做好准备

我们进行例行审计，以收到最新的SOC 2 II型报告，可根据要求和保密协议提供。申请最新的SOC 2 II型报告。

亚博Zendesk已通过ISO 27001:2013认证。下载证书。

亚博Zendesk已通过ISO 27018:2014认证。证书已提供下载在这里。

亚博Zendesk已通过ISO 27701:2019认证。证书已提供下载在这里。

亚博Zendesk是FedRAMP授权的低影响软件即服务(LI-SaaS)FedRAMP市场。美国政府机构订户可以通过以下方式请求访问Zendesk FedRAMP安全包亚博填写“包裹访问申请表”或提交请求给fedramp@亚博zendesk.com。

亚博Zendesk Support提供了一个可配置的pci兼容的信用卡字段，它可以编辑除最后四位数字外的所有数字。在Zendesk了解PCI合规性亚博。

有关我们的HIPAA计划和BAA的更多信息

有关我们HDS计划的更多信息

亚博Zendesk收到McAfee CloudTrust计划。该计划仅向那些具有最高CloudTrust™评级的服务提供McAfee Enterprise-Ready印章。这些服务都获得了McAfee的CloudTrust™和McAfee Enterprise-Ready评级，基于它们在数据、用户和设备、安全、商业和法律评估类别中的属性。

亚博Zendesk是云安全联盟(CSA)的成员，CSA是一个非营利性组织，其使命是促进云计算安全保障最佳实践的使用。CSA推出了安全、信任和保证注册表(STAR)，这是一个公开访问的注册表，记录了各种云计算产品提供的安全控制。亚博Zendesk根据我们尽职调查的自我评估结果，完成了一份公开的共识评估倡议(CAI)问卷。

CSA CAIQ可用在这里。

亚博Zendesk是IT-ISAC该组织致力于将各种各样的私营部门公司聚集在一起，利用不断发展的技术，并对安全做出共同承诺。IT-ISAC实现了相关的、可操作的威胁情报信息和实践的协作和共享。他们管理着专注于情报、内部威胁、物理安全和其他特定领域的特殊兴趣小组，以帮助我们进一步确保Zendesk的安全。亚博

亚博Zendesk是第一个是一个由事件应变小组组成的国际联盟，合作处理电脑保安事件及推广预防事件计划。FIRST成员开发和分享技术信息、工具、方法、过程和最佳实践。作为FIRST的成员，Zendesk Sec亚博urity与其他成员合作，利用他们的综合知识、技能和经验，促进更安全、更可靠的全球电子环境。

亚博Zendesk已满足所有要求(第一阶段和第二阶段)，成为FSQS(金融服务资格体系)供应商资格体系的全面注册，正如参与采购组织所设定的那样。申请最新的FSQS证书在这里。

关于FSQS的更多细节https://hellios.com/fsqs/。

亚博Zendesk主要在通过ISO 27001、PCI DSS服务提供商1级和/或SOC 2认证的AWS数据中心托管服务数据。了解AWS的合规性。

AWS基础设施服务包括备用电源、暖通空调系统和灭火设备，以帮助保护服务器并最终保护您的数据。了解有关AWS数据中心控制的更多信息。

AWS现场安全包括许多功能，如保安、围栏、安全馈送、入侵检测技术和其他安全措施。了解AWS物理安全。

亚博Zendesk利用AWS在美国、欧洲和亚太地区的数据中心。了解您的Zendesk服务数据的数据托管位置亚博。

亚博Zendesk提供多种数据本地选择，包括美国(US)、澳大利亚(AU)、日本(JP)或欧洲经济区(EEA)。有关产品，计划和区域产品的更多信息，请参阅我们的区域数据托管政策。

我们全球分布的安全团队24小时待命，响应安全警报和事件。

我们的网络通过使用关键AWS安全服务、与Cloudflare边缘保护网络集成、定期审计和网络智能技术(监控和/或阻止已知恶意流量和网络攻击)得到保护。

我们的网络安全架构由多个安全区域组成。更敏感的系统，如数据库服务器，在我们最信任的区域受到保护。其他系统则根据功能、信息分类和风险，安置在与其敏感性相称的区域。视区域而定，将采用额外的安全监控和访问控制。dmz用于互联网之间和内部不同信任区域之间。

网络安全扫描使我们能够深入了解如何快速识别不合规或潜在易受攻击的系统。

除了我们广泛的内部扫描和测试程序外，Zendesk每年还聘请第三方安全专家在Zendesk生产和企业网络中进行广泛的渗透测试。亚博

我们的安全事件管理(SIEM)系统从重要的网络设备和主机系统收集大量的日志。SIEM对触发器发出警报，这些触发器根据相关事件通知安全团队进行调查和响应。

服务入口和出口点被检测和监视，以检测异常行为。这些系统配置为在事件和值超过预定阈值时生成警报，并根据新威胁使用定期更新的签名。这包括24/7系统监控。

亚博Zendesk参与了几个威胁情报共享项目。我们监控张贴在这些威胁情报网络上的威胁，并根据风险采取行动。

亚博Zendesk已经构建了一个多层DDoS缓解方法。与Cloudflare的核心技术合作伙伴关系提供网络边缘防御，而使用AWS扩展和保护工具以及我们使用AWS DDoS特定服务提供更深层次的保护。

