Sicherer Kundenservice

Zendesk und Sicherheit

More than 140,000 customers trust Zendesk with their data, and this responsibility is something we take very seriously! We combine enterprise-class security features with comprehensive audits of our applications, systems, and networks to ensure customer and business data is always protected. And our customers rest easy knowing their information is safe, their interactions are secure, and their businesses are protected.

Datenblatt anzeigen

Rechenzentrums- und Netzwerksicherheit

Physische Sicherheit
Einrichtungen Zendesk hosts service data in AWS data centers that have been certified as ISO 27001, PCI/DSS Service Provider Level 1, and/or SOC II compliance.

AWS infrastructure services includes back-up power, HVAC systems, and fire suppression equipment to help protect servers and ultimately your data.
Sicherheit vor Ort AWS on-site security includes a number of features such as security guards, fencing, security feeds, intrusion detection technology, and other security measures. Learn more about AWS physical security.
Überwachung All Production Network systems, networked devices, and circuits are constantly monitored and logically administered by Zendesk staff. Physical security, power, and internet connectivity are monitored by AWS.
Standort Zendesk leverages AWS data centers in the United States, Europe, and Asia Pacific. Customers can choose to locate their Service Data in the US-only or Europe-only* (Zendesk Chat is Europe-only at this time). Learn more about our regional data hosting options.

*Only available with Data Center Location Add-on
Netzwerksicherheit
Dediziertes Sicherheitsteam Unser weltweites Sicherheitsteam ist rund um die Uhr in Bereitschaft, um bei Bedarf auf Sicherheitsalarme und -vorfälle zu reagieren.
Schutz Our network is protected through the use of key AWS security services, integration with our Cloudflare edge protection networks, regular audits, and network intelligence technologies which monitor and/or block malicious traffic and network attacks.
Architektur Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZ finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.
Netzwerkschwachstellenprüfungen Anhand von Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.
Penetrationstests durch externe Experten In addition to our extensive internal scanning and testing program, each year, Zendesk employs third-party security experts to perform a broad penetration test across the Zendesk Production Network.
Security Incident Event Management (SIEM) Unser Security-Incident-Event-Management-System (SIEM) erfasst umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Das SIEM-System spricht bei Auslösern an, die das Sicherheitsteam beim Auftreten bestimmter Vorfälle benachrichtigen, sodass investigative Schritte sowie entsprechende Maßnahmen eingeleitet werden können.
Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) Service ingress and egress points are instrumented and monitored to detect anomalous behavior. These systems are configured to generate alerts when incidents and values exceed predetermined thresholds and use regularly updated signatures based on new threats. This includes 24/7 system monitoring.
Threat-Intelligence-Programm Zendesk nimmt an mehreren Threat-Intelligence-Programmen teil. Wir überwachen unsere Systeme auf Bedrohungen, die in diesen Threat-Intelligence-Netzwerken gemeldet werden, und ergreifen Maßnahmen basierend auf unseren Risiken und unserem Exponierungsgrad.
DDoS-Abwehr Zendesk has architected a multi-layer approach to DDoS mitigation. A core technology partnership with Cloudflare provides network edge defenses, while the use of AWS scaling and protection tools provide deeper protection along with our use of AWS DDoS specific services.
Logischer Zugriff Der Zugriff auf das Zendesk Production Network basiert explizit auf dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte, wird laufend überprüft und überwacht und durch unser Operations Team kontrolliert. Zum Zugriff auf das Zendesk Production Network sind mehrere Authentifizierungsfaktoren erforderlich.
Reaktion auf Sicherheitsvorfälle Bei einem Sicherheitsalarm werden Vorfälle an unsere rund um die Uhr aktiven Teams eskaliert, die für die Bereiche Operations, Network Engineering und Security zuständig sind. Mitarbeiter sind in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.
Verschlüsselung
Data-in-Transit-Verschlüsselung Die Kommunikation zwischen Ihnen und den Zendesk Support- und Zendesk Chat-Servern wird durch HTTPS und Transport Layer Security (TLS) über öffentliche Netzwerke verschlüsselt. TLS wird auch zur Verschlüsselung von E-Mails unterstützt.
Data-at-Rest-Verschlüsselung Customers of Zendesk benefit from the protections of encryption at rest for their data. Service Data is encrypted at rest in AWS using AES 256 key encryption.
Verfügbarkeit und Kontinuität
Verfügbarkeit Zendesk bietet eine öffentlich zugängliche Systemstatusseite mit Informationen zu Systemverfügbarkeit, geplanter Wartung, Servicevorfällen und relevanten Sicherheitsereignissen.
Redundanz Zendesk employs service clustering and network redundancies to eliminate single points of failure. Our strict backup regime and/or our Enhanced Disaster Recovery service offering allows us to deliver high level of service availability, as Service Data is replicated across availability zones.
Disaster Recovery Our Disaster Recovery (DR) program ensures that our services remain available or are easily recoverable in the case of a disaster. This is accomplished through building a robust technical environment, creating Disaster Recovery plans, and testing activities.
Erweitertes Disaster Recovery Enhanced Disaster Recovery package adds contractual objectives for Recovery Time Objective (RTO) and Recovery Point Objective (RPO). These are supported through our capability to prioritize operations of Enhanced Disaster Recovery customers during any declared disaster event. *Only available with Advanced Security Add-on

