Sicherer Kundenservice

Zendesk und Sicherheit

Mehr als 145.000 Kunden vertrauen Zendesk ihre Daten an. Wir nehmen diese Verantwortung sehr ernst. Wir kombinieren Sicherheitsfunktionen der Enterprise-Klasse mit umfassenden Audits unserer Anwendungen, Systeme und Netzwerke, um sicherzustellen, dass Kunden- und Unternehmensdaten immer geschützt sind. Unsere Kunden können beruhigt sein, denn wir sorgen dafür, dass ihre Informationen, Interaktionen und Geschäftsabläufe stets sicher sind.

Datenblatt anzeigen

Rechenzentrums- und Netzwerksicherheit

Physische Sicherheit der Rechenzentren
Einrichtungen Servicedaten werden primär in AWS-Rechenzentren gehostet, die nach ISO 27001, PCI/DSS Service Provider Level 1 und/oder SOC II zertifiziert sind. Weitere Infos über Compliance bei AWS.

Die Server in der AWS-Infrastruktur – und damit Ihre Daten – sind durch Reservestrom-, HLK- und Brandunterdrückungsanlagen geschützt. Weitere Infos über die Kontrollen in den Rechenzentren bei AWS.
Sicherheit vor Ort In AWS-Rechenzentren ist die Sicherheit vor Ort ist durch Sicherheitspersonal, Umzäunung, Videoüberwachung, Einbruchserkennung und andere Maßnahmen gewährleistet. Weitere Infos über die physische Sicherheit in AWS-Rechenzentren.
Datenhosting-Standort Zendesk nutzt AWS-Rechenzentren in den USA, in Europa und im asiatisch-pazifischen Raum. Weitere Infos über die Datenhosting-Standorte für Ihre Zendesk-Servicedaten.

Kunden können wählen, ob ihre Servicedaten nur in den USA oder nur im Europäischen Wirtschaftsraum gespeichert werden sollen.** Weitere Infos über unsere regionalen Datenhosting-Optionen und Einschränkungen im Bezug auf Servicedaten.

