Sicherer Kundenservice

Vorsicht ist besser als Nachsicht

Zendesk nimmt es mit der Sicherheit sehr ernst. Fragen Sie nur die vielen Fortune 100‑ und Fortune 500-Unternehmen, die uns ihre Daten anvertrauen. Wir kombinieren Sicherheitsfunktionen der Enterprise-Klasse mit umfassenden Audits unserer Anwendungen, Systeme und Netzwerke, um sicherzustellen, dass Ihre Daten jederzeit rundum geschützt sind. Sie und Ihre Kunden können sich also beruhigt zurücklehnen.

Compliance-Zertifizierungen und Mitgliedschaften

Wir stützen uns auf Best Practices und Branchenstandards, um die Einhaltung der branchenüblichen allgemeinen Sicherheits- und Datenschutzregelungen zu gewährleisten. Dies wiederum hilft unseren Kunden, ihre eigenen Compliance-Standards zu erfüllen.

Einhaltung von Sicherheitsvorschriften
SOC 2 Type II

Wir durchlaufen routinemäßige Audits für den Empfang aktualisierter SOC 2 Type II-Reports, die auf Anfrage und nach Unterzeichnung einer Geheimhaltungsvereinbarung eingesehen werden können. Der aktuelle SOC 2 Type II-Report kann hier angefordert werden.

ISO 27001:2013

Zendesk ist zertifiziert nach ISO 27001:2013. Das Zertifikat kann hier heruntergeladen werden.

ISO 27018:2014

Zendesk ist zertifiziert nach ISO 27018:2014. Das Zertifikat kann hier heruntergeladen werden.

FedRAMP LI-SaaS

Zendesk ist nach FedRAMP autorisiert als Low Impact Software-as-a-Service (LI-SaaS) und im FedRAMP Marketplace gelistet. US-Regierungsbehörden können Zugriff auf das Zendesk FedRAMP Security Package anfordern, indem sie hier das entsprechende Formular ausfüllen oder eine Anfrage an fedramp@zendesk.com senden.

BRANCHENSPEZIFISCHE COMPLIANCE
HIPAA

Wir helfen Kunden, ihre HIPAA-Verpflichtungen zu erfüllen. Hierzu bieten wir in Zendesk-Produkten entsprechende sicherheitstechnische Konfigurationsoptionen. Wir stellen Abonnenten unser Business Associate Agreement (BAA) zur Annahme bereit.

*BAA steht nur beim Kauf des Add-ons „Erweiterte Compliance“ zur Verfügung und betrifft nur bestimmte Zendesk-Produkte (es gelten besondere Konfigurationsanforderungen).

PCI DSS

Lesen Sie unser Whitepaper zur PCI-Compliance oder informieren Sie sich ausführlicher über unser PCI-konformes Feld für Zendesk Support.

*Enterprise-Konto erforderlich

Einsicht in unsere „Attestation of Compliance“ (AoC) und unser „Certificate of Compliance“ für PCI erhalten Sie hier.

Mitgliedschaften
Skyhigh Enterprise-Ready

Zendesk wurde das Siegel „Skyhigh Enterprise-Ready™“ verliehen, die höchste Stufe im CloudTrust™-Programm. Nur Cloud-Services, die die striktesten Auflagen in Bezug auf Datenschutz, Identitätsprüfung, Geschäftspraktiken und Rechtsschutz erfüllen, erhalten diese Auszeichnung.

Cloud Security Alliance (CSA)

Zendesk ist Mitglied der Cloud Security Alliance (CSA), einer gemeinnützigen Einrichtung zur Förderung von Best Practices, die die Sicherheit im Cloud Computing gewährleisten. Das von der CSA eingeführte Security, Trust & Assurance Registry (STAR) ist ein öffentliches Register, das die Sicherheitskontrollen diverser Cloud-Computing-Angebote dokumentiert. Darüber hinaus ist der von Zendesk ausgefüllte Fragebogen der Consensus Assessment Initiative (CAI), aus dem die Ergebnisse unserer Selbstbewertung hervorgehen, öffentlich zugänglich.

Der CSA-CAIQ-Fragebogen kann hier heruntergeladen werden.

