk dankzij onze samenwerking met HackerOne.

Productbeveiliging

Beveiliging door authenticatie
Authenticatie-opties

Klanten kunnen de eigen authenticatiefunctie van Zendesk, SSO voor social media (Facebook, Twitter, Google) en/of Enterprise SSO (SAML, JWT) inschakelen voor de authenticatie van eindgebruikers en/of agents. Meer informatie over gebruikerstoegang.

Configureerbaar wachtwoordbeleid

De eigen authenticatiefunctie van Zendesk voor producten die beschikbaar zijn in het Beheercentrum biedt de volgende niveaus voor wachtwoordbeveiligings: laag, gemiddeld en hoog, evenals een reeks aanpasbare wachtwoordregels voor agents en admins. Zendesk biedt ook de mogelijkheid om verschillende niveaus voor wachtwoordbeveiliging toe te passen voor eindgebruikers t.o.v. agents en admins. Alleen admins kunnen het beveiligingsniveau van wachtwoorden wijzigen. Meer informatie over het configureerbaar wachtwoordbeleid.

Twee-factorauthenticatie (2FA)

De eigen authenticatiefunctie van Zendesk voor producten beschikbaar in het Beheercentrum biedt twee-factorauthenticatie (2FA) voor agents en admins via sms of authenticator-app. Meer informatie over 2FA.

Opslag van inloggegevens

Zendesk hanteert best practices voor het veilig opslaan van inloggegevens. We slaan nooit wachtwoorden op in een leesbare vorm maar alleen als een veilige, beproefde eenrichtings-hash.

Aanvullende functies voor productbeveiliging
Op rollen gebaseerd toegangsbeheer

Toegang tot gegevens in Zendesk-toepassingen wordt geregeld met op rollen gebaseerd toegangsbeheer (RBAC) en kan worden geconfigureerd om granulaire toegangsrechten te definiëren. Zendesk kent diverse machtigingsniveaus voor gebruikers (eigenaar, admin, agent, eindgebruiker, enz.).

Meer informatie over gebruikersrollen:

Meer informatie over algemene beveiliging en gebruikerstoegang vind je hier.

IP-beperkingen

Zendesk-producten kunnen zodanig worden geconfigureerd dat toegang alleen mogelijk is vanaf bepaalde IP-adresbereiken die je kunt instellen. Deze beperkingen kunnen worden toegepast op alle gebruikers of alleen je agents. Lees meer over het gebruik van IP-beperkingen:

Privébijlagen

Je kunt je setup zodanig configureren dat gebruikers zich moeten aanmelden om ticketbijlagen te kunnen bekijken. Meer informatie over privébijlagen.

E-mails ondertekenen (DKIM/DMARC)

Zendesk Support biedt DKIM (Domain Keys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting & Conformance) om uitgaande e-mails van Zendesk te ondertekenen wanneer je een extern e-maildomein voor Zendesk hebt ingesteld. Door een e-mailservice te gebruiken die deze functies ondersteunt kun je emailspoofing een halt toeroepen. Meer informatie over e-mails digitaal ondertekenen.

Apparaten volgen

Zendesk houdt bij welke apparaten worden gebruikt om in te loggen op elk gebruikersaccount. Wanneer iemand vanaf een nieuw apparaat inlogt op zijn of haar account, wordt dit apparaat toegevoegd aan de lijst met apparaten in het gebruikersprofiel van die persoon. De gebruiker kan een e-mailmelding ontvangen wanneer er een nieuw apparaat wordt toegevoegd en kan actie ondernemen als deze activiteit verdacht is. Verdachte sessies kunnen worden beëindigd vanuit de gebruikersinterface van de agent. Meer informatie over het volgen van apparaten.

Gevoelige gegevens verbergen

De functie Handmatig verbergen biedt de mogelijkheid om gevoelige gegevens te verbergen of te verwijderen uit ticketopmerkingen in Support en om veilig bijlagen te verwijderen, zodat je vertrouwelijke informatie kunt beschermen. De gegevens worden in de gebruikersinterface of via de API uit tickets verwijderd om te voorkomen dat gevoelige informatie in Zendesk wordt opgeslagen. Meer informatie over het verbergen van gevoelige gegevens via de UI of API.

Automatisch verbergen biedt de mogelijkheid om automatisch getallenreeksen te verbergen die bij een Luhn-controle overeen blijken te komen met een geldig creditcardnummer of bankrekeningnummer (CC PAN). De functie is beschikbaar in Support en Chat. Meer informatie over de functie Automatisch verbergen inSupport en Chat.

Zendesk Support heeft een configureerbaar creditcardveld (PCI-compliant) waarin alle cijfers behalve de laatste vier worden verborgen. Meer informatie over PCI-compliance bij Zendesk.

Spamfilter voor Helpcenter

De spamfilterservice van Zendesk kan worden ingezet om te voorkomen dat spam van eindgebruikers in je Helpcenter wordt gepubliceerd. Meer informatie over het filteren van spam in Helpcenter.

HR-beveiliging

Bewustwording van veiligheid
Beleid

Zendesk heeft een uitgebreide set beleidsregels voor beveiliging ontwikkeld over een scala aan onderwerpen. Deze beleidsregels worden gedeeld met en beschikbaar gesteld aan alle medewerkers en freelancers die toegang hebben tot informatie over Zendesk.

Training

Alle werknemers nemen deel aan een Security Awareness Training, die wordt gegeven kort na het begin van het dienstverband en daarna elk jaar wordt herhaald. Alle engineers krijgen jaarlijks training in veilig coderen. Het beveiligingsteam biedt aanvullende educatie over beveiliging via e-mails, blogposts en in presentaties tijdens interne evenementen.

Screening van werknemers
Achtergrondcontroles

Zendesk controleert de achtergrond van alle nieuwe werknemers overeenkomstig plaatselijke wetgeving. Deze checks zijn ook verplicht van toepassing op tijdelijke krachten. Deze achtergrondcontrole bestaat uit het nalopen van strafbladen, genoten onderwijs en het arbeidsverleden. Dit geldt zelfs voor onze schoonmakers.

Geheimhoudingsverklaring

Alle nieuwe medewerkers moeten een Geheimhoudingsverklaring (NDA) ondertekenen.