Un service client sécurisé

Zendesk et la sécurité

Plus de 80 000 clients confient leurs données à Zendesk. Nous ne prenons pas ça à la légère. Nous allions des fonctionnalités de sécurité de niveau entreprise et des audits complets de nos applications, systèmes et réseaux pour garantir que les données des clients et des entreprises sont toujours protégées. Nos clients ont l’esprit tranquille en sachant que leurs informations sont en sécurité, leurs interactions sont sécurisées et leurs entreprises sont protégées.

Meilleures pratiques

Zendesk offre une vaste gamme d’options de sécurité pour garantir la protection des données. Mais mieux vaut prévenir que guérir. Pour améliorer la sécurité de votre service d’assistance Zendesk, nous vous conseillons d’adopter les dix meilleures pratiques présentées dans cette section.

En savoir plus

Perspectives des clients

Sécurité du centre de données et du réseau

Sécurité physique
Infrastructures Les serveurs Zendesk sont hébergés sur des sites conformes au niveau III, SSAE-16, PCI DSS ou ISO 27001. Notre espace d’accueil des serveurs est physiquement et logiquement séparé des autres clients de centres de données. Les sites partagés disposent d’alimentations redondantes, avec unités d’alimentation permanente et générateurs de secours.
Sécurité sur site Nos installations de centres de données disposent d’un périmètre sécurisé avec des zones de sécurité multiniveau, de postes de sécurité gardés 24 / 7, de la vidéosurveillance, d’une identification multifactorielle avec contrôle d’accès biométrique, de verrous physiques et d’alarmes.
Surveillance Tous les systèmes, appareils en réseaux et circuits sont constamment surveillés par Zendesk et les fournisseurs des sites partagés.
Emplacement Zendesk dispose de centres de données dans l’UE et aux États-Unis. Les clients peuvent choisir de localiser leurs données aux États-Unis seulement ou dans l’UE seulement. En savoir plus au sujet de nos politiques d’hébergement des données dans l’UE.*Uniquement disponible avec le module supplémentaire Emplacement du centre de données
Sécurité du réseau
Équipe de sécurité dédiée Notre équipe de sécurité est de garde 24 / 7 pour répondre aux alertes et événements de sécurité.
Protection Notre réseau est protégé par des pare-feux de couche 7 redondants, la meilleure technologie de routeurs, le transport HTTPS sur les réseaux publics, des audits réguliers et des technologies de détection/prévention des intrusions qui repère le trafic malveillant et les attaques contre le réseau.
Architecture Notre architecture de sécurité réseau se compose de plusieurs zones de sécurité de confiance. Les systèmes les plus critiques, comme nos serveurs de bases de données, sont protégés dans nos zones les plus fiables. Les autres systèmes sont hébergés dans des zones correspondant à leur niveau de sensibilité, selon la fonction, la classification des informations et le risque. En fonction de la zone, une surveillance de la sécurité et des contrôles d’accès supplémentaires peuvent s’appliquer. Des zones démilitarisées (DMZ) sont utilisées entre nos réseaux et Internet, et en interne, entre les différentes zones de confiance.
Analyse de la vulnérabilité du réseau L’analyse de la sécurité du réseau nous permet d’identifier rapidement les systèmes non conformes ou potentiellement vulnérables.
Test de pénétration tiers En plus de notre vaste programme d’analyses et de tests internes, chaque année, Zendesk demande à des experts en sécurité tiers d’effectuer un test de pénétration large de l’ensemble du réseau de production Zendesk.
Gestion des incidents de sécurité (SIEM) Un système de gestion des incidents de sécurité (SIEM) recueille les journaux de tous les principaux appareils réseau et systèmes hôtes. Ce système crée des déclencheurs qui informent l’équipe de sécurité en fonction d’événements corrélés. L’équipe de sécurité répond à ces événements.
Détection et prévention des intrusions Les principaux points d’entrée et de sortie des flux de données d’application sont surveillés par des systèmes de détection et de prévention des intrusions. Les systèmes sont configurés pour générer des alertes quand les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance des systèmes 24 / 7.
Programme d’informations sur les menaces Zendesk participe à plusieurs programmes de partage d’informations sur les menaces. Nous surveillons les menaces publiées dans ces réseaux de renseignements et prenons des mesures en fonction de notre risque et notre exposition.
Mitigation des attaques DDoS En plus de nos propres capacités et outils, nous employons des fournisseurs d’élimination des dénis de service distribués (DDoS) à la demande pour minimiser les attaques DDoS.
Accès logique L’accès au réseau de production Zendesk est limité sur une base explicite du besoin de savoir, utilise le principe du moindre privilège, est fréquemment vérifié et contrôlé, et est surveillé par notre équipe des opérations. Les employés qui accèdent au réseau de production Zendesk sont tenus d’utiliser plusieurs facteurs d’authentification.
Réponse aux incidents de sécurité En cas d’alerte système, les événements sont transférés à notre équipe 24/7 qui couvre les opérations, l’ingénierie réseau et la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, notamment les canaux de communication et les protocoles de transfert.
Cryptage
Cryptage en transit Les communications entre vous et les serveurs Zendesk sont chiffrées par le biais des meilleures pratiques HTTPS et Transport Layer Security (TLS).
Cryptage de données au repos Zendesk prend en charge le cryptage des données client au repos. * Uniquement disponible avec le module supplémentaire Sécurité avancée
Disponibilité et continuité
Disponibilité Zendesk met à disposition du public une page Web portant sur l’état des systèmes, qui inclut les détails de disponibilité des systèmes, la maintenance programmée, l’historique des incidents de service et les événements de sécurité pertinents.
Redondance Le regroupement des services et les redondances de réseaux de Zendesk éliminent les problèmes de point de défaillance unique. Notre régime de sauvegarde stricte assure que les données des clients sont activement répliquées dans les systèmes et installations. Nos données de base de données sont stockées sur des dispositifs de mémoire flash efficaces avec plusieurs serveurs par cluster de bases de données.
Plan de reprise d'activité Notre plan de reprise d’activité garantit que nos services restent disponibles ou bénéficient d’une récupération facile en cas de catastrophe, grâce à un environnement technique solide, à la création de plans de reprise et à la réalisation de tests.
Plan de reprise d’activité amélioré Avec la reprise d’activité améliorée, l’ensemble de l’environnement d’exploitation, y compris les données des clients, est reproduit dans un site secondaire pour assurer la prise en charge du service si le site primaire devient totalement indisponible. Zendesk a défini un objectif de délai de reprise ciblé et un objectif de point de reprise pour ce service. * Uniquement disponible avec le module supplémentaire Sécurité avancée

