Temps de lecture :7 minutes

Ce guide présente un aperçu des meilleures pratiques de sécurité qu’il est conseillé aux abonnés Zendesk Suite d’implémenter dans leur instance. Nous vous conseillons d’implémenter ces pratiques dès l’adoption de Zendesk Suite et de régulièrement vérifier vos paramètres et les meilleures pratiques de votre entreprise afin de vous assurer de leur pertinence et de leur respect par les employés.

Zendesk fournit une vaste gamme de contrôles conçus pour vous aider à assurer la sécurité de vos informations (et des informations de vos clients). Nous vous conseillons vivement de former vos agents et vos administrateurs pour qu’ils appliquent ces meilleures pratiques de sécurité et minimisent votre exposition aux risques, conformément à notremodèle de responsabilité partagée. Ce cadre décrit les responsabilités de chaque abonné Zendesk quant à la sécurité de son instance. Pour en savoir plus, consultez le modèle de responsabilité partagée de Zendesk.

Cet article contient les sections suivantes sur les meilleures pratiques pour Zendesk Suite :

• Général
• Contrôle d’accès
• Accès aux systèmes, réseaux et domaines
• Gestion des données
• E-mail
• API
• Surveillance
• Plan de reprise d’activité

Meilleures pratiques de sécurité pour Zendesk Suite

Général

• Utilisez unesandboxpour les tests et le développement afin de ne pas compromettre votre instance de production.
• Limitez l’utilisation de l’application mobilepour les utilisations et les workflows des agents.
• Activez la modération du contenu dans votre centre d’aide Guide et dans les threads des forums pouréviter le spamou le contenu indésirable dans votre communauté Gather.
• Examinez toutes les fonctionnalités automatisées qui envoient des notifications et vérifiez qu’elles ciblent les utilisateurs prévus.

Contrôle d’accès

Général

• Quand vous utilisez l’authentification Zendesk native :
  • Personnalisez le niveau de sécurité des mots de passeafin qu’il corresponde aux politiques internes de votre entreprise.
  • Configurez ledélai d’expiration des sessions le plus court possiblepour vos agents et vos administrateurs.
  • Désactivez lesconnexions via les réseaux sociauxinutiles pour les utilisateurs finaux.
• Quand vous utilisez la connexion unique (SSO) :
  • Utilisez laconnexion unique intégrée au produitou laconnexion unique d’entreprise existantepour gérer vos configurations de façon centralisée.
  • Couplez toute authentification multifacteur que vous utilisez avec votre connexion unique pour couvrir vos connexions Zendesk.
  • Si vous voulez toujours autoriser l’authentification par mot de passe via l’authentification Zendesk nativecar vous voulez assurer la disponibilité en cas de panne de la connexion unique, ne désactivez pas l’authentification par mot de passe. Mais si vous ne voulez plus qu’il soit possible d’utiliser des mots de passe une fois la connexion unique configurée, désactivez l’authentification par mot de passe. Notez que la désactivation de l’accès par mot de passe mettra fin à toutes les sessions ouvertes pour lesquelles l’authentification par mot de passe avait été utilisée.
• N’activez pas l’accès au compte sans identifiantsà moins d’avoir besoin qu’un employé Zendesk accède à votre compte (lors d’interactions avec l’assistance Zendesk,les services professionnels, etc.).

Utilisateurs

• Passez en revue les appareils connectés过渡群系的的资料d经纪人等supprimez正号que vous n’utilisez plus ou qui vous semblent suspects. Notez que seuls les agents, les administrateurs et le propriétaire du compte ont accès à cette fonctionnalité.
• Si vous créez une instance Zendesk fermée,exigez des utilisateurs finaux qu’ils s’inscriventet vérifiez leurs adresses e-mail avant de les autoriser à envoyer des tickets afin de réduire tout spam potentiel.
• Appliquez desrôles personnaliséspour vos agents afin de limiter l’accès en fonction de ce qui est nécessaire pour chaque poste.
• Envisagez d’utiliser dessegments d’utilisateurset / ou des所有权d 'acces基地在品牌上倒l’utilisation de Guide.
• Utilisez la liste autorisée pour définir des utilisateurs ou groupes d’utilisateurs spécifiques, qui ontaccès à votre compteet/ou la possibilité d’envoyer desdemandes/chats.
• Suspendez des utilisateurs, refusez-leset/ouempêchez-lesd’interagir avec les services Zendesk en utilisant la liste bloquée, si nécessaire.
• Passez en revue les utilisateurs de votre compte etsuspendez/rétrogradezles utilisateurs qui n’ont plus besoin d’accéder à votre système.

