Un service client sécurisé

Zendesk et la sécurité

Plus de 110 000 clients confient leurs données à Zendesk. Nous ne prenons pas ça à la légère. Nous allions des fonctionnalités de sécurité de niveau entreprise et des audits complets de nos applications, systèmes et réseaux pour garantir que les données des clients et des entreprises sont toujours protégées. Nos clients ont l’esprit tranquille en sachant que leurs informations sont en sécurité, leurs interactions sont sécurisées et leurs entreprises sont protégées.

Sécurité du centre de données et du réseau

Sécurité physique
Infrastructures Les serveurs Zendesk sont hébergés sur des sites conformes au niveau IV ou III+, SSAE-16, PCI DSS ou ISO 27001. Nos espaces d’accueil des serveurs sont physiquement et logiquement séparés des autres clients de centres de données. Les sites de centres de données disposent d’alimentations redondantes, avec unités d’alimentation permanente et générateurs de secours.
Sécurité sur site Nos installations de centres de données disposent d’un périmètre sécurisé avec des zones de sécurité multiniveau, de postes de sécurité gardés 24 / 7, de la vidéosurveillance, d’une identification multifactorielle avec contrôle d’accès biométrique, de verrous physiques et d’alarmes.
Surveillance Tous les systèmes, appareils réseau et circuits du réseau de production sont constamment surveillés et administrés logiquement par le personnel Zendesk. La sécurité physique, l’alimentation et la connectivité Internet au-delà des portes des espaces d’accueil partagé ou des services Amazon sont surveillées par les fournisseurs des sites et installations.
Emplacement Zendesk exploite des centres de données aux États-Unis, en Europe et au Japon. Les clients peuvent choisir de localiser leurs données de service aux États-Unis seulement ou en Europe seulement (Zendesk Chat est limité à l’Europe actuellement). En savoir plus au sujet de nos politiques d’hébergement des données dans l’UE.*Uniquement disponible avec le module supplémentaire Emplacement du centre de données
Sécurité du réseau
Équipe de sécurité dédiée Notre équipe de sécurité, disséminée de par le monde, est de garde 24 / 7 pour répondre aux alertes et événements de sécurité.
Protection Notre réseau est protégé par des pare-feux redondants, la meilleure technologie de routeurs, le transport HTTPS sur les réseaux publics, des audits réguliers et des technologies de détection et/ou prévention des intrusions qui surveillent et/ou bloquent le trafic malveillant et les attaques contre le réseau.
Architecture Notre architecture de sécurité réseau se compose de plusieurs zones de sécurité. Les systèmes les plus critiques, comme les serveurs de bases de données, sont protégés dans nos zones les plus fiables. Les autres systèmes sont hébergés dans des zones correspondant à leur niveau de sensibilité, selon la fonction, la classification des informations et le risque. En fonction de la zone, une surveillance de la sécurité et des contrôles d’accès supplémentaires peuvent s’appliquer. Des zones démilitarisées (DMZ) sont utilisées entre nos réseaux et Internet, et en interne, entre les différentes zones de confiance.
Analyse de la vulnérabilité du réseau L’analyse de la sécurité du réseau nous permet d’identifier rapidement les systèmes non conformes ou potentiellement vulnérables.
Test de pénétration tiers En plus de notre vaste programme d’analyses et de tests internes, chaque année, Zendesk demande à des experts en sécurité tiers d’effectuer un test de pénétration large de l’ensemble du réseau de production Zendesk.
Gestion des incidents de sécurité (SIEM) Notre système de gestion des incidents de sécurité (SIEM) recueille les journaux de tous les principaux appareils réseau et systèmes hôtes. Ce système crée des déclencheurs qui informent l’équipe de sécurité en fonction d’événements corrélés afin de lui permettre d’enquêter et de prendre les mesures nécessaires.
