Un service client sécurisé

Prenez toutes les précautions

Zendesk prend la sécurité très au sérieux... toutes les entreprises Fortune 100 et Fortune 500 qui nous confient leurs données en attestent. Nous allions des fonctionnalités de sécurité de niveau entreprise et des audits complets de nos applications, systèmes et réseaux pour garantir que vos données soient toujours protégées... ainsi vos clients peuvent avoir l’esprit tranquille.

Certifications de conformité et affiliations

Nous utilisons les meilleures pratiques et les normes du secteur pour assurer la conformité avec les frameworks de sécurité et de confidentialité généraux acceptés par le secteur, ce qui aide nos clients à respecter leurs propres normes de conformité.

Conformité aux normes de sécurité
SOC 2 Type II

Nous passons des audits systématiques pour recevoir des rapports SOC 2 Type II mis à jour, disponibles sur demande et sur signature d’un accord de non-divulgation. Vous pouvez demander le dernier rapport SOC 2 Type II ici.

ISO 27001:2013

Zendesk est certifié ISO 27001:2013. Vous pouvez télécharger le certificat ici.

ISO 27018:2014

Zendesk est certifié ISO 27018:2014. Vous pouvez télécharger le certificat ici.

SaaS à faible impact FedRAMP

Zendesk est conforme au programme FedRAMP comme logiciel en tant que service à faible impact (LI-SaaS) et est répertorié dans FedRAMP Marketplace. Les clients qui sont des organismes gouvernementaux américains peuvent demander l’accès au package de sécurité FedRAMP de Zendesk en remplissant un formulaire d’accès au package ici ou en envoyant leur demande à fedramp@zendesk.com.

Conformité aux normes du secteur
HIPAA

Nous aidons nos clients à respecter leurs obligations HIPAA par le biais des options de configuration de la sécurité appropriées dans les produits Zendesk. Nous mettons notre contrat d’associé commercial (BAA) à disposition des abonnés souhaitant l’exécuter.

*Notre BAA est uniquement disponible avec l’achat du module supplémentaire Conformité avancée et ne s’applique qu’à certains produits Zendesk (des règles de configuration spéciales s’appliquent).

PCI DSS

Consultez notre livre blanc sur la conformité aux normes PCI ou apprenez-en plus au sujet de notre champ conforme aux normes PCI pour Zendesk Support.

**Compte Enterprise requis

Cliquez ici pour vous procurer notre attestation et notre certificat de conformité PCI.

Affiliations
Skyhigh Enterprise-Ready

Zendesk a obtenu le sceau Skyhigh Enterprise-Ready™, la norme la plus élevée du programme CloudTrust™. Il est accordé aux services cloud se conformant aux exigences les plus strictes en matière de protection des données, de vérification d’identité, de sécurité des services, de pratiques professionnelles et de protection juridique.

Cloud Security Alliance

Zendesk est membre de Cloud Security Alliance (CSA), un organisme à but non lucratif ayant pour mission la promotion des meilleures pratiques pour garantir la sécurité de l’informatique dans le cloud. CSA a lancé STAR (Security, Trust & Assurance Registry), un registre accessible au public, qui documente les contrôles de sécurité fournis par diverses offres d’informatique dans le cloud. Nous avons rempli le questionnaire Consensus Assessment Initiative (CAI), d’après les résultats de notre auto-évaluation en matière de diligence raisonnable.

Vous pouvez télécharger le questionnaire CAI de CSA ici.

IT-ISAC

Zendesk est membre d’IT-ISAC, un groupe qui rassemble des entreprises du secteur privé très variées afin d’exploiter les évolutions technologiques et de s’engager ensemble en faveur de la sécurité. IT-ISAC permet à ses membres de collaborer et de partager des informations pertinentes et exploitables sur les menaces, ainsi que des bonnes pratiques. Ils modèrent des groupes d’intérêts spéciaux qui se consacrent aux informations, aux menaces internes, à la sécurité physique et à d’autres domaines spécialisés afin de contribuer à notre mission de sécurisation de Zendesk.

