Veilige klantenservice

Zendesk-beveiliging

Meer dan 80.000 klanten vertrouwen Zendesk met hun gegevens. Dat vertrouwen komt niet zomaar bij ons aanwaaien. Wij combineren beveiligingsfuncties voor bedrijven met uitvoerige audits van onze toepassingen, systemen en netwerken om ervoor te zorgen dat gegevens van klanten en bedrijven altijd beschermd zijn. En onze klanten weten dat hun informatie in veilige handen is, hun interacties veilig zijn en hun bedrijfsactiviteiten beschermd zijn.

Aanbevolen werkwijzen

Zendesk biedt talloze beveiligingsopties om ervoor te zorgen dat gegevens beschermd en veilig zijn. Voorkomen is immers beter dan genezen. Door deze tien aanbevolen werkwijzen te volgen, kunt u de beveiliging van uw Zendesk verhogen.

Meer informatie

Vanuit het perspectief van de klant

Datacenter- en netwerkbeveiliging

Fysieke beveiliging
Faciliteiten Zendesk-servers worden gehost bij faciliteiten die voldoen aan Tier III, SSAE-16, PCI DSS of ISO 27001. Onze cage space is fysiek en logisch gescheiden van andere klanten van het datacenter. De co-locatiefaciliteiten worden gevoed door redundante voeding, elk met UPS en reservegeneratoren.
Beveiliging on-site Onze datacenterfaciliteiten hebben een beveiligde omgeving met meerdere beveiligingszones, 24/7 bemande beveiliging, CCTV-videobewaking, identificatie op basis van meerdere factoren met biometrische toegangscontrole, fysieke sloten en inbraakalarm.
Bewaking Alle systemen, netwerkapparaten en circuits worden constant bewaakt door zowel Zendesk als de co-locatieproviders.
Locatie Zendesk heeft datacenters in de EU en de Verenigde Staten. Klanten kunnen ervoor kiezen om hun gegevens alleen in de VS of alleen in de EU op te slaan. Meer informatie over beleid met betrekking tot het hosten van gegevens in de EU *Alleen beschikbaar met de add-on Locatie van datacenter
Netwerkbeveiliging
Speciaal beveiligingsteam Ons beveiligingsteam is 24/7 bereikbaar om te reageren op beveiligingswaarschuwingen en gebeurtenissen.
Bescherming Ons netwerk wordt beschermd door een redundante laag met 7 firewalls, de best mogelijke routertechnologie, beveiligde HTTPS-overdracht via openbare netwerken, periodieke audits, en netwerkinbraakdetectie/preventietechnologieën (IDS/IPS) die schadelijk verkeer en netwerkaanvallen signaleren en blokkeren.
Architectuur Onze netwerkbeveiligingsarchitectuur bestaat uit meerdere beveiligde vertrouwenszones. Gevoeligere systemen, zoals onze databaseservers, worden beschermd in de meest vertrouwde zones. Andere systemen zijn geplaatst in zones die in verhouding staan tot hun gevoeligheid, afhankelijk van functie, informatieclassificatie en risico. Afhankelijk van de zone zijn er aanvullende bewaking en toegangscontroles van kracht. DMZ's worden gebruikt tussen internet en tussen de verschillende interne vertrouwenszones.
Scannen op potentiële netwerkbeveiligingsproblemen Door het netwerk te scannen op potentiële beveiligingsproblemen krijgen we een gedegen inzicht in zwakke plekken in het netwerk en kunnen we snel systemen identificeren die niet aan de compliancevereisten voldoen of mogelijk kwetsbaar zijn
Penetratietesten van derden Naast onze uitvoerige interne scans en testprogramma's, huurt Zendesk elk jaar externe beveiligingsexperts in om een brede penetratietest uit te voeren op het gehele Zendesk-productienetwerk.
Security Incident Event Management (SIEM) Een SIEM-systeem (Security Incident Event Management) verzamelt uitvoerige logbestanden bij belangrijke netwerkapparaten en hostsystemen. Het SIEM-systeem maakt triggers die het beveiligingsteam op de hoogte stellen van gebeurtenissen die met de trigger verband houden. Het beveiligingsteam reageert op deze gebeurtenissen.