IT-ISAC

Zendesk ist Mitglied der IT-ISAC, einer Gruppe, die unterschiedliche Unternehmen aus dem privaten Sektor zusammenbringt, um neue Technologien zu nutzen und sich gemeinsam für Sicherheit zu engagieren. IT-ISAC ermöglicht die Zusammenarbeit und den Austausch relevanter Informationen und Praktiken zur Aufklärung von Bedrohungen. Sie moderiert spezielle Interessengruppen, die sich auf Intelligenz, Insider-Bedrohungen, physische Sicherheit und andere spezifische Schwerpunktbereiche konzentrieren, die die Sicherheit von Zendesk weiter verbessern.

1

Zendesk ist Mitglied von FIRST, eines internationalen Zusammenschlusses von Incident Response Teams, die kooperativ an Computersicherheitsvorfällen arbeiten und Programme zur Vermeidung von Vorfällen fördern. Die Mitglieder von FIRST entwickeln und teilen technische Informationen, Werkzeuge, Methoden, Prozesse und Best Practices. Als Mitglied von FIRST arbeitet Zendesk Security mit anderen Mitgliedern daran, unter Einsatz ihrer kombinierten Kompetenzen und Erfahrungen die Sicherheit des globalen elektronischen Umfelds zu fördern.

Datenschutzzertifizierungen und Datenschutz
Rechtliche Ressourcen

Informationen zu unseren Rechts- und Datenschutzbestimmungen:

Artefakte

Auf Anfrage können wir eine Reihe weiterer Ressourcen zur Verfügung stellen.

Ressourcen zum direkten Download (ohne Geheimhaltungsvertrag)

Zugriff auf die folgenden Ressourcen zum Herunterladen erhalten Sie durch Klicken auf die Schaltfläche unten:

ISO 27001:2013-Zertifikat

ISO 27018:2014-Zertifikat

SOC-3-Bericht

Datenblatt/Whitepaper

„Attestation of Compliance“ (AoC) und „Certificate of Compliance“ für PCI

Diagramme der Netzwerkarchitektur

  • Support / Guide
  • Chat
  • Talk

CSA CAIQ

Ressourcen herunterladen
Ressourcen mit Geheimhaltungsvereinbarung

Für die folgenden Ressourcen ist möglicherweise eine hinterlegte Geheimhaltungsvereinbarung erforderlich. Bitte klicken Sie auf die Schaltfläche unten, um Zugriff zu erhalten.

Versicherungszertifikat

SOC-2Typ-II-Bericht

Zusammenfassung des jährlichen Penetrationstests

Zusammmenfassung des Tests zu Geschäftskontinuität und Disaster Recovery

SIG Lite

VSA

Ressourcen herunterladen

Cloud-Sicherheit

Physische Sicherheit der Rechenzentren
Einrichtungen

Servicedaten werden primär in AWS-Rechenzentren gehostet, die nach ISO 27001, PCI/DSS Service Provider Level 1 und/oder SOC 2 zertifiziert sind. Weitere Infos zum Thema Compliance bei AWS.

Die Server in der AWS-Infrastruktur – und damit Ihre Daten – sind durch Reservestrom-, HLK-Systeme und Brandbekämpfungsanlagen geschützt. Weitere Infos zu den Sicherheitsmaßnahmen in AWS-Rechenzentren.

Sicherheit vor Ort

In AWS-Rechenzentren ist die Sicherheit vor Ort durch Sicherheitspersonal, Umzäunung, Videoüberwachung, Einbruchserkennung und andere Maßnahmen gewährleistet. Weitere Infos zur physischen Sicherheit in AWS-Rechenzentren.

Datenhosting-Standort

Zendesk nutzt AWS-Rechenzentren in den USA, in Europa und im asiatisch-pazifischen Raum. Weitere Infos zu den Datenhosting-Standorten für Ihre Zendesk-Servicedaten.

Kunden können wählen, ob ihre Daten nur in den USA oder nur im Europäischen Wirtschaftsraum gespeichert werden sollen.* Weitere Infos zu unseren Optionen für regionales Datenhosting und Servicedatentyp-Beschränkungen.

*Nur verfügbar beim Add-on „Standort des Rechenzentrums“

Netzwerksicherheit
Dediziertes Sicherheitsteam

Unser weltweites Sicherheitsteam ist rund um die Uhr in Bereitschaft, um bei Bedarf auf Sicherheitsalarme und -vorfälle zu reagieren.

Schutz

Unser Netzwerk ist durch die umfassenden Sicherheitsdienste von AWS, Integration mit unseren Cloudflare-basierten Edge-Protection-Netzwerken, regelmäßige Audits und Network-Intelligence-Technologien geschützt, die es kontinuierlich auf bekannte bösartige Verkehrsmuster und Netzwerkattacken überwachen und diese blockieren.

Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZ finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.

Netzwerkschwachstellenprüfungen

Anhand von Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.

Penetrationstests durch externe Experten

Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk jedes Jahr von externen Sicherheitsexperten einen umfangreichen Penetrationstest der gesamten Produktions- und Unternehmensnetzwerke von Zendesk durchführen.

Security Incident Event Management (SIEM)

Unser Security-Incident-Event-Management-System (SIEM) erfasst umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Das SIEM-System spricht bei Auslösern an, die das Sicherheitsteam beim Auftreten bestimmter Vorfälle benachrichtigen, sodass investigative Schritte sowie entsprechende Maßnahmen eingeleitet werden können.

Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS)

Die wichtigsten Ein- und Ausgangspunkte sind instrumentiert und werden auf Verhaltensanomalien hin überwacht. Die Systeme sind so konfiguriert, dass Alarme ausgelöst werden, wenn Vorfälle und Werte die festgelegten Schwellen überschreiten, und verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Hierzu gehört auch die Systemüberwachung rund um die Uhr.

Threat-Intelligence-Programm

Zendesk nimmt an mehreren Threat-Intelligence-Sharing-Programmen teil. Wir überwachen unsere Systeme auf Bedrohungen, die in diesen Threat-Intelligence-Netzwerken gemeldet werden, und ergreifen Maßnahmen basierend auf Risiken.

DDoS-Abwehr

Zendesk nutzt einen mehrschichtigen Ansatz zum Schutz vor DDoS-Angriffen. Der Netzwerkrand ist durch leistungsfähige Technologien von Cloudflare geschützt, während Skalierungs- und Sicherheitstools sowie DDoS-spezifische Services von AWS noch umfassenderen Schutz bieten.

Logischer Zugriff

Der Zugriff auf das Zendesk Production Network basiert explizit auf dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte, wird laufend überprüft und überwacht und durch unser Operations Team kontrolliert. Zum Zugriff auf das Zendesk Production Network sind mehrere Authentifizierungsfaktoren erforderlich.

Reaktion auf Sicherheitsvorfälle

Bei einem Sicherheitsalarm werden Vorfälle an unsere rund um die Uhr aktiven Teams eskaliert, die für die Bereiche Operations, Network Engineering und Security zuständig sind. Mitarbeiter sind in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.

Verschlüsselung
Data-in-Transit-Verschlüsselung

Die gesamte Kommunikation mit den Benutzeroberflächen und APIs von Zendesk ist durch den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk sicher ist. Für E-Mails verwenden wir standardmäßig opportunistisches TLS. Transport Layer Security (TLS) ist ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping zwischen Mailservern verhindert, solange Peer-Services dieses Protokoll unterstützen. Ausnahmen für die Verschlüsselung sind unter anderem die Verwendung der produktintegrierten SMS-Funktionen sowie Anwendungen, Integrationen oder Dienste von Drittanbietern, die Abonnenten nach eigenem Ermessen nutzen.

Data-at-Rest-Verschlüsselung

Servicedaten werden bei AWS durch Data-at-Rest-Verschlüsselung verschlüsselt (AES-256).

Verfügbarkeit und Kontinuität
Verfügbarkeit

Zendesk bietet eine öffentlich zugängliche Systemstatusseite mit Informationen zu Systemverfügbarkeit, geplanter Wartung, Servicevorfällen und relevanten Sicherheitsereignissen.

Redundanz

Zendesk verwendet Service-Clustering und Netzwerkredundanzen zur Eliminierung eines Single Point of Failure (SPOF). Unser striktes Backup-Programm und unser erweitertes Disaster Recovery sorgen für maximale Verfügbarkeit, da Servicedaten über mehrere Verfügbarkeitszonen hinweg repliziert werden.

Disaster Recovery

Unser Disaster-Recovery-Programm (DR) stellt sicher, dass unsere Services im Katastrophenfall verfügbar bleiben bzw. leicht wiederherstellbar sind. Dies wird durch eine robuste technische Umgebung, Disaster-Recovery-Pläne und Tests erreicht.

Erweitertes Disaster Recovery

Das Paket „Erweitertes Disaster Recovery“ umfasst vertraglich festgelegte Ziele für Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Um die Einhaltung dieser Vorgaben zu gewährleisten, räumen wir bei offiziell erklärten Katastrophenfällen denjenigen unserer Kunden Priorität ein, die das Paket „Erweitertes Disaster Recovery“ abonniert haben.

