안전한 고객 서비스

만반의 준비 완료

Zendesk가 보안을 매우 중요하게 여기고 있다는 사실은 Zendesk를 믿고 데이터를 맡기고 있는 다수의 Fortune지 선정 500대 기업 및 Fortune지 선정 {5}대 기업을 통해 확인하실 수 있습니다. 엔터프라이즈급 보안 기능과 더불어 애플리케이션, 시스템, 네트워크의 종합적인 감사를 활용해서 Zendesk 데이터는 물론 귀사의 데이터를 항상 안전하게 보호하므로 모든 고객이 안심할 수 있습니다.

규정 준수 인증 및 멤버십

Zendesk는 업계에서 인정받은 일반 보안 및 개인정보 보호 프레임워크를 준수하기 위한 성공 사례 및 업계 표준을 사용하며, 이로써 Zendesk 고객 역시 자체 규정 준수 표준을 충족하도록 돕습니다.

보안 규정 준수
SOC 2 Type II

Zendesk는 관례화된 감사를 수행하여 업데이트된 SOC 2 Type II 보고서를 받으며, 요청 시 NDA 조건하에서 제공합니다. 최신 SOC 2 Type II 보고서는 여기에서 요청하실 수 있습니다.

ISO 27001:2013

Zendesk는 ISO 27001:2013 인증을 받았습니다. 여기에서 인증서를 다운로드할 수 있습니다.

ISO 27018:2014

Zendesk는 ISO 27018:2014 인증을 받았습니다. 여기에서 인증서를 다운로드할 수 있습니다.

FedRAMP LI-SaaS

Zendesk는 저영향 서비스형 소프트웨어(LI-SaaS)로 FedRAMP 승인을 받았으며 FedRAMP 마켓플레이스에 등재되어 있습니다. 미국 정부 기관 고객은 여기에서 패키지 액세스 요청서를 작성하거나 fedramp@zendesk.com으로 요청을 제출하여 Zendesk FedRAMP 보안 패키지에 대한 액세스를 요청할 수 있습니다.

업계 기반 규정 준수
HIPAA

Zendesk는 고객이 Zendesk 제품의 적절한 보안 구성 옵션을 활용하여 HIPAA 의무를 준수할 수 있도록 돕고 있으며, 가입자들이 사업 제휴 계약(BAA, Business Associate Agreement)을 실행할 수 있도록 합니다.

*BAA는 고급 보안 추가 기능을 구매하는 경우에만 사용할 수 있으며, Zendesk 제품에만 적용됩니다(특별한 구성 요건이 적용됨).

PCI DSS

PCI 준수에 관한 백서를 보거나 Zendesk Support의 PCI 준수 필드에 대해 자세히 알아보세요.

*Enterprise 계정이 필요합니다.

Zendesk PCI AoC(Attestation of Compliance) 및 규정 준수 인증서를 보려면 여기를 클릭하세요.

멤버십
Skyhigh Enterprise-Ready

Zendesk는 CloudTrust™ 프로그램의 최고 등급인 Skyhigh Enterprise-Ready™ 인증을 받았습니다. 데이터 보호, ID 인증, 서비스 보안, 비즈니스 관행 및 법적 보호에 있어 가장 엄격한 요건을 충족하는 클라우드 서비스에 수여하는 자격입니다.

Cloud Security Alliance

Zendesk는 클라우드 컴퓨팅 내 보안을 보증하기 위한 성공 사례를 사용하도록 촉구하는 사명을 가진 비영리 단체인 CSA(Cloud Security Alliance) 회원사입니다. CSA는 다양한 클라우드 컴퓨팅 오퍼링에서 제공하는 보안 제어 기능을 문서화하는 공개 명부인 STAR(Security, Trust & Assurance Registry)를 출범했습니다. Zendesk는 기업 실사 자체 평가 결과를 기준으로 공개 CAI(Consensus Assessment Initiative) 설문지를 완료했습니다.

여기에서 CSA CAIQ를 다운로드할 수 있습니다.

개인정보 보호 인증 및 데이터 보호
TRUSTe® 개인정보 보호 인증 프로그램

Zendesk는 자사 개인정보 보호 프로그램, 정책 및 관행이 미국과 EU 간 개인정보 보호 쉴드 및/또는 미국과 스위스 간 개인정보 보호 쉴드의 요건을 준수한다는 것을 증명했습니다. 이러한 회사는 미국 상무부가 규정한 개인정보 보호 쉴드에 대한 참여를 https://www.privacyshield.gov/list에서 자체 인증했습니다. Zendesk는 타사 인증 기관에 의뢰하여 Zendesk의 개인정보 보호 쉴드 규정 준수가 개인정보 보호 쉴드 보충 원칙의 요건에 부합함을 인증합니다. Zendesk의 인증 상태를 보려면 여기를 클릭하세요.