Inbraakdetectie en -preventie Belangrijke ingangen en uitgangen voor gegevensstromen van toepassingen worden bewaakt met IDS-systemen (Intrusion Detection Systems) of IPS-systemen (Intrusion Prevention Systems). De systemen zijn geconfigureerd om waarschuwingen af te geven wanneer er zich incidenten en waarden voordoen die vooraf ingestelde drempels overschrijden en de systemen maken gebruik van handtekeningen die regelmatig op basis van nieuw ontdekte bedreigingen worden bijgewerkt. Deze bewaking vindt 24/7 plaats.
Bedreigingsinformatieprogramma's Zendesk neemt deel aan verschillende programma's die tot doel hebben informatie over bedreigingen te delen met anderen. Wij controleren op bedreigingen die bij deze informatienetwerken worden gemeld en ondernemen actie op basis van het risico dat we lopen en de mate van blootstelling.
Risico op DDoS-aanvallen verkleinen Afgezien van onze eigen mogelijkheden en hulpmiddelen hebben we contracten met oproepbare DDoS-specialisten die zich inzetten om de kans op DDoS-aanvallen (Distributed Denial of Service) te verkleinen.
Logische toegang Toegang tot het Zendesk-productienetwerk wordt beperkt tot degenen voor wie toegang noodzakelijk is. Hierbij wordt gebruikgemaakt van beperkende machtigingen. De toegang wordt gecontroleerd en bewaakt, en dit wordt aangestuurd door ons Operations Team. Medewerkers die toegang tot het Zendesk-productienetwerk willen, krijgen dit pas na verificatie op basis van meerdere factoren.
Reageren op beveiligingsincidenten In het geval van een systeemwaarschuwing worden gebeurtenissen geëscaleerd naar onze 24/7 teams die zijn samengesteld uit experts op het gebied van operations, netwerktechniek en beveiliging. Werknemers krijgen training waarin ze leren hoe te reageren op beveiligingsincidenten. Ze leren onder andere wat de communicatiekanalen en escalatiepaden zijn.
Versleuteling
Versleuteling tijdens overdracht Communicatie tussen u en uw Zendesk-servers wordt versleuteld via HTTPS en Transport Layer Security (TLS), de beste versleuteling in de sector.
Versleuteling van opgeslagen gegevens Zendesk biedt ondersteuning voor versleuteling van opgeslagen klantgegevens. *Alleen beschikbaar met de add-on Advanced Security
Beschikbaarheid en continuïteit
Uptime Zendesk houdt een openbaar toegankelijke webpagina met de status van systemen bij en op die pagina vindt u informatie over systeembeschikbaarheid, gepland onderhoud, service-incidentgeschiedenis en relevante beveiligingsgebeurtenissen.
Redundantie Dankzij serviceclustering en netwerkredundanties heeft Zendesk geen single-point-of-failure. Ons strikte back-upbeleid zorgt ervoor dat klantgegevens actief worden gerepliceerd, zowel bij systemen als faciliteiten. Onze databasegegevens worden opgeslagen op efficiënte Flash Memory-apparaten met meerdere servers per databasecluster.
Noodherstel Ons noodherstelprogramma zorgt ervoor dat onze services beschikbaar blijven of eenvoudig kunnen worden hersteld als er zich een noodsituatie voordoet. Dit wordt gerealiseerd door middel van een robuuste technische omgeving, het opstellen van noodherstelplannen en testen ervan.
Uitgebreid noodherstel Bij uitgebreid noodherstel wordt de gehele werkomgeving inclusief klantgegevens gerepliceerd naar een tweede locatie zodat die de dienstverlening kan overnemen als de primaire locatie niet meer beschikbaar is. Zendesk heeft voor deze service een beoogd retourtijddoel (targeted return time objective, RTO) en beoogd herstelpuntdoel (recovery point objective, RPO) opgesteld. *Alleen beschikbaar met de add-on Advanced Security