FIRST

Zendesk est membre de FIRST, une confédération internationale d’équipes de réponse aux incidents qui coopèrent pour traiter les incidents de sécurité informatique et promouvoir les programmes de prévention des incidents. Les membres de FIRST développent et partagent des informations techniques, des outils, des méthodologies, des processus et des meilleures pratiques. En tant que membre de FIRST, Zendesk collabore avec d’autres membres afin d’utiliser leurs connaissances, leurs compétences et leurs expériences combinées pour promouvoir un environnement électronique mondial plus sûr.

Certifications de confidentialité et protection des données
Ressources juridiques

Pour en savoir plus au sujet de nos termes juridiques et de confidentialité, rendez-vous sur :

Artefacts

Nous fournissions diverses ressources que vous pouvez obtenir sur demande.

Téléchargement direct des ressources (sans accord de non-divulgation)

Pour accéder aux ressources téléchargeables suivantes, cliquez sur le bouton ci-dessous :

Certificat ISO 27001:2013

Certificat ISO 27018:2014

Rapport 3 SOC

Fiche technique / Livre blanc

Attestation et certificat de conformité PCI

Diagrammes de l’architecture réseau

  • Support / Guide
  • Chat
  • Talk

Questionnaire CAI de CSA

Ressources
Ressources avec accord de non-divulgation

Les ressources suivantes peuvent nécessiter un accord de non-divulgation. Cliquez sur le bouton ci-dessous pour y accéder.

Certificat d’assurance

Rapport SOC 2 Type II

Récapitulatif des tests de pénétration annuels

Récapitulatif des tests de continuité des opérations et de reprise d’activité

SIG LIte

VSA

Ressources

Sécurité cloud

Sécurité physique des centres de données
Infrastructures

Zendesk héberge essentiellement les données de service dans des centres de données AWS qui ont été certifiés ISO 27001, PCI/DSS niveau fournisseur de services 1 et/ou SOC 2. En savoir plus au sujet de la conformité chez AWS.

Les services d’infrastructure AWS incluent une alimentation de secours, des systèmes HVAC et un équipement d’extinction d’incendies afin de protéger les serveurs et donc vos données. En savoir plus au sujet des contrôles des centres de données AWS.

Sécurité sur site

La sécurité AWS sur site inclut diverses mesures de sécurité, notamment des gardes, des barrières, des caméras de sécurité et une technologie de détection des intrusions. En savoir plus au sujet de la sécurité AWS physique.

Emplacement d’hébergement des données

Zendesk exploite des centres de données AWS aux États-Unis, en Europe et dans la région Asie Pacifique. En savoir plus au sujet des emplacements d’hébergement des données pour vos données de service Zendesk.

Les clients peuvent choisir de localiser leurs données de service aux États-Unis seulement ou dans l’EEE seulement.* En savoir plus au sujet de nos options d’hébergement régional des données et des restrictions du type de données de service.

*Uniquement disponible avec le module supplémentaire Emplacement du centre de données

Sécurité du réseau
Équipe de sécurité dédiée

Notre équipe de sécurité, disséminée de par le monde, est de garde 24 / 7 pour répondre aux alertes et événements de sécurité.

Protection

Notre réseau est protégé par l’utilisation de services de sécurité AWS clés, l’intégration de nos réseaux de protection en périphérie Cloudflare, des audits réguliers et des technologies d’information réseau qui surveillent/bloquent le trafic malveillant et les attaques contre le réseau connus.

Notre architecture de sécurité réseau se compose de plusieurs zones de sécurité. Les systèmes les plus critiques, comme les serveurs de bases de données, sont protégés dans nos zones les plus fiables. Les autres systèmes sont hébergés dans des zones correspondant à leur niveau de sensibilité, selon la fonction, la classification des informations et le risque. En fonction de la zone, une surveillance de la sécurité et des contrôles d’accès supplémentaires peuvent s’appliquer. Des zones démilitarisées (DMZ) sont utilisées entre nos réseaux et Internet, et en interne, entre les différentes zones de confiance.