미국과 EU 간, 그리고 미국과 스위스 간 개인정보 보호 쉴드 인증

Zendesk는 미국 상무부에 미국과 EU 간, 그리고 미국과 스위스 간 개인정보 보호 쉴드 프레임워크를 준수함을 인증했으며 상무부 자체 인증 개인정보 보호 쉴드 참여자 목록에 추가되었습니다. Zendesk는 그러한 인증을 통해 Zendesk가 유럽 및 스위스의 개인 데이터를 미국에 전송하는 데 대한 개인정보 보호 쉴드 원칙을 준수함을 확인합니다.

개인정보 보호 쉴드에 대해 자세히 알아보세요.

법률 자료

Zendesk 웹페이지에 나오는 법률 및 개인정보 보호와 관련된 용어에 대해 자세히 알아 보려면 아래 사이트를 참조하세요.

아티팩트

고객사에서 요청하면 다양한 리소스를 보내 드릴 수 있습니다.

NDA가 적용되지 않는 리소스 직접 다운로드

아래의 다운로드 가능한 리소스에 액세스하려면 해당 버튼을 클릭하세요.

ISO 27001:2013 인증

ISO 27018:2014 인증

SOC 3 Report

데이터시트/백서

PCI AoC(Attestation of Compliance) 및 규정 준수 인증서

네트워크 아키텍처 다이어그램

  • Support/Guide
  • Chat
  • Talk

CSA CAIQ

리소스 받기
NDA 리소스

다음과 같은 리소스에는 NDA 요건이 적용될 수 있습니다. 리소스에 액세스하려면 아래의 버튼을 클릭하세요.

보험 증명서

SOC 2 Type II Report

연례 보안 침투 테스트 요약서

비즈니스 연속성 및 재해 복구 테스트 요약서

SIG Lite

VSA

리소스 받기

클라우드 보안

데이터 센터 물리적 보안
시설

Zendesk는 ISO 27001, PCI DSS Service Provider Level 1, 및/또는 SOC 2 규격 인증을 받은 AWS 데이터 센터에 주로 서비스 데이터를 호스팅합니다. AWS의 규정 준수에 대해 자세히 알아보세요.

AWS 인프라 서비스에는 서버를 보호함으로써 결국에는 사용자의 데이터도 보호할 수 있는 예비 전력, HVAC 시스템, 화재 진압 장비가 포함됩니다. AWS의 데이터 센터 제어 기능에 대해 자세히 알아보세요.

현장 보안

AWS 현장 보안은 경비원, 펜싱, 영상 보안, 침입 감지 기술 및 기타 보안 조치 등 수많은 기능을 포함합니다. AWS 물리적 보안에 대해 자세히 알아보기

데이터 호스팅 위치

Zendesk는 미국, 유럽 및 아시아 태평양 지역에 있는 AWS 데이터 센터를 활용합니다. Zendesk 서비스 데이터의 데이터 호스팅 위치에 대해 자세히 알아보세요.

고객은 서비스 데이터 위치를 미국 전용 또는 EEA 전용 중에서 선택할 수 있습니다.* 지역 데이터 호스팅 옵션 및 서비스 데이터 유형 제한 사항에 대해 자세히 알아보세요.

*데이터 센터 위치 추가 기능 구입 시에만 사용 가능

네트워크 보안
전담 보안 팀

전 세계에 분산된 Zendesk 보안 팀은 24/7 대기 상태로 보안 경고 및 이벤트에 대처합니다.

보호

Zendesk 네트워크는 주요 AWS 보안 서비스, Cloudflare 에지 보호 네트워크와의 연동, 정기적 감사, 알려진 악성 트래픽과 네트워크 공격을 모니터링하여 차단하는 네트워크 인텔리전스 기술을 통해 보호됩니다.

Zendesk의 네트워크 보안 아키텍처는 여러 보안 영역으로 구성되어 있습니다. 데이터베이스 서버와 같은 보다 민감한 시스템은 가장 신뢰 받는 영역에서 보호를 받습니다. 다른 시스템들은 기능, 정보 분류, 위험에 따라 해당 민감도에 알맞은 영역에 수용됩니다. 영역에 따라 추가적인 보안 모니터링 및 액세스 제어가 적용됩니다. 인터넷 사이에서, 그리고 내부적으로는 서로 다른 신뢰 영역들 사이에서 DMZ를 활용합니다.