Détection et prévention des intrusions Les principaux points d’entrée et de sortie des flux de données d’application sont surveillés par des systèmes de détection et de prévention des intrusions. Les systèmes sont configurés pour générer des alertes quand les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance des systèmes 24 / 7.
Programme d’informations sur les menaces Zendesk participe à plusieurs programmes de partage d’informations sur les menaces. Nous surveillons les menaces publiées dans ces réseaux de renseignements et prenons des mesures en fonction de notre risque et notre exposition.
Mitigation des attaques DDoS En plus de nos propres capacités et outils, nous employons des fournisseurs d’élimination des dénis de service distribués (DDoS) à la demande pour minimiser les attaques DDoS.
Accès logique L’accès au réseau de production Zendesk est limité sur une base explicite du besoin de savoir, utilise le principe du moindre privilège, est fréquemment vérifié et contrôlé, et est surveillé par notre équipe des opérations. Les employés qui accèdent au réseau de production Zendesk sont tenus d’utiliser plusieurs facteurs d’authentification.
Réponse aux incidents de sécurité En cas d’alerte système, les événements sont transférés à notre équipe 24/7 qui couvre les opérations, l’ingénierie réseau et la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, notamment les canaux de communication et les protocoles de transfert.
Cryptage
Cryptage en transit Les communications entre vous et les serveurs Zendesk Support et Chat sont chiffrées par le biais des meilleures pratiques HTTPS et Transport Layer Security (TLS) sur les réseaux publics. TLS est également pris en charge pour le cryptage des e-mails.
Cryptage de données au repos Tous les clients Zendesk Support et Chat bénéficient de la protection du cryptage de données au repos pour le stockage hors site, ainsi que de sauvegardes quotidiennes complètes. Les clients Support souhaitant que leurs entrepôts de données de reprise d’activité principaux et secondaires soient cryptés au repos peuvent acheter cette option par le biais du module supplémentaire Sécurité avancée. Il est aussi possible d’acheter des garanties de cryptage des données de service Chat au repos.
Disponibilité et continuité
Disponibilité Zendesk met à disposition du public une page Web portant sur l’état des systèmes, qui inclut les détails de disponibilité des systèmes, la maintenance programmée, l’historique des incidents de service et les événements de sécurité pertinents.
Redondance Zendesk utilise le regroupement des services et les redondances de réseaux pour éliminer les problèmes de point de défaillance unique. Notre régime de sauvegarde stricte assure que les données de service sont activement répliquées dans les systèmes et installations de reprise d’activité principaux et secondaires. Nos bases de données partagées sont stockées sur des dispositifs de mémoire flash efficaces avec plusieurs serveurs par cluster de bases de données.
Plan de reprise d'activité Notre programme de reprise d’activité suite à une catastrophe garantit que nos services restent disponibles ou bénéficient d’une récupération facile en cas de catastrophe, grâce à un environnement technique solide, à la création de plans de reprise et à la réalisation de tests.
Plan de reprise d’activité amélioré Avec la reprise d’activité améliorée, l’ensemble de l’environnement d’exploitation, y compris les données de service, est reproduit dans un site secondaire pour assurer la prise en charge du service si le site principal devient totalement indisponible. Si vous souhaitez bénéficier des garanties pour le point de récupération visé (RPO) et le délai de récupération visé (RTO), elles sont disponibles avec le module supplémentaire Sécurité avancée. *Uniquement disponible pour Chat quand vous achetez une édition Support avec le module supplémentaire Sécurité avancée