Analyse de la vulnérabilité du réseau

L’analyse de la sécurité du réseau nous permet d’identifier rapidement les systèmes non conformes ou potentiellement vulnérables.

Test de pénétration tiers

En plus de notre vaste programme d’analyses et de tests internes, Zendesk demande chaque année à des experts en sécurité tiers d’effectuer un test de pénétration approfondi de l’ensemble des réseaux de production et d’entreprise Zendesk.

Gestion des incidents de sécurité

Notre système de gestion des incidents de sécurité (SIEM) recueille les journaux de tous les principaux appareils réseau et systèmes hôtes. Ce système crée des déclencheurs qui informent l’équipe de sécurité en fonction d’événements corrélés afin de lui permettre d’enquêter et de prendre les mesures nécessaires.

Détection et prévention des intrusions

Les points d’entrée et de sortie du service sont surveillés afin de détecter les comportements anormaux. Ces systèmes sont configurés pour générer des alertes quand les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance des systèmes 24/7.

Programme d’informations sur les menaces

Zendesk participe à plusieurs programmes de partage d’informations sur les menaces. Nous surveillons les menaces publiées dans ces réseaux de renseignements et prenons des mesures en fonction du risque.

Mitigation des attaques DDoS

Zendesk utilise une approche multicouche pour contrecarrer les attaques DDoS. Un partenariat technologique avec Cloudflare fournit la défense en périphérie du réseau, et l’utilisation des outils AWS offre une protection encore plus solide, en plus de nos services AWS spécifiques aux risques DDoS.

Accès logique

L’accès au réseau de production Zendesk est limité sur une base explicite du besoin de savoir, utilise le principe du moindre privilège, est fréquemment vérifié et contrôlé, et est surveillé par notre équipe des opérations. Les employés qui accèdent au réseau de production Zendesk sont tenus d’utiliser plusieurs facteurs d’authentification.

Réponse aux incidents de sécurité

En cas d’alerte système, les événements sont transférés à notre équipe 24/7 qui couvre les opérations, l’ingénierie réseau et la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, notamment les canaux de communication et les protocoles de transfert.

Cryptage
Cryptage en transit

Toutes les communications avec l’interface utilisateur et les API Zendesk sont chiffrées avec la norme HTTPS/TLS (TLS 1.2 ou supérieure) sur les réseaux publics. Cela garantit que tout le trafic entre vous et Zendesk est sécurisé pendant le transit. De plus, pour le courrier électronique, par défaut notre produit prend en charge TLS, un protocole qui crypte et envoie les e-mails de façon sécurisée, en minimisant l’écoute entre les serveurs de messagerie quand les services pairs prennent ce protocole en charge. Les exceptions pour le cryptage peuvent inclure l’utilisation des fonctionnalités SMS intégrées aux produits et tout autre service, application ou intégration que les abonnés décident d’utiliser à leur discrétion.

Cryptage de données au repos

Les données de service sont cryptées au repos dans AWS à l’aide du cryptage par clés AES-256.

Disponibilité et continuité
Disponibilité

Zendesk met à disposition du public une page Web portant sur l’état des systèmes, qui inclut les détails de disponibilité des systèmes, la maintenance programmée, l’historique des incidents de service et les événements de sécurité pertinents.

Redondance

Zendesk utilise le regroupement des services et les redondances de réseaux pour éliminer les problèmes de point de défaillance unique. Notre routine de sauvegarde stricte et notre plan de reprise d’activité amélioré nous permettent de fournir un niveau élevé de disponibilité de service, car les données de service sont répliquées dans toutes les zones de disponibilité.

Plan de reprise d'activité

Notre programme de reprise d’activité suite à une catastrophe garantit que nos services restent disponibles et bénéficient d’une récupération facile en cas de catastrophe, grâce à un environnement technique solide, à la création de plans de reprise et à la réalisation de tests.

Plan de reprise d’activité amélioré

Notre package de plan de reprise d’activité amélioré ajoute des objectifs contractuels de délai de reprise et de point de reprise. Ils sont rendus possibles par notre capacité à hiérarchiser les opérations des clients bénéficiant du plan de reprise d’activité amélioré pendant toutes les catastrophes déclarées.