네트워크 취약성 검사

네트워크 보안 검사를 통해 규정 비준수 또는 취약 가능성이 있는 시스템을 신속하고 철저하게 파악할 수 있습니다.

제3자의 침투 테스트

Zendesk는 방대한 내부 검사 및 테스트 프로그램 외에, 매년 외부 보안 전문가를 고용하여 Zendesk 프로덕션 및 회사 네트워크 전반에 걸쳐 보안 침투 테스트를 광범위하게 수행합니다.

SIEM(Security Incident Event Management)

Zendesk의 SIEM(Security Incident Event Management) 시스템은 중요한 네트워크 장치와 호스트 시스템으로부터 방대한 로그를 수집합니다. SIEM은 조사 및 응답을 위해 관련 이벤트를 기준으로 보안 팀에 알리는 트리거를 생성합니다.

침입 감지 및 예방

비정상적인 동작을 감지하기 위해 서비스 흐름 수신 및 송신 지점을 측정 및 모니터링합니다. 이러한 시스템은 사건과 값이 미리 결정된 임계값을 초과할 때 경고를 생성하도록 구성되며 새로운 위협을 기준으로 주기적으로 업데이트되는 서명을 사용합니다. 또한 24/7 시스템 모니터링을 포함합니다.

위협 인텔리전스 프로그램

Zendesk는 여러 위협 인텔리전스 공유 프로그램에 참여하여 위협 인텔리전스 네트워크에 게시된 위협을 모니터링하며 위험에 따라 필요한 조치를 취합니다.

DDoS 완화

Zendesk는 DDoS 완화를 위한 다중 계층 접근 방식을 설계했습니다. AWS DDoS 특정 서비스와 함께 AWS 확장 및 보호 도구를 사용하여 보호 기능을 더욱 강화하는 동시에 Cloudflare와의 핵심 기술 파트너십을 통해 네트워크 에지를 방어합니다.

논리적 액세스

Zendesk 프로덕션 네트워크에 대한 액세스는 꼭 필요한 경우에 한해 명확하게 제한되며, 최소 권한을 이용하며, 수시로 감사 및 모니터링되며, Zendesk 운영 팀의 통제를 받습니다. Zendesk 프로덕션 네트워크에 액세스하는 직원은 여러 단계의 인증을 사용해야 합니다.

보안 사고 대응

시스템 경고가 있는 경우, 운영, 네트워크 엔지니어링 및 보안 담당을 하는 24/7 팀에 이벤트가 에스컬레이션됩니다. 직원들은 커뮤니케이션 채널 및 에스컬레이션 경로를 포함한 보안 사고 대응 절차에 관한 교육을 받습니다.

암호화
전송 중 데이터 암호화

Zendesk UI 및 API를 통한 모든 커뮤니케이션은 공용 네트워크 상에서 업계 표준인 HTTPS/TLS(TLS 1.2 이상)를 사용하여 암호화됩니다. 따라서 Zendesk와의 모든 트래픽은 전송되는 중에도 안전하게 보호됩니다. 또한 이메일의 경우, Zendesk 제품은 기본적으로 기회적 TLS(Opportunistic TLS)를 활용합니다. TLS(Transport Layer Security)는 피어 서비스가 이 프로토콜을 지원하는 메일 서버들 간의 도청 및 스푸핑을 완화하면서 이메일을 안전하게 암호화하고 전달합니다. 예외적으로는 제품 내 SMS 기능, 다른 여느 타사 앱, 연동 서비스 또는 가입자가 자유 재량으로 활용하기로 선택할 수 있는 서비스의 사용을 포함할 수도 있습니다.

저장된 데이터 암호화

AWS에 저장된 서비스 데이터는 AES-256 키 암호화 기술을 사용하여 암호화됩니다.

가용성 및 연속성
가동 시간

Zendesk는 시스템 상태 웹페이지를 공개하고 있습니다. 여기에는 시스템 가용성 세부 정보, 예약된 유지 관리, 서비스 사고 내역, 관련 보안 이벤트가 포함됩니다.

중복성

Zendesk는 서비스 클러스터링 및 네트워크 중복성을 통해 단일 실패 지점을 없애줍니다. 엄격한 백업 체제 및/또는 향상된 재해 복구 서비스를 통해 서비스 데이터를 사용 가능한 모든 영역에 복제하므로 높은 수준의 서비스 가용성을 제공할 수 있습니다.

재해 복구

Zendesk의 재해 복구(DR) 프로그램은 재해 시에도 Zendesk 서비스를 계속 사용할 수 있고 쉽게 복구할 수 있도록 보장합니다. 이는 견고한 기술 환경 구축, 재해 복구 계획 확립, 테스트 활동을 통해 수행됩니다.

