Sicherer Kundenservice

Zendesk und Sicherheit

Mehr als 140.000 Kunden vertrauen Zendesk ihre Daten an. Wir nehmen diese Verantwortung sehr ernst. Wir kombinieren Sicherheitsfunktionen der Enterprise-Klasse mit umfassenden Audits unserer Anwendungen, Systeme und Netzwerke, um sicherzustellen, dass Kunden- und Unternehmensdaten immer geschützt sind. Unsere Kunden können beruhigt sein, denn wir sorgen dafür, dass ihre Informationen, Interaktionen und Geschäftsabläufe stets sicher sind.

Datenblatt anzeigen

Rechenzentrums- und Netzwerksicherheit

Physische Sicherheit
Einrichtungen Servicedaten werden in AWS-Rechenzentren gehostet, die nach ISO 27001, PCI/DSS Service Provider Level 1 und/oder SOC II zertifiziert sind.

Die Server in der AWS-Infrastruktur – und damit Ihre Daten – sind durch Reservestrom-, HLK- und Brandbekämpfungsanlagen geschützt.
Sicherheit vor Ort In AWS-Rechenzentren ist die Sicherheit vor Ort ist durch Sicherheitspersonal, Umzäunung, Videoüberwachung, Einbruchserkennung und andere Maßnahmen gewährleistet. Weitere Infos über die physische Sicherheit in AWS-Rechenzentren.
Überwachung Alle Systeme, vernetzten Geräte und Schaltkreise im Produktionsnetzwerk werden kontinuierlich durch Zendesk überwacht und logisch gemanagt. Physische Sicherheit, Stromversorgung und Internetkonnektivität werden von AWS überwacht.
Standort Zendesk nutzt AWS-Rechenzentren in den USA, in Europa und im asiatisch-pazifischen Raum. Kunden können wählen, ob ihre Servicedaten nur in den USA oder nur in Europa gespeichert werden sollen* (Zendesk Chat-Daten können gegenwärtig nur in Europa gespeichert werden). Weitere Infos über unsere regionalen Datenhosting-Optionen.