*Nur verfügbar beim Add-on „Standort des Rechenzentrums“
Netzwerksicherheit
Dediziertes Sicherheitsteam Unser weltweites Sicherheitsteam ist rund um die Uhr in Bereitschaft, um bei Bedarf auf Sicherheitsalarme und -vorfälle zu reagieren.
Schutz Unser Netzwerk ist durch die umfassenden Sicherheitsdienste von AWS, Integration mit unseren Cloudflare-basierten Edge-Protection-Netzwerken, regelmäßige Audits und Network-Intelligence-Technologien geschützt, die es kontinuierlich auf bekannte bösartige Verkehrsmuster und Netzwerkattacken überwachen und diese blockieren.
Architektur Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZ finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.
Netzwerkschwachstellenprüfungen Anhand von Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.
Penetrationstests durch externe Experten Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk jedes Jahr von externen Sicherheitsexperten einen umfangreichen Penetrationstest der gesamten Produktions- und Unternehmensnetzwerke von Zendesk durchführen.
Security Incident Event Management (SIEM) Unser Security-Incident-Event-Management-System (SIEM) erfasst umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Das SIEM-System spricht bei Auslösern an, die das Sicherheitsteam beim Auftreten bestimmter Vorfälle benachrichtigen, sodass investigative Schritte sowie entsprechende Maßnahmen eingeleitet werden können.
Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) Die wichtigsten Ein- und Ausgangspunkte sind instrumentiert und werden auf Verhaltensanomalien hin überwacht. Die Systeme sind so konfiguriert, dass Alarme ausgelöst werden, wenn Vorfälle und Werte die festgelegten Schwellen überschreiten, und verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Hierzu gehört auch die Systemüberwachung rund um die Uhr.
Threat-Intelligence-Programm Zendesk nimmt an mehreren Threat-Intelligence-Sharing-Programmen teil. Wir überwachen unsere Systeme auf Bedrohungen, die in diesen Threat-Intelligence-Netzwerken gemeldet werden, und ergreifen Maßnahmen basierend auf unseren Risiken.
DDoS-Abwehr Zendesk nutzt einen mehrschichtigen Ansatz zum Schutz vor DDoS-Angriffen. Der Netzwerkrand ist durch leistungsfähige Technologien von Cloudflare geschützt, während Skalierungs- und Sicherheitstools sowie DDoS-spezifische Services von AWS noch umfassenderen Schutz bieten.
Logischer Zugriff Der Zugriff auf das Zendesk Production Network basiert explizit auf dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte, wird laufend überprüft und überwacht und durch unser Operations Team kontrolliert. Zum Zugriff auf das Zendesk Production Network sind mehrere Authentifizierungsfaktoren erforderlich.
Reaktion auf Sicherheitsvorfälle Bei einem Sicherheitsalarm werden Vorfälle an unsere rund um die Uhr aktiven Teams eskaliert, die für die Bereiche Operations, Network Engineering und Security zuständig sind. Mitarbeiter sind in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.
Verschlüsselung
Data-in-Transit-Verschlüsselung Die gesamte Kommunikation mit den Benutzeroberflächen und APIs von Zendesk ist durch den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk sicher ist. Für E-Mails verwenden wir standardmäßig opportunistisches TLS. Transport Layer Security (TLS) ist ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping zwischen Mailservern verhindert, solange Peer-Services dieses Protokoll unterstützen. Ausnahmen für die Verschlüsselung sind unter anderem die Verwendung der produktintegrierten SMS-Funktionen sowie Anwendungen, Integrationen oder Dienste von Drittanbietern, die Abonnenten nach eigenem Ermessen nutzen.
Data-at-Rest-Verschlüsselung Servicedaten werden bei AWS durch Data-at-Rest-Verschlüsselung verschlüsselt (AES-256).
Verfügbarkeit und Kontinuität
Verfügbarkeit Zendesk bietet eine öffentlich zugängliche Systemstatusseite mit Informationen zu Systemverfügbarkeit, geplanter Wartung, Servicevorfällen und relevanten Sicherheitsereignissen.
Redundanz Zendesk verwendet Service-Clustering und Netzwerkredundanzen zum Eliminieren eines Single Point of Failure (SPOF). Unser striktes Backup-Programm und unser erweitertes Disaster Recovery sorgen für maximale Verfügbarkeit, da Servicedaten über mehrere Verfügbarkeitszonen hinweg repliziert werden.
Disaster Recovery Unser Disaster-Recovery-Programm (DR) stellt sicher, dass unsere Services im Katastrophenfall verfügbar bleiben bzw. leicht wiederherstellbar sind. Dies wird durch eine robuste technische Umgebung, Disaster-Recovery-Pläne und Tests erreicht.
Erweitertes Disaster Recovery Das Paket „Erweitertes Disaster Recovery“ umfasst vertraglich festgelegte Ziele für Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Um die Einhaltung dieser Vorgaben zu gewährleisten, räumen wir bei offiziell erklärten Katastrophenfällen denjenigen unserer Kunden Priorität ein, die das Paket „Erweitertes Disaster Recovery“ abonniert haben. *Nur beim Add-on „Erweiterte Sicherheit“ verfügbar

Anwendungssicherheit

Sichere Entwicklung (SDLC)
Secure-Code-Schulungen Ingenieure nehmen mindestens einmal pro Jahr an einer Schulung zum Thema Secure Coding teil, bei der Themen wie die Top-10-Sicherheitsschwachstellen des OWASP, gängige Angriffsvektoren und Zendesk-Sicherheitskontrollen behandelt werden.
Framework-Sicherheitskontrollen Zendesk Support nutzt moderne und sichere Open-Source Frameworks mit Sicherheitskontrollen, um eine Gefährdung durch die Top-10-Sicherheitsschwachstellen des OWASP, darunter SQL Injection (SQLi), Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF) so weit wie möglich zu verringern.
Quality Assurance Unsere QA-Abteilung überprüft und testet unsere Codebasis. Dedizierte Anwendungssicherheitsingenieure identifizieren, testen und priorisieren Sicherheitsschwachstellen im Code.
Separate Umgebungen Die Test- und Staging-Umgebungen sind physisch und logisch von der Produktionsumgebung getrennt. In den Entwicklungs- und Testumgebungen kommen keine Servicedaten zum Einsatz.
Management von Schwachstellen
Dynamische Schwachstellenprüfungen Wir setzen eine Reihe von Sicherheitstools von Drittanbietern ein, um unsere Hauptanwendungen kontinuierlich und dynamisch auf die Top-10-Sicherheitsschwachstellen des OWASP hin zu testen. Wir haben ein dediziertes internes Produktsicherheitsteam, das zusammen mit den Engineeringteams an der Lösung der identifizierten Probleme arbeitet.
Statische Codeanalyse Die Quellcode-Repositorys für unsere Plattform und mobilen Anwendungen werden durch integrierte statische Analysewerkzeuge kontinuierlich auf Sicherheitsprobleme hin getestet.
Penetrationstests durch externe Experten Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk von externen Sicherheitsexperten detaillierte Penetrationstests unterschiedlicher Anwendungen unserer Produktfamilie durchführen.
Programm zur verantwortungsvollen Offenlegung/Bug Bounty In Partnerschaft mit HackerOne betreiben wir ein Programm zur verantwortungsvollen Offenlegung („Responsible Disclosure“), das es Sicherheitsexperten und Kunden ermöglicht, Zendesk auf sichere Weise zu testen und uns über Sicherheitsschwachstellen zu informieren.

