亚博Zendesk proporciona una伽马de de seguri各种选择dad que se pueden usar para garantizar la protección y la seguridad de la información privada. En este artículo se tratan las mejores prácticas de seguridad general para ayudarle a comenzar. Se recomienda encarecidamente capacitar a los agentes y administradores para que sigan las mejores prácticas y se pueda garantizar un entorno seguro.
Consulte laZendesk Suite Actionable Security Guidepara ver una lista detallada de las mejores prácticas de seguridad que recomendamos que implemente en su instancia.
- Aumentar la seguridad de contraseñas para los agentes
- Nunca divulgar nombres de usuario, direcciones de correo electrónico o contraseñas
- Limitar el的代理操作con acceso de administrador
- Autenticar usuarios de manera remota con un inicio de sesión único
- Monitorear registros de auditoría de cuentas
- Limitar el acceso o seguir prácticas de codificación segura si se usa la API de REST
- Proporcionar una dirección de correo electrónico para las notificaciones de seguridad
Si tiene preguntas sobre la seguridad de su instancia de Zendesk, contacte a Zendesk directamente. Si sospecha una violación de seguridad, envíe un ticket con el asunto "Seguridad" junto con todos los detalles. O bien, puede enviar un correo electrónico asecurity@zendesk.com.
Aumentar la seguridad de contraseñas para los agentes
Zendesk proporciona tresniveles de seguridad de contraseñas:巴哈,mediana y阿尔塔。可以加入机构especificar un nivel de seguridad personalizado. Un administrador puede establecer un nivel de seguridad de contraseñas para los usuarios finales y otro para los agentes y administradores.
Aumente los requisitos de las contraseñas de los agentes para ayudar a evitar que usuarios no autorizados adivinen las contraseñas de sus agentes. También debe requerir que los administradores y agentes seleccionen contraseñas únicas para sus cuentas de Zendesk y eviten utilizar las mismas contraseñas para sistemas externos.
Anime a los agentes a que monitoreen sus propias cuentas. Zendesk envía una notificación por correo electrónico a los agentes cuando se cambia su contraseña. Además, los agentes pueden monitorear sus cuentasactivando alertas por correo electrónicopara los inicios de sesión desde dispositivos nuevos. Si ve un nuevo inicio de sesión desde un dispositivo sospechoso, elimine el dispositivo para finalizar la sesión del usuario y luego elija otra contraseña.
Exija拉autenticación de dos factorespara los agentes y administradores, para agregar una capa de seguridad adicional. Recomendamos enviar un mensaje al equipo de soporte con un vínculo al artículoUso de la autenticación de dos factores.
Nunca divulgar nombres de usuario, direcciones de correo electrónico o contraseñas
Los agentes y administradores de Zendesk nunca deben divulgar nombres de usuario, direcciones de correo electrónico ni contraseñas.
Si está usando la autenticación de inicio de sesión estándar de Zendesk, la única manera segura de restablecer una contraseña es que el usuario haga clic en el vínculoOlvidé mi contraseñaen la pantalla de inicio de sesión de Zendesk. A continuación, se le solicitará al usuario que ingrese una dirección de correo electrónico válida (una ya verificada como usuario legítimo de la cuenta). Una vez que lo haga, recibirá un correo electrónico con un vínculo para restablecer su contraseña.
Si usa un sistema de autenticación de inicio de sesión único de terceros, como Active Directory, Open Directory, LDAP o SAML, las contraseñas pueden restablecerse de manera similar a través de esos servicios.
Los hackers a veces usan técnicas de ingeniería social para presionar a las personas para que les den la contraseña de una cuenta. Algunos hackers utilizan herramientas que imitan direcciones de correo electrónico para que parezca que vienen de dominios legítimos de correo electrónico. Como resultado, lo que parece ser una solicitud de correo electrónico legítima de un usuario puede en realidad no venir de esa dirección.
Si alguien que pretende ser un usuario o administrador se comunica con usted, tome nota de la dirección IP (se muestra en lavista de eventosde los tickets) y verifique su identidad por separado (por ejemplo, llamando al número de teléfono que aparece en su perfil de usuario). En caso de duda, nunca proporcione información confidencial ni haga cambios en una cuenta en nombre de otra persona. Los usuarios legítimos pueden cambiar la configuración de su propia cuenta.
Informe a los agentes sobre estos tipos de riesgos de seguridad. Además, cree una política de seguridad que todo el mundo conozca y que puedan consultar si se produce este tipo de incidentes.
Limitar el的代理操作con acceso de administrador
Los administradores tienen acceso a partes de su cuenta de Zendesk a las que no pueden acceder los agentes normales. Para reducir el riesgo de seguridad, puede limitar el número de agentes que tienen acceso de administrador. El rol de agente proporciona el acceso que los agentes típicos necesitan para administrar y resolver tickets.