Mots de passe

• L’authentification à deux facteurs (A2F)est la norme conseillée pour les connexions des agents et des administrateurs à Zendesk.
• Si différents groupes ont des besoins de sécurité différents, envisagez de configurer un niveau de sécurité des mots de passe personnalisé pour les utilisateurs finaux et un autre pour les agents et les administrateurs quand ils utilisent l’authentification Zendesk native.
• Créez un mot de passe unique pour votre compte Zendesk (c’est-à-dire un mot de passe qui n’est pas actuellement utilisé pour la connexion aux systèmes ou applications externes).
• Activez les alertes par e-mail pour les connexions à partir de nouveaux appareils pour permettre aux agents de surveiller leur compte et de repérer les connexions à partir d’appareils non autorisés. ConsultezVérification des appareils et applications ayant accédé à votre comptedans le Guide de l’agent Zendesk.

Accès aux systèmes, réseaux et domaines

• Utilisez lesespaces de travail contextuelspour optimiser vos workflows et n’afficher que les outils pertinents (p. ex., macros. applications, formulaires, etc.) et vous assurer que les agents n’ont accès qu’aux fonctions et workflows système dont ils ont besoin pour réaliser une tâche.
• Restreignez l’accès en fonction des adresses IPpour les agents et/ou les utilisateurs finaux.
• Suspendez des utilisateurs, refusez-leset/ouempêchez-lesd’interagir avec les services Zendesk en utilisant la liste bloquée, si nécessaire.
• Quand vous utilisez des URL non Zendesk, générez vos propres certificats SSL ou des certificats SSL fournis par Zendesk avec lemappage d’hôteet fournissez un accès sécurisé à votre centre d’aide. Si vous fournissez votre propre certificat SSL, n’oubliez pas de le mettre à jour régulièrement.

Gestion des données

• Utilisation des données
  • Capturez uniquement les données nécessaires pour une certaine utilisation et minimisez ainsi l’exposition des données clients et/ou internes sensibles.
• Suppression/Suppression d’information
  • Consultez les guides sur laconformité aux lois sur la confidentialité et la protection des données倒让我们connaissance委员会s de suppression et suppression d’information, conformément aux réglementations sur la vie privée.
  • Envisagez de ne pas enregistrer les appels et/ou desupprimer automatiquement les enregistrementsquand vous utilisez la fonctionnalité Talk, dans le cas où de tels enregistrements risqueraient de poser un problème de conformité aux réglementations du secteur ou à la législation.
  • Activez la suppression automatique d’information pour protéger les données client sensibles dans lesticketset leschats. Remarque – Cette fonctionnalité utilise une vérification basée sur la formule de Luhn, qui supprime la plupart des chiffres d’un numéro de carte de crédit, mais pas tous.
  • Supprimez manuellement les informations de carte de crédità partir de l’espace de travail d’agent Zendesk, quand les permissions vous y autorisent. Notez qu’après leur suppression, les données peuvent être conservées dans les journaux jusqu’à 30 jours.
• Conformité
  • Si votre utilisation implique des Informations médicales protégées (Protected Health Information ou PHI), passez un contrat d’associé commercial (Business Associate Agreement ou BAA) avec Zendesk et implémentez lesconfigurations de sécurité requisespour la gestion des données des informations médicales personnelles (PHI) et des informations médicales personnelles électroniques (ePHI) dans le cadre de laloi américaine sur la portabilité et la responsabilité de l’assurance médicale (Health Insurance Portability and Accountability Act ou HIPAA), comme cela est nécessaire pour vous en tant que prestataire de soins de santé ou responsable de données de santé.
  • Si vous utilisez les numéros de carte de crédit à des fins d’identification, ajoutez unchamp de carte de crédit à votre formulaire de ticketafin de respecter les exigences PCI DSS (Payment Card Industry Data Security Standard). Notez que ce champ ne stocke pas et ne présente pas la totalité du numéro de carte de crédit et ne peut pas être utilisé pour effectuer des paiements ou des transactions).
  • Pour ceux qui doivent se conformer aux normes PHI, ePHI, HIPAA et/ou PCI DSS :
• Confidentialité
  • Consultez la sectionConformité aux lois sur la confidentialité et la protection des donnéesdu centre d’aide où vous trouverez des conseils sur la confidentialité pour chaque produit.
  • Accédez au Trust Center pour savoir comment notreprogramme de confidentialité mondialvous aide à rester en conformité, quel que soit l’endroit où que vous vous trouviez ou les entités avec qui vous faites affaire.

