Lectura:7 minutos
Aqui ofrecemos una descripcion de las能进行ticas que Zendesk recomienda a los suscriptores de Zendesk Suite que deseen aplicar en su propia instancia mecanismos de seguridad ampliamente aceptados. Lo ideal es que las prácticas se introduzcan en el mismo momento en que se adopta la instancia de Zendesk. También es importante revisar sistemáticamente la configuración y las mejores prácticas de la compañía para asegurarse de que sean apropiadas y de que los empleados las están aplicando correctamente.
Zendesk ofrece una amplia gama de controles diseñados para ayudarle a garantizar la seguridad de su información y la de sus clientes. Es imprescindible capacitar a agentes y administradores para que asuman las mejores prácticas de seguridad y las apliquen con el objeto de reducir al mínimo los riesgos de exposición de conformidad con nuestroModelo de responsabilidad compartida. Este marco especifica las responsabilidades de cada suscriptor de Zendesk a la hora de garantizar la seguridad de su instancia. Si desea más información, consulte el Modelo de responsabilidad compartida de Zendesk.
Este artículo contiene las siguientes secciones sobre las mejores prácticas relacionadas con Zendesk Suite:
- 一般来说
- Control del acceso
- Acceso a sistemas, redes y dominios
- Administración de datos
- Correo electrónico
- API
- Monitoreo
- Recuperación ante desastres
Mejores prácticas de seguridad para Zendesk Talk
一般来说
- Usar unsandboxpara realizar pruebas y actividades de desarrollo y dejar intacta la instancia de producción.
- Limitar el uso deaplicaciones para dispositivos móvilesa los flujos de trabajo de agentes o a determinados casos de uso.
- Activar la función de moderación del contenido en el centro de ayuda de Guide y los hilos del foro con el fin deevitar spamo contenido no deseado en la comunidad de Gather.
- Verificar,所有y每una de las funciones automáticas encargadas de enviar notificaciones notifiquen a las personas correctas.
Control del acceso
一般来说
- Cuando se usa la autenticación nativa de Zendesk:
- Personalizar el nivel de seguridad de las contraseñasen función de las políticas internas de la compañía.
- Fijarel tiempo de vencimiento de sesión más bajo posiblepara agentes y administradores.
- Desactivar todos losinicios de sesión con redes socialesde usuarios finales que ya no sean necesarios.
- Si se usa el inicio de sesión único (SSO):
- Utilizar elSSO nativo del productoo bienel SSO empresarialpara poder centralizar la administración de las configuraciones.
- Asociar cualquier método de autenticación multifactor (MFA) que esté utilizando con su SSO para que los inicios de sesión de Zendesk queden cubiertos.
- Si opta por permitir la autenticación con contraseña a través dela autenticación nativa de Zendeskpor si le preocupa que el SSO deje de funcionar en algún momento, recomendamos que deje la opción para no desactivar la autenticación con contraseña. Si, por el contrario, desea eliminar la capacidad de utilizar contraseña una vez configurado el SSO, tendrá que desactivar el uso de contraseña. Tenga en cuenta que, al desactivar el acceso con contraseña, finalizan todas las sesiones abiertas en las que se han utilizado contraseñas como método de autenticación.
- Mantener desactivada la opciónAdopción de identidad de cuentaa menos que sea realmente necesario que un empleado de Zendesk ingrese en la cuenta (por ejemplo, para atender un asunto a través dedefensores, servicios profesionales u otros representantes de Zendesk Support).
Usuarios
- Revisar los dispositivos conectadosque estén asociados con el perfil de agente y eliminar aquellos que no se usan o que pueden parecer sospechosos. Solo los agentes, administradores y dueños tienen acceso a esta funcionalidad.
- Si se crea una instancia “cerrada” de Zendesk,es necesario exigir que los usuarios finales se registreny verificar sus correos electrónicos antes de que puedan enviar tickets, con lo que se reducen las posibilidades de recibir spam.
- Asignarroles personalizadosa los agentes para limitar el acceso de los usuarios solo a lo indispensable para desempeñar su función.
- Tomar en cuenta lossegmentos de usuarioso el acceso privilegiado en función de la marca cuando se use Guide.
- Utilizar la lista autorizada para seleccionar a los usuarios o los grupos de usuarios que pueden teneracceso a una cuentao enviarsolicitudesochats.