*Nur verfügbar beim Add-on „Standort des Rechenzentrums“
Netzwerksicherheit
Dediziertes Sicherheitsteam Unser weltweites Sicherheitsteam ist rund um die Uhr in Bereitschaft, um bei Bedarf auf Sicherheitsalarme und -vorfälle zu reagieren.
Schutz Unser Netzwerk ist durch die umfassenden Sicherheitsdienste von AWS, Integration mit unseren Cloudflare-basierten Edge-Protection-Netzwerken, regelmäßige Audits und Network-Intelligence-Technologien geschützt, die es kontinuierlich auf bösartigen Traffic und Netzwerkattacken überwachen und diese blockieren.
Architektur Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZ finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.
Netzwerkschwachstellenprüfungen Anhand von Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.
Penetrationstests durch externe Experten Zusätzlich zu unserem internen Prüf- und Testprogramm lässt Zendesk jedes Jahr von externen Sicherheitsexperten einen umfassenden Penetrationstest des gesamten Zendesk Production Networks durchführen.
Security Incident Event Management (SIEM) Unser Security-Incident-Event-Management-System (SIEM) erfasst umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Das SIEM-System spricht bei Auslösern an, die das Sicherheitsteam beim Auftreten bestimmter Vorfälle benachrichtigen, sodass investigative Schritte sowie entsprechende Maßnahmen eingeleitet werden können.
Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) Die wichtigsten Ein- und Ausgangspunkte sind instrumentiert und werden auf Verhaltensanomalien hin überwacht. Die Systeme sind so konfiguriert, dass Alarme ausgelöst werden, wenn Vorfälle und Werte die festgelegten Schwellen überschreiten, und verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Hierzu gehört auch die Systemüberwachung rund um die Uhr.
Threat-Intelligence-Programm Zendesk nimmt an mehreren Threat-Intelligence-Programmen teil. Wir überwachen unsere Systeme auf Bedrohungen, die in diesen Threat-Intelligence-Netzwerken gemeldet werden, und ergreifen Maßnahmen basierend auf unseren Risiken und unserem Exponierungsgrad.
DDoS-Abwehr Zendesk nutzt einen mehrschichtigen Ansatz zum Schutz vor DDoS-Angriffen. Der Netzwerkrand ist durch leistungsfähige Technologien von Cloudflare geschützt, während Skalierungs- und Sicherheitstools sowie DDoS-spezifische Services von AWS noch umfassenderen Schutz bieten.
Logischer Zugriff Der Zugriff auf das Zendesk Production Network basiert explizit auf dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte, wird laufend überprüft und überwacht und durch unser Operations Team kontrolliert. Zum Zugriff auf das Zendesk Production Network sind mehrere Authentifizierungsfaktoren erforderlich.
Reaktion auf Sicherheitsvorfälle Bei einem Sicherheitsalarm werden Vorfälle an unsere rund um die Uhr aktiven Teams eskaliert, die für die Bereiche Operations, Network Engineering und Security zuständig sind. Mitarbeiter sind in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.
Verschlüsselung
Data-in-Transit-Verschlüsselung Die Kommunikation zwischen Ihnen und den Zendesk Support- und Zendesk Chat-Servern wird durch HTTPS und Transport Layer Security (TLS) über öffentliche Netzwerke verschlüsselt. TLS wird auch zur Verschlüsselung von E-Mails unterstützt.
Data-at-Rest-Verschlüsselung Alle Kunden von Zendesk profitieren vom Schutz durch Data-at-Rest-Verschlüsselung. Servicedaten sind in AWS durch Data-at-Rest-Verschlüsselung verschlüsselt (AES-256).
Verfügbarkeit und Kontinuität
Verfügbarkeit Zendesk bietet eine öffentlich zugängliche Systemstatusseite mit Informationen zu Systemverfügbarkeit, geplanter Wartung, Servicevorfällen und relevanten Sicherheitsereignissen.
Redundanz Zendesk verwendet Service-Clustering und Netzwerkredundanzen zum Eliminieren eines Single Point of Failure (SPOF). Unser strikter Backup-Prozess und unser erweitertes Disaster Recovery sorgen für maximale Verfügbarkeit, da Servicedaten über mehrere Verfügbarkeitszonen hinweg repliziert werden.
Disaster Recovery Unser Disaster-Recovery-Programm (DR) stellt sicher, dass unsere Services im Katastrophenfall verfügbar bleiben bzw. leicht wiederherstellbar sind. Dies wird durch eine robuste technische Umgebung, Disaster-Recovery-Pläne und Tests erreicht.
Erweitertes Disaster Recovery Das Paket „Erweitertes Disaster Recovery“ umfasst vertraglich festgelegte Ziele für Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Um die Einhaltung dieser Vorgaben zu gewährleisten, räumen wir bei offiziell erklärten Katastrophenfällen denjenigen unserer Kunden Priorität ein, die das Paket „Erweitertes Disaster Recovery“ abonniert haben. *Nur beim Add-on „Erweiterte Sicherheit“ verfügbar

Anwendungssicherheit

Sichere Entwicklung (SDLC)
Sicherheitsschulung Ingenieure nehmen mindestens einmal pro Jahr an einer Schulung zum Thema Secure Coding teil, bei der Themen wie die Top-10-Sicherheitsschwachstellen des OWASP, gängige Angriffsvektoren und Zendesk-Sicherheitskontrollen behandelt werden.
Sicherheitskontrollen des Ruby-on-Rails-Frameworks Die meisten Zendesk-Produkte nutzen die Sicherheitskontrollen des Ruby-on-Rails-Frameworks, um unsere Gefährdung durch die Top-10-Sicherheitsschwachstellen des OWASP, darunter Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) und SQL Injection (SQLi), so weit wie möglich zu verringern.
Qualitätssicherung (QA) Unsere QA-Abteilung überprüft und testet unsere Codebasis. Dedizierte Anwendungssicherheitsingenieure identifizieren, testen und priorisieren Sicherheitsschwachstellen im Code.
Separate Umgebungen Die Test- und Staging-Umgebungen sind physisch und logisch von der Produktionsumgebung getrennt. In den Entwicklungs- und Testumgebungen kommen keine eigentlichen Servicedaten zum Einsatz.
Anwendungsschwachstellen
Dynamische Schwachstellenprüfungen Wir setzen eine Reihe qualifizierter Sicherheitstools von Drittanbietern ein, um unsere Hauptanwendungen kontinuierlich und dynamisch auf die Top-10-Sicherheitsschwachstellen des OWASP hin zu testen. Wir haben ein dediziertes internes Produktsicherheitsteam, das zusammen mit den Engineeringteams an der Lösung der identifizierten Probleme arbeitet.
Statische Codeanalyse Die Quellcode-Repositorys für unsere Plattform und mobilen Anwendungen werden durch integrierte statische Analysewerkzeuge kontinuierlich auf Sicherheitsprobleme hin getestet.
Sicherheitspenetrationstests Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk alle drei Monate von externen Sicherheitsexperten detaillierte Penetrationstests unterschiedlicher Anwendungen unserer Produktfamilie durchführen.
Programm zur verantwortungsvollen Offenlegung/Bug Bounty In Partnerschaft mit HackerOne betreiben wir ein Programm zur verantwortungsvollen Offenlegung („Responsible Disclosure“), das es Sicherheitsexperten und Kunden ermöglicht, Zendesk auf sichere Weise zu testen und uns über Sicherheitsschwachstellen zu informieren.