*Nur verfügbar beim Kauf des Add-ons „Erweitertes Disaster Recovery“.

Anwendungssicherheit

Sichere Entwicklung (SDLC)
Secure-Code-Schulungen

Ingenieure nehmen mindestens einmal pro Jahr an einer Schulung zum Thema Secure Coding teil, bei der Themen wie die Top-10-Sicherheitsschwachstellen des OWASP, gängige Angriffsvektoren und Zendesk-Sicherheitskontrollen behandelt werden.

Framework-Sicherheitskontrollen

Zendesk nutzt moderne und sichere Open-Source-Frameworks mit Sicherheitskontrollen, um eine Gefährdung durch die Top-10-Sicherheitsschwachstellen des OWASP, darunter SQL Injection (SQLi), Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF), so weit wie möglich zu verringern.

Quality Assurance

Unsere QA-Abteilung überprüft und testet unsere Codebasis. Dedizierte Anwendungssicherheitsingenieure identifizieren, testen und priorisieren Sicherheitsschwachstellen im Code.

Separate Umgebungen

Die Test- und Staging-Umgebungen sind physisch und logisch von der Produktionsumgebung getrennt. In den Entwicklungs- und Testumgebungen kommen keine Servicedaten zum Einsatz.

Management von Schwachstellen
Dynamische Schwachstellenprüfungen

Wir setzen eine Reihe von Sicherheitstools von Drittanbietern ein, um unsere Hauptanwendungen kontinuierlich und dynamisch auf die Top-10-Sicherheitsschwachstellen des OWASP hin zu testen. Wir haben ein dediziertes internes Produktsicherheitsteam, das zusammen mit den Engineeringteams an der Lösung der identifizierten Probleme arbeitet.

Statische Codeanalyse

Die Quellcode-Repositorys für unsere Plattform und mobilen Anwendungen werden durch integrierte statische Analysewerkzeuge kontinuierlich auf Sicherheitsprobleme hin getestet.

Penetrationstests durch externe Experten

Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Zendesk von externen Sicherheitsexperten detaillierte Penetrationstests unterschiedlicher Anwendungen unserer Produktfamilie durchführen.

Programm zur verantwortungsvollen Offenlegung/Bug Bounty

In Partnerschaft mit HackerOne betreiben wir ein Programm zur verantwortungsvollen Offenlegung („Responsible Disclosure“), das es Sicherheitsexperten und Kunden ermöglicht, Zendesk auf sichere Weise zu testen und uns über Sicherheitsschwachstellen zu informieren.

Produktsicherheit

Authentifizierungssicherheit
Authentifizierungsoptionen

Kunden können die native Zendesk-Authentifizierung, Single Sign-On (SSO) über Social Media (Facebook, Twitter, Google) und/oder Enterprise SSO (SAML, JWT) für die Endbenutzer- und/oder Agentenauthentifizierung aktivieren. Weitere Infos zum Benutzerzugriff.

Konfigurierbare Kennwortrichtlinie

Die native Zendesk-Authentifizierung über das Admin Center bietet die folgenden Kennwortsicherheitsstufen: niedrig, mittel und hoch. Außerdem können angepasste Kennwortregeln für Agenten und Administratoren festgelegt werden. Zendesk ermöglicht darüber hinaus die Festlegung unterschiedlicher Kennwortsicherheitsstufen für Endbenutzer auf der einen und Administratoren und Agenten auf der anderen Seite. Nur Administratoren können die Kennwortsicherheitsstufe ändern. Weitere Infos zu konfigurierbaren Kennwortrichtlinien.

Zwei-Faktor-Authentifizierung (2FA)

Die native Zendesk-Authentifizierung für Produkte, die im Admin Center verfügbar sind, bietet Zwei-Faktor-Authentifizierung (2FA) für Agenten und Administratoren per SMS oder Authentifizierungs-App. Weitere Infos zu 2FA.

Speicherung von Service-Credentials

Zendesk befolgt Best Practices zum sicheren Speichern von Credentials. Kennwörter werden anhand einer sicheren Einweg-Hashfunktion gespeichert, die Salts verwendet – niemals in einem für Menschen lesbaren Format.

Zusätzliche Funktionen für die Produktsicherheit
Rollenbasierte Zugriffskontrolle (RBAC)

Der Zugriff auf die Daten in Zendesk-Anwendungen wird durch rollenbasierte Zugriffskontrolle (RBAC) geregelt. Bei Bedarf können granulare Zugriffsberechtigungen definiert werden. Zendesk bietet unterschiedliche Berechtigungsebenen für Benutzer (Kontoinhaber, Administratoren, Agenten, Endbenutzer usw.).