*Disponible uniquement avec l’achat du module supplémentaire Plan de reprise d’activité amélioré.

Sécurité des applications

Développement sécurisé
Formation au code sécurisé

Au moins une fois par an, les ingénieurs participent à des formations au code sécurisé couvrant les 10 principaux risques de sécurité définis par OWASP, les vecteurs d’attaque courants et les contrôles de sécurité Zendesk.

Contrôles de sécurité du framework

Zendesk utilise des frameworks open source modernes avec contrôles de sécurité pour limiter l’exposition aux 10 principaux risques de sécurité définis par OWASP. Cela réduit notre exposition au Cross Site Scripting (XSS), aux requêtes manipulées (CSRF) et aux injections SQL (SQLi), entre autres.

Quality Assurance

Notre service d’AQ (Assurance Qualité) surveille et teste notre base de code. Des ingénieurs dédiés à la sécurité des applications identifient, testent et trient les vulnérabilités de sécurité dans le code.

Environnements indépendants

Les environnements de test et de simulation sont séparés de l’environnement de production. Aucune donnée de service n’est utilisée dans nos environnements de développement ou de test.

Gestion des vulnérabilités
Analyse dynamique des vulnérabilités

Nous utilisons des outils de sécurité tiers pour fournir une analyse dynamique régulière de nos applications principales afin de détecter les 10 principaux risques de sécurité définis par OWASP. Nous avons une équipe interne dédiée à la sécurité des produits qui effectue des tests et collabore avec les équipes d’ingénierie pour remédier à tous les problèmes découverts.

Analyse du code statique

Les référentiels de code source, tant pour notre plateforme que pour nos applications mobiles, sont analysés pour détecter tout problème de sécurité via nos outils d’analyse statique intégrés.

Test de pénétration tiers

En plus de notre vaste programme d’analyses et de tests internes, Zendesk demande à des experts en sécurité tiers d’effectuer des tests de pénétration détaillés de différentes applications de notre gamme de produits.

Programme de divulgation responsable/Bug Bounty

Notre programme de divulgation responsable permet aux spécialistes de la sécurité et aux clients d’effectuer les tests nécessaires et de prévenir Zendesk en cas de vulnérabilités de sécurité grâce à notre partenariat avec HackerOne.

Sécurité produits

Authentification sécurisée
Options d’authentification

Les clients peuvent activer l’authentification Zendesk intégrée, la connexion unique via les réseaux sociaux (Facebook, Twitter, Google), et/ou la connexion unique d’entreprise (SAML, JWT) pour l’authentification des utilisateurs finaux et/ou des agents. En savoir plus au sujet de l’accès utilisateur.

Politique de mot de passe configurable

L’authentification Zendesk intégrée pour les produits disponibles via le Centre d’administration propose les niveaux de sécurité des mots de passe suivants : faible, moyen et élevé, ainsi que des règles de mot de passe personnalisées pour les agents et les administrateurs. Zendesk autorise la définition d’un niveau de sécurité des mots de passe pour les utilisateurs finaux et d’un autre pour les administrateurs et agents. Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe. En savoir plus au sujet des politiques de mots de passe configurables.

Authentification à 2 facteurs (2FA)

L’authentification Zendesk intégrée pour les produits disponibles via le Centre d’administration fournit l’authentification à 2 facteurs (2FA) pour les agents et les administrateurs, via SMS ou une application d’authentification. En savoir plus au sujet de l’authentification à 2 facteurs.

Stockage des identifiants de service

Zendesk suit les meilleures pratiques de stockage sécurisé des identifiants en ne stockant jamais les mots de passe dans un format lisible par l’homme, et seulement après un hachage unidirectionnel avec salage sécurisé.

Fonctionnalités de sécurité supplémentaires des produits
Contrôles d’accès basés sur les rôles

L’accès aux données des applications Zendesk est géré par le contrôle d’accès basé sur les rôles et peut être configuré de manière à définir des droits d’accès granulaires. Zendesk a différents niveaux d’autorisation pour les utilisateurs (propriétaire, administrateur, agent, utilisateur final, etc.).