Produktsicherheit

Authentifizierungssicherheit
Authentifizierungsoptionen Kunden können die native Zendesk-Authentifizierung, Single Sign-On (SSO) über Social Media (Facebook, Twitter, Google) und/oder Enterprise SSO (SAML, JWT) für die Endbenutzer- und/oder Agentenauthentifizierung aktivieren. Weitere Infos über den Benutzerzugriff.
Konfigurierbare Kennwortrichtlinie Die native Zendesk-Authentifizierung über das Admin Center bietet die folgenden Kennwortsicherheitsstufen: niedrig, mittel und hoch. Außerdem können angepasste Kennwortregeln für Agenten und Administratoren festgelegt werden. Zendesk ermöglicht außerdem die Festlegung unterschiedlicher Kennwortsicherheitsstufen für Endbenutzer auf der einen und Administratoren und Agenten auf der anderen Seite. Nur Administratoren können die Kennwortsicherheitsstufe ändern. Weitere Infos über konfigurierbare Kennwortrichtlinien.
Zwei-Faktor-Authentifizierung (2FA) Die native Zendesk-Authentifizierung für Produkte, die im Admin Center verfügbar sind, bietet Zwei-Faktor-Authentifizierung (2FA) für Agenten und Administratoren per SMS oder Authentifizierungs-App. Weitere Infos über 2FA.
Speicherung von Service-Credentials Zendesk befolgt Best Practices zum sicheren Speichern von Credentials. Kennwörter werden anhand einer sicheren Einweg-Hashfunktion gespeichert, die Salts verwendet – niemals in einem für Menschen lesbaren Format.
Zusätzliche Funktionen für die Produktsicherheit
Rollenbasierte Zugriffskontrolle (RBAC) Der Zugriff auf die Daten in Zendesk-Anwendungen wird durch die rollenbasierte Zugriffskontrolle (RBAC) geregelt. Bei Bedarf können granulare Zugriffsberechtigungen definiert werden. Zendesk bietet unterschiedliche Berechtigungsebenen für Benutzer (Kontoinhaber, Administratoren, Agenten, Endbenutzer usw.).

Weitere Infos über Benutzerrollen:
Detaillierte Informationen zur globalen Sicherheit und zum Benutzerzugriff finden Sie hier.
IP-Beschränkungen Zendesk-Produkte können so konfiguriert werden, dass nur von den festgelegten IP-Adressbereichen aus ein Zugriff möglich ist. Diese Beschränkungen können für alle Benutzer gelten oder nur für Agenten.