Sécurité des applications

Développement sécurisé
Formation à la sécurité Au moins une fois par an, les ingénieurs participent à des formations au code sécurisé. Cette formation couvre les 10 principales failles de sécurité définies par OWASP, les vecteurs d’attaque courants et les contrôles de sécurité Zendesk.
Contrôles de sécurité du framework Ruby on Rails Nous utilisons les contrôles de sécurité du framework Ruby on Rails pour limiter l’exposition aux 10 principales failles de sécurité définies par OWASP. Cela inclut des contrôles inhérents qui réduisent notre exposition au Cross Site Scripting (XSS), aux requêtes manipulées (CSRF) et aux injections SQL (SQLi), entre autres.
AQ Notre service d’AQ surveille et teste notre base de code. Plusieurs ingénieurs dédiés à la sécurité des applications identifient, testent et trient les vulnérabilités de sécurité dans le code.
Environnements indépendants Les environnements de test et de simulation sont séparés de l’environnement de production physiquement et logiquement. Aucune donnée client réelle n’est utilisée dans les environnements de développement ou de test.
Vulnérabilités de l’application
Analyse dynamique des vulnérabilités Nous utilisons plusieurs outils de sécurité tiers pour fournir une analyse régulière de notre application. Zendesk est analysé quotidiennement pour détecter les 10 principales failles de sécurité définies par OWASP. Nous avons une équipe interne dédiée à la sécurité des produits qui effectue des tests et collabore avec les équipes d’ingénierie pour remédier à tous les problèmes découverts.
Analyse du code statique Nos référentiels de code source, tant pour notre plateforme que pour nos applications mobiles, sont continuellement analysés pour détecter tout problème de sécurité via nos outils d’analyse statique intégrés.
Tests de pénétration de sécurité En plus de notre vaste programme d’analyses et de tests internes, chaque trimestre, Zendesk demande à des experts en sécurité tiers d’effectuer des test de pénétration détaillés de différentes parties de l’application.
Programme de divulgation responsable/Bug Bounty Notre programme de divulgation responsable permet aux analystes d’effectuer les tests nécessaires et de prévenir Zendesk en cas de vulnérabilités de sécurité grâce à notre partenariat avec HackerOne.

