Zend亚博esk共享责任模式
亚博Zendesk为众多行业领域的全球领先公司提供高度可配置、快速可扩展的客户服务平台。通过帮助我们的订阅者利用我们的云平台来满足他们的客户服务需求,我们允许他们减少开销,扩展以满足需求,并提供与客户的精美简单的交互。
将业务转移到云端不仅带来了上述好处,而且可能包括哪一方负责哪一方控制的模糊性。不要担心,为了保持简单,下面是我们的共同责任模型。该框架明确了与数据安全和隐私相关的控制由哪一方负责。无论您是负责管理、企业安全、合规或隐私的官员,还是任何其他负责在您的环境中为使用Zendesk服务设置适当控制的人,该标准都应该清楚地划定您需要注意的界限。亚博
用一句话概括,“Zendesk的任务是服务本身的安全,而您的任务是服务特亚博定实例中的安全”。
- 出入管制及卫生
- 集成
- 数据、隐私、遵从性和监管方面的考虑
- 监控
- 保安事故(角色及职责)
- 有用的链接
请注意,大写术语的含义与本章程所赋予的含义相同亚博Zendesk主订阅协议(“MSA”)。
一、访问控制和卫生
控制对敏感系统及其中的数据的访问是安全原则的核心。
- 认购人负责对服务实例的所有访问控制,包括:
- 所有用户(包括最终用户和代理)的供应、修改、持续卫生、维护特权准确性和取消供应(无论是本地、远程还是第三方工作人员)
- 从受支持的产品中选择和配置服务的身份验证方法(可能包括密码、MFA、SSO等)
- 配置和监控会话处理的各个方面,如注销、登录设备等。
- 允许或不允许我们的支持人员进入您的支持实例寻求帮助
- 配置对Zendesk REST API服务的访问,并理解使用Zendesk REST API服务的含义(如适用,包括集成,Zendesk 亚博Sunshine服务的使用等)
- 根据需要配置任何产品支持的IP限制
- 考虑其他与产品无关的访问控制,例如在访问实例时允许代理使用哪种设备类型,以及用户或允许的设备的任何适用的物理、逻辑或策略控制
- 亚博Zendesk负责对支持服务的系统的所有访问控制,包括:
- 维护策略和过程,以安全供应、修改、持续的卫生、维护特权准确性和取消所有用户的供应(包括内部部署、远程和第三方工作人员)
- 实施基于角色的访问控制(RBAC)、最小权限原则(PLP)、适当的凭证安全(包括多因素身份验证(MFA)),以便所有员工和承包商访问包含用户服务数据的关键系统和应用程序
- 定期检查以上内容
2集成
利用第三方可以大大提高效率,但也引入了安全方面的考虑。
- 认购人负责考虑到利用其与服务进行的所有第三方集成的安全影响,包括:
- 通过API和/或SDK进行集成
- 通过安装市场应用程序进行集成
- 与任何第三方的集成,通过提供人员、工具、代码或直接服务Zendesk实例来帮助订阅者亚博
- 亚博Zendesk负责小心地将信誉良好的第三方整合到服务中,包括:
- 审查和执行所有子处理器的持续尽职调查
- 以安全的方式将采购整合到服务中
- 确保与第三方的任何产品合作和/或服务集成都有适当的安全考虑
3数据、隐私、遵从性和监管方面的考虑
必须对正在使用的数据、数据的适当处理、任何相关的监管框架以及第三方保证的重要性进行核算。
- 认购人负责妥善处理所接收和使用的数据,包括:
- 理解特定用例中涉及的数据类型
- 根据其公司的数据分类和隐私政策、与数据本身、提供数据的用户、订阅者所在行业以及任何相关司法管辖区相关的适用法律处理此类数据
- 选择允许与服务实例通信的通道
- 根据订阅者所在行业、用户或用例可能涉及的任何适用的法规遵从性、法律或监管框架维护实例和服务数据
- 为Zendesk提供亚博备用TLS证书,其中主机映射到非Zendesk父域,用于加密进出Zendesk UI或API的流量
- 了解哪些数据在传输过程中可能不加密,并相应地处理这些通道或协议(主要是电子邮件、短信或用户自行决定的不支持加密的第三方集成)
- 确保订阅者实例中涉及的数据类型不违反Zendesk主订阅协议的条款和条件(请参阅Zendesk MSA)亚博
- 确保用户选择的正常运行时间和灾难恢复级别符合用户应遵守的任何政策或法规
- 亚博Zendesk主要负责:
- 在服务级别(即基础设施或代码)适当保护所有服务数据不被泄露
- 加密数据在传输或从我们的UI或API在公共网络
- 加密所有静止的服务数据
- 向订阅者提供由产品内cookies收集的数据信息以及服务的默认使用情况
- 准确描述我们如何以匿名和非匿名方式使用服务数据(包括个人数据)来提供我们的服务或以其他方式。
- 向用户提供工具和功能,帮助他们履行妥善处理个人或受规管资料的义务。
- 遵守与我们的服务产品和业务地点相关的适用法律和监管框架
- 获取并提供与我们的服务产品相关的独立第三方合规保证
四、监控
适当的安全性要求洞察流程和活动。
- 认购人负责监视服务实例中的所有活动,包括:
- 监视用户活动(通过UI视图或API日志)
- 对与未知个人的通信或通过服务获得的不可信内容进行尽职调查
- 根据任何适用的法规维护从服务中提取的日志或数据
- 亚博Zendesk负责监控服务本身的流程和活动,包括:
- 生产网络中的特权访问和活动
- 传入流量警告或阻止已知的错误提交或IP地址
- 服务正常运行时间
- 公司或生产网络资产中的异常行为
- 代码、基础设施、流量和相关员工或承包商人员的安全
五、安全事件
尽管尽了最大努力,事情有时还是会出错。如何识别、响应和从安全事件中恢复是成功缓解和保持客户信任的关键。本节规定了安全事故中各方的角色和责任。
- 认购人负责在其特定实例中的任何安全事件或违反,这些事件不是由服务本身的漏洞或事件引起的或通过服务本身的漏洞或事件造成的,包括
- 调查和补救在其特定实例中因(i)访问控制或卫生不足,(ii)对用户活动监测不足,(iii)未能对通过与用户交互产生的通信或不可信内容进行尽职调查,或(iv)通过与任何第三方集成带来的任何事件或违约,而此类集成是由订阅者自行决定的。
- 向政府或执法机构,或与订阅用户行为、集成第三方导致的违规行为相关的最终用户,或与Zendesk收到的关于订阅用户实例的服务数据泄露通知相关的任何必要通知亚博
- 亚博Zendesk负责控制安全事件的调查,以及通知受影响的用户通过服务本身发生的服务数据泄露,包括
- 有文件化的安全事件响应政策,以及有相关安全角色和职责的人员
- 调查异常活动
- 包含任何已确认的服务数据泄露
- 在法律规定的情况下,通知任何受影响的订户或相关政府或执法机构。
- 确保稳健的备份和灾难恢复流程到位并经过测试
VI.有用连结
出入管制及卫生
在Zendesk Support中管理安全性和用户访问亚博(聚合链接)
集成
数据、隐私、遵从性和监管方面的考虑
监控
如有任何疑问,请与我们联络security@亚博zendesk.com
0评论
文章已停止评论。