Weitere Infos über IP-Beschränkungen:
Private Anhänge Sie können Ihre Zendesk-Instanz so konfigurieren, dass Benutzer sich anmelden müssen, um Ticketanhänge sehen zu können. Weitere Infos über private Anhänge.
Signieren von E-Mails (DKIM/DMARC) Zendesk Support unterstützt DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) zum Signieren abgehender E-Mails aus Zendesk, wenn Sie eine externe E-Mail-Domäne in Ihrem Zendesk-Konto eingerichtet haben. Durch Nutzung eines E-Mail-Dienstes, der diese Funktionen unterstützt, können Sie E-Mail-Spoofing unterbinden. Weitere Infos zum digitalen Signieren von E-Mails.
Geräteverfolgung Zendesk verfolgt die Geräte, von denen aus eine Anmeldung bei jedem Benutzerkonto erfolgt. Wenn sich jemand von einem neuen Gerät aus anmeldet, wird dieses zur Geräteliste im jeweiligen Benutzerprofil hinzugefügt. Der Benutzer wird per E-Mail benachrichtigt, wenn ein neues Gerät hinzugefügt wird, und sollte bei verdächtigen Aktivitäten geeignete Maßnahmen ergreifen. Bei verdächtigen Aktivitäten kann die jeweilige Sitzung von der Agentenoberfläche aus abgebrochen werden. Weitere Infos über die Geräteverfolgung.
Schwärzung sensibler Daten Die Funktion zur manuellen Schwärzung macht sensible Daten in Zendesk Support-Ticketkommentaren unkenntlich bzw. entfernt sie und löscht Anhänge auf sichere Weise, damit vertrauliche Informationen geschützt sind. Die Daten werden über die Benutzeroberfläche oder API aus Tickets entfernt, um zu verhindern, dass sensible Daten in Zendesk gespeichert werden. Weitere Infos über die Schwärzung über die Benutzeroberfläche oder API.

Die Funktion zur automatischen Schwärzung macht sowohl in Support als auch in Chat automatisch Zahlenfolgen unkenntlich, die mit einer gültigen Primary Account Number (PAN) einer Kreditkarte und einer Luhn-Prüfziffer übereinstimmen. Weitere Infos über die automatische Schwärzung in Support und Chat.

Zendesk Support bietet ein konfigurierbares PCI-kompatibles Kreditkartenfeld, in dem alle Ziffern bis auf die letzten vier unkenntlich gemacht werden. Weitere Infos über die Compliance von Zendesk.
Spamfilter für Help Center Zendesk bietet einen Spamfilter-Service, der verhindert, dass Endbenutzer-Posts, die Spam enthalten, in einem Help Center veröffentlicht werden. Weitere Infos über die Filterung von Spam im Help Center.

Compliance-Zertifizierungen und Mitgliedschaften

Einhaltung von Sicherheitsvorschriften
SOC 2 Type II Wir durchlaufen routinemäßige Audits für den Empfang aktualisierter SOC 22 Type II-Reports, die auf Anfrage und nach Unterzeichnung einer Geheimhaltungsvereinbarung eingesehen werden können. Weitere Informationen erhalten Sie von security@zendesk.com.
ISO 27001:2013 Zendesk ist zertifiziert nach ISO 27001:2013. Das Zertifikat kann hier heruntergeladen werden.
ISO 27018:2014 Zendesk ist zertifiziert nach ISO 27018:2014. Das Zertifikat kann hier heruntergeladen werden.
Mitgliedschaften
Skyhigh Enterprise-Ready Zendesk wurde das Siegel „Skyhigh Enterprise-Ready™“ verliehen, die höchste Stufe im CloudTrust™-Programm. Nur Cloud-Services, die die striktesten Auflagen in Bezug auf Datenschutz, Identitätsprüfung, Geschäftspraktiken und Rechtsschutz erfüllen, erhalten diese Auszeichnung.
Cloud Security Alliance (CSA) Zendesk ist Mitglied der Cloud Security Alliance (CSA), einer gemeinnützigen Einrichtung zur Förderung von Best Practices, die die Sicherheit im Cloud Computing gewährleisten. Das von der CSA eingeführte Security, Trust & Assurance Registry (STAR) ist ein öffentlich zugängliches Register, das die Sicherheitskontrollen diverser Cloud-Computing-Angebote dokumentiert. Darüber hinaus ist der von Zendesk ausgefüllte Fragebogen der Consensus Assessment Initiative (CAI), aus dem die Ergebnisse unserer Selbstbewertung hervorgehen, öffentlich zugänglich.

