Bescherm uzelf

We ondergaan periodiek audits om actuele SOC's Type II-rapporten te ontvangen. Deze zijn op aanvraag beschikbaar. Hierop is een niet-openbaarmakingsovereenkomst van toepassing. Vraag het laatste SOC 2 Type II rapport aan.

Zendesk is ISO 27001:2013 gecertificeerd. Download het certificaat.

Zendesk is ISO 27018:2014 gecertificeerd. Het certificaat kan hier worden gedownload.

Zendesk is ISO 27701:2019 gecertificeerd. Het certificaat kan hier worden gedownload.

Zendesk heeft FedRAMP-autorisatie voor LI-SaaS (Low Impact Software-as-a-Service) en staat vermeld in de FedRAMP Marketplace. Amerikaanse overheidsinstellingen kunnen toegang aanvragen tot het Zendesk FedRAMP Security Package door hier een aanvraagformulier (een Package Access Request Form) in te vullen of door een aanvraag in te dienen via fedramp@zendesk.com.

Zendesk Support heeft een configureerbaar credicardveld (PCI-compliant) waarin alle cijfers behalve de laatste vier worden verborgen. Meer informatie over PCI-compliance bij Zendesk.

Voor meer informatie over ons HIPAA-programma en onze BAA

Voor meer informatie over ons HDS-programma

Zendesk heeft het McAfee CloudTrust Program ontvangen. Het McAfee Enterprise-Ready zegel wordt alleen toegekend aan diensten die de hoogst mogelijke CloudTrust™ rating hebben. Dit zijn enkele van de diensten die de CloudTrust™ van McAfee hebben verdiend en een rating van McAfee Enterprise-Ready op basis van hun kenmerken in de evaluatiecategorieën gegevens, gebruikers en apparaten, beveiliging, bedrijfs- en juridische aspecten.

Zendesk is lid van de Cloud Security Alliance (CSA), een non-profitorganisatie met een missie om het gebruik van best practices te bevorderen voor het bieden van veiligheidsgarantie binnen Cloud Computing. CSA heeft het Security, Trust & Assurance Registry (STAR) gelanceerd, een openbaar toegankelijk register dat de beveiligingscontroles documenteert die door verschillende cloud computing-aanbiedingen worden geboden. Zendesk heeft een openbaar toegankelijke Consensus Assessment Initiative (CAI) vragenlijst ingevuld, gebaseerd op de resultaten van onze due diligence zelfevaluatie.

De CSA CAIQ is hier beschikbaar.

Zendesk is lid van IT-ISAC, een groep die zich bezighoudt met het samenbrengen van uiteenlopende bedrijven die gebruik willen maken van nieuwe technologieën en zich gezamenlijk willen inzetten voor beveiligingstechnologiën. IT-ISAC maakt samenwerking en het delen van relevante, bruikbare kennis en werkwijzen mogelijk. De groep heeft een belang in speciale doelgroepen die zich richten op kennis, dreigingen van binnenuit en fysieke beveiliging, evenals andere speciale aandachtsgebieden die de missie van een veilig Zendesk bevorderen.

Zendesk is lid van FIRST, een internationale confederatie van 'incident response teams' die samen computerbeveiligingsincidenten afhandelen en incidentpreventieprogramma's promoten. FIRST-leden ontwikkelen en delen technische informatie, tools, methodologieën, processen en best practices. Als lid van FIRST werkt Zendesk Security samen met andere leden om hun gezamenlijke kennis, vaardigheden en ervaring in te zetten om wereldwijd een veiligere elektronische omgeving te bewerkstelligen.

Zendesk heeft voldaan aan alle vereisten (fase en fase ) om volledig geregistreerd te worden in het FSQS-leverancierskwalificatiesysteem (Financial Services Qualification System), zoals uiteengezet door de deelnemende inkooporganisaties. Vraag hier het laatste FSQS-certificaat aan.

Meer informatie over FSQS https://hellios.com/fsqs/.

Zendesk host servicegegevens hoofdzakelijk in AWS-datacenters die ISO - en PCI DSS Service Provider Level -gecertificeerd zijn, en/of SOC -compliant zijn. Meer informatie over naleving bij AWS.

AWS-infrastructuurservices bestaan uit back-upvoeding, HVAC-systemen en brandonderdrukkende apparatuur om servers en uiteindelijk je gegevens te beschermen. Meer informatie over datacenterbeveiliging bij AWS.