향상된 재해 복구

향상된 재해 복구 패키지에는 RTO(복구 시간 목표) 및 RPO(복구 지점 목표)에 대한 계약 목표가 포함됩니다. 이는 선언된 재해 이벤트 동안 향상된 재해 복구 서비스를 이용하는 고객이 서비스를 운영할 수 있도록 우선적으로 처리하여 지원됩니다.

*고급 보안 추가 기능 구입 시에만 사용 가능

애플리케이션 보안

보안 개발(SDLC)
보안 코드 교육

엔지니어들은 매년 1회 이상 보안 코드 교육에 참여합니다. 이 교육에서는 OWASP 상위 10개 보안 위험, 일반적인 공격 경로, Zendesk 보안 제어 기능을 다룹니다.

프레임워크 보안 제어 기능

Zendesk는 보안 제어 기능과 함께 안전한 최신 오픈 소스 프레임워크를 활용하여 OWASP 상위 10개 보안 위험에 대한 노출을 제한합니다. 이러한 내재된 제어 기능은 무엇보다 SQLi(SQL Injection), XSS(Cross Site Scripting) 및 CSRF(Cross Site Request Forgery)에 대한 노출을 감소시킵니다.

Quality Assurance

Zendesk의 QA(품질 보증) 부서는 코드 베이스를 검토하고 테스트합니다. 애플리케이션 보안 전담 엔지니어가 코드에 있는 보안 취약성을 식별, 테스트 및 선별합니다.

별도 환경

테스트 및 스테이징 환경은 프로덕션 환경과 논리적으로 분리됩니다. 개발 또는 테스트 환경에서는 서비스 데이터를 사용하지 않습니다.

취약성 관리
동적 취약성 검사

Zendesk는 타사 보안 도구를 이용하여 OWASP 상위 10개 보안 위험에 대해 자사 핵심 애플리케이션을 계속하여 동적으로 검사합니다. Zendesk는 전담 사내 제품 보안 팀을 운영하여 엔지니어링 팀과 협력하여 발견된 문제를 해결하도록 합니다.

정적 코드 분석

통합된 정적 분석 도구를 통해 보안 문제가 있는지 여부를 파악하기 위해 플랫폼과 모바일 애플리케이션용 소스 코드 저장소를 지속적으로 검사합니다.

타사 침투 테스트

방대한 내부 검사 및 테스트 프로그램 외에, Zendesk는 외부 보안 전문가를 고용하여 Zendesk 제품군 내 서로 다른 애플리케이션들에 대한 상세한 침투 테스트를 수행합니다.

책임 공개/버그 바운티 프로그램

Zendesk의 책임 공개 프로그램HackerOne과의 제휴를 통해 고객은 물론 보안 연구자들에게 보안상 취약한 점을 안전하게 테스트하고 Zendesk에 알리는 기회를 제공합니다.

제품 보안

인증 보안
인증 옵션

고객은 최종 사용자 및/또는 상담원 인증을 위해 기본 Zendesk 인증, 소셜 미디어 통합 인증(SSO)(Facebook, 트위터, Google) 및/또는 엔터프라이즈 SSO(SAML, JWT)를 사용 설정할 수 있습니다. 사용자 액세스에 대해 자세히 알아보세요.

구성 가능한 비밀번호 정책

관리 센터를 통해 사용 가능한 제품에 대한 Zendesk 기본 인증은 낮음, 중간, 높음의 비밀번호 보안 수준을 제공하는 것은 물론, 상담원과 관리자에 대한 사용자 지정 비밀번호 규칙을 설정할 수도 있습니다. 또한 Zendesk에서는 최종 사용자에 대한 비밀번호 보안 수준과 상담원과 관리자에 대한 비밀번호 보안 수준을 다르게 적용할 수 있습니다. 관리자만 비밀번호 보안 수준을 변경할 수 있습니다. 구성 가능한 비밀번호 정책에 대해 자세히 알아보세요.

2단계 인증(2FA)

관리 센터를 통해 사용 가능한 제품에 대한 Zendesk 기본 인증은 SMS 또는 인증 앱을 통해 상담원 및 관리자를 위한 2단계 인증(2FA)을 제공합니다. 2FA에 대해 자세히 알아보세요.

서비스 자격 증명 저장 공간

Zendesk는 안전한 자격 증명 저장 성공 사례에 따라 사람이 읽을 수 있는 형식으로 비밀번호를 저장하는 일이 절대 없으며 안전하게 솔트 처리된 단방향 해시의 결과로서만 저장합니다.