Der CSA-CAIQ-Fragebogen steht hier zum Download bereit.
Datenschutzzertifizierungen
TRUSTe®-Programme zur Datenschutzzertifizierung Die Datenschutzprogramme, -richtlinien und -praktiken von Zendesk erfüllen nachweislich die Anforderungen des Datenschutzschild-Abkommens zwischen den USA und der EU bzw. zwischen den USA und der Schweiz. Unter https://www.privacyshield.gov/list sind alle Unternehmen aufgeführt, die ihre Einhaltung des Datenschutzschild-Abkommens beim US-Handelsministerium durch Selbstzertifizierung registriert haben.. TRUSTe überprüft die Einhaltung der Datenschutzschild-Anforderungen entsprechend dem Zusatzgrundsatz zur Überprüfung.
EU-US- und Schweiz-US-Datenschutzschild-Zertifizierung Zendesk hat beim US-Handelsministerium die Einhaltung der Rahmenbedingungen des EU-US- und Schweiz-US-Datenschutzschildes zertifiziert und wurde aufgrund dessen vom US-Handelsministerium zur Liste der selbstzertifizierten Beteiligten des Datenschutzschildes hinzugefügt. Unsere Zertifizierungen bestätigen, dass wir die Grundsätze des Datenschutzschildes für die Übermittlung personenbezogener Daten aus Europa und der Schweiz in die Vereinigten Staaten beachten.Weitere Infos über das Datenschutzschild.
Datenschutzrichtlinie Weitere Infos über die Datenschutzbemühungen von Zendesk.
BRANCHENSPEZIFISCHE COMPLIANCE
HIPAA Wir helfen Kunden, ihre HIPAA-Verpflichtungen zu erfüllen. Hierzu bieten wir in Zendesk-Produkten entsprechende sicherheitstechnische Konfigurationsoptionen. Wir stellen Abonnenten unser Business Associate Agreement (BAA) zur Annahme bereit.   *BAA steht nur beim Kauf des Add-ons „Erweiterte Sicherheit“ zur Verfügung und betrifft nur bestimmte Zendesk-Produkte (es gelten besondere Konfigurationsregeln).
PCI Lesen Sie unser Whitepaper zur PCI-Compliance oder informieren Sie sich ausführlicher über unser PCI-konformes Feld für Zendesk Support.

*Enterprise-Konto erforderlich
Einsicht in unsere „PCI Attestation of Compliance“ (AoC) und das „Certificate of Compliance“ erhalten Sie von security@zendesk.com.

Personalsicherheit

Sicherheitsbewusstsein
Richtlinien Zendesk hat umfassende Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Auftragnehmern zur Verfügung gestellt, die Zugriff auf die Informationsassets von Zendesk haben.
Schulung Alle neuen Mitarbeiter nehmen bei ihrer Einstellung und anschließend im Jahresturnus an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Alle Ingenieure nehmen an einer jährlichen Schulung zum Thema Secure Coding teil. Unser Sicherheitsteam hält alle Mitarbeiter darüber hinaus per E-Mail, in Blogbeiträgen sowie in Präsentationen bei internen Veranstaltungen über Sicherheitsthemen auf dem Laufenden.
Überprüfung neuer Mitarbeiter
Background-Checks In Übereinstimmung mit der lokalen Gesetzgebung führt Zendesk für jeden neuen Mitarbeiter einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für unabhängige Anbieter erforderlich. Der Background-Check umfasst eine Überprüfung des Strafregisters, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten. Diese Anforderung gilt auch für Reinigungspersonal.
Vertraulichkeitsvereinbarungen Alle neu eingestellten Mitarbeiter müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.

Sicherheitsressourcen zum Herunterladen

Auch unsere Ressourcen sind geschützt.
Um Zugriff zu erhalten, füllen Sie bitte das kurze Formular unten aus.

Geben Sie Ihren Vornamen ein
Geben Sie Ihren Nachnamen ein
Geben Sie eine gültige E-Mail-Adresse ein
Bitte wählen Sie Ihr Land aus

Fast fertig. Erzählen Sie uns mehr zu Ihrem Unternehmen.

Bitte geben Sie Ihren Firmennamen ein.
Bitte wählen Sie die Anzahl von Mitarbeitern aus
Bitte wählen Sie Ihre Branche aus
Bitte senden Sie mir gelegentlich E-Mails zu Produkten und Services von Zendesk. (Sie können diese E-Mails jederzeit abbstellen.)
Bitte wählen Sie eine Option aus

Ihre Anfrage wurde gesendet.

Einer unserer Mitarbeiter wird sich in Kürze mit Ihnen in Verbindung setzen.

Leider ist etwas schief gelaufen.

Laden Sie die Seite neu und versuchen Sie es noch einmal. Oder schreiben Sie uns unter support@zendesk.com.

Anfrage wird gesendet... bitte warten.

Wenn Sie gerne auf unseren SOC 2-Bericht zugreifen möchten, senden Sie uns eine E-Mail unter security@zendesk.com.