En savoir plus au sujet des rôles utilisateur :

Vous trouverez des informations détaillées sur la sécurité globale et l’accès utilisateur ici.

Restrictions IP

Les produits Zendesk peuvent être configurés pour autoriser l’accès à partir de plages d’adresses IP spécifiques que vous définissez. Ces restrictions peuvent être appliquées à l’ensemble des utilisateurs ou seulement aux agents. En savoir plus au sujet de l’utilisation des restrictions IP :

Pièces jointes privées

Vous pouvez configurer votre instance de façon à ce que les utilisateurs doivent se connecter pour consulter les pièces jointes aux tickets. En savoir plus au sujet des pièces jointes privées.

Signature des e-mails (DKIM/DMARC)

Zendesk Support prend en charge DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance) pour la signature des e-mails Zendesk sortants, quand vous avez configuré un domaine de messagerie externe dans votre Zendesk. L’utilisation d’un service de messagerie qui prend en charge ces fonctionnalités vous permet d’empêcher l’usurpation d’adresses électroniques. En savoir plus sur la signature numérique des e-mails.

Suivi des appareils

Zendesk suit les appareils utilisés pour accéder à chaque compte utilisateur. Lorsque quelqu’un se connecte à un compte à partir d’un nouvel appareil, il est ajouté à la liste des appareils dans le profil de cet utilisateur. Cet utilisateur peut recevoir une notification par e-mail lorsqu’un nouvel appareil est ajouté et devrait prendre les mesures nécessaires si l’activité semble suspecte. Les sessions suspectes peuvent être interrompues à partir de l’interface d’agent. En savoir plus au sujet du suivi des appareils.

Suppression des informations sensibles

La suppression manuelle d’information permet de biffer, ou supprimer, les données sensibles dans les commentaires des tickets, et de supprimer les pièces jointes de façon sécurisée afin que vous puissiez protéger les informations confidentielles. Les données sont supprimées dans les tickets via l’interface utilisateur ou l’API pour empêcher le stockage des données sensibles dans Zendesk. En savoir plus au sujet de la suppression d’information via l’interface utilisateur ou l’API.

La suppression automatique d’information permet de supprimer automatiquement les chaînes de chiffres qui correspondent à un numéro de compte principal de carte de crédit valide (CC PAN) ayant passé un test de Luhn dans Support et Chat. En savoir plus au sujet de la suppression automatique d’information dans Support et Chat.

Zendesk Support fournit un champ configurable de carte de crédit, conforme aux normes PCI, qui supprime tous les chiffres, sauf les quatre derniers. En savoir plus au sujet de la conformité PCI chez Zendesk.

Filtre anti-spam pour le Centre d’aide

Le service de filtrage de spam de Zendesk peut être utilisé pour empêcher la publication de contenu d’utilisateurs finaux identifié comme spam dans votre Centre d’aide. En savoir plus au sujet du filtrage du spam dans le Centre d’aide.

Sécurité des ressources humaines

Sensibilisation à la sécurité
Politiques

Zendesk a mis au point un ensemble complet de politiques de sécurité couvrant une vaste gamme de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et prestataires ayant accès aux informations Zendesk.

Formation

Tous les employés suivent une formation de sensibilisation à la sécurité, qui a lieu au moment de l’embauche, et ensuite tous les ans. Tous les ingénieurs suivent une formation en programmation sécurisée tous les ans. L’équipe de sécurité fournit des mises à jour supplémentaires de sensibilisation à la sécurité par e-mail, dans le blog et dans des présentations lors d’événements internes.

Contrôle des employés
Vérification des antécédents

Zendesk vérifie les antécédents de tous les nouveaux employés dans le respect des lois locales. Les prestataires doivent aussi réaliser ces vérifications. Ces vérifications portent sur le casier judiciaire, l’éducation et le parcours professionnel, et incluent les équipes de nettoyage.

Accords de confidentialité

Tous les nouveaux employés doivent signer des accords de non-divulgation et de confidentialité.