- Utilizar una lista bloqueadacuando sea necesario para impedir que determinados usuarios interactúen con los servicios de Zendesk (suspendiéndolos o bloqueándolos) o bien paraprohibir su acceso.
- Verificar a los usuarios de una cuenta ysuspenderobajar de categoríaa aquellos que ya no necesiten acceder al sistema.
Contraseñas
- La autenticación de dos factores (2FA)es el estándar que se recomienda usar para el inicio de sesión de agentes y administradores en Zendesk.
- Cuando las necesidades de seguridad varían según los usuarios, se puede personalizar un nivel de seguridad por contraseña para los usuarios finales y otro para los agentes y administradores mediante la autenticación nativa de Zendesk.
- Crear una contraseña única para la cuenta de Zendesk (que no sea la misma que se usa para iniciar sesión en sistemas o aplicaciones externos).
- Activar alertas por correo electrónico que se encarguen de advertir a los agentes de cualquier inicio de sesión a través de dispositivos nuevos (y no autorizados). ConsulteSeguimiento de los dispositivos y las aplicaciones que acceden a su cuentaen la Guía del agente de Zendesk.
Acceso a sistemas, redes y dominios
- Usarespacios de trabajo contextualescon dos fines: optimizar los flujos de trabajo y mostrar únicamente las herramientas necesarias (p. ej., macros, aplicaciones o formularios); y asegurarse de que solo los agentes tienen acceso a las funciones del sistema y a los flujos de trabajo necesarios para completar una tarea.
- Restringir el acceso de agentes o usuarios finales según sus direcciones IP.
- Utilizar una lista bloqueadacuando sea necesario para impedir que determinados usuarios interactúen con los servicios de Zendesk (suspendiéndolos o bloqueándolos) o bien paraprohibir su acceso.
- Cuando se necesiten URL que no sean de Zendesk, se recomienda generar certificados SSL propios o certificados SSL proporcionados por Zendesk conmapeo de hosty proporcionar acceso seguro al centro de ayuda. En caso de proporcionar un certificado SSL propio, hay que asegurarse de mantenerlo al día.
Administración de datos
- Uso de datos
- Capturar solo los datos que sean necesarios para un determinado caso de uso con el objeto de reducir el riesgo de exponer datos confidenciales o de uso interno.
- Borrado y supresión
- Consultarlas guías sobre el cumplimiento de la ley sobre privacidad y protección de datospara obtener recomendaciones de supresión en este contexto.
- Considere no grabar las llamadas oborrar las grabaciones automáticamentea la hora de usar la funcionalidad de Talk cuando tales grabaciones puedan llegar a entorpecer el cumplimiento de normativas del sector o disposiciones legales.
- Activar la supresión automática para proteger los datos confidenciales de los clientes enticketsochats. Nota: Esta función utiliza una verificación Luhn que suprime casi todos (pero no todos) los números de tarjetas de crédito.
- Suprimir manualmente la información de tarjetas de créditodel espacio de trabajo de agente de Zendesk siempre que los permisos lo permitan. Tenga en cuenta que los datos borrados pueden permanecer hasta por 30 días en los registros.
- Cumplimiento
- En los casos de proveedores de atención médica o administradores de datos de atención médica que entren en contacto con información médica personal (“PHI”), se recomienda firmar un Business Associate Agreement (Acuerdo de socio comercial, BAA) con Zendesk, además de realizarlas configuraciones de seguridad exigidasen el marco de laHealth Insurance Portability and Accountability Act (Ley de portabilidad y responsabilidad de seguros de salud, HIPAA)en是se refiere la administracion de通知ación médica personal (PHI) e información médica personal en formato electrónico (ePHI), según sea necesario.
- Si se usan números de tarjetas de crédito con fines de identificación, es aconsejable agregar uncampo de tarjeta de crédito al formulario de ticketque satisfaga los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Este campo no guarda ni revela el número de tarjeta de crédito completo ni se puede usar para realizar pagos ni transacciones.
- La sección que sigue se aplica a quienes deben cumplir las exigencias del tratamiento de la información médica personal en formato ordinario o electrónico, la ley HIPAA o los requisitos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
- Privacidad
- En el centro de ayuda, consultar la secciónCumplimiento de la ley sobre privacidad y protección de datosdel producto pertinente.