Produktsicherheit

Authentifizierungssicherheit
Authentifizierungsoptionen Für Administratoren/Agenten in Support und Chat unterstützen wir die Anmeldung über Zendesk. In Zendesk Support ist auch Single-Sign-On (SSO) und Google-Authentifizierung möglich.

Für Endbenutzer in Support und Chat unterstützen wir die Anmeldung über Zendesk. In Zendesk Support ist zur Endbenutzer-Authentifizierung auch SSO und Social-Media-SSO (Facebook, Twitter, Google) möglich.
Single-Sign-On (SSO) Über Single-Sign-On (SSO) können sich Benutzer bei ihren eigenen Systemen anmelden, ohne zum Zugriff auf Ihre Instanz von Zendesk Support weitere Credentials eingeben zu müssen. Unterstützt werden sowohl JSON Web Token (JWT) als auch Security Assertion Markup Language (SAML). Weitere Infos über Sicherheit und SSO finden Sie hier.
Konfigurierbare Kennwortrichtlinie Zendesk Support/Guide bietet drei Kennwortsicherheitsstufen: niedrig, mittel und hoch. Außerdem können angepasste Kennwortregeln für Agenten und Administratoren festgelegt werden. Zendesk ermöglicht außerdem die Festlegung unterschiedlicher Kennwortsicherheitsstufen für Endbenutzer auf der einen und Administratoren und Agenten auf der anderen Seite. Nur Administratoren können die Kennwortsicherheitsstufe ändern.
Zwei-Faktor-Authentifizierung (2FA) Wenn Sie in Ihrer Instanz von Zendesk Support die Anmeldung über Zendesk verwenden, können Sie die Zwei-Faktor-Authentifizierung (2FA) für Agenten und Administratoren aktivieren. Zendesk unterstützt SMS und zahlreiche Authentifizierungs-Apps zum Generieren von Passcodes. Sie haben die Möglichkeit, 2FA neben Ihrer Enterprise-SSO-Authentifizierung für Zendesk zu verwenden. 2FA ist eine zusätzliche Sicherheitsebene in Ihrem Zendesk-Konto, die es Betrügern schwerer macht, sich als Sie auszugeben. Weitere Infos über 2FA.
Sichere Speicherung von Credentials Zendesk befolgt Best Practices zum sicheren Speichern von Credentials. Kennwörter werden anhand einer sicheren Einweg-Hashfunktion gespeichert, die Salts verwendet – niemals in einem für Menschen lesbaren Format.
API-Sicherheit und -Authentifizierung Die Zendesk Support-API verwendet immer TSL. Um sich bei der API auszuweisen, können Sie entweder die Standard-Authentifizierung verwenden (Benutzername und Kennwort) oder einen Benutzernamen zusammen mit einem API-Token. Die OAuth-Authentifizierung wird ebenfalls unterstützt. Weitere Infos über die API-Sicherheit.
Zusätzliche Funktionen für die Produktsicherheit
Rollenbasierte Zugriffskontrolle (RBAC) Der Zugriff auf die Daten in Zendesk-Anwendungen wird durch die rollenbasierte Zugriffskontrolle (RBAC) geregelt. Bei Bedarf können granulare Zugriffsberechtigungen definiert werden. Zendesk bietet unterschiedliche Berechtigungsebenen für Benutzer (Kontoinhaber, Administratoren, Agenten, Endbenutzer usw.). Weitere Infos über Benutzerrollen sowie Benutzerzugriff und -sicherheit in Zendesk Support.
IP-Beschränkungen Zendesk Support und Chat können so konfiguriert werden, dass nur von den angegebenen IP-Adressbereichen aus ein Zugriff möglich ist. Diese Beschränkungen können für alle Benutzer gelten oder nur für Agenten. Weitere Infos über IP-Beschränkungen finden Sie hier.
Private Anhänge Sie können Ihre Instanz von Zendesk Support so konfigurieren, dass Benutzer sich anmelden müssen, um an Tickets angehängte Dateien sehen zu können. Wenn diese Funktion nicht konfiguriert ist, erfolgt der Zugriff auf Anhänge über eine nach dem Zufallsprinzip generierte lange Ticket-ID.
Übertragungssicherheit Die gesamte Kommunikation mit den Produktoberflächen und APIs von Zendesk ist durch den Industriestandard HTTPS/TLS über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk während der Übertragung sicher ist. Für E-Mails verwenden wir standardmäßig opportunistisches TLS. Transport Layer Security (TLS) ist ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping zwischen Mailservern verhindert, solange Peer-Services dieses Protokoll unterstützen.
Signieren von E-Mails (DKIM/DMARC) Zendesk Support unterstützt DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) zum Signieren abgehender E-Mails aus Zendesk, wenn Sie eine externe E-Mail-Domäne in Ihrem Zendesk-Konto eingerichtet haben. Durch Nutzung eines E-Mail-Dienstes, der diese Funktionen unterstützt, können Sie E-Mail-Spoofing unterbinden. Weitere Infos zum digitalen Signieren von E-Mails.
Geräteverfolgung Aus Sicherheitsgründen verfolgt Ihre Instanz von Zendesk Support die Geräte, von denen aus eine Anmeldung bei einem Benutzerkonto erfolgt. Wenn sich jemand von einem neuen Gerät aus anmeldet, wird dieses zur Geräteliste im jeweiligen Benutzerprofil hinzugefügt. Der Benutzer wird per E-Mail benachrichtigt, wenn ein neues Gerät hinzugefügt wird, und sollte bei verdächtigen Aktivitäten geeignete Maßnahmen ergreifen. Bei verdächtigen Aktivitäten kann die jeweilige Sitzung von der Agentenoberfläche aus abgebrochen werden.
Schwärzung sensibler Daten Die Funktion zur automatischen Schwärzung in Zendesk Support und Chat entfernt sensible Daten aus Ticketkommentaren, angepassten Feldern oder Chats, damit vertrauliche Informationen geschützt sind. Die Daten werden automatisch aus Tickets entfernt, um zu verhindern, dass sensible Daten in Zendesk gespeichert werden. Weitere Infos über den Schutz sensibler Daten.