Anwendungssicherheit

Sichere Entwicklung (SDLC)
Sicherheitsschulung At least annually, engineers participate in secure code training covering OWASP Top 10 security risks, common attack vectors, and Zendesk security controls.
Sicherheitskontrollen des Ruby-on-Rails-Frameworks Most Zendesk products utilize Ruby on Rails framework security controls to limit exposure to OWASP Top 10 security risks. These inherent controls reduce our exposure to Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), and SQL Injection (SQLi), among others.
Qualitätssicherung (QA) Our Quality Assurance (QA) department reviews and tests our code base. Dedicated application security engineers on staff identify, test, and triage security vulnerabilities in code.
Separate Umgebungen Testing and staging environments are logically separated from the Production environment. No actual Service Data is used in the development or test environments.
Anwendungsschwachstellen
Dynamische Schwachstellenprüfungen We employ third-party, qualified security tooling to continuously dynamically scan our core applications against the OWASP Top 10 security risks. We maintain a dedicated in-house product security team to test and work with engineering teams to remediate any discovered issues.
Statische Codeanalyse The source code repositories for both our platform and mobile applications are scanned for security issues via our integrated static analysis tooling.
Sicherheitspenetrationstests Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk alle drei Monate von externen Sicherheitsexperten detaillierte Penetrationstests unterschiedlicher Anwendungen unserer Produktfamilie durchführen.
Programm zur verantwortungsvollen Offenlegung/Bug Bounty Our Responsible Disclosure Program gives security researchers, as well as customers, an avenue for safely testing and notifying Zendesk of security vulnerabilities through our partnership with HackerOne.

Produktsicherheit

Authentifizierungssicherheit
Authentifizierungsoptionen For admins/agents in Support and Chat, we offer Zendesk sign-in. For Zendesk Support, you may also enable SSO, and Google Authentication.

For end-users in Support and Chat, we support Zendesk sign-in. For Zendesk Support, you may also enable SSO and social media SSO (Facebook, Twitter, Google) for end-user authentication.
Single-Sign-On (SSO) Single sign-on (SSO) allows you to authenticate users in your own systems without requiring them to enter additional login credentials for your Zendesk Support instance. Both JSON Web Token (JWT) and Security Assertion Markup Language (SAML) are supported. Learn more about security and sign-in settings.

*SAML is only available for Professional and Enterprise accounts *JWT is only available for Team accounts and above
Konfigurierbare Kennwortrichtlinie Zendesk Support/Guide provides the following levels of password security: low, medium, and high, as well as set custom password rules for agents and admins. Zendesk also allows for different password security levels to apply to end users vs. agents and admins. Only admins can change the password security level.