AWS-beveiliging on-site bestaat uit diverse functies, waaronder bewakers, hekwerken, beveiligingscamera's, inbraakdetectietechnologie en andere beveiligingsmaatregelen. Leer meer over AWS fysieke beveiliging.

Zendesk maakt gebruik van AWS-datacenters in de Verenigde Staten, Europa en Azië/Oceanië. Meer informatie over datahostinglocaties voor je Zendesk-servicegegevens.

Zendesk biedt meerdere gegevenslocatiekeuzes, waaronder de Verenigde Staten (VS), Australië (AU), Japan (JP) of de Europese Economische Ruimte (EER). Meer informatie over producten, plannen en regionale aanbiedingen vindt u in ons Regionaal data hosting-beleid.

Ons wereldwijd verspreide beveiligingsteam staat 24/7 paraat om te reageren op beveiligingswaarschuwingen en -gebeurtenissen.

Ons netwerk wordt beschermd door het gebruik van belangrijke AWS-beveiligingsdiensten, integratie met onze Cloudflare-netwerken voor randbeveiliging, regelmatige audits en netwerkintelligentietechnologieën, die bekend kwaadaardig verkeer en netwerkaanvallen monitoren en/of blokkeren.

Onze netwerkbeveiligingsarchitectuur bestaat uit meerdere beveiligingszones. Meer gevoelige systemen, zoals databaseservers, worden beschermd in onze meest vertrouwde zones. Andere systemen worden ondergebracht in zones die in verhouding staan tot hun gevoeligheid, afhankelijk van functie, informatieclassificatie en risico. Afhankelijk van de zone zullen extra veiligheidscontroles en toegangscontroles van toepassing zijn. DMZ's worden gebruikt tussen het Internet, en intern tussen de verschillende vertrouwenszones.

Scannen van netwerkbeveiliging geeft ons diepgaand inzicht voor een snelle identificatie van systemen die niet aan de eisen voldoen of potentieel kwetsbaar zijn.

Naast onze uitvoerige interne scans en testprogramma's, huurt Zendesk elk jaar externe beveiligingsexperts in om een brede penetratietest uit te voeren op het gehele Zendesk-productienetwerk en -bedrijfsnetwerk.

Ons Security Incident Event Management (SIEM)-systeem verzamelt uitgebreide logboeken van belangrijke netwerkapparaten en hostsystemen. Het SIEM waarschuwt op basis van triggers die het beveiligingsteam op de hoogte brengen op basis van gecorreleerde gebeurtenissen voor onderzoek en reactie.

In- en uitgaande punten van diensten worden geïnstrumenteerd en bewaakt om afwijkend gedrag te detecteren. Deze systemen zijn geconfigureerd om waarschuwingen te genereren wanneer incidenten en waarden vooraf bepaalde drempels overschrijden en gebruiken regelmatig bijgewerkte handtekeningen op basis van nieuwe bedreigingen. Dit omvat 24/7 systeembewaking.

Zendesk neemt deel aan verschillende programma's voor het delen van informatie over bedreigingen. Wij monitoren bedreigingen die in deze netwerken van informatie over bedreigingen worden gepost en ondernemen actie op basis van het risico.

Zendesk heeft een meerlaagse aanpak ontwikkeld om DDoS te beperken. Een belangrijk technologisch partnerschap met Cloudflare biedt verdediging aan de rand van het netwerk, terwijl het gebruik van AWS-schalings- en beschermingstools diepere bescherming biedt samen met ons gebruik van AWS DDoS-specifieke diensten.

Toegang tot het Zendesk Productienetwerk is beperkt op een expliciete "need-to-know" basis, maakt gebruik van "least privilege", wordt regelmatig gecontroleerd en gemonitord, en wordt gecontroleerd door ons Operations Team. Werknemers die toegang hebben tot het Zendesk Productienetwerk zijn verplicht om meerdere authenticatiefactoren te gebruiken.

In geval van een systeemalarm worden gebeurtenissen geëscaleerd naar onze 24/7-teams die dekking bieden voor operationele zaken, netwerkengineering en beveiliging. Werknemers worden opgeleid in de processen voor reactie op veiligheidsincidenten, met inbegrip van communicatiekanalen en escalatiepaden.