Toepassingsbeveiliging

Veilig ontwikkelen (SDLC)
Beveiligingstraining Technici nemen minimaal een keer per jaar deel aan een beveiligingscodetraining. In deze training wordt de OWASP-top 10 van zwakke plekken in de beveiliging, gangbare aanvalsvectoren en Zendesk-beveiligingsmaatregelen behandeld.
Ruby on Rails-frameworkbeveiligingsmaatregelen Wij gebruiken Ruby on Rails-frameworkbeveiligingsmaatregelen om de kans op blootstelling aan de top 10 van OWASP-beveiligingsproblemen te verkleinen. Dit zijn onder andere inherente maatregelen die het risico verkleinen van blootstelling aan onder meer Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) en SQL Injection (SQLi).
QA Onze QA-afdeling controleert en test onze codebasis. Diverse technici gespecialiseerd in toepassingsbeveiliging identificeren, testen en sorteren beveiligingsproblemen in code op ernst en urgentie.
Gescheiden omgevingen Testomgevingen zijn fysiek en logisch gescheiden van de productieomgeving. Er worden geen gegevens van klanten gebruikt tijdens het ontwikkelen of in testomgevingen.
Zwakke plekken in toepassingen
Dynamisch scannen op potentiële beveiligingsproblemen Wij hanteren enkele erkende beveiligingshulpmiddelen van derden om onze toepassing voortdurend te scannen. Zendesk wordt dagelijks gescand op de OWASP-top 10 van zwakke plekken in de beveiliging. Wij hebben een speciaal in-house productbeveiligingsteam om samen met engineeringteams oplossingen voor eventueel ontdekte problemen te testen en verhelpen.
Analyse van statische code Onze opslagplaatsen voor broncode, voor zowel ons platform als mobiele toepassingen, worden voortdurend gescand op beveiligingsproblemen met onze geïntegreerde statische analysehulpmiddelen.
Testen van beveiligingspenetratie Afgezien van onze uitgebreide interne scans en ons testprogramma, roept Zendesk elk kwartaal de hulp in van externe beveiligingsexperts om uitvoerige penetratietesten uit te voeren op verschillende onderdelen van de toepassing.
Verantwoorde bekendmaking/
bugbeloningsprogramma
Ons Responsible Disclosure Program stelt beveiligingsonderzoekers in de gelegenheid om Zendesk op een veilige manier te testen op beveiligingsproblemen en Zendesk over hun bevindingen te informeren. Dit is mogelijk dankzij onze samenwerking met HackerOne.