*Applies to Professional and Enterprise accounts.
Zwei-Faktor-Authentifizierung (2FA) If you are using Zendesk sign-in on your Zendesk Support instance, you can turn on 2-factor authentication (2FA) for agents and admins. Zendesk supports SMS and numerous authenticator apps for generating passcodes. You may also choose to leverage 2FA in your own environment where coupling enterprise SSO as your authentication method for Zendesk. 2FA provides another layer of security to your Zendesk account, making it more challenging for somebody else to sign in as you. Learn more about 2FA.
Sichere Speicherung von Credentials Zendesk befolgt Best Practices zum sicheren Speichern von Credentials. Kennwörter werden anhand einer sicheren Einweg-Hashfunktion gespeichert, die Salts verwendet – niemals in einem für Menschen lesbaren Format.
API-Sicherheit und -Authentifizierung The Zendesk Support API is TLS-only. You can authorize against the API using either basic authentication with your username and password, or with a username and API token. OAuth authentication is also supported. Learn more about API security.
Zusätzliche Funktionen für die Produktsicherheit
Role Based Access Controls Access to data within Zendesk applications is governed by role based access control (RBAC), and can be configured to define granular access privileges. Zendesk has various permission levels for users (owner, admin, agent, end-user, etc.). Learn more about Support user roles and user access & security.
IP-Beschränkungen Zendesk Support and Chat can be configured to only allow access from specific IP address ranges you define. These restrictions can be applied to all users or only to your agents. Learn more about using IP restrictions.

*Only available for Enterprise Support accounts and Chat Enterprise
Private Anhänge In Zendesk Support, you can configure your instance so users are required to sign-in to view ticket attachments. If not configured, the attachments are accessible via a long and random token ticket ID.
Übertragungssicherheit All communications with Zendesk UI’s and API’s are encrypted using industry standard HTTPS/TLS over public networks. This ensures that all traffic between you and Zendesk is secure during transit. Additionally for email, our product leverages opportunistic TLS by default. Transport Layer Security (TLS) encrypts and delivers email securely, mitigating eavesdropping between mail servers where peer services support this protocol.
Signieren von E-Mails (DKIM/DMARC) Zendesk Support unterstützt DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) zum Signieren abgehender E-Mails aus Zendesk, wenn Sie eine externe E-Mail-Domäne in Ihrem Zendesk-Konto eingerichtet haben. Durch Nutzung eines E-Mail-Dienstes, der diese Funktionen unterstützt, können Sie E-Mail-Spoofing unterbinden. Weitere Infos zum digitalen Signieren von E-Mails.
Geräteverfolgung For added security, your Zendesk Support instance tracks the devices used to sign in to each user account. When someone signs into an account from a new device, it is added to the device list in that user's profile. That user can get an email notification when a new device is added, and should follow-up if the activity seems suspicious. Suspicious sessions can be terminated from the agent UI.
Redacting Sensitive Data Redaction for Zendesk Support and Chat provides the ability to redact, or remove sensitive data in ticket comments, custom fields, and Chats so that you can protect confidential information. The data is redacted from tickets to prevent sensitive information from being stored in Zendesk. Learn more about securing sensitive data.

*Only available for Enterprise accounts
Spam Filter for Help Center Zendesk Support offers a spam filtering service which prevents end-user spam posts from being published on your Help Center or Web Portal. Learn more about filtering spam in Help Center.

Compliance-Zertifizierungen und Mitgliedschaften

Einhaltung von Sicherheitsvorschriften
SOC 2 Type II Zendesk verfügt über einen eigenen SOC 2 Type II Report, der auf Anfrage und nach Unterzeichnung einer Geheimhaltungsvereinbarung eingesehen werden kann. Weitere Informationen erhalten Sie von security@zendesk.com.
ISO 27001:2013 Zendesk is ISO 27001:2013 certified. The certificate is available for download here
ISO 27018:2014 Zendesk is ISO 27018:2014 certified. The certificate is available for download here
Mitgliedschaften
Skyhigh Enterprise-Ready Zendesk wurde das Siegel „Skyhigh Enterprise-Ready™“ verliehen, die höchste Stufe im CloudTrust™-Programm. Nur Cloud-Services, die die striktesten Auflagen in Bezug auf Datenschutz, Identitätsprüfung, Geschäftspraktiken und Rechtsschutz erfüllen, erhalten diese Auszeichnung.
Cloud Security Alliance (CSA) Zendesk ist Mitglied der Cloud Security Alliance (CSA), einer gemeinnützigen Einrichtung zur Förderung von Best Practices, die die Sicherheit im Cloud Computing gewährleisten. Das von der CSA eingeführte Security, Trust & Assurance Registry (STAR) ist ein öffentliches Register, das die Sicherheitskontrollen diverser Cloud-Computing-Angebote dokumentiert. Darüber hinaus ist der von Zendesk ausgefüllte Fragebogen der Consensus Assessment Initiative (CAI), aus dem die Ergebnisse unserer Selbstbewertung hervorgehen, öffentlich zugänglich.
Datenschutzzertifizierungen
TRUSTe®-Programme zur Datenschutzzertifizierung Zendesk has demonstrated that our privacy programs, policies, and practices meet the requirements of EU-U.S. Privacy Shield and/or Swiss-U.S. Privacy Shield. These companies have self-certified their participation in Privacy Shield with the U.S. Department of Commerce at https://www.privacyshield.gov/list. TRUSTe verifies Privacy Shield compliance consistent with the requirements of the Privacy Shield Supplemental Principle on Verification.
EU - U.S. and Swiss - U.S. Privacy Shield Certification Zendesk has certified compliance with the U.S.-EU and Swiss - U.S. Privacy Shield frameworks to the U.S. Department of Commerce and has been added to the Department of Commerce’s list of self-certified Privacy Shield participants. Our certifications confirm that we comply with the Privacy Shield Principles for the transfer of European and Swiss personal data to the United States.
Datenschutzrichtlinie Weitere Infos über die Datenschutzbemühungen von Zendesk.
BRANCHENSPEZIFISCHE COMPLIANCE
HIPAA We help customers address their HIPAA obligations by leveraging appropriate security configuration options in Zendesk products. Additionally, we make our Business Associate Agreement (BAA) available for execution by subscribers.