Sécurité des applications

Développement sécurisé
Formation à la sécurité Au moins une fois par an, les ingénieurs participent à des formations au code sécurisé couvrant les 10 principales failles de sécurité définies par OWASP, les vecteurs d’attaque courants et les contrôles de sécurité Zendesk.
Contrôles de sécurité du framework Ruby on Rails Zendesk Support utilise les contrôles de sécurité du framework Ruby on Rails pour limiter l’exposition aux 10 principales failles de sécurité définies par OWASP. Cela inclut des contrôles inhérents qui réduisent notre exposition au Cross Site Scripting (XSS), aux requêtes manipulées (CSRF) et aux injections SQL (SQLi), entre autres.
AQ Notre service d’AQ surveille et teste notre base de code. Plusieurs ingénieurs dédiés à la sécurité des applications identifient, testent et trient les vulnérabilités de sécurité dans le code.
Environnements indépendants Les environnements de test et de simulation sont séparés de l’environnement de production physiquement et logiquement. Aucune donnée de service réelle n’est utilisée dans les environnements de développement ou de test.
Vulnérabilités de l’application
Analyse dynamique des vulnérabilités Nous utilisons plusieurs outils de sécurité tiers pour fournir une analyse dynamique régulière de nos applications Support et Chat afin de détecter les 10 principales failles de sécurité définies par OWASP. Nous avons une équipe interne dédiée à la sécurité des produits qui effectue des tests et collabore avec les équipes d’ingénierie pour remédier à tous les problèmes découverts.
Analyse du code statique Les référentiels de code source pour Zendesk Support, tant pour notre plateforme que pour nos applications mobiles, sont continuellement analysés pour détecter tout problème de sécurité via nos outils d’analyse statique intégrés.
Tests de pénétration de sécurité En plus de notre vaste programme d’analyses et de tests internes, chaque trimestre, Zendesk demande à des experts en sécurité tiers d’effectuer des tests de pénétration détaillés de différentes applications de notre gamme de produits.
Programme de divulgation responsable/Bug Bounty Notre programme de divulgation responsable permet aux analystes d’effectuer les tests nécessaires et de prévenir Zendesk en cas de vulnérabilités de sécurité grâce à notre partenariat avec HackerOne.

Fonctionnalités de sécurité des produits

Authentification sécurisée
Options d’authentification

Nous proposons la connexion Zendesk pour les administrateurs et agents de Support. Pour Zendesk Support, vous pouvez aussi activer la connexion unique et l’authentification Google.

Nous proposons la connexion Zendesk pour les utilisateurs finaux de Support et Chat. Pour Zendesk Support, vous pouvez aussi activer la connexion unique et la connexion par le biais des réseaux sociaux (Facebook, Twitter, Google) pour l’authentification des utilisateurs finaux.