Alle communicatie met Zendesk UI en API's zijn versleuteld via industriestandaard HTTPS/TLS (TLS 1.2 of hoger) over openbare netwerken. Dit zorgt ervoor dat al het verkeer tussen u en Zendesk veilig is tijdens de doorvoer. Bovendien maakt ons product voor e-mail standaard gebruik van opportunistische TLS. Met Transport Layer Security (TLS) wordt e-mail versleuteld en veilig afgeleverd, en wordt het onderscheppen van berichten tussen mailservers beperkt wanneer peer services dit protocol ondersteunen. Uitzonderingen voor encryptie zijn onder meer het gebruik van de ingebouwde SMS-functionaliteit en andere apps, integraties of diensten van derden waarvan abonnees naar eigen goeddunken gebruik kunnen maken.

Dienstgegevens worden in rust versleuteld in AWS met behulp van encryptie met AES-256-sleutels.

Zendesk heeft een openbaar toegankelijke systeemstatuswebpagina waarop je informatie over systeembeschikbaarheid vindt, evenals info over gepland onderhoud, de service-incidentgeschiedenis en relevante beveiligingsgebeurtenissen.

Zendesk maakt gebruik van serviceclustering en netwerkredundantie om niet te maken te krijgen met single-points-of-failure. Dankzij ons strikte back-upregime en/of onze Enhanced Disaster Recovery-service kunnen wij een hoog servicebeschikbaarheidsniveau leveren, aangezien servicegegevens naar alle beschikbaarheidszones worden gerepliceerd.

Ons noodherstelprogramma (Disaster Recovery (DR)) zorgt ervoor dat onze services beschikbaar blijven en eenvoudig kunnen worden hersteld als er zich een noodsituatie voordoet. Dit wordt gerealiseerd door middel van een robuuste technische omgeving, het opstellen van noodherstelplannen en testactiviteiten.

Ons Enhanced Disaster Recovery-pakket voegt contractuele doelstellingen toe voor Recovery Time Objective (RTO) en Recovery Point Objective (RPO). Deze contractuele doelstellingen worden ondersteund door de mogelijkheid om tijdens een noodscenario de activiteiten van klanten met het Enhanced Disaster Recovery-pakket voorrang te geven bij de uitvoering van hun activiteiten.

Krijg meer informatie op Garanties voor herstel bij rampen.

Jaarlijkse training in veilige code voor alle ingenieurs, gebaseerd op de OWASP Top 10 beveiligingsrisico's.

Zendesk maakt gebruik van moderne en veilige open-source frameworks met beveiligingscontroles om blootstelling aan OWASP Top 10 beveiligingsrisico's te beperken. Deze inherente controles verminderen onze blootstelling aan onder meer SQL-injectie (SQLi), Cross Site Scripting (XSS) en Cross Site Request Forgery (CSRF).

Onze afdeling Quality Assurance (QA) controleert en test onze code. Toegewijde applicatiebeveiligingsengineers identificeren, testen en verhelpen beveiligingslekken in code.

Test- en stagingomgevingen zijn logisch gescheiden van de productieomgeving. In onze ontwikkelings- of testomgevingen worden geen dienstgegevens gebruikt.

Wij maken gebruik van beveiligingstools van derden om onze kerntoepassingen voortdurend dynamisch te scannen op veelvoorkomende beveiligingsrisico's van webtoepassingen, met inbegrip van, maar niet beperkt tot, de OWASP Top 10 beveiligingsrisico's. Wij hebben een speciaal intern team voor productbeveiliging dat tests uitvoert en samenwerkt met ingenieursteams om ontdekte problemen te verhelpen.

Wij scannen de libraries en afhankelijkheden die in onze producten worden gebruikt om kwetsbaarheden op te sporen en ervoor te zorgen dat de kwetsbaarheden worden beheerd.

Naast ons uitgebreide interne scan- en testprogramma, maakt Zendesk gebruik van beveiligingsdeskundigen van derden om gedetailleerde penetratietests uit te voeren op verschillende toepassingen binnen onze productfamilie.

Ons Responsible Disclosure Program stelt beveiligingsonderzoekers en onze klanten in de gelegenheid om Zendesk op een veilige manier te testen op beveiligingsproblemen en Zendesk over de bevindingen te informeren. Dit is mogelijk dankzij onze samenwerking met HackerOne.

Zendesk heeft verschillende authenticatiemogelijkheden: abonnees kunnen native Zendesk-authenticatie inschakelen, Single sign-on (SSO) voor sociale media (Facebook, Twitter, Google) en/of Enterprise SSO (SAML, JWT) voor eindgebruiker- en/of agentauthenticatie. Meer informatie over gebruikerstoegang.