*Nur bei Enterprise-Konten verfügbar
Spamfilter für Help Center Zendesk Support bietet einen Spamfilter-Service, der verhindert, dass Endbenutzer-Posts mit Spam in Ihrem Help Center oder Web-Portal veröffentlicht werden. Weitere Infos über die Filterung von Spam im Help Center.

Compliance-Zertifizierungen und Mitgliedschaften

Einhaltung von Sicherheitsvorschriften
SOC 2 Type II Zendesk verfügt über einen eigenen SOC 2 Type II Report, der auf Anfrage und nach Unterzeichnung einer Geheimhaltungsvereinbarung eingesehen werden kann. Weitere Informationen erhalten Sie von security@zendesk.com.
ISO 27001:2013 Zendesk ist zertifiziert nach ISO 27001:2013. Das Zertifikat kann hier heruntergeladen werden.
ISO 27018:2014 Zendesk ist zertifiziert nach ISO 27018:2014. Das Zertifikat kann hier heruntergeladen werden.
Mitgliedschaften
Skyhigh Enterprise-Ready Zendesk wurde das Siegel „Skyhigh Enterprise-Ready™“ verliehen, die höchste Stufe im CloudTrust™-Programm. Nur Cloud-Services, die die striktesten Auflagen in Bezug auf Datenschutz, Identitätsprüfung, Geschäftspraktiken und Rechtsschutz erfüllen, erhalten diese Auszeichnung.
Cloud Security Alliance (CSA) Zendesk ist Mitglied der Cloud Security Alliance (CSA), einer gemeinnützigen Einrichtung zur Förderung von Best Practices, die die Sicherheit im Cloud Computing gewährleisten. Das von der CSA eingeführte Security, Trust & Assurance Registry (STAR) ist ein öffentliches Register, das die Sicherheitskontrollen diverser Cloud-Computing-Angebote dokumentiert. Darüber hinaus ist der von Zendesk ausgefüllte Fragebogen der Consensus Assessment Initiative (CAI), aus dem die Ergebnisse unserer Selbstbewertung hervorgehen, öffentlich zugänglich.
Datenschutzzertifizierungen
TRUSTe®-Programme zur Datenschutzzertifizierung Die Datenschutzprogramme, -richtlinien und -praktiken von Zendesk erfüllen nachweislich die Anforderungen des Datenschutzschild-Abkommens zwischen den USA und der EU bzw. zwischen den USA und der Schweiz. Unter https://www.privacyshield.gov/list sind alle Unternehmen aufgeführt, die ihre Einhaltung des Datenschutzschild-Abkommens beim US-Handelsministerium durch Selbstzertifizierung registriert haben.. TRUSTe überprüft die Einhaltung der Datenschutzschild-Anforderungen entsprechend dem Zusatzgrundsatz zur Überprüfung.
EU-US- und Schweiz-US-Datenschutzschild-Zertifizierung Zendesk hat beim US-Handelsministerium die Einhaltung der Rahmenbedingungen des EU-US- und Schweiz-US-Datenschutzschildes zertifiziert und wurde aufgrund dessen vom US-Handelsministerium zur Liste der selbstzertifizierten Beteiligten des Datenschutzschildes hinzugefügt. Unsere Zertifizierungen bestätigen, dass wir die Grundsätze des Datenschutzschildes für die Übermittlung personenbezogener Daten aus Europa und der Schweiz in die Vereinigten Staaten beachten.
Datenschutzrichtlinie Weitere Infos über die Datenschutzbemühungen von Zendesk.
BRANCHENSPEZIFISCHE COMPLIANCE
HIPAA Wir helfen Kunden, ihre HIPAA-Verpflichtungen zu erfüllen. Hierzu bieten wir in Zendesk-Produkten entsprechende sicherheitstechnische Konfigurationsoptionen. Wir stellen Abonnenten unser Business Associate Agreement (BAA) zur Annahme bereit.   *BAA steht nur beim Kauf des Add-ons „Erweiterte Sicherheit“ zur Verfügung und betrifft nur bestimmte Zendesk-Produkte (es gelten besondere Konfigurationsregeln).
Einsatz von Zendesk in einer PCI-Umgebung Lesen Sie unser White Paper zur PCI-Compliance oder informieren Sie sich ausführlicher über unser PCI-konformes Feld für Zendesk Support.

