Sicherer Kundenservice

Zendesk und Sicherheit

Mehr als 100.000 Kunden vertrauen Zendesk ihre Daten an. Wir nehmen diese Verantwortung sehr ernst. Wir kombinieren Sicherheitsfunktionen der Enterprise-Klasse mit umfassenden Audits unserer Anwendungen, Systeme und Netzwerke, um sicherzustellen, dass Kunden- und Unternehmensdaten rundum geschützt sind. Unsere Kunden können beruhigt sein, denn wir sorgen dafür, dass ihre Informationen, Interaktionen und Geschäftsabläufe immer sicher sind.

Rechenzentrums- und Netzwerksicherheit

Physische Sicherheit
Einrichtungen Zendesk-Server werden in Einrichtungen gehostet, die Tier IV- oder III+-, SSAE-16- bzw. ISO 27001-konform sind. Unsere Colocation-Cages in Rechenzentren sind physisch und logisch von denen anderer Kunden getrennt. Rechenzentren weisen redundante Stromversorgungen auf (USV und Notstromgenerator).
Sicherheit vor Ort Unsere Rechenzentren verfügen über einen abgesicherten Perimeter mit mehreren Sicherheitszonen, Sicherheitspersonal rund um die Uhr, Videoüberwachung, Mehrfaktor-Identifizierung mit biometrischer Zugangskontrolle, physische Schlösser und Alarme bei Sicherheitsverletzung.
Überwachung Alle Systeme, vernetzten Geräte und Schaltkreise im Produktionsnetzwerk werden kontinuierlich durch Zendesk überwacht und logisch gemanagt. Physische Sicherheit, Stromversorgung und Internetkonnektivität jenseits von Colocation-Cage-Türen oder Amazon-Services werden vom Provider der jeweiligen Einrichtung überwacht.
Standort Zendesk nutzt Rechenzentren in den USA, Europa und Japan. Kunden können wählen, ob ihre Servicedaten nur in den USA oder nur in Europa gespeichert werden sollen (Zendesk Chat-Daten können gegenwärtig nur in Europa gespeichert werden). Weitere Informationen zu unseren EU-spezifischen Hosting-Richtlinien *Nur verfügbar beim Add-on „Standort des Rechenzentrums“
Netzwerksicherheit
Dediziertes Sicherheitsteam Unser weltweites Sicherheitsteam ist rund um die Uhr in Bereitschaft, um bei Bedarf auf Sicherheitsalarme und -vorfälle zu reagieren.
Schutz Unser Netzwerk ist durch redundante Firewalls, Best-in-Class-Routertechnologie, abgesicherten HTTPS-Transport über öffentliche Netzwerke, regelmäßige Audits und Network-Intrusion-Detection- und/oder Prevention-Technologien (IDS/IPS) geschützt, die es auf bösartigen Traffic und Netzwerkattacken überwachen bzw. diese blockieren.
Architektur Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZ finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.
Netzwerkschwachstellenprüfungen Anhand von Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.
Penetrationstests durch externe Experten Zusätzlich zu unserem internen Prüf- und Testprogramm lässt Zendesk jedes Jahr von externen Sicherheitsexperten einen umfassenden Penetrationstest des gesamten Zendesk Production Networks durchführen.
Security Incident Event Management (SIEM) Unser Security-Incident-Event-Management-System (SIEM) erfasst umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Das SIEM-System spricht bei Auslösern an, die das Sicherheitsteam beim Auftreten bestimmter Vorfälle benachrichtigen, sodass investigative Schritte sowie entsprechende Maßnahmen eingeleitet werden können.
Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) Die wichtigsten Ein- und Ausgangspunkte für Anwendungsdatenflüsse werden mit Intrusion-Detection- (IDS) oder Intrusion-Prevention-Systemen (IPS) überwacht. Die Systeme sind so konfiguriert, dass Alarme ausgelöst werden, wenn Vorfälle und Werte die festgelegten Schwellen überschreiten, und verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Hierzu gehört auch die Systemüberwachung rund um die Uhr.