Beveiligingskenmerken van product

Veilig ontwikkelen (SDLC)
Verificatie-opties Voor admins/agenten ondersteunen we Zendesk-aanmelding, enkelvoudige aanmelding (SSO) en Google-verificatie. Voor eindgebruikers ondersteunen we Zendesk-aanmelding, enkelvoudige aanmelding (SSO) en enkelvoudige aanmelding via sociale media (Facebook, Twitter, Google).
Enkelvoudige aanmelding (SSO) Met enkelvoudige aanmelding (SSO) kunt u gebruikers verifiëren in uw eigen systemen zonder dat zij aanvullende aanmeldingsgegevens hoeven op te geven om toegang tot Zendesk te krijgen. Zendesk verleent alleen toegang aan gebruikers die u hebt gevalideerd. Zowel JSON Web Token (JWT) als Security Assertion Markup Language (SAML) worden ondersteund. Meer informatie over enkelvoudige aanmelding *SAML is alleen beschikbaar voor Professional- en Enterprise-accounts*JWT is alleen beschikbaar voor Team-accounts en hoger
Configureerbaar wachtwoordbeleid Zendesk biedt de volgende wachtwoordbeveiligingsniveaus: laag, gemiddeld en hoog. Bij Zendesk kunt u één wachtwoordbeveiligingsniveau instellen voor eindgebruikers, en een ander niveau voor admins en agenten. Alleen admins kunnen het wachtwoordbeveiligingsniveau wijzigen. Bij het Professional-plan en het Enterprise-plan kunt u uw eigen aangepaste wachtwoordbeveiligingsniveau opgeven.
Verificatie op basis van twee factoren (2FA) Als u zich rechtstreeks via Zendesk aanmeldt, kunt u verificatie op basis van 2 factoren (2FA) inschakelen. Zendesk ondersteunt sms en apps zoals Authy en Google Authenticator om wachtwoordcodes te genereren. 2FA voegt een extra beveiligingslaag aan uw Zendesk-account toe, waardoor het een grotere uitdaging wordt voor anderen om zich onder uw naam aan te melden. Meer informatie over 2FA
Veilige opslag van aanmeldingsgegevens Zendesk hanteert de aanbevolen werkwijzen voor het veilig opslaan van aanmeldingsgegevens en slaat nooit wachtwoorden op in een vorm die mensen kunnen lezen, maar alleen als een veilige, beproefde eenrichtings-hash.
API-beveiliging en -verificatie De Zendesk-API werkt alleen via SSL en u moet een geverifieerde gebruiker zijn om API-aanvragen te kunnen doen. U kunt autorisatie laten plaatsvinden bij de API via basisverificatie met uw gebruikersnaam en wachtwoord, of met een gebruikersnaam en API-token. OAuth-verificatie wordt ook ondersteund. Meer informatie over API-beveiliging
Aanvullende beveiligingskenmerken van het product
Toegangsrechten en rollen Toegang tot gegevens in uw Zendesk wordt geregeld met toegangsrechten en kan worden geconfigureerd om granulaire toegangsrechten te definiëren. Zendesk kent diverse machtigingsniveaus voor gebruikers (eigenaar, admin, agent, eindgebruiker, enz.) om toegang tot uw Zendesk te krijgen. Meer informatie over toegangsniveaus
IP-beperkingen Uw Zendesk kan zodanig worden geconfigureerd dat alleen toegang mogelijk is vanaf bepaalde IP-adresbereiken die u opgeeft. Deze beperkingen kunnen worden toegepast op alle gebruikers of alleen op uw agenten. Meer informatie over het gebruik van IP-beperkingen *Alleen beschikbaar voor Professional- en Enterprise-accounts
Privébijlagen U kunt uw Zendesk zodanig configureren dat gebruikers zich moeten aanmelden om ticketbijlagen te bekijken. Indien dit niet is geconfigureerd, zijn de bijlagen toegankelijk met een willekeurige tokenticket-id.
Beveiliging tijdens overdracht Alle communicatie met Zendesk-servers wordt versleuteld met de industrienorm HTTPS. Zo is al het verkeer tussen u en Zendesk veilig tijdens de overdracht. Voor e-mail ondersteunt ons product Transport Layer Security (TLS). Dit is een protocol dat e-mail versleutelt en veilig bezorgt, waardoor de kans op afluisteren en spoofing tussen mailservers minimaal is.
Ondertekening van e-mail (DKIM/DMARC) Wij ondersteunen DKIM (Domain Keys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting & Conformance) om uitgaande e-mails van Zendesk te ondertekenen wanneer u een extern e-maildomein op uw Zendesk hebt ingesteld. Door een e-mailservice te gebruiken die deze functies ondersteunt, kunt u spoofing van e-mail een halt toeroepen. Meer informatie over e-mail digitaal ondertekenen.
Apparaten volgen Voor extra beveiliging volgt Zendesk de apparaten die worden gebruikt voor aanmelding bij elke account. Wanneer iemand zich vanaf een nieuw apparaat bij zijn account aanmeldt, wordt dat apparaat toegevoegd aan de lijst met apparaten in het gebruikersprofiel van die persoon. Die gebruiker ontvangt mogelijk een e-mailmelding wanneer er een nieuw apparaat is toegevoegd en kan actie ondernemen als die activiteit verdacht is.
Automatische verberging Automatische verberging biedt u de mogelijkheid cijfers van creditcardnummers die in ticketopmerkingen of aangepaste velden staan te verbergen of verwijderen zodat u vertrouwelijke informatie beschermt. De gegevens worden verborgen in binnenkomende tickets om te voorkomen dat het volledige creditcardnummer in Zendesk wordt opgeslagen. Meer informatie over ons hulpmiddel voor automatische verberging *Alleen beschikbaar voor Professional- en Enterprise-accounts
Spamfilter voor Helpcenter en webportal Zendesk ondersteunt een spamfilterservice die voorkomt dat spamberichten van eindgebruikers in uw Helpcenter en op uw webportal worden geplaatst. Meer informatie over spam filteren in Help Center en spam filteren op de webportal