De eigen verificatiefunctie van Zendesk voor producten die beschikbaar zijn in het Beheercentrum biedt de volgende wachtwoordbeveiligingsniveaus: laag, gemiddeld en hoog, evenals een reeks aangepaste wachtwoordregels voor agenten en beheerders. Zendesk biedt ook de mogelijkheid om verschillende wachtwoordbeveiligingsniveaus toe te passen op eindgebruikers, agenten en admins. Alleen admins kunnen het wachtwoordbeveiligingsniveau wijzigen. Meer informatie over configureerbaar wachtwoordbeleid.

De native authenticatie van Zendesk voor producten die beschikbaar zijn via het Admin Center biedt 2-factor (2FA) voor agenten en admins via SMS of een authenticator-app. Meer informatie over 2FA.

Zendesk volgt de best practices voor veilige opslag van inloggegevens door wachtwoorden nooit op te slaan in een door mensen leesbaar formaat, en alleen als het resultaat van een veilige, salted, one-way hash.

Toegang tot gegevens binnen Zendesk-applicaties wordt geregeld door rolgebaseerde toegangscontrole (RBAC) en kan worden geconfigureerd om granulaire toegangsrechten te definiëren. Zendesk ondersteunt verschillende toestemmingsniveaus voor gebruikers (eigenaar, admin, agent, eindgebruiker, enz.).

Meer informatie over gebruikersrollen:

• Ondersteuning standaardrollen
• Ondersteuning aangepaste rollen *Alleen Enterprise
• Chat standaardrollen
• Chat aangepaste rollen *Alleen Enterprise
• Verken standaardrollen
• Gids standaardrollen
• Talk standaardrollen
• Sessietijd

Details over algemene beveiliging en gebruikerstoegang

Elk Zendesk account kan de toegang tot hun Zendesk Support beperken tot gebruikers binnen een specifiek bereik van IP adressen. Alleen gebruikers van de toegestane IP-adressen zullen zich kunnen aanmelden bij uw Zendesk account. U kunt abonnees (geen agenten of admins) toestaan deze beperking te omzeilen. Voor meer informatie, zie Toegang tot Zendesk Support en uw Help Center beperken met behulp van IP-restricties en IP-toegangsrestricties gebruiken in Chat.

Zendesk biedt gratis TLS-encryptie voor host-gemapte gids-helpcentra. Zendesk gebruikt Let's Encrypt om certificaten aan te vragen en vernieuwt het certificaat automatisch voordat het vervalt.

U kunt ook uw eigen certificaat uploaden, als u dat wilt.

Voor meer informatie over het instellen van encryptiecertificaten voor een gids-helpcentrum, zie Een gehost TLS-encryptiecertificaat instellen.

Zendesk Chat biedt de mogelijkheid om te beperken welke bestandstypen worden verzonden naar agenten. U kunt er ook voor kiezen het verzenden van bestanden volledig uit te schakelen in het Chat-product. Voor meer informatie over deze functie, zie Het verzenden van bestanden in live chat beheren.

Zendesk biedt Audit Logs aan voor accounts met Enterprise/Enterprise Plus plannen. Deze logs omvatten accountwijzigingen, gebruikerswijzigingen, app-wijzigingen, bedrijfsregels, ticketverwijderingen en instellingen. De Audit Log is beschikbaar in zowel het Admin Center als de Support API. Om meer te weten te komen over Audit Logs en te zien welke informatie beschikbaar is in de log, zie De audit log bekijken voor wijzigingen.

Abonnees kunnen hun instantie zo configureren dat gebruikers zich moeten aanmelden om ticketbijlagen te bekijken. Meer informatie over privébijlagen.

Zendesk heeft twee soorten bewerkingen om gevoelige gegevens te verwijderen: De functie Handmatig verbergen biedt de mogelijkheid om gevoelige gegevens te verbergen in of verwijderen uit ticketopmerkingen in Support, en om veilig bijlagen te verwijderen, zodat je vertrouwelijke informatie kunt beschermen. De gegevens worden in de gebruikersinterface of via de API uit tickets verwijderd om te voorkomen dat gevoelige informatie in Zendesk wordt opgeslagen. Meer informatie over bewerken via de UI of API.