Weitere Infos über Benutzerrollen:

Detaillierte Informationen zur globalen Sicherheit und zum Benutzerzugriff finden Sie hier.

IP-Beschränkungen

Zendesk-Produkte können so konfiguriert werden, dass nur von den festgelegten IP-Adressbereichen aus ein Zugriff möglich ist. Diese Beschränkungen können für alle Benutzer gelten oder nur für Agenten. Weitere Infos über IP-Beschränkungen:

Private Anhänge

Sie können Ihre Zendesk-Instanz so konfigurieren, dass Benutzer sich anmelden müssen, um Ticketanhänge sehen zu können. Weitere Infos zu privaten Anhängen.

Signieren von E-Mails (DKIM/DMARC)

Zendesk unterstützt DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) zum Signieren abgehender E-Mails aus Zendesk, wenn Sie eine externe E-Mail-Domäne in Ihrem Zendesk-Konto eingerichtet haben. Durch Nutzung eines E-Mail-Dienstes, der diese Funktionen unterstützt, können Sie E-Mail-Spoofing unterbinden. Weitere Infos zum digitalen Signieren von E-Mails.

Geräteverfolgung

Zendesk verfolgt alle Geräte, von denen aus eine Anmeldung bei einem Benutzerkonto erfolgt. Wenn sich jemand von einem neuen Gerät aus anmeldet, wird dieses zur Geräteliste im jeweiligen Benutzerprofil hinzugefügt. Der Benutzer wird per E-Mail benachrichtigt, wenn ein neues Gerät hinzugefügt wird, und sollte bei verdächtigen Aktivitäten geeignete Maßnahmen ergreifen. Bei verdächtigen Aktivitäten kann die jeweilige Sitzung von der Agentenoberfläche aus abgebrochen werden. Weitere Infos zur Geräteverfolgung.

Schwärzung sensibler Daten

Die Funktion zur manuellen Schwärzung macht sensible Daten in Zendesk Support-Ticketkommentaren unkenntlich bzw. entfernt sie und löscht Anhänge auf sichere Weise, damit vertrauliche Informationen geschützt sind. Die Daten werden über die Benutzeroberfläche oder API aus Tickets entfernt, um zu verhindern, dass sensible Daten in Zendesk gespeichert werden. Weitere Infos zur Schwärzung in der Benutzeroberfläche bzw. über die API.

Die Funktion zur automatischen Schwärzung macht sowohl in Zendesk Support als auch in Zendesk Chat automatisch Zahlenfolgen unkenntlich, die mit einer gültigen Primary Account Number (PAN) einer Kreditkarte und einer Luhn-Prüfziffer übereinstimmen. Weitere Infos zur automatischen Schwärzung in Support und Chat.

Zendesk Support bietet ein konfigurierbares PCI-kompatibles Kreditkartenfeld, in dem alle Ziffern bis auf die letzten vier unkenntlich gemacht werden. Weitere Infos zur PCI-Compliance bei Zendesk.

Spamfilter für Help Center

Zendesk bietet einen Spamfilter-Service, der verhindert, dass Endbenutzer-Posts, die Spam enthalten, in einem Help Center veröffentlicht werden. Weitere Infos zur Filterung von Spam im Help Center.

Personalsicherheit

Sicherheitsbewusstsein
Richtlinien

Zendesk hat umfassende Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Auftragnehmern zur Verfügung gestellt, die Zugriff auf die Informationsassets von Zendesk haben.

Schulung

Alle neuen Mitarbeiter nehmen bei ihrer Einstellung und anschließend im Jahresturnus an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Alle Ingenieure nehmen an einer jährlichen Schulung zum Thema Secure Coding teil. Unser Sicherheitsteam hält alle Mitarbeiter darüber hinaus per E-Mail, in Blogbeiträgen sowie in Präsentationen bei internen Veranstaltungen über Sicherheitsthemen auf dem Laufenden.

Überprüfung neuer Mitarbeiter
Background-Checks

In Übereinstimmung mit der lokalen Gesetzgebung führt Zendesk für jeden neuen Mitarbeiter einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für unabhängige Anbieter erforderlich. Der Background-Check umfasst eine Überprüfung des Strafregisters, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten. Diese Anforderung gilt auch für Reinigungspersonal.

Vertraulichkeitsvereinbarungen

Alle neu eingestellten Mitarbeiter müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.