Connexion unique La connexion unique vous permet d’authentifier les utilisateurs dans vos propres systèmes sans les obliger à saisir des informations de connexion supplémentaires pour votre instance Zendesk Support. JWT (token Web JSON) et SAML (Security Assertion Markup Language) sont pris en charge. En savoir plus au sujet de la connexion unique. *SAML est disponible pour les éditions Professional et Enterprise uniquement*JWT est disponible pour les éditions Team et supérieures
Politique de mot de passe configurable Zendesk Support propose les niveaux de sécurité des mots de passe suivants : faible, moyen et élevé, ainsi que des règles de mot de passe personnalisées pour les agents et les administrateurs. Vous pouvez définir un niveau de sécurité des mots de passe pour les utilisateurs finaux et un autre pour les administrateurs et agents. Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe. *S’applique aux comptes Professional et Enterprise.
Authentification à deux facteurs (2FA) Si vous utilisez la connexion Zendesk pour votre instance Zendesk Support, vous pouvez activer l’authentification à deux facteurs pour les agents et les administrateurs. Zendesk prend en charge les SMS et des applications comme Authy et Google Authenticator pour la génération des codes de sécurité. L’authentification à 2 facteurs offre une autre couche de sécurité à votre compte Zendesk : il est quasiment impossible pour une autre personne de se connecter en se faisant passer pour vous. En savoir plus au sujet de l’authentification à 2 facteurs
Stockage sécurisé des identifiants Zendesk suit les meilleures pratiques de stockage sécurisé des identifiants en ne stockant jamais les mots de passe dans un format lisible par l’homme, et seulement après un hachage unidirectionnel avec salage sécurisé.
Sécurité et authentification de l’API L’API Zendesk Support utilise SSL et vous devez être un utilisateur vérifié pour faire des demandes d’API. Vous pouvez effectuer des autorisations pour l’API en utilisant l’authentification élémentaire avec votre nom d’utilisateur et votre mot de passe, ou utiliser un nom d’utilisateur avec un token API. L’authentification OAuth est également prise en charge. En savoir plus au sujet de la sécurité de l’API.
Fonctionnalités de sécurité supplémentaires des produits
Rôles et droits d’accès L’accès aux données de Zendesk Support et Chat est régi par des droits d’accès et peut être configuré de manière à définir des droits d’accès granulaires. Zendesk a différents niveaux d’autorisation pour les utilisateurs (propriétaire, administrateur, agent, utilisateur final, etc.). En savoir plus au sujet des niveaux d’accès.
Restrictions IP Zendesk Support et Chat peuvent être configurés pour autoriser l’accès à partir de plages d’adresses IP spécifiques que vous définissez. Ces restrictions peuvent être appliquées à l’ensemble des utilisateurs ou seulement aux agents. En savoir plus au sujet des restrictions IP *Disponible pour les comptes Support Professional et Enterprise et Chat Enterprise uniquement
Pièces jointes privées Dans Zendesk Support, vous pouvez configurer votre instance de façon à ce que les utilisateurs doivent se connecter pour consulter les pièces jointes aux tickets. Si cette option n’est pas activée, les pièces jointes sont accessibles via un long ID de ticket de token aléatoire.
Sécurité des transmissions Toutes les communications avec les serveurs Zendesk sont chiffrées avec la norme HTTPS sur les réseaux publics. Cela garantit que tout le trafic entre vous et Zendesk est sécurisé pendant le transit. De plus, pour le courrier électronique, notre produit prend en charge TLS, un protocole qui crypte et envoie les e-mails de façon sécurisée, en minimisant l’écoute et l’usurpation d’adresses électroniques entre les serveurs de messagerie.
Signature des e-mails (DKIM/DMARC) Zendesk Support prend en charge DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance) pour la signature des e-mails Zendesk sortants, quand vous avez configuré un domaine de messagerie externe dans votre Zendesk. L’utilisation d’un service de messagerie qui prend en charge ces fonctionnalités vous permet d’empêcher l’usurpation d’adresses électroniques. En savoir plus sur la signature numérique des e-mails.
Suivi des appareils Pour une sécurité renforcée, votre instance Zendesk Support suit les appareils utilisés pour accéder à chaque compte d’utilisateur. Lorsque quelqu’un se connecte à un compte à partir d’un nouvel appareil, il est ajouté à la liste des appareils dans le profil de cet utilisateur. Cet utilisateur peut recevoir une notification par e-mail lorsqu’un nouvel appareil est ajouté et devrait prendre les mesures nécessaires si l’activité semble suspecte.
Biffure automatique La biffure automatique pour Zendesk Support permet de biffer, ou supprimer, les chiffres des numéros de carte de crédit trouvés dans les commentaires des tickets ou les champs personnalisés afin que vous puissiez protéger les informations confidentielles. Les données sont biffées dans les tickets entrants pour empêcher le stockage de la totalité du numéro de carte dans Zendesk. En savoir plus au sujet de l’outil de biffure automatique. *Disponible pour les comptes Enterprise uniquement
Filtre anti-spam pour le centre d’aide et le portail Web Zendesk Support propose un service de filtrage du spam qui empêche la publication du contenu des utilisateurs finaux identifié comme spam dans votre centre d’aide ou votre portail. En savoir plus au sujet du filtrage du spam dans le centre d’aide et dans le portail.

