做好准备

我们进行例行审计，以收到更新的SOC 2 Type II报告，可根据要求和NDA提供。申请最新的SOC 2 Type II报告．

亚博Zendesk已通过ISO 27001:2013认证。下载证书．

亚博Zendesk已通过ISO 27018:2014认证。证书可下载获取在这里．

亚博Zendesk已通过ISO 27701:2019认证。证书可下载获取在这里．

亚博Zendesk是FedRAMP授权的低影响软件即服务(LI-SaaS)FedRAMP市场．美国政府机构订户可以通过以下方式请求访问Zendesk FedRAMP安全包亚博填写“服务包访问要求表格”或者提交请求fedramp@亚博zendesk.com．

亚博Zendesk Support提供了一个可配置的符合pci标准的信用卡字段，该字段可以编辑除最后四位数字以外的所有数字。在Zendesk了解PCI合规性亚博．

有关我们的HIPAA计划和BAA的更多信息

有关我们的HDS计划的更多信息

亚博Zendesk收到了McAfee CloudTrust计划．该计划仅向那些具有最高CloudTrust™评级的服务提供McAfee Enterprise-Ready密封。这些服务已经获得了McAfee的CloudTrust™，并根据其在数据、用户和设备、安全、业务和法律评估类别中的属性获得了McAfee Enterprise-Ready评级。

亚博Zendesk是云安全联盟(CSA)的成员，CSA是一个非营利性组织，其使命是促进使用最佳实践，在云计算中提供安全保证。CSA已经推出了安全、信任和保证注册表(STAR)，这是一个可公开访问的注册表，记录了各种云计算产品提供的安全控制。亚博Zendesk根据我们尽职调查自我评估的结果，完成了一份公开的共识评估倡议(CAI)问卷。

CSA CAIQ可用在这里．

亚博Zendesk是IT-ISAC该组织专注于将一系列不同的私营部门公司聚集在一起，以利用不断发展的技术，并对安全做出共同承诺。IT-ISAC实现了相关的、可操作的威胁情报信息和实践的协作和共享。他们管理专注于情报、内部威胁、物理安全和其他特定领域的特殊利益集团，以帮助我们进一步确保Zendesk安全的使命。亚博

亚博Zendesk是第一个该组织是一个国际事件响应小组联合会，负责合作处理计算机安全事件，并推广事件预防项目。FIRST成员开发并共享技术信息、工具、方法、流程和最佳实践。作为FIRST的成员，Zendesk Sec亚博urity与其他成员合作，利用他们的知识、技能和经验，促进一个更安全、更可靠的全球电子环境。

亚博Zendesk已满足参与采购组织规定的在FSQS(金融服务资格体系)供应商资格体系中完全注册的所有要求(第一阶段和第二阶段)。申请最新的FSQS证书在这里．

更多关于FSQS的细节https://hellios.com/fsqs/．

亚博Zendesk主要将服务数据托管在AWS数据中心，这些数据中心已通过ISO 27001、PCI DSS服务提供商级别1和/或SOC 2认证。在AWS了解法规遵从性．

AWS基础设施服务包括备用电源、HVAC系统和灭火设备，以帮助保护服务器并最终保护您的数据。在AWS了解有关数据中心控制的信息．

AWS现场安全包括安全警卫、围栏、安全馈送、入侵检测技术和其他安全措施等功能。了解AWS物理安全性．

亚博Zendesk利用AWS在美国、欧洲和亚太地区的数据中心。了解Zendesk服务数据的数据托管位置亚博．

亚博Zendesk提供多种数据位置选择，包括美国(US)、澳大利亚(AU)、日本(JP)或欧洲经济区(EEA)。有关产品、计划和区域产品的更多信息，请参阅我们的区域数据托管策略．

我们遍布全球的安全团队全天候待命，随时响应安全警报和事件。

我们的网络通过使用关键的AWS安全服务、与Cloudflare边缘保护网络的集成、定期审计和网络情报技术得到保护，这些技术监视和/或阻止已知的恶意流量和网络攻击。

我们的网络安全架构由多个安全区域组成。更敏感的系统，如数据库服务器，在我们最信任的区域受到保护。其他系统被安置在与其灵敏度相称的区域，这取决于功能、信息分类和风险。根据区域的不同，将适用额外的安全监测和访问控制。dmz在Internet之间使用，在内部不同的信任区域之间使用。