对Zendesk生产网络的访亚博问受到明确的需要知道基础的限制，使用最小特权，经常被审计和监控，并由我们的运营团队控制。访问Zendesk生产网络的员工需要使用多重身份亚博验证。

在系统警报的情况下，事件升级到我们的24/7团队提供运营，网络工程和安全覆盖。对员工进行安全事件响应流程方面的培训，包括通信渠道和升级路径。

所有与Zendesk UI和api的通信都通过公亚博共网络上的行业标准HTTPS/TLS (TLS 1.2或更高)进行加密。这确保了您和Zendesk之间的所有流量在运输过程中是安全的。亚博此外，对于电子邮件，我们的产品在默认情况下利用机会TLS。传输层安全(TLS)对电子邮件进行安全加密和传输，减少对等服务支持该协议的邮件服务器之间的窃听。加密的例外情况可能包括任何产品内短信功能的使用，任何其他第三方应用程序，用户可以自行选择利用集成或服务。

服务数据在AWS中使用AES-256密钥加密进行静态加密。

亚博Zendesk维护一个公开可用的系统状态页面，其中包括系统可用性详细信息、计划维护、服务事件历史和相关安全事件。

亚博Zendesk采用服务集群和网络冗余来消除单点故障。我们严格的备份制度和/或我们的增强的灾难恢复服务提供允许我们交付高水平的服务可用性，因为服务数据是跨可用性区域复制的。

我们的灾难恢复(DR)程序确保我们的服务仍然可用，并且在发生灾难时可以轻松恢复。这可以通过构建健壮的技术环境、创建灾难恢复计划和测试来实现活动。

我们的增强的灾难恢复软件包增加了恢复时间目标(RTO)和恢复点目标(RPO)的合同目标。我们能够在任何已宣布的灾难爆发期间对增强灾难恢复客户的操作进行优先级排序，从而支持这些功能。

获取有关灾难恢复保证的更多信息。

根据OWASP十大安全风险，对所有工程师进行年度安全代码培训。

亚博Zendesk利用现代和安全的开源框架和安全控制来限制暴露于OWASP的十大安全风险。这些固有的控制减少了我们对SQL注入(SQLi)、跨站脚本(XSS)和跨站请求伪造(CSRF)等的暴露。

我们的质量保证(QA)部门审查和测试我们的代码库。专职的应用程序安全工程师会识别、测试和分类代码中的安全漏洞。

测试和登台环境在逻辑上与生产环境分离。在我们的开发或测试环境中不使用服务数据。

我们使用第三方安全工具来持续动态地扫描我们的核心应用程序，以防范常见的web应用程序安全风险，包括但不限于OWASP十大安全风险。我们有一个专门的内部产品安全团队进行测试，并与工程团队一起修复任何发现的问题。

我们扫描产品中使用的库和依赖项，以识别漏洞并确保对漏洞进行管理。

除了我们广泛的内部扫描和测试程序外，Zendesk还聘请第三方安全专家对我们产品系列中的不同应用程序进行详细的渗透测试。亚博

我们的负责任信息披露计划通过与Zendesk的合作，为安全研究人员和客户提供了安全测试和通知Zendesk安全漏洞的途径亚博HackerOne。

亚博Zendesk有几种不同的身份验证选项:订阅者可以启用本地Zendesk身份验证，社交媒体单点登录(SSO) (Facebook, Twitter, Google)，和/或企业单点登录(SAML, JWT)，用于最终用户和/或代理身份验证。了解用户访问。

亚博Zendesk原生认证产品可通过管理中心提供低、中、高密码安全级别，并为代理和管理员设置自定义密码规则。亚博Zendesk还允许对最终用户、代理和管理员应用不同的密码安全级别。只有管理员可以修改密码的安全级别。了解可配置密码策略。

亚博Zendesk原生认证产品可通过管理中心通过短信或身份验证应用程序为代理和管理员提供2因素(2FA)。了解2FA。

亚博Zendesk遵循安全凭证存储最佳实践，从不以人类可读的格式存储密码，而只将密码存储为安全的、加盐的单向散列的结果。

Zendesk应用程序中的数据访问由基于角色亚博的访问控制(RBAC)控制，可以配置为定义粒度访问权限。亚博Zendesk支持用户的各种权限级别(所有者、管理员、代理、最终用户等)。

了解用户角色:

• 支持默认角色
• 支持自定义角色*仅限企业
• 聊天默认角色
• 聊天自定义角色*仅限企业
• 探索默认角色
• 指南默认角色
• 默认角色
• 会议时间

关于全局安全和用户访问的详细信息

任何Ze亚博ndesk帐户都可以限制在特定IP地址范围内的用户访问其Zendesk支持。只有来自允许的IP地址的用户才能登录到您的Zendesk帐户。亚博您可以允许订阅者(而不是代理或管理员)绕过此限制。有关更多信息，请参见使用IP限制限制访问Zendesk支持和您的亚博帮助中心和在聊天中使用IP访问限制。

亚博Zendesk为主机映射的Guide帮助中心提供免费的TLS加密。亚博Zendesk使用Let 's Encrypt请求证书，并在证书过期前自动更新证书。

如果您愿意，也可以上传自己的证书。

要了解有关为Guide帮助中心设置加密证书的更多信息，请参阅设置托管的TLS加密证书。

亚博Zendesk Chat允许限制发送给代理的文件类型。或者，您可以选择在Chat产品中完全关闭文件发送。要了解此功能，请参见管理文件发送在实时聊天。

亚博Zendesk为企业/企业Plus计划的帐户提供审计日志。这些日志包括帐户更改、用户更改、应用程序更改、业务规则、票据删除和设置。审计日志在管理中心和支持API。要了解有关审计日志的更多信息并查看日志中可用的信息，请参阅查看变更的审计日志。

订阅者可以配置其实例，以便要求用户登录才能查看票据附件。了解私人附件。

亚博Zendesk有两种类型的删除敏感数据的修订:手动修订提供了编辑或删除支持票据评论中的敏感数据和安全删除附件的能力，因此您可以保护机密信息。数据通过UI或API从票据中编辑，以防止敏感信息存储在Zendesk中。亚博通过用户界面或API。

自动编校允许从订户提交的门票自动编校信用卡号码。启用后，信用卡号码将部分替换为票券中的空白框。它们也从日志和数据库条目中编校。要了解有关如何启用此功能以及如何识别信用卡号的详细信息，请参见自动编辑机票上的信用卡号码从聊天。

亚博Zendesk的垃圾邮件过滤服务可用于防止最终用户在帮助中心发布垃圾邮件。在指南中了解如何过滤垃圾邮件。

亚博Zendesk提供DKIM(域密钥识别邮件)和DMARC(基于域的消息认证，报告和一致性)，当您必须在Zendesk上设置外部电子邮件域时，用于从Zendesk签署出站电子邮件。亚博使用支持这些功能的电子邮件服务可以帮助您防止电子邮件欺骗。了解如何对电子邮件进行数字签名。

亚博Zendesk跟踪用于登录每个用户帐户的设备。当有人用新设备登录帐户时，它会被添加到该用户配置文件中的设备列表中。当添加新设备时，用户可以收到电子邮件通知，如果活动看起来可疑，用户应该跟进。可以通过代理UI终止可疑会话。了解设备跟踪。

亚博Zendesk开发了一套全面的安全策略，涵盖了一系列主题。所有能够访问Zendesk信息资产的员工和承包商都可以共享并使用这些策略。亚博

所有员工在入职时和入职后每年都要参加安全意识培训。所有工程师每年接受安全代码培训。安全团队在内部活动期间通过电子邮件、博客文章和演示文稿提供额外的安全意识更新。

亚博Zendesk根据当地法律对所有新员工进行背景调查。承包商也需要这些检查。背景调查包括犯罪、教育和就业核实。包括清洁人员。

所有新员工都必须签署保密协议。

关于我们如何以及何时在Zendesk网站上使用cookie的详细信息。亚博

提供有关Zendesk如何以及何时在Zendesk服务中使用cookie的信息。亚博

在Zendesk服务中的帐户取消、终止或迁移时，我们的订阅者的服务数据是如何被删除的。亚博

此框架明确了哪一方负责与您的数据安全和隐私相关的哪些控制。

订户可以利用我们的自愿产品无障碍模板进行初步评估。

我们对董事、管理人员、员工和临时员工在开展业务方面的最低标准。

关于我们如何以及何时在Zendesk网站上使用cookie的详细信息。亚博

提供有关Zendesk如何以及何时在Zendesk服务中使用cookie的信息。亚博

Zend亚博esk如何处理侵权通知。

在Zendesk服务中的帐户取消、终止或迁移时，我们的订阅者的服务数据是如何被删除的。亚博

说明Zendesk回亚博应来自执法部门或其他政府机构的请求的程序。

描述Zendesk如何收集、亚博使用、共享和保护个人数据。

如果订阅者购亚博买或启用数据中心位置附加组件，Zendesk服务数据可以托管在哪里。

安全研究人员报告Zendesk服务中安全漏洞发现的程序。亚博