*Enterprise-Konto erforderlich

Zusätzliche Sicherheitsmassnahmen

Sicherheitsbewusstsein
Richtlinien Zendesk hat umfassende Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Auftragnehmern zur Verfügung gestellt, die Zugriff auf die Informationsassets von Zendesk haben.
Schulung Alle neuen Mitarbeiter nehmen bei ihrer Einstellung und anschließend im Jahresturnus an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Alle Ingenieure nehmen an einer jährlichen Schulung zum Thema Secure Coding teil. Unser Sicherheitsteam hält alle Mitarbeiter darüber hinaus per E-Mail, in Blogbeiträgen sowie in Präsentationen bei internen Veranstaltungen über Sicherheitsthemen auf dem Laufenden.
Überprüfung neuer Mitarbeiter
Background-Checks In Übereinstimmung mit der lokalen Gesetzgebung führt Zendesk für jeden neuen Mitarbeiter einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für unabhängige Anbieter erforderlich. Der Background-Check umfasst eine Überprüfung des Strafregisters, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten. Diese Anforderung gilt auch für Reinigungspersonal.
Vertraulichkeitsvereinbarungen Alle Bewerber werden während des Einstellungsprozesses einem Screening unterzogen und müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.

Sicherheitsressourcen zum Herunterladen

Auch unsere Ressourcen sind geschützt.
Um Zugriff zu erhalten, füllen Sie bitte das kurze Formular unten aus.

Geben Sie Ihren Vornamen ein
Geben Sie Ihren Nachnamen ein
Geben Sie eine gültige E-Mail-Adresse ein
Bitte wählen Sie Ihr Land aus

Fast fertig. Erzählen Sie uns mehr zu Ihrem Unternehmen.

Bitte geben Sie Ihren Firmennamen ein.
Bitte wählen Sie die Anzahl von Mitarbeitern aus
Bitte wählen Sie Ihre Branche aus
Bitte senden Sie mir gelegentlich E-Mails zu Produkten und Services von Zendesk. (Sie können diese E-Mails jederzeit abbstellen.)
Bitte wählen Sie eine Option aus

Ihre Anfrage wurde gesendet.

Einer unserer Mitarbeiter wird sich in Kürze mit Ihnen in Verbindung setzen.

Leider ist etwas schief gelaufen.

Laden Sie die Seite neu und versuchen Sie es noch einmal. Oder schreiben Sie uns unter support@zendesk.com.

Anfrage wird gesendet... bitte warten.

Wenn Sie gerne auf unseren SOC 2-Bericht zugreifen möchten, senden Sie uns eine E-Mail unter security@zendesk.com.