Sicherer Kundenservice

Zendesk und Sicherheit

Mehr als 90.000 Kunden vertrauen Zendesk ihre Daten an. Wir nehmen diese Verantwortung sehr ernst. Wir kombinieren Sicherheitsfunktionen der Enterprise-Klasse mit umfassenden Audits unserer Anwendungen, Systeme und Netzwerke, um sicherzustellen, dass Kunden- und Unternehmensdaten rundum geschützt sind. Unsere Kunden können beruhigt sein, denn wir sorgen dafür, dass ihre Informationen, Interaktionen und Geschäftsabläufe immer sicher sind.

Best Practices

Zendesk bietet eine breite Palette von Sicherheitsoptionen, damit Daten sicher und geschützt sind. Aber wie das Sprichwort schon sagt: Vorbeugen ist besser als heilen. Wenn Sie sich an die folgenden zehn Praktiken halten, können Sie die Sicherheit Ihres Zendesks maximieren.

Weitere Infos

Kundenperspektiven

Rechenzentrums- und Netzwerksicherheit

Physische Sicherheit
Einrichtungen Zendesk-Server werden in Einrichtungen gehostet, die Tier III-, SSAE-16- bzw. ISO 27001-konform sind. Unser Cage im Rechenzentrum ist physisch und logisch von den Servern anderer Kunden getrennt. Die Co-Location-Einrichtungen weisen redundante Stromversorgungen auf, jede mit USV und Notstromgenerator.
Sicherheit vor Ort Unsere Rechenzentren verfügen über einen abgesicherten Perimeter mit mehreren Sicherheitszonen, Sicherheitspersonal rund um die Uhr, Videoüberwachung, Mehrfaktor-Identifizierung mit biometrischer Zugangskontrolle, physische Schlösser und Alarme bei Sicherheitsverletzung.
Überwachung Alle Systeme, vernetzten Geräte und Schaltkreise werden ununterbrochen durch Zendesk und unsere Co-Location-Anbieter überwachen.
Standort Zendesk hat Rechenzentren in der EU und in den USA. Kunden können wählen, ob ihre Daten nur in den USA oder nur in der EU gespeichert werden sollen. Weitere Informationen zu unseren EU-spezifischen Hosting-Richtlinien *Nur verfügbar beim Add-on „Standort des Rechenzentrums“
Netzwerksicherheit
Dediziertes Sicherheitsteam Unser Sicherheitsteam ist rund um die Uhr auf Bereitschaft, um bei Bedarf auf Sicherheitsalarme und -vorfälle zu reagieren.
Schutz Unser Netzwerk ist durch redundante Layer-7-Firewalls, Best-in-Class-Routertechnologie, sicheren HTTPS-Transport über öffentliche Netzwerke, regelmäßige Audits und Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) geschützt, die es auf bösartigen Traffic und Netzwerkattacken überwachen und diese blockieren.
Architektur Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Vertrauenszonen. Sensiblere Systeme, wie unsere Datenbankserver, sind in der höchsten Vertrauenszone geschützt. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZ finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.
Netzwerkschwachstellenprüfungen Anhand von Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.
Penetrationstests durch externe Experten Zusätzlich zu unserem internen Prüf- und Testprogramm lässt Zendesk jedes Jahr von externen Sicherheitsexperten einen umfassenden Penetrationstest des gesamten Zendesk Production Networks durchführen.
Security Incident Event Management (SIEM) Ein Security-Incident-Event-Management-System (SIEM) erfasst umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Das SIEM-System erstellt Auslöser, über die das Sicherheitsteam benachrichtigt wird, wenn bestimmte Vorfälle auftreten. Das Sicherheitsteam reagiert auf diese Vorfälle.
Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) Die wichtigsten Ein- und Ausgangspunkte für Anwendungsdatenflüsse werden mit Intrusion-Detection- (IDS) oder Intrusion-Prevention-Systemen (IPS) überwacht. Die Systeme sind so konfiguriert, dass Alarme ausgelöst werden, wenn Vorfälle und Werte die festgelegten Schwellen überschreiten, und verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Hierzu gehört auch die Systemüberwachung rund um die Uhr.
Threat-Intelligence-Programm Zendesk nimmt an mehreren Threat-Intelligence-Programmen teil. Wir überwachen unsere Systeme auf Bedrohungen, die in diesen Threat-Intelligence-Netzwerken gemeldet werden, und ergreifen Maßnahmen basierend auf unseren Risiken und unserem Exponierungsgrad.
DDoS-Abwehr Neben unseren eigenen Fähigkeiten und Tools nehmen wir zur Abwehr von Distributed-Denial-of-Service-Angriffen (DDoS) die Dienste von DDoS-Scrubbing-Providern in Anspruch.
Logischer Zugriff Der Zugriff auf das Zendesk Production Network basiert explizit auf dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte, wird laufend überprüft und überwacht und durch unser Operations Team kontrolliert. Zum Zugriff auf das Zendesk Production Network sind mehrere Authentifizierungsfaktoren erforderlich.
Reaktion auf Sicherheitsvorfälle Bei einem Sicherheitsalarm werden Vorfälle an unsere rund um die Uhr aktiven Teams eskaliert, die für die Bereiche Operations, Network Engineering und Security zuständig sind. Mitarbeiter sind in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.
Verschlüsselung
Data-in-Transit-Verschlüsselung Die Kommunikation zwischen Ihnen und den Zendesk-Servern wird über HTTPS und Transport Layer Security (TLS) verschlüsselt.
Data-at-Rest-Verschlüsselung Zendesk unterstützt die Data-at-Rest-Verschlüsselung für Kundendaten. *Nur beim Add-on „Erweiterte Sicherheit“ verfügbar
Verfügbarkeit und Kontinuität
Verfügbarkeit Zendesk bietet eine öffentlich zugängliche Systemstatusseite mit Informationen zu Systemverfügbarkeit, geplanter Wartung, Servicevorfällen und relevanten Sicherheitsereignissen.
Redundanz Dank Service-Clustering und Netzwerkredundanzen gibt es keinen Single Point of Failure (SPOF). Unser strikter Backup-Prozess sorgt dafür, dass Kunden aktiv über Systeme und Einrichtungen hinweg repliziert werden. Unsere Datenbank ist auf effizienten Flash-Memory-Geräten gespeichert (mehrere Server pro Datenbank-Cluster).
Disaster Recovery Unser Disaster-Recovery-Programm stellt sicher, dass unsere Server im Katastrophenfall verfügbar bleiben oder leicht wiederherstellbar sind. Dies wird durch eine robuste technische Umgebung, Disaster-Recovery-Pläne und Tests erreicht.
Erweitertes Disaster Recovery Beim erweiterten Disaster Recovery wird die gesamte Betriebsumgebung, einschließlich Kundendaten, auf einer sekundären Site repliziert, damit der Service von dort aus weitergeführt werden kann, wenn die primäre Site nicht verfügbar ist. Zendesk hat für diesen Service definierte Ziele für Recovery Time Objective (RTO) und Recovery Point Objective (RPO). *Nur beim Add-on „Erweiterte Sicherheit“ verfügbar