Threat-Intelligence-Programm Zendesk nimmt an mehreren Threat-Intelligence-Programmen teil. Wir überwachen unsere Systeme auf Bedrohungen, die in diesen Threat-Intelligence-Netzwerken gemeldet werden, und ergreifen Maßnahmen basierend auf unseren Risiken und unserem Exponierungsgrad.
DDoS-Abwehr Neben unseren eigenen Fähigkeiten und Tools nehmen wir zur Abwehr von Distributed-Denial-of-Service-Angriffen (DDoS) die Dienste von DDoS-Scrubbing-Providern in Anspruch.
Logischer Zugriff Der Zugriff auf das Zendesk Production Network basiert explizit auf dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte, wird laufend überprüft und überwacht und durch unser Operations Team kontrolliert. Zum Zugriff auf das Zendesk Production Network sind mehrere Authentifizierungsfaktoren erforderlich.
Reaktion auf Sicherheitsvorfälle Bei einem Sicherheitsalarm werden Vorfälle an unsere rund um die Uhr aktiven Teams eskaliert, die für die Bereiche Operations, Network Engineering und Security zuständig sind. Mitarbeiter sind in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.
Verschlüsselung
Data-in-Transit-Verschlüsselung Die Kommunikation zwischen Ihnen und den Zendesk Support- und Zendesk Chat-Servern wird durch HTTPS und Transport Layer Security (TLS) über öffentliche Netzwerke verschlüsselt. TLS wird auch zur Verschlüsselung von E-Mails unterstützt.
Data-at-Rest-Verschlüsselung Alle Kunden von Zendesk Support und Chat profitieren vom Schutz durch Data-at-Rest-Verschlüsselung für die Offsite-Speicherung von Anhängen sowie von kompletten täglichen Backups. Über das kostenpflichtige Add-on „Erweiterte Sicherheit“ steht Support-Kunden eine Data-at-Rest-Verschlüsselung ihrer primären und sekundären DR-Datenspeicher zur Verfügung. Ebenfalls verfügbar sind Garantien der Data-at-Rest-Verschlüsselung von Chatservice-Daten (kostenpflichtig).
Verfügbarkeit und Kontinuität
Verfügbarkeit Zendesk bietet eine öffentlich zugängliche Systemstatusseite mit Informationen zu Systemverfügbarkeit, geplanter Wartung, Servicevorfällen und relevanten Sicherheitsereignissen.
Redundanz Zendesk verwendet Service-Clustering und Netzwerkredundanzen zum Eliminieren eines Single Point of Failure (SPOF). Unser strikter Backup-Prozess sorgt dafür, dass Servicedaten aktiv über primäre und sekundäre DR-Systeme und Einrichtungen hinweg repliziert werden. Unsere Colocation-Datenbanken sind auf effizienten Flash-Memory-Geräten mit mehreren Servern pro Datenbank-Cluster gespeichert.
Disaster Recovery Unser Disaster-Recovery-Programm (DR) stellt sicher, dass unsere Services im Katastrophenfall verfügbar bleiben bzw. leicht wiederherstellbar sind. Dies wird durch eine robuste technische Umgebung, Disaster-Recovery-Pläne und Tests erreicht.
Erweitertes Disaster Recovery Beim erweiterten Disaster Recovery wird die gesamte Betriebsumgebung, einschließlich Servicedaten, in einer sekundären Site repliziert, damit der Service von dort aus weitergeführt werden kann, sollte die primäre Site komplett ausfallen. Im Rahmen des Add-ons „Erweiterte Sicherheit“ stehen darüber hinaus RTO- und RPO-Garantien zur Verfügung. *Nur für Chat beim Kauf eines Support-Plans im Rahmen des Add-ons „Erweiterte Sicherheit“ verfügbar.