Automatisch bewerken maakt automatische bewerking van creditcardnummers uit door abonnees ingediende tickets mogelijk. Indien geactiveerd, worden creditcardnummers gedeeltelijk vervangen door lege vakjes in het ticket. Ze worden ook uit logs en databankgegevens verwijderd. Voor meer informatie over het inschakelen van deze functie en hoe creditcardnummers worden geïdentificeerd, zie Creditcardnummers uit tickets en uit chats automatisch bewerken.

De spamfilterservice van Zendesk kan worden ingezet om te voorkomen dat spam die van eindgebruikers afkomstig is, in je Helpcenter wordt gepubliceerd. Meer informatie over het filteren van spam in Gids.

Zendesk Support biedt ondersteuning voor DKIM (Domain Keys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting & Conformance) om uitgaande e-mails van Zendesk te ondertekenen wanneer je een extern e-maildomein voor Zendesk hebt ingesteld. Door een e-mailservice te gebruiken die deze functies ondersteunt, kun je spoofing van e-mail een halt toeroepen. Meer informatie over e-mail digitaal ondertekenen.

Zendesk houdt bij welke apparaten worden gebruikt voor aanmelding bij elk gebruikersaccount. Wanneer iemand zich vanaf een nieuw apparaat bij zijn account aanmeldt, wordt dat apparaat toegevoegd aan de lijst met apparaten in het gebruikersprofiel van die persoon. Die gebruiker ontvangt mogelijk een e-mailmelding wanneer er een nieuw apparaat is toegevoegd en hij kan actie ondernemen als die activiteit verdacht is. Verdachte sessies kunnen worden beëindigd vanuit de gebruikersinterface van de agent. Meer informatie over het traceren van apparaten.

Zendesk heeft een uitgebreide set beveiligingsbeleidslijnen ontwikkeld die een scala aan onderwerpen bestrijken. Deze beleidslijnen worden gedeeld met en beschikbaar gesteld aan alle werknemers en contractanten met toegang tot Zendesk-informatiemiddelen.

Alle werknemers volgen een beveiligingsbewustmakingstraining, die wordt gegeven bij indiensttreding en daarna jaarlijks. Alle ingenieurs krijgen jaarlijks training in veilige code. Het beveiligingsteam geeft aanvullende beveiligingsbewustzijnsupdates via e-mail, blogberichten en in presentaties tijdens interne evenementen.

Zendesk voert achtergrondcontroles uit op alle nieuwe werknemers in overeenstemming met de lokale wetgeving. Deze controles zijn ook vereist voor contractanten. De achtergrondcontrole omvat verificatie van strafblad, opleiding en werk. Schoonmaakploegen zijn inbegrepen.

Alle nieuwe personeelsleden moeten een geheimhoudings- en vertrouwelijkheidsovereenkomst ondertekenen.

Gedetailleerde informatie over hoe en wanneer wij cookies gebruiken op Zendesk-websites.

Biedt informatie over hoe en wanneer Zendesk cookies gebruikt binnen de Zendesk services.

Hoe de Servicegegevens van onze Abonnees worden verwijderd in verband met de annulering, beëindiging of migratie van een Account binnen de Zendesk services.

In dit kader wordt verduidelijkt welke partij verantwoordelijk is voor welke controles in verband met de beveiliging en de privacy van uw gegevens.

Abonnees kunnen gebruik maken van onze Voluntary Product Accessibility Template bij het maken van hun voorlopige beoordelingen.

De minimumnormen die wij verwachten van onze bestuurders, leidinggevenden, werknemers en tijdelijke werknemers bij de uitvoering van onze activiteiten.

Gedetailleerde informatie over hoe en wanneer wij cookies gebruiken op Zendesk-websites.

Biedt informatie over hoe en wanneer Zendesk cookies gebruikt binnen de Zendesk services.

Hoe Zendesk omgaat met meldingen van inbreuk.

Hoe de Servicegegevens van onze Abonnees worden verwijderd in verband met de annulering, beëindiging of migratie van een Account binnen de Zendesk services.

Behandelt de procedure van Zendesk voor het reageren op een verzoek van een rechtshandhavings- of andere overheidsinstantie.

Beschrijft hoe Zendesk persoonlijke gegevens die geen servicegegevens zijn, verzamelt, gebruikt, deelt en beveiligt.

Waar servicegegevens van Zendesk gehost kunnen worden als een Abonnee de Data Center Location Add-On koopt of inschakelt.

Programma's voor beveiligingsonderzoekers om ontdekkingen van beveiligingslekken in de Zendesk services te melden.