Anwendungssicherheit

Sichere Entwicklung (SDLC)
Sicherheitsschulung Ingenieure nehmen mindestens einmal pro Jahr an einer Schulung zum Thema Secure Coding teil. Bei dieser Schulung werden Bereiche wie die Top-10-Sicherheitsschwachstellen des OWASP, gängige Angriffsvektoren und Zendesk-Sicherheitskontrollen behandelt.
Sicherheitskontrollen des Ruby-on-Rails-Frameworks Wir nutzen die Sicherheitskontrollen des Ruby-on-Rails-Frameworks, um unsere Gefährdung durch die Top-10-Sicherheitsschwachstellen des OWASP, darunter Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) und SQL Injection (SQLi), so weit wie möglich zu verringern.
Qualitätssicherung (QA) Unsere QA-Abteilung überprüft und testet unsere Codebasis. Mehrere dedizierte Anwendungssicherheitsingenieure identifizieren, testen und priorisieren Sicherheitsschwachstellen im Code.
Separate Umgebungen Die Test- und Staging-Umgebungen sind physisch und logisch von der Produktionsumgebung getrennt. In den Entwicklungs- und Testumgebungen kommen keine eigentlichen Kundendaten zum Einsatz.
Anwendungsschwachstellen
Dynamische Schwachstellenprüfungen Wir setzen eine Reihe qualifizierter Sicherheitstools von Drittanbietern ein, um unsere Anwendung kontinuierlich zu testen. Zendesk wird täglich auf die Top-10-Sicherheitsschwachstellen des OWASP hin untersucht. Wir haben ein dediziertes internes Produktsicherheitsteam, das zusammen mit den Engineeringteams an der Lösung der identifizierten Probleme arbeitet.
Statische Codeanalyse Die Quellcode-Repositorys für unsere Plattform und mobilen Anwendungen werden durch integrierte statische Analysewerkzeuge kontinuierlich auf Sicherheitsprobleme hin getestet.
Sicherheitspenetrationstests Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk alle drei Monate von externen Sicherheitsexperten detaillierte Penetrationstests unterschiedlicher Teile der Anwendung durchführen.
Programm zur verantwortungsvollen Offenlegung/Bug Bounty In Partnerschaft mit HackerOne betreiben wir ein Programm zur verantwortungsvollen Offenlegung („Responsible Disclosure“), das es Sicherheitsexperten ermöglicht, Zendesk auf sichere Weise zu testen und uns über Sicherheitsschwachstellen zu informieren.