Anwendungssicherheit

Sichere Entwicklung (SDLC)
Sicherheitsschulung Ingenieure nehmen mindestens einmal pro Jahr an einer Schulung zum Thema Secure Coding teil, auf der Themen wie die Top-10-Sicherheitsschwachstellen des OWASP, gängige Angriffsvektoren und Zendesk-Sicherheitskontrollen behandelt werden.
Sicherheitskontrollen des Ruby-on-Rails-Frameworks Zendesk Support nutzt die Sicherheitskontrollen des Ruby-on-Rails-Frameworks, um unsere Gefährdung durch die Top-10-Sicherheitsschwachstellen des OWASP, darunter Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) und SQL Injection (SQLi), so weit wie möglich zu verringern.
Qualitätssicherung (QA) Unsere QA-Abteilung überprüft und testet unsere Codebasis. Mehrere dedizierte Anwendungssicherheitsingenieure identifizieren, testen und priorisieren Sicherheitsschwachstellen im Code.
Separate Umgebungen Die Test- und Staging-Umgebungen sind physisch und logisch von der Produktionsumgebung getrennt. In den Entwicklungs- und Testumgebungen kommen keine eigentlichen Servicedaten zum Einsatz.
Anwendungsschwachstellen
Dynamische Schwachstellenprüfungen Wir setzen eine Reihe qualifizierter Sicherheitstools von Drittanbietern ein, um unsere Support- und Chat-Anwendungen kontinuierlich und dynamisch auf die Top-10-Sicherheitsschwachstellen des OWASP hin zu testen. Wir haben ein dediziertes internes Produktsicherheitsteam, das zusammen mit den Engineeringteams an der Lösung der identifizierten Probleme arbeitet.
Statische Codeanalyse Die Quellcode-Repositorys für Zendesk Support, sowohl für die Plattform als auch die mobilen Anwendungen, werden durch unsere integrierten statischen Analysewerkzeuge kontinuierlich auf Sicherheitsprobleme hin getestet.
Sicherheitspenetrationstests Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk alle drei Monate von externen Sicherheitsexperten detaillierte Penetrationstests unterschiedlicher Anwendungen unserer Produktfamilie durchführen.
Programm zur verantwortungsvollen Offenlegung/Bug Bounty In Partnerschaft mit HackerOne betreiben wir ein Programm zur verantwortungsvollen Offenlegung („Responsible Disclosure“), das es Sicherheitsexperten ermöglicht, Zendesk auf sichere Weise zu testen und uns über Sicherheitsschwachstellen zu informieren.

Produktsicherheit

Sichere Entwicklung (SDLC)
Authentifizierungsoptionen

Für Administratoren/Agenten in Support und Chat unterstützen wir die Anmeldung über Zendesk. In Zendesk Support ist auch SSO und Google-Authentifizierung möglich.

Für Endbenutzer in Support und Chat unterstützen wir die Anmeldung über Zendesk. In Zendesk Support ist zur Endbenutzer-Authentifizierung auch SSO und Social-Media-SSO (Facebook, Twitter, Google) möglich.