추가 제품 보안 기능
역할 기반 액세스 제어

Zendesk 애플리케이션 내 데이터에 대한 액세스에는 역할 기반 액세스 제어(RBAC)가 적용되며 세분화된 액세스 권한을 정의하도록 구성될 수 있습니다. Zendesk는 사용자(소유자, 관리자, 상담원, 최종 사용자 등)에 대해 다양한 권한 수준을 제공합니다.

사용자 역할에 대해 자세히 알아보기:

전체 보안 및 사용자 액세스에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

IP 제한

정의하는 특정 IP 주소 범위에서만 액세스할 수 있도록 Zendesk 제품을 구성할 수 있습니다. 이러한 제한은 모든 사용자에게 적용되거나 상담원에게만 적용될 수 있습니다. IP 제한 사용에 대해 자세히 알아보세요.

비공개 첨부 파일

사용자가 로그인해야만 티켓 첨부 파일을 볼 수 있도록 인스턴스를 구성할 수 있습니다. 비공개 첨부 파일에 대해 자세히 알아보세요.

이메일 서명(DKIM/DMARC)

Zendesk에 외부 이메일 도메인을 설정해야 할 때 Zendesk의 발신 이메일에 서명할 수 있도록 DKIM(Domain Keys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting & Conformance)를 제공합니다. 이러한 기능을 지원하는 이메일 서비스를 사용하면 이메일 스푸핑을 멈출 수 있습니다. 이메일 디지털 서명에 대해 자세히 알아보세요.

장치 추적

Zendesk는 각 사용자 계정에 로그인하는 데 사용된 장치를 추적합니다. 새 장치에서 계정에 로그인하면 해당 사용자 프로필의 장치 목록에 이를 추가합니다. 해당 사용자는 새 장치가 추가될 때 이메일 알림을 받을 수 있고, 활동이 의심스러운 경우 그에 따른 조치를 취해야 합니다. 의심스러운 세션은 상담원 UI에서 종료될 수 있습니다. 기기 추적에 대해 자세히 알아보세요.

민감한 데이터 삭제하기

수동 삭제를 사용하면 Support 티켓 댓글에서 민감한 데이터를 삭제하거나 제거하고, 첨부 파일을 안전하게 삭제하여 기밀 정보를 보호할 수 있습니다. UI 또는 API를 통해 티켓에서 데이터를 삭제하여 민감한 정보가 Zendesk에 저장되는 일이 없도록 합니다. UI 또는 API를 통한 데이터 삭제에 대해 자세히 알아보세요.

자동 삭제를 사용하면 Support와 Chat에서 유효한 신용카드 기본 계정 번호(CC PAN)와 일치하고 Luhn 검사를 통과하는 번호들을 자동으로 삭제할 수 있습니다. SupportChat에서의 자동 삭제에 대해 자세히 알아보세요.

Zendesk Support는 마지막 4자리를 제외한 모든 숫자를 삭제하는 구성 가능한 PCI 규격 준수 신용카드 필드를 제공합니다. Zendesk의 PCI 규정 준수에 대해 자세히 알아보세요.

헬프 센터의 스팸 필터

Zendesk의 스팸 필터링 서비스를 사용하여 최종 사용자 스팸 게시물이 헬프 센터에 게시되지 않도록 할 수 있습니다. 헬프 센터의 스팸 필터링에 대해 자세히 알아보세요.

인적 자원 보안

보안 인식
정책

Zendesk는 다양한 주제를 다루는 종합적인 보안 정책을 개발했습니다. Zendesk는 Zendesk 정보 자산에 액세스할 수 있는 모든 직원 및 계약업체와 이러한 정책을 공유하고 사용할 수 있게 합니다.

교육

모든 직원은 보안 인식 교육에 참가합니다. 이 교육은 직원 채용 시, 그리고 이후 매년 제공됩니다. 모든 엔지니어들은 연례 보안 코드 교육을 받습니다. 보안 팀은 이메일, 블로그 게시물, 그리고 사내 행사 중 프레젠테이션을 통해 보안 인식을 고취합니다.

직원 심사
신원 조회

Zendesk는 현지 법규에 의거하여 모든 신입 직원에 대한 신원 조회를 실시합니다. 계약업자에 대해서도 이와 같은 신원 조회가 완료되어야 합니다. 신원 조회는 범죄, 교육 및 직장 경력에 대한 확인을 포함합니다. 청소 직원들 역시 신원 조회를 받습니다.

기밀 유지 계약

모든 신입 직원은 비공개 및 기밀 유지 계약에 서명해야 합니다.