Produktsicherheit

Sichere Entwicklung (SDLC)
Authentifizierungsoptionen Für Administratoren/Agenten unterstützen wir Anmeldung über Zendesk, SSO und Google-Authentifizierung. Für Endbenutzer unterstützen wir Anmeldung über Zendesk, SSO und Social-Media-SSO (Facebook, Twitter, Google).
Single-Sign-On (SSO) Über Single-Sign-On (SSO) können sich Benutzer bei Ihren eigenen Systemen anmelden, ohne zum Zugriff auf Zendesk weitere Credentials eingeben zu müssen. Zendesk gewährt nur den Benutzern Zugriff, die von Ihnen authentifiziert wurden. Unterstützt werden sowohl JSON Web Token (JWT) und Security Assertion Markup Language (SAML). Weitere Infos zu SSO.*SAML ist nur beim Professional- und Enterprise-Plan verfügbar.*JWT ist nur beim Team-Plan (und höher) verfügbar.
Konfigurierbare Kennwortrichtlinie Zendesk bietet drei Kennwortsicherheitsstufen: niedrig, mittel, hoch. Sie können eine bestimmte Kennwortsicherheitsstufe für Endbenutzer und eine andere für Administratoren und Agenten festlegen. Nur Administratoren können die Kennwortsicherheitsstufe ändern. Beim Professional- und Enterprise-Plan können Sie eine eigene Kennwortsicherheitsstufe festlegen.
Zwei-Faktor-Authentifizierung (2FA) Wenn Sie die Zendesk-Anmeldung verwenden, können Sie die 2-Faktor-Authentifizierung (2FA) aktivieren. Zendesk unterstützt SMS und Apps wie Authy und Google Authenticator zum Generieren von Passcodes. 2FA ist eine zusätzliche Sicherheitsebene in Ihrem Zendesk-Konto, die es Betrügern schwerer macht, sich als Sie anzumelden. Weitere Infos zu 2FA.
Sichere Speicherung von Credentials Zendesk befolgt Best Practices zum sicheren Speichern von Credentials. Kennwörter werden anhand einer sicheren Einweg-Hashfunktion gespeichert, die Salts verwendet – niemals in einem für Menschen lesbaren Format.
API-Sicherheit und -Authentifizierung Die Zendesk-API verwendet immer SSL. Sie müssen ein bestätigter Benutzer sein, um API-Anforderungen einzureichen. Um sich bei der API auszuweisen, können Sie entweder die Standard-Authentifizierung verwenden (Benutzername und Kennwort) oder einen Benutzernamen zusammen mit einem API-Token. Die OAuth-Authentifizierung wird ebenfalls unterstützt. Weitere Infos zur API-Sicherheit.
Zusätzliche Funktionen für die Produktsicherheit
Zugriffsberechtigungen und Rollen Der Zugriff auf die Daten in Ihrem Zendesk wird anhand von Zugriffsrechten geregelt. Bei Bedarf können granulare Zugriffsberechtigungen definiert werden. Zendesk bietet unterschiedliche Berechtigungsebenen für Benutzer (Kontoeigentümer, Administratoren, Agenten, Endbenutzer usw.). Weitere Infos zu Zugriffsebenen.
IP-Beschränkungen Ihr Zendesk kann so konfiguriert werden, dass nur von den angegebenen IP-Adressbereichen aus ein Zugriff möglich ist. Diese Beschränkungen können für alle Benutzer gelten oder nur für Agenten. Weitere Infos zu IP-Beschränkungen. *Nur bei Enterprise-Konten verfügbar.
Private Anhänge Sie können Ihren Zendesk so konfigurieren, dass Benutzer sich anmelden müssen, um an Ticket angehängte Dateien sehen zu können. Wenn diese Funktion nicht konfiguriert ist, erfolgt der Zugriff auf Anhänge über eine nach dem Zufallsprinzip generierte Ticket-ID.
Übertragungssicherheit Die gesamte Kommunikation mit den Zendesk-Servern ist über den Industriestandard HTTPS verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk sicher ist. Für E-Mails unterstützen wir außerdem Transport Layer Security (TLS), ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping und Spoofing zwischen Mailservern verhindert.
Signieren von E-Mails (DKIM/DMARC) Wir unterstützen DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) zum Signieren abgehender E-Mails von Zendesk, wenn Sie eine externe E-Mail-Domäne in Ihrem Zendesk eingerichtet haben. Durch Nutzung eines E-Mail-Dienstes, der diese Funktionen unterstützt, können Sie E-Mail-Spoofing unterbinden. Weitere Infos zum digitalen Signieren von E-Mails.
Geräteverfolgung Aus Sicherheitsgründen verfolgt Zendesk die Geräte, von denen aus eine Anmeldung bei einem Benutzerkonto erfolgt. Wenn sich jemand von einem neuen Gerät aus anmeldet, wird dieses zur Geräteliste im jeweiligen Benutzerprofil hinzugefügt. Der Benutzer wird per E-Mail benachrichtigt, wenn ein neues Gerät hinzugefügt wird, und sollte bei verdächtigten Aktivitäten geeignete Maßnahmen ergreifen.
Automatische Schwärzung Die Funktion zur automatischen Schwärzung entfernt Ziffern aus Kreditkartennummern, die in Ticketkommentaren oder angepassten Feldern enthalten sind, damit vertrauliche Informationen geschützt sind. Die entsprechenden Daten werden automatisch aus dem eingehenden Ticket entfernt, um zu verhindern, dass die vollständige Kreditkartennummer in Zendesk gespeichert wird. Weitere Infos zur Schwärzungsfunktion. *Nur bei Professional- und Enterprise-Konten verfügbar.
Spamfilter für Help Center und Web-Portal Zendesk bietet einen Spamfilter-Service, der verhindert, dass Endbenutzer-Posts mit Spam im Help Center oder Web-Portal veröffentlicht werden. Weitere Infos zur Filterung von Spam im Help Center und im Web-Portal.