网络安全扫描使我们能够深入了解快速识别不合规或潜在脆弱的系统。

除了我们广泛的内部扫描和测试计划外，每年Zendesk还聘请第三方安全专家在Zendesk生产网络和企业网络上执行广泛的渗透测试。亚博

我们的安全事件事件管理(SIEM)系统从重要的网络设备和主机系统收集大量日志。SIEM对触发器发出警报，根据相关事件通知安全团队进行调查和响应。

对服务入口和出口点进行检测和监视，以检测异常行为。这些系统被配置为在事件和值超过预定阈值时生成警报，并根据新的威胁定期更新签名。这包括全天候的系统监控。

亚博Zendesk参与了多个威胁情报共享项目。我们监控发布到这些威胁情报网络上的威胁，并根据风险采取行动。

亚博Zendesk架构了一种多层方法来缓解DDoS攻击。与Cloudflare的核心技术合作伙伴关系提供了网络边缘防御，而AWS扩展和保护工具的使用以及AWS DDoS特定服务的使用提供了更深层次的保护。

对Zendesk生产网络的访亚博问被明确限制在需要知道的基础上，使用最少的特权，经常被审计和监控，并由我们的运营团队控制。访问Zendesk生产网络的员工需要使用多种身份亚博验证因素。

在系统警报的情况下，事件会升级到我们的24/7团队，提供运营、网络工程和安全覆盖。员工接受安全事件响应流程培训，包括沟通渠道和升级路径。

所有与Zendesk UI和api的通信都通过行亚博业标准HTTPS/TLS (TLS 1.2或更高)在公共网络上加密。这可确保您和Zendesk之间的所有流量在传输过程中是安全的。亚博此外，对于电子邮件，我们的产品默认利用机会性TLS。传输层安全(TLS)加密和安全地发送电子邮件，减少了对等服务支持该协议的邮件服务器之间的窃听。加密的例外情况可能包括任何产品内SMS功能的使用，任何其他第三方应用程序、集成或服务订阅者可自行决定选择利用。

业务数据在AWS中采用AES-256密钥加密方式进行静态加密。

亚博Zendesk维护着一个公开可用的系统状态页面，其中包括系统可用性细节、定期维护、服务事件历史和相关安全事件。

亚博Zendesk采用服务集群和网络冗余来消除单点故障。我们严格的后备制度和/或我们的增强容灾服务提供使我们能够交付高水平的服务可用性，因为服务数据可以跨可用性区域复制。

我们的容灾程序确保我们的服务仍然可用，并且在发生灾难时可以轻松恢复。这可以通过构建健壮的技术环境、创建灾难恢复计划和测试来实现活动．

我们的增强容灾该方案增加了恢复时间目标(RTO)和恢复点目标(RPO)的合同目标。我们能够在任何宣布的灾难事件期间对增强型灾难恢复订阅者的操作进行优先级排序，从而为这些任务提供支持。

获取有关灾难恢复保证的更多信息。

基于OWASP十大安全风险，对所有工程师进行年度安全代码培训。

亚博Zendesk利用现代、安全的开源框架和安全控制来限制OWASP十大安全风险的暴露。这些固有的控制减少了我们接触SQL注入(SQLi)、跨站脚本编写(XSS)和跨站请求伪造(CSRF)等的风险。

我们的质量保证(QA)部门审查和测试我们的代码库。专门的应用程序安全工程师负责识别、测试和分类代码中的安全漏洞。

测试和登台环境在逻辑上与生产环境分离。在我们的开发或测试环境中不使用任何服务数据。

我们使用第三方安全工具持续动态地扫描我们的核心应用程序，以防范常见的web应用程序安全风险，包括但不限于OWASP十大安全风险。我们有一个专门的内部产品安全团队进行测试，并与工程团队合作解决任何发现的问题。

我们扫描产品中使用的库和依赖项，以识别漏洞并确保漏洞得到管理。

除了我们广泛的内部扫描和测试计划外，Zendesk还聘请第三方安全专家对我们产品系列中的不同应用程序进行详细的渗透测试。亚博

我们的负责任的披露计划为安全研究人员和订阅者提供了一种安全测试的途径，并通过与Zendesk的合作伙伴关系将安全漏洞通知Zendesk亚博HackerOne．

亚博Zendesk有几个不同的身份验证选项:订阅者可以启用本地Zendesk身份验证，社交媒体单点登录(SSO) (Facebook, Twitter，谷歌)和/或企业SSO (SAML, JWT)用于最终用户和/或代理身份验证。了解用户访问．

亚博Zendesk本地认证产品可通过管理中心提供以下级别的密码安全:低、中、高，以及为代理和管理员设置自定义密码规则。亚博Zendesk还允许对终端用户、代理和管理员应用不同的密码安全级别。只有管理员可以修改密码安全级别。了解可配置密码策略．

亚博Zendesk本地认证产品可通过管理中心通过短信或身份验证应用程序为代理和管理员提供2因素(2FA)。了解2FA．

亚博Zendesk遵循安全凭据存储最佳实践，从不以人类可读的格式存储密码，并且仅作为安全的、有盐的、单向散列的结果。

Zendesk应用程序中对数据的访问由基于角亚博色的访问控制(RBAC)管理，可以配置为定义粒度访问特权。亚博Zendesk支持用户的各种权限级别(所有者、管理员、代理、最终用户等)。

了解用户角色:

• 支持默认角色
• 支持自定义角色*仅企业
• 默认角色
• 聊天自定义角色*企业专属
• 查看默认角色
• 默认角色
• 默认角色
• 会议时间

关于全局安全和用户访问的详细信息

任何Ze亚博ndesk帐户都可以限制在特定IP地址范围内的用户访问Zendesk Support。只有来自允许的IP地址的用户才能登录您的Zendesk帐户。亚博您可以允许订阅者(不是代理或管理员)绕过此限制。有关更多信息，请参见使用IP限制限制对Zendesk支持和帮助中亚博心的访问而且在聊天中使用IP访问限制．

亚博Zendesk为主机映射的指南帮助中心提供免费TLS加密。亚博Zendesk使用Let’s Encrypt来请求证书，并在证书过期前自动更新证书。

如果您愿意，还可以上传自己的证书。

要了解有关为指南帮助中心设置加密证书的详细信息，请参见设置托管TLS加密证书．

亚博Zendesk Chat允许限制发送给代理的文件类型。或者，您可以选择在聊天产品中完全关闭文件发送。要了解此功能，请参见在实时聊天中管理文件发送．

亚博Zendesk为企业/企业Plus计划的帐户提供审计日志。这些日志包括帐户更改、用户更改、应用程序更改、业务规则、票据删除和设置。审计日志可在管理中心而且支持API．要了解关于审计日志的更多信息，并查看日志中有哪些可用信息，请参见查看审计日志中的更改．

订阅者可以配置他们的实例，以便用户必须登录才能查看票据附件。了解私人附件．

亚博Zendesk有两种类型的编校用于删除敏感数据:手动编校提供了编校或删除支持票据注释中的敏感数据的能力，并安全地删除附件，因此您可以保护机密信息。通过UI或API对票据中的数据进行编辑，以防止敏感信息存储在Zendesk中。亚博了解有关编校的信息用户界面或API．

自动编校允许从用户提交的门票自动编校信用卡号码。启用后，信用卡号码将部分替换为票据中的空白框。它们也从日志和数据库条目中编校。有关如何启用此功能以及如何识别信用卡号码的详细信息，请参见自动编辑信用卡号码从门票从聊天．

亚博Zendesk的垃圾邮件过滤服务可用于防止最终用户的垃圾邮件发布在您的指南帮助中心。在指南中了解如何过滤垃圾邮件．

亚博Zendesk提供DKIM(域密钥识别邮件)和DMARC(基于域的消息认证，报告和一致性)，当您必须在Zendesk上设置外部电子邮件域时，可以从Zendesk签署出站电子邮件。亚博使用支持这些功能的电子邮件服务可以帮助您阻止电子邮件欺骗。了解如何对电子邮件进行数字签名．

亚博Zendesk会跟踪登录每个用户账户时使用的设备。当有人从新设备上登录帐户时，该帐户将被添加到该用户配置文件中的设备列表中。当添加新设备时，用户会收到一封电子邮件通知，如果活动可疑，用户应该跟进。可以通过代理UI终止可疑会话。了解设备跟踪．

亚博Zendesk开发了一套全面的安全策略，涵盖了一系列主题。这些政策与所有可以访问Zendesk信息资产的员工和承包商共享。亚博

所有员工都参加安全意识培训，该培训在受雇时进行，此后每年进行一次。所有工程师每年都接受安全代码培训。安全团队在内部活动期间通过电子邮件、博客文章和演讲提供额外的安全意识更新。

亚博Zendesk会根据当地法律对所有新员工进行背景调查。承包商也需要这些检查。背景调查包括犯罪、教育和就业验证。包括清洁人员。

所有新员工都必须签署保密协议。

关于我们如何以及何时在Zendesk网站上使用cookie的详细信息。亚博

提供有关Zendesk如何以及何时在Zendesk服务中使用cookie的信息。亚博

我们的订阅者的服务数据如何因Zendesk服务内帐户的注销、终止或迁移而被删除。亚博

该框架明确了与数据安全和隐私相关的控制由哪一方负责。

订户可以利用我们的自愿产品可访问性模板进行初步评估。

我们期望我们的董事、高级管理人员、员工和临时工人在开展业务时达到的最低标准。

关于我们如何以及何时在Zendesk网站上使用cookie的详细信息。亚博

提供有关Zendesk如何以及何时在Zendesk服务中使用cookie的信息。亚博

Zend亚博esk如何处理侵权通知。

我们的订阅者的服务数据如何因Zendesk服务内帐户的注销、终止或迁移而被删除。亚博

说明Zendesk回亚博应执法部门或其他政府部门请求的程序。

描述Zendesk如何收集、亚博使用、共享和保护个人数据。

如果订阅者购亚博买或启用了数据中心位置附加组件，则Zendesk服务数据可以托管在这里。

安全研究人员报告Zendesk服务中安全漏洞发现的程序。亚博