Puede seleccionar roles de agente predefinidos que conceden permisos adicionales a los agentes. También puede crear sus propiosroles de agente personalizadosy decidir a qué partes de Zendesk pueden acceder los agentes que tienen asignados esos roles y cómo las van a administrar. Estos permisos están limitados. Por ejemplo, solo los dueños de cuenta y los administradores tienen acceso a la configuración de seguridad.
Si le preocupa que sus agentes tengan acceso a la información sobre los usuarios finales, puede crear un rol que no les permita editar los perfiles de los usuarios finales ni ver la lista de todos los usuarios finales.
Limitar el acceso a información privada en los tickets
En los planes Enterprise, los administradores tienen la oportunidad de designar un grupo como privado. Esa designación limita el acceso de los agentes dentro del grupo, aunque los administradores y líderes del equipo tienen acceso de manera predeterminada y a los agentes se les puedeotorgar un permiso para que vean tickets privados. Los agentes que trabajan en tickets privados no pueden@mencionara personas que no pertenezcan al equipo privado ni iniciarconversaciones secundariascon ellas. Cuando se usan grupos de tickets privados, la visibilidad del contenido de los tickets puede verse reducida de manera significativa.
Si le preocupa que los agentes tengan acceso a información confidencial en los tickets, puede crear grupos privados con los agentes apropiados para encargarse de esos tickets.
Autenticar usuarios de manera remota con un inicio de sesión único
Además de la autenticación de usuario que proporciona Zendesk, también se puede usar el inicio de sesión único por el cual se autentica a los usuarios fuera de Zendesk. Existen dosopciones de SSO: el inicio de sesión único a través de redes sociales y el inicio de sesión único empresarial.
El inicio de sesión único a través de redes sociales permite que los clientes puedan iniciar sesión con su cuenta de Zendesk o con una de sus cuentas de redes sociales, como Google o Microsoft. Si bien estas opciones son prácticas, se recomienda desactivar los inicios de sesión con redes sociales innecesarios.
El inicio de sesión único empresarial no utiliza Zendesk y autentica a los usuarios externamente. Cuando los usuarios van a la página de inicio de sesión de Zendesk o hacen clic en un vínculo para acceder a su cuenta de Zendesk, pueden autenticarse iniciando sesión en un servidor corporativo o en un proveedor de identidad de terceros como OneLogin u Okta.
Cuando se proporciona un inicio de sesión único empresarial o a través de redes sociales, se recomienda aprovechar la autenticación de dos factores (también conocida como autenticación de varios factores) que estos servicios proporcionan. Esto agrega una capa más de protección ya que requiere una prueba de identidad adicional. Si está usando JWT o SAML, tendrá que configurar esto para su cuenta de Zendesk. Para el inicio de sesión único por redes sociales, los usuarios tendrán que configurarlo ellos mismos. Todos estos servicios proporcionan la documentación necesaria para la configuración.
Los agentes y usuarios finales pueden tener distintas maneras de autenticarse. Para proteger Zendesk Support, puede crear una política de autenticación más estricta para los agentes a la vez que proporciona un acceso fácil a los clientes y usuarios finales.
Monitorear registros de auditoría de cuentas
Elregistro de auditoríahace seguimiento de los cambios importantes en la cuenta. Con el registro de auditoría, es posible monitorear los distintos eventos de seguridad como la suspensión de usuarios, los cambios de política de contraseñas, las exportaciones de datos del cliente, los cambios de definición de los roles personalizados y mucho más.
Limitar el acceso o seguir prácticas de codificación segura si se usa la API de REST
Puede usar laAPI de REST de Zendesky elFramework de aplicaciones de Zendeskpara ampliar la funcionalidad de su cuenta de Zendesk Support.
Si desea ampliar su instancia de Zendesk, le recomendamos encarecidamente seguir las mejores prácticas de codificación segura. Una buena referencia sobre este tema es el proyecto Open Web Application Security Project (OWASP), que se encuentraaquí.
Proporcionar una dirección de correo electrónico para las notificaciones de seguridad
Si un incidente de seguridad afecta los Datos de servicio, la prioridad número uno y la obligación legal de Zendesk es notificar a nuestros clientes dentro del plazo exigido. Con este fin, le pedimos que agregue la dirección de correo electrónico del contacto o del grupo de seguridad de su organización a donde dirigir las notificaciones de un eventual incidente de seguridad. ConsulteDesignar una dirección de correo electrónico para recibir las notificaciones de seguridad exigidas.
0 Comentarios
Inicie sesiónpara dejar un comentario.