- ElPrograma de privacidad global de Zendeskque encontrará en el centro de confianza ayuda a velar por el cumplimiento, sin importar dónde se encuentre ni los socios comerciales que tenga.
Correo electrónico
- Archivar el correo electrónicocuando la compañía necesite archivar las comunicaciones con sus clientes fuera de los servicios de Zendesk para cumplir disposiciones normativas o jurídicas.
- Desactivarla función para chatDirigir por correo electrónicoa menos que sea necesaria a la hora de usar Chat.
- Usarcontenido enriquecido en los correos electrónicos entrantesúnicamente cuando sea necesario para el flujo de trabajo.
- Activar la autenticación de correo electrónico con SPF, DKIM y DMARCpara reducir el spam y el correo electrónico de suplantación (spoofing) en su cuenta.
- Firmar digitalmente el correo electrónico que salede Zendesk como una forma de probar que se ha originado dentro de su organización.
- Utilizarrespuestas de correo electrónico personalizadas y alias de agentespara ser transparentes ante los usuarios finales que se comunican con los agentes a través de un sistema de gestión de tickets.
- Retirar las direcciones de soporte no utilizadas o innecesariaspara reducir al mínimo el riesgo de suplantación de identidad (spoofing).
API
- Utilizar tokens en lugar de contraseñas para impedir el acceso no autorizadopor contraseña a la API.
- DesplegarOAuthpara autenticar y limitar la cantidad de acceso otorgado a los tokens en la API. Desactivarla cuando no se necesite.
- Proteger lostokens de APIen un lugar seguro fuera de la aplicación. Recomendamos usar tokens OAuth y no tokens de API siempre que sea posible.
Monitoreo
- Verificar y monitorear constantemente losregistros de auditoría de la cuentaque muestren cambios en una cuenta.Sugerencia útil: laAPItambién puede utilizarse para exportar registros de auditoría según se necesite.
Recuperación en caso de desastre
Zendesk mantiene un programa llamado Global Business Resilience para asegurarse de contar con la capacidad de adaptarse rápidamente a las interrupciones del negocio y responder con prontitud; proteger a las personas y los bienes; y garantizar la continuidad de las operaciones comerciales. Fuera de esto, existen varios pasos destinados a asegurar aún más la continuidad del negocio.
- Participar en un programa deRecuperación ante desastres mejoradapara conseguir una redundancia de seguridad que incluya la réplica de datos en tiempo real, la priorización de tráfico, la redundancia de zonas de disponibilidad y la planificación de recuperación prioritaria.
- Si se usa la funcionalidad de Voice, activar unnúmero de failover para Talkpara permitir la continuidad del negocio.
- Si desea permitir el acceso con contraseña en caso de que se produzca una interrupción externa del sistema SSO, pregúntese si le convendría nodesactivar la autenticación nativa de Zendesk(el SSO puede configurarse de modo estricto o permitiendo eludir la contraseña).
- Aplicar unaAPI de exportación incrementalodescargas masivasde los datos de servicio si necesita que los almacenes de datos no editables se conserven dentro de su propio entorno.
- Activar el reenvío de correo electrónico automáticode la dirección de correo electrónico personal de un tercero a Zendesk Support para conservar una copia del correo electrónico fuera de Zendesk.
- Participar en un programa deRecuperación ante desastres mejoradapara obtener una redundancia de seguridad mejorada que incluya la réplica de datos en tiempo real, la priorización de tráfico, la redundancia de disponibilidad de zonas y la planificación de recuperación prioritaria.
- Usar la API de exportación incremental para recuperar elementos de Zendesk Support que hayan cambiado desde la última solicitud de llamada API. ConsulteAPI Reference(Referencia de las API) si desea más información.
Si sospecha que un incidente de seguridad en su instancia de Zendesk fue ocasionado directamente por nuestro propio servicio, le rogamos que envíe un ticket asecurity@zendesk.com. Si desea aclarar dudas sobre cuándo contactar a Zendesk acerca de las responsabilidades relacionadas con la seguridad, consulte elModelo de responsabilidad compartida de Zendesk.
0 Comentarios
Inicie sesiónpara dejar un comentario.