Zusätzliche Sicherheitsmassnahmen

Sicherheitsbewusstsein
Richtlinien Zendesk hat umfassende Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Auftragsnehmern zur Verfügung gestellt, die Zugriff auf die Informationsassets von Zendesk haben.
Schulung Alle neuen Mitarbeiter nehmen an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Unser Sicherheitsteam hält alle Mitarbeiter per E-Mail, in Blogbeiträgen sowie in Präsentationen bei internen Veranstaltungen über die neuesten Entwicklungen in diesem Bereich auf dem Laufenden.
Überprüfung neuer Mitarbeiter
Background-Checks In Übereinstimmung mit der lokalen Gesetzgebung führt Zendesk für jeden neuen Mitarbeiter einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für unabhängige Anbieter erforderlich. Der Background-Check umfasst eine Überprüfung des Strafregisters, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten. Diese Anforderung gilt auch für Reinigungspersonal.
Vertraulichkeitsvereinbarungen Alle Bewerber werden während des Einstellungsprozesses einem Screening unterzogen und müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.

Compliance-Zertifizierungen und Mitgliedschaften

Einhaltung von Sicherheitsvorschriften
SOC 2 Type II Zendesk verfügt über einen eigenen SOC 2 Type II Report, der auf Anfrage und nach Unterzeichnung einer Geheimhaltungsvereinbarung eingesehen werden kann. Weitere Informationen erhalten Sie von security@zendesk.com.
ISO 27001:2013 Zendesk ist zertifiziert nach ISO 27001:2013.
ISO 27018:2014 Zendesk ist zertifiziert nach ISO 27018:2014.
Mitgliedschaften
Skyhigh Enterprise-Ready Zendesk wurde das Siegel „Skyhigh Enterprise-Ready™“ verliehen, die höchste Stufe im CloudTrust™-Programm. Nur Cloud-Services, die die striktesten Auflagen in Bezug auf Datenschutz, Identitätsprüfung, Geschäftspraktiken und Rechtsschutz erfüllen, erhalten diese Auszeichnung.
Cloud Security Alliance (CSA) Zendesk ist Mitglied der Cloud Security Alliance (CSA), einer gemeinnützigen Einrichtung zur Förderung von Best Practices, die die Sicherheit im Cloud Computing gewährleisten. Das von der CSA eingeführte Security, Trust & Assurance Registry (STAR) ist ein öffentliches Register, das die Sicherheitskontrollen diverser Cloud-Computing-Angebote dokumentiert. Darüber hinaus ist der von Zendesk ausgefüllte Fragebogen der Consensus Assessment Initiative (CAI), aus dem die Ergebnisse unserer Selbstbewertung hervorgehen, öffentlich zugänglich.
Datenschutzzertifizierungen
TRUSTe®-Programme zur Datenschutzzertifizierung Wir haben das TRUSTe-Datenschutzsiegel erhalten, das bestätigt, dass unsere Datenschutzerklärung und unsere Datenschutzpraktiken auf Einhaltung des TRUSTe-Programms hin untersucht wurden. Weitere Informationen finden Sie auf der Bestätigungsseite von TRUSTe.
Safe-Harbor-Programme (USA/Schweiz) Zendesk zertifiziert die Einhaltung der vom US-Handelsministerium vorgegebenen Safe-Harbor-Rahmenprogramme zwischen den USA und der Schweiz.
Datenschutzrichtlinie Weitere Infos über die Datenschutzbemühungen von Zendesk.
BRANCHENSPEZIFISCHE COMPLIANCE
HIPAA Zendesk hat erfolgreich ein HIPAA/HITECH-Assessment abgeschlossen und stellt Abonnenten sein Business Associate Agreement (BAA) zur Annahme bereit. *HIPAA/HITECH-Assessment auf allen Planstufen bestanden; BAA nur beim Add-on „Erweiterte Sicherheit“ verfügbar.
Einsatz von Zendesk in einer PCI-Umgebung Lesen Sie unser White Paper zur PCI-Compliance oder erfahren Sie mehr über unser PCI-konformes Feld.
  • AICPA
  • BSI ISO/IEC 27001
  • Skyhigh Enterprise Ready
  • Cloud Security Alliance
  • TRUSTe Verified
  • BSI ISO/IEC 27018