Certifications de conformité et affiliations

Conformité aux normes de sécurité
SOC 2 Type II Nous disposons d’un rapport SOC 2 Type II, disponible sur demande et sur signature d’un accord de non-divulgation. Pour en savoir plus, contactez security@zendesk.com.
ISO 27001:2013 Zendesk est certifié ISO 27001:2013.
ISO 27018:2014 Zendesk est certifié ISO 27018:2014.
Affiliations
Skyhigh Enterprise-Ready Zendesk a obtenu le sceau Skyhigh Enterprise-Ready™, la norme la plus élevée du programme CloudTrust™. Il est accordé aux services cloud se conformant aux exigences les plus strictes en matière de protection des données, de vérification d’identité, de sécurité des services, de pratiques professionnelles et de protection juridique.
Cloud Security Alliance Zendesk est membre de Cloud Security Alliance (CSA), un organisme à but non lucratif ayant pour mission la promotion des meilleures pratiques pour garantir la sécurité de l’informatique dans le cloud. CSA a lancé STAR (Security, Trust & Assurance Registry), un registre accessible au public, qui documente les contrôles de sécurité fournis par diverses offres d’informatique dans le cloud. Nous avons rempli le questionnaire Consensus Assessment Initiative (CAI), d’après les résultats de notre auto-évaluation en matière de diligence raisonnable.
Certifications de respect de la confidentialité
Certificats de respect de la confidentialité TRUSTe® Nous avons obtenu le sceau de confidentialité TRUSTe, qui signifie que ces Termes et nos pratiques de confidentialité ont été passés en revue quant à la conformité avec les exigences de programme de TRUSTe, disponible sur la page de validation de TRUSTe.
Programmes Privacy Shield entre les États-Unis et l’Union européenne, et de la sphère de sécurité (Safe Harbor) entre les États-Unis et la Suisse Zendesk se conforme aux programmes Privacy Shield entre les États-Unis et l’Union européenne, et de la sphère de sécurité (Safe Harbor) entre les États-Unis et la Suisse, tels que définis par le ministère du Commerce des États-Unis.
Confidentialité En savoir plus au sujet de la confidentialité chez Zendesk.
Conformité aux normes du secteur
HIPAA Zendesk a réussi l’évaluation HIPAA/HITECH et peut mettre son contrat d’associé commercial (BAA) à disposition des abonnés souhaitant l’exécuter. *Notre BAA est uniquement disponible avec l’achat du module supplémentaire Sécurité avancée et ne s’applique qu’à certains produits Zendesk (des règles de configuration spéciales s’appliquent).
Utilisation de Zendesk dans un environnement PCI Consultez notre livre blanc sur la conformité aux normes PCI ou apprenez-en plus au sujet de notre champ conforme aux normes PCI pour Zendesk Support.*Compte Enterprise requis

Méthodologies de sécurité supplémentaires

Sensibilisation à la sécurité
Politiques Zendesk a mis au point un ensemble complet de politiques de sécurité couvrant une vaste gamme de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et prestataires ayant accès aux informations Zendesk.
Formation Tous les nouveaux employés suivent une formation de sensibilisation à la sécurité, qui a lieu au moment de l’embauche, et ensuite tous les ans. Tous les ingénieurs suivent une formation en programmation sécurisée tous les ans. L’équipe de sécurité fournit des mises à jour supplémentaires de sensibilisation à la sécurité par e-mail, dans le blog et dans des présentations lors d’événements internes.
Contrôle des employés
Vérification des antécédents Zendesk vérifie les antécédents de tous les nouveaux employés dans le respect des lois locales. Les prestataires doivent aussi réaliser ces vérifications. Ces vérifications portent sur le casier judiciaire, l’éducation et le parcours professionnel, et incluent les équipes de nettoyage.
Accords de confidentialité Tous les nouveaux employés sont contrôlés au cours du processus d’embauche et doivent signer des accords de non-divulgation et de confidentialité.