*BAA is only available with the purchase of the Advanced Security Add-on and only applicable to certain Zendesk products (special configuration rules apply).
Einsatz von Zendesk in einer PCI-Umgebung View our whitepaper on PCI compliance or learn more about our PCI compliant field for Zendesk Support.

*Enterprise account required

Zusätzliche Sicherheitsmassnahmen

Sicherheitsbewusstsein
Richtlinien Zendesk has developed a comprehensive set of security policies covering a range of topics. These policies are shared with and made available to all employees and contractors with access to Zendesk information assets.
Schulung Alle neuen Mitarbeiter nehmen bei ihrer Einstellung und anschließend im Jahresturnus an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Alle Ingenieure nehmen an einer jährlichen Schulung zum Thema Secure Coding teil. Unser Sicherheitsteam hält alle Mitarbeiter darüber hinaus per E-Mail, in Blogbeiträgen sowie in Präsentationen bei internen Veranstaltungen über Sicherheitsthemen auf dem Laufenden.
Überprüfung neuer Mitarbeiter
Background-Checks In Übereinstimmung mit der lokalen Gesetzgebung führt Zendesk für jeden neuen Mitarbeiter einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für unabhängige Anbieter erforderlich. Der Background-Check umfasst eine Überprüfung des Strafregisters, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten. Diese Anforderung gilt auch für Reinigungspersonal.
Vertraulichkeitsvereinbarungen Alle Bewerber werden während des Einstellungsprozesses einem Screening unterzogen und müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.

Sicherheitsressourcen zum Herunterladen

Auch unsere Ressourcen sind geschützt.
Um Zugriff zu erhalten, füllen Sie bitte das kurze Formular unten aus.

Geben Sie Ihren Vornamen ein
Geben Sie Ihren Nachnamen ein
Geben Sie eine gültige E-Mail-Adresse ein
Bitte wählen Sie Ihr Land aus

Fast fertig. Erzählen Sie uns mehr zu Ihrem Unternehmen.

Bitte geben Sie Ihren Firmennamen ein.
Bitte wählen Sie die Anzahl von Mitarbeitern aus
Bitte wählen Sie Ihre Branche aus
Bitte senden Sie mir gelegentlich E-Mails zu Produkten und Services von Zendesk. (Sie können diese E-Mails jederzeit abbstellen.)
Bitte wählen Sie eine Option aus

Ihre Anfrage wurde gesendet.

Einer unserer Mitarbeiter wird sich in Kürze mit Ihnen in Verbindung setzen.

Leider ist etwas schief gelaufen.

Laden Sie die Seite neu und versuchen Sie es noch einmal. Oder schreiben Sie uns unter support@zendesk.com.

Anfrage wird gesendet... bitte warten.

Wenn Sie gerne auf unseren SOC 2-Bericht zugreifen möchten, senden Sie uns eine E-Mail unter security@zendesk.com.