Fonctionnalités de sécurité des produits

Développement sécurisé
Options d’authentification Pour les administrateurs/agents, nous prenons en charge la connexion Zendesk, la connexion unique et l’authentification Google. Pour les utilisateurs finaux, nous prenons en charge la connexion Zendesk, la connexion unique et la connexion unique via les réseaux sociaux (Facebook, Twitter, Google).
Connexion unique La connexion unique vous permet d’authentifier les utilisateurs dans vos propres systèmes sans les obliger à saisir des informations de connexion supplémentaires pour l’accès à Zendesk. Zendesk accorde l’accès uniquement aux utilisateurs que vous avez authentifiés. JWT (token Web JSON) et SAML (Security Assertion Markup Language) sont pris en charge. En savoir plus au sujet de la connexion unique. *SAML est disponible pour les éditions Professional et Enterprise uniquement*JWT est disponible pour les éditions Team et supérieures
Politique de mot de passe configurable Zendesk propose les niveaux de sécurité des mots de passe suivants : faible, moyen et élevé. Vous pouvez définir un niveau de sécurité des mots de passe pour les utilisateurs finaux et un autre pour les administrateurs et agents. Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe. Si vous avez l’édition Professional ou Enterprise, vous pouvez spécifier votre propre niveau de sécurité des mots de passe.
Authentification à deux facteurs (2FA) Si vous utilisez la connexion Zendesk, vous pouvez activer l’authentification à deux facteurs. Zendesk prend en charge les SMS et des applications comme Authy et Google Authenticator pour la génération des codes de sécurité. L’authentification à 2 facteurs offre une autre couche de sécurité à votre compte Zendesk : il est quasiment impossible pour une autre personne de se connecter en se faisant passer pour vous. En savoir plus au sujet de l’authentification à 2 facteurs
Stockage sécurisé des identifiants Zendesk suit les meilleures pratiques de stockage sécurisé des identifiants en ne stockant jamais les mots de passe dans un format lisible par l’homme, et seulement après un hachage unidirectionnel avec salage sécurisé.
Sécurité et authentification de l’API L’API Zendesk utilise SSL et vous devez être un utilisateur vérifié pour faire des demandes d’API. Vous pouvez effectuer des autorisations pour l’API en utilisant l’authentification élémentaire avec votre nom d’utilisateur et votre mot de passe, ou utiliser un nom d’utilisateur avec un token API. L’authentification OAuth est également prise en charge. En savoir plus au sujet de la sécurité de l’API.
Fonctionnalités de sécurité supplémentaires des produits
Rôles et droits d’accès L’accès aux données de votre Zendesk est régi par des droits d’accès et peut être configuré de manière à définir des droits d’accès granulaires. Zendesk a différents niveaux d’autorisation pour les utilisateurs (propriétaire, administrateur, agent, utilisateur final, etc.) qui accèdent à votre Zendesk. En savoir plus au sujet des niveaux d’accès.
Restrictions IP Votre Zendesk peut être configuré pour autoriser l’accès à partir de plages d’adresses IP spécifiques que vous définissez. Ces restrictions peuvent être appliquées à l’ensemble des utilisateurs ou seulement aux agents. En savoir plus au sujet des restrictions IP. *Disponible pour les éditions Professional et Enterprise uniquement
Pièces jointes privées Vous pouvez configurer votre Zendesk de façon à ce que les utilisateurs doivent se connecter pour consulter les pièces jointes aux tickets. Si cette option n’est pas activée, les pièces jointes sont accessibles via un ID de ticket de token aléatoire.
Sécurité des transmissions Toutes les communications avec les serveurs Zendesk sont chiffrées avec la norme HTTPS. Cela garantit que tout le trafic entre vous et Zendesk est sécurisé pendant le transit. De plus, pour le courrier électronique, notre produit prend en charge TLS, un protocole qui crypte et envoie les e-mails de façon sécurisée, en minimisant l’écoute et l’usurpation d’adresses électroniques entre les serveurs de messagerie.
Signature des e-mails (DKIM/DMARC) Nous prenons en charge DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance) pour la signature des e-mails Zendesk sortants, quand vous avez configuré un domaine de messagerie externe dans votre Zendesk. L’utilisation d’un service de messagerie qui prend en charge ces fonctionnalités vous permet d’empêcher l’usurpation d’adresses électroniques. En savoir plus sur la signature numérique des e-mails.
Suivi des appareils Pour une sécurité renforcée, Zendesk suit les appareils utilisés pour accéder à chaque compte d’utilisateur. Lorsque quelqu’un se connecte à un compte à partir d’un nouvel appareil, il est ajouté à la liste des appareils dans le profil de cet utilisateur. Cet utilisateur peut recevoir une notification par e-mail lorsqu’un nouvel appareil est ajouté et devrait prendre les mesures nécessaires si l’activité semble suspecte.
Biffure automatique La biffure automatique permet de biffer, ou supprimer, les chiffres des numéros de carte de crédit trouvés dans les commentaires des tickets ou les champs personnalisés afin que vous puissiez protéger les informations confidentielles. Les données sont biffées dans les tickets entrants pour empêcher le stockage de la totalité du numéro de carte dans Zendesk. En savoir plus au sujet de l’outil de biffure automatique. *Disponible pour les éditions Professional et Enterprise uniquement
Filtre anti-spam pour le centre d’aide et le portail Web Zendesk prend en charge un service de filtrage du spam qui empêche la publication du contenu des utilisateurs finaux identifié comme spam dans votre centre d’aide ou votre portail Web. En savoir plus au sujet du filtrage du spam dans le centre d’aide et dans le portail Web.