E-mail

• Appliquez l’archivage des e-mailsquand votre activité nécessite que vous conserviez des archives des communications avec les clients hors des services Zendesk à des fins réglementaires ou légales.
• Désactivez l’acheminement e-mail Chatsauf si vous en avez besoin quand vous utilisez Chat.
• N’utilisez lecontenu riche dans les e-mails entrantsque quand cela est nécessaire pour votre workflow.
• Activez l’authentification des e-mails avec SPF, DKIM et DMARCpour réduire les e-mails frauduleux et le spam que reçoit votre compte.
• Ajoutez une signature digitale aux e-mails sortantsde Zendesk pour confirmer qu’ils proviennent bien de votre organisation.
• Utilisezdes réponses par e-mail personnalisé et les pseudos des agentspour offrir un certain degré de transparence aux utilisateurs finaux qui communiquent avec les agents via les tickets.
• Supprimez les e-mails du service d’assistance inutilisés ou inutilespour minimiser les risques d’utilisation frauduleuse.

API

• Utilisez des tokens plutôt que des mots de passe pour empêcher toutaccès par mot de passe non autorisé à l’API.
• DéployezOAuthpour authentifier et limiter le niveau d’accès accordé aux tokens dans l’API. Désactivez-le s’il n’est pas nécessaire.
• Protégez lestokens APIen les plaçant dans un lieu sûr, hors de l’application. Dans la mesure du possible, nous recommandons des tokens OAuth plutôt que des tokens API.

Surveillance

• Consultez et surveillez régulièrement lesjournaux des audits du comptequi montrent les modifications de votre compte.Conseil utile: vous pouvez utiliser votreAPIpour exporter les journaux des audits.

Plan de reprise d’activité

Zendesk fournit un programme mondial de résilience commerciale de Zendesk afin de garantir que nous puissions rapidement nous adapter et réagir aux perturbations commerciales, protéger les personnes et les biens, tout en assurant la continuité des opérations commerciales. En plus de cela, il existe différentes mesures que vous pouvez prendre pour protéger la continuité de vos opérations.

• Choisissez leplan de reprise d’activité améliorépour une redondance de la sécurité, incluant la réplication des données en temps réel, la priorité de service, la redondance des zones de disponibilité et la planification de la reprise prioritaire.
• Si vous utilisez la fonctionnalité de Centre d’appels, activez unnuméro de basculement Talkafin de pouvoir assurer la continuité de vos opérations.
• Si vous voulez bénéficier de l’accès par mot de passe en cas de pannes des systèmes de connexion unique externes, envisagez de ne pasdésactiver l’authentification Zendesk native(vous pouvez configurer la connexion unique de façon stricte ou autoriser l’utilisation d’un mot de passe).
• Appliquez uneAPI d’exportation incrémentaleet/ou destéléchargements en massede vos données de service si vous avez besoin de conserver des entrepôts de données non modifiables dans votre propre environnement.
• Activez le transfert d’e-mails automatiquede votre adresse e-mail tierce personnelle vers Zendesk Support pour conserver une copie de vos e-mails hors de Zendesk.
• Choisissez leplan de reprise d’activité améliorépour une redondance de la sécurité, incluant la réplication des données en temps réel, la priorité de service, la redondance des zones de disponibilité et la planification de la reprise prioritaire.
• Utilisez l’API d’exportation incrémentale pour récupérer des éléments Zendesk Support qui ont changé depuis la dernière demande d’appel API. ConsultezAPI - Référencepour en savoir plus.

Si vous suspectez qu’un incident de sécurité dans votre instance Zendesk est directement dû à notre service, envoyez un ticket àsecurity@zendesk.com. Pour mieux comprendre quand contacter Zendesk au sujet des responsabilités liées à la sécurité, consultez lemodèle de responsabilité partagée.