Single-Sign-On (SSO) Über Single-Sign-On (SSO) können sich Benutzer bei ihren eigenen Systemen anmelden, ohne zum Zugriff auf ihre Instanz von Zendesk Support weitere Credentials eingeben zu müssen. Unterstützt werden sowohl JSON Web Token (JWT) als auch Security Assertion Markup Language (SAML). Weitere Infos zu SSO.*SAML ist nur beim Professional- und Enterprise-Plan verfügbar.*JWT ist nur beim Team-Plan (und höher) verfügbar.
Konfigurierbare Kennwortrichtlinie Zendesk Support bietet drei Kennwortsicherheitsstufen: niedrig, mittel und hoch. Außerdem können angepasste Kennwortregeln für Agenten und Administratoren festgelegt werden. Sie können eine bestimmte Kennwortsicherheitsstufe für Endbenutzer und eine andere für Administratoren und Agenten festlegen. Nur Administratoren können die Kennwortsicherheitsstufe ändern. *Gültig für Professional- und Enterprise-Konten.
Zwei-Faktor-Authentifizierung (2FA) Wenn Sie die Zendesk-Anmeldung in Ihrer Instanz von Zendesk Support verwenden, können Sie die 2-Faktor-Authentifizierung (2FA) für Agenten und Administratoren aktivieren. Zendesk unterstützt SMS und Apps wie Authy und Google Authenticator zum Generieren von Passcodes. 2FA ist eine zusätzliche Sicherheitsebene in Ihrem Zendesk-Konto, die es Betrügern schwerer macht, sich als Sie anzumelden. Weitere Infos zu 2FA.
Sichere Speicherung von Credentials Zendesk befolgt Best Practices zum sicheren Speichern von Credentials. Kennwörter werden anhand einer sicheren Einweg-Hashfunktion gespeichert, die Salts verwendet – niemals in einem für Menschen lesbaren Format.
API-Sicherheit und -Authentifizierung Die Zendesk Support-API verwendet immer SSL. Sie müssen ein bestätigter Benutzer sein, um API-Anforderungen einzureichen. Um sich bei der API auszuweisen, können Sie entweder die Standard-Authentifizierung verwenden (Benutzername und Kennwort) oder einen Benutzernamen zusammen mit einem API-Token. Die OAuth-Authentifizierung wird ebenfalls unterstützt. Weitere Infos zur API-Sicherheit.
Zusätzliche Funktionen für die Produktsicherheit
Zugriffsberechtigungen und Rollen Der Zugriff auf die Daten in Zendesk Support und Chat wird anhand von Zugriffsrechten geregelt. Bei Bedarf können granulare Zugriffsberechtigungen definiert werden. Zendesk bietet unterschiedliche Berechtigungsebenen für Benutzer (Kontoinhaber, Administratoren, Agenten, Endbenutzer usw.). Weitere Infos zu Zugriffsebenen.
IP-Beschränkungen Zendesk Support und Chat kann so konfiguriert werden, dass nur von den angegebenen IP-Adressbereichen aus ein Zugriff möglich ist. Diese Beschränkungen können für alle Benutzer gelten oder nur für Agenten. Weitere Infos zu IP-Beschränkungen. *Nur bei Professional- und Enterprise Support-Konten und Premium Chat verfügbar.
Private Anhänge Sie können Ihre Instanz von Zendesk Support so konfigurieren, dass Benutzer sich anmelden müssen, um an Tickets angehängte Dateien sehen zu können. Wenn diese Funktion nicht konfiguriert ist, erfolgt der Zugriff auf Anhänge über eine nach dem Zufallsprinzip generierte Ticket-ID.
Übertragungssicherheit Die gesamte Kommunikation mit Zendesk-Servern ist durch den Industriestandard HTTPS über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk sicher ist. Für E-Mails unterstützen wir außerdem Transport Layer Security (TLS), ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping und Spoofing zwischen Mailservern verhindert.
Signieren von E-Mails (DKIM/DMARC) Zendesk Support unterstützt DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) zum Signieren abgehender E-Mails aus Zendesk, wenn Sie eine externe E-Mail-Domäne in Ihrem Zendesk-Konto eingerichtet haben. Durch Nutzung eines E-Mail-Dienstes, der diese Funktionen unterstützt, können Sie E-Mail-Spoofing unterbinden. Weitere Infos zum digitalen Signieren von E-Mails.
Geräteverfolgung Aus Sicherheitsgründen verfolgt Ihre Instanz von Zendesk Support die Geräte, von denen aus eine Anmeldung bei einem Benutzerkonto erfolgt. Wenn sich jemand von einem neuen Gerät aus anmeldet, wird dieses zur Geräteliste im jeweiligen Benutzerprofil hinzugefügt. Der Benutzer wird per E-Mail benachrichtigt, wenn ein neues Gerät hinzugefügt wird, und sollte bei verdächtigen Aktivitäten geeignete Maßnahmen ergreifen.
Automatische Schwärzung Die Funktion zur automatischen Schwärzung in Zendesk Support entfernt Ziffern aus Kreditkartennummern, die in Ticketkommentaren oder angepassten Feldern enthalten sind, damit vertrauliche Informationen geschützt sind. Die Daten werden automatisch aus eingehenden Tickets entfernt, um zu verhindern, dass vollständige Kreditkartennummern in Zendesk gespeichert werden. Weitere Infos zur Schwärzungsfunktion. *Nur bei Enterprise-Konten verfügbar.
Spamfilter für Help Center und Web-Portal Zendesk Support bietet einen Spamfilter-Service, der verhindert, dass Endbenutzer-Posts mit Spam in Ihrem Help Center oder Web-Portal veröffentlicht werden. Weitere Infos zur Filterung von Spam im Help Center und im Web-Portal.