Méthodologies de sécurité supplémentaires

Sensibilisation à la sécurité
Politiques Zendesk a mis au point un ensemble complet de politiques de sécurité couvrant une vaste gamme de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et prestataires ayant accès aux informations Zendesk.
Formation Tous les nouveaux employés suivent une formation de sensibilisation à la sécurité, et l’équipe de sécurité fournit des mises à jour de sensibilisation à la sécurité par e-mail, dans le blog et dans des présentations lors d’événements internes.
Contrôle des employés
Vérification des antécédents Zendesk vérifie les antécédents de tous les nouveaux employés dans le respect des lois locales. Les prestataires doivent aussi réaliser ces vérifications. Ces vérifications portent sur le casier judiciaire, l’éducation et le parcours professionnel, et incluent les équipes de nettoyage.
Accords de confidentialité Tous les nouveaux employés sont contrôlés au cours du processus d’embauche et doivent signer des accords de non-divulgation et de confidentialité.

Certifications de conformité et affiliations

Conformité aux normes de sécurité
SOC 2 Type II Nous disposons de notre propre rapport SOC 2 Type II, disponible sur demande et sur signature d’un accord de non-divulgation. Pour en savoir plus, contactez security@zendesk.com.
ISO 27001:2013 Zendesk est certifié ISO 27001:2013.
ISO 27018:2014 Zendesk est certifié ISO 27018:2014.
Affiliations
Skyhigh Enterprise-Ready Zendesk a obtenu le sceau Skyhigh Enterprise-Ready™, la norme la plus élevée du programme CloudTrust™. Il est accordé aux services cloud se conformant aux exigences les plus strictes en matière de protection des données, de vérification d’identité, de sécurité des services, de pratiques professionnelles et de protection juridique.
Cloud Security Alliance Zendesk est membre de Cloud Security Alliance (CSA), un organisme à but non lucratif ayant pour mission la promotion des meilleures pratiques pour garantir la sécurité de l’informatique dans le cloud. CSA a lancé STAR (Security, Trust & Assurance Registry), un registre accessible au public, qui documente les contrôles de sécurité fournis par diverses offres d’informatique dans le cloud. Nous avons rempli le questionnaire Consensus Assessment Initiative (CAI), d’après les résultats de notre auto-évaluation en matière de diligence raisonnable.
Certifications de respect de la confidentialité
Certificats de respect de la confidentialité TRUSTe® Nous avons obtenu le sceau de confidentialité TRUSTe, qui signifie que ces Termes et nos pratiques de confidentialité ont été passés en revue quant à la conformité avec les exigences de programme de TRUSTe, disponible sur la page de validation de TRUSTe.
Programmes de la sphère de sécurité (Safe Harbor) entre les États-Unis et la Suisse Zendesk se conforme à la sphère de sécurité (Safe Harbor) entre les États-Unis et la Suisse, telle que définie par le ministère du Commerce des États-Unis.
Confidentialité En savoir plus au sujet de la confidentialité chez Zendesk.
Conformité aux normes du secteur
HIPAA Zendesk a réussi l’évaluation HIPAA/HITECH et peut mettre son contrat d’associé commercial (BAA) à disposition des abonnés souhaitant l’exécuter. *Évaluation HIPAA/HITECH réussie pour toutes les éditions, BAA disponible uniquement avec le module supplémentaire Sécurité avancée.
Utilisation de Zendesk dans un environnement PCI Consultez notre livre blanc sur la conformité aux normes PCI ou apprenez-en plus au sujet de notre champ conforme aux normes PCI.
  • AICPA
  • BSI ISO/IEC 27001
  • Skyhigh Enterprise Ready
  • Cloud Security Alliance
  • TRUSTe Verified
  • BSI ISO/IEC 27018