Aanvullende beveiligingsmethoden

Bewustwording over veiligheid
Beleid Zendesk heeft een uitvoerige reeks beveiligingsbeleidsregels opgesteld voor tal van onderwerpen. Deze beleidsregels worden gedeeld met en beschikbaar gesteld aan alle medewerkers en contractanten die toegang hebben tot apparaten en systemen waarin Zendesk-informatie is opgeslagen.
Training Alle nieuwe werknemers nemen deel aan een Security Awareness Training en het beveiligingsteam zorgt voor meer bewustwording door nieuws over beveiligingszaken te verspreiden via e-mail, blogberichten en in presentaties tijdens interne bijeenkomsten.
Screening van werknemers
Achtergrondcontrole Zendesk controleert de achtergrond van alle nieuwe werknemers overeenkomstig plaatselijke wetgeving. Deze checks zijn ook verplicht van toepassing op tijdelijke krachten. De achtergrondcontrole bestaat uit het nalopen van strafbladen, genoten onderwijs en arbeidsverleden. En dit geldt ook voor onze schoonmakers.
Verklaringen Alle nieuwe medewerkers worden gescreend als vast onderdeel van de sollicitatieprocedure en moeten een geheimhoudingsverklaring en vertrouwelijkheidsverklaring tekenen.

Compliancecertificeringen en lidmaatschappen

Naleving van beveiligingsnormen
SOC 2 Type II We beschikken over ons eigen SOC 2 Type II-rapport, dat op verzoek en na ondertekening van een geheimhoudingsverklaring beschikbaar is. Neem voor meer informatie contact op met security@zendesk.com.
ISO 27001:2013 Zendesk is ISO 27001:2013 gecertificeerd.
ISO 27018:2014 Zendesk is ISO 27018:2014 gecertificeerd.
Lidmaatschappen
Skyhigh Enterprise-Ready Zendesk beschikt over het Skyhigh Enterprise-Ready™-zegel, de hoogst mogelijke classificatie in het CloudTrust™-programma. Dit zegel is verleend voor onze cloudservices, die voldoen aan de meest stringente vereisten op het gebied van gegevensbescherming, identiteitsverificatie, servicebeveiliging, bedrijfspraktijken en juridische bescherming.
Cloud Security Alliance Zendesk is lid van de Cloud Security Alliance (CSA). Dit is een not-profitorganisatie met als missie het bevorderen van het gebruik van aanbevolen werkwijzen op het gebied van de beveiliging van cloudcomputing. CSA heeft Security, Trust & Assurance Registry (STAR) opgericht. Dit is een openbaar toegankelijk register waarin de beveiligingscontroles staan beschreven die diverse cloudcomputingbedrijven hanteren. Wij hebben een openbaar beschikbare CAI-enquête (Consensus Assessment Initiative) ingevuld, op basis van de resultaten van onze zorgvuldige zelfevaluatie.
Privacycertificeringen
TRUSTe® Privacy Certification Programs Wij hebben het TRUSTe Privacy Seal ontvangen, wat aangeeft dat onze privacyverklaring en onze werkwijzen zijn beoordeeld op naleving van het TRUSTe-programma en kan worden bekeken op de validatiepagina van TRUSTe.
Safe Harbor-programma's VS-Zwitserland Zendesk is gecertificeerd in overeenstemming met het Safe Harbor Framework tussen de VS en Zwitserland, zoals voorgeschreven door het Ministerie van Handel van de Verenigde Staten.
Privacybeleid Meer informatie over privacy bij Zendesk
Naleving van regels in de sector
HIPAA Zendesk heeft een HIPAA/HITECH-beoordeling en kan haar Business Associate Agreement (BAA) beschikbaar maken aan abonnees om uit te voeren. *HIPAA/HITECH-evaluatie is op alle niveaus succesvol. BAA alleen beschikbaar bij de add-on Advanced Security.
Zendesk in een PCI-omgeving gebruiken Lees onze whitepaper over PCI-compliance of lees meer informatie over onze PCI-compliance-expertise.
  • AICPA
  • BSI ISO/IEC 27001
  • Skyhigh Enterprise Ready
  • Cloud Security Alliancey
  • TRUSTe Verified
  • BSI ISO/IEC 27018