Compliance-Zertifizierungen und Mitgliedschaften

Einhaltung von Sicherheitsvorschriften
SOC 2 Type II Zendesk verfügt über einen eigenen SOC 2 Type II Report, der auf Anfrage und nach Unterzeichnung einer Geheimhaltungsvereinbarung eingesehen werden kann. Weitere Informationen erhalten Sie von security@zendesk.com.
ISO 27001:2013 Zendesk ist zertifiziert nach ISO 27001:2013.
ISO 27018:2014 Zendesk ist zertifiziert nach ISO 27018:2014.
Mitgliedschaften
Skyhigh Enterprise-Ready Zendesk wurde das Siegel „Skyhigh Enterprise-Ready™“ verliehen, die höchste Stufe im CloudTrust™-Programm. Nur Cloud-Services, die die striktesten Auflagen in Bezug auf Datenschutz, Identitätsprüfung, Geschäftspraktiken und Rechtsschutz erfüllen, erhalten diese Auszeichnung.
Cloud Security Alliance (CSA) Zendesk ist Mitglied der Cloud Security Alliance (CSA), einer gemeinnützigen Einrichtung zur Förderung von Best Practices, die die Sicherheit im Cloud Computing gewährleisten. Das von der CSA eingeführte Security, Trust & Assurance Registry (STAR) ist ein öffentliches Register, das die Sicherheitskontrollen diverser Cloud-Computing-Angebote dokumentiert. Darüber hinaus ist der von Zendesk ausgefüllte Fragebogen der Consensus Assessment Initiative (CAI), aus dem die Ergebnisse unserer Selbstbewertung hervorgehen, öffentlich zugänglich.
Datenschutzzertifizierungen
TRUSTe®-Programme zur Datenschutzzertifizierung Wir haben das TRUSTe-Datenschutzsiegel erhalten, das bestätigt, dass unsere Datenschutzerklärung und unsere Datenschutzpraktiken auf Einhaltung des TRUSTe-Programms hin untersucht wurden. Weitere Informationen finden Sie auf der Bestätigungsseite von TRUSTe.
Privacy-Shield- und Safe-Harbor-Programme (USA/EU bzw. USA/Schweiz) Zendesk zertifiziert die Einhaltung der vom US-Handelsministerium vorgegebenen Privacy-Shield- und Safe-Harbor-Rahmenprogramme zwischen den USA und der EU bzw. zwischen den USA und der Schweiz.
Datenschutzrichtlinie Weitere Infos über die Datenschutzbemühungen von Zendesk.
BRANCHENSPEZIFISCHE COMPLIANCE
HIPAA Zendesk hat erfolgreich ein HIPAA/HITECH-Assessment abgeschlossen und stellt Abonnenten sein Business Associate Agreement (BAA) zur Annahme bereit. *BAA steht nur beim Kauf des Add-ons „Erweiterte Sicherheit“ zur Verfügung und betrifft nur bestimmte Zendesk-Produkte (es gelten besondere Konfigurationsregeln).
Einsatz von Zendesk in einer PCI-Umgebung Lesen Sie unser White Paper zur PCI-Compliance oder erfahren Sie mehr über unser PCI-konformes Feld für Zendesk Support.*Enterprise-Konto erforderlich.

Zusätzliche Sicherheitsmassnahmen

Sicherheitsbewusstsein
Richtlinien Zendesk hat umfassende Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Auftragsnehmern zur Verfügung gestellt, die Zugriff auf die Informationsassets von Zendesk haben.
Schulung Alle neuen Mitarbeiter nehmen bei ihrer Einstellung und anschließend im Jahresturnus an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Alle Ingenieure nehmen an einer jährlichen Schulung zum Thema Secure Coding teil. Unser Sicherheitsteam hält alle Mitarbeiter darüber hinaus per E-Mail, in Blogbeiträgen sowie in Präsentationen bei internen Veranstaltungen über Sicherheitsthemen auf dem Laufenden.
Überprüfung neuer Mitarbeiter
Background-Checks In Übereinstimmung mit der lokalen Gesetzgebung führt Zendesk für jeden neuen Mitarbeiter einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für unabhängige Anbieter erforderlich. Der Background-Check umfasst eine Überprüfung des Strafregisters, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten. Diese Anforderung gilt auch für Reinigungspersonal.
Vertraulichkeitsvereinbarungen Alle Bewerber werden während des Einstellungsprozesses einem Screening unterzogen und müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.
Sales kontaktieren
Nachricht hinterlassen

Wir benachrichtigen unser Supportteam. Bitte warten Sie...

  • Anzahl von Mitarbeitern
  • Einer unserer Mitarbeiter wird sich in Kürze mit Ihnen in Verbindung setzen.

    Leider ist etwas schief gelaufen.

    Laden Sie die Seite neu und versuchen Sie es noch einmal.

    Nachricht hinterlassen Error