안전한 고객 서비스

Zendesk 보안

140,000 명 이상의 고객들이 데이터 관리에 있어 Zendesk를 신뢰합니다. Zendesk는 이러한 사실을 중요하게 여겨 애플리케이션, 시스템 및 네트워크의 종합적인 감사와 함께 엔터프라이즈급 보안 기능을 결합하여 고객과 비즈니스 데이터를 항상 안전하게 보호해 줍니다. Zendesk 고객은 자신들의 정보가 안전하고, 상호작용의 보안이 유지되며, 비즈니스가 보호받는다는 사실을 알고 있으므로 안심합니다.

데이터시트 보기

데이터 센터 및 네트워크 보안

물리적 보안
시설 Zendesk는 ISO 27001, PCI/DSS Service Provider Level 1 및/또는 SOC II 규격 인증을 받은 AWS 데이터 센터에 서비스 데이터를 호스팅합니다.

AWS 인프라 서비스는 서버 및 궁극적으로 사용자 데이터를 보호하기 위한 백업 전원, HVAC 시스템 및 화재 진압 장비를 포함합니다.
현장 보안 AWS 현장 보안은 경비원, 펜싱, 영상 보안, 침입 감지 기술 및 기타 보안 조치 등 수많은 기능을 포함합니다. AWS 물리적 보안에 대해 자세히 알아보기
모니터링 Zendesk 직원이 모든 프로덕션 네트워크 시스템, 네트워크로 연결된 장치 및 회로를 지속적으로 모니터링하고 논리적으로 관리하며, 물리적 보안, 전원 및 인터넷 연결은 AWS에서 모니터링합니다.
위치 Zendesk는 미국, 유럽 및 아시아 태평양 지역에 있는 AWS 데이터 센터를 활용합니다. 고객은 서비스 데이터를 미국에만 저장할지 또는 유럽에만* 저장할지 선택할 수 있습니다(Zendesk Chat의 데이터는 현재 유럽에만 저장 가능). Zendesk의 지역 데이터 호스팅 옵션에 대해 자세히 알아보기.

*데이터 센터 위치 추가 기능 구입 시에만 사용 가능
네트워크 보안
전담 보안 팀 전 세계에 분산된 Zendesk 보안 팀은 24/7 대기 상태로 보안 경고 및 이벤트에 대처합니다.
보호 Zendesk 네트워크는 주요 AWS 보안 서비스, Cloudflare 에지 보호 네트워크와의 연동, 정기적 감사 및 악성 트래픽과 네트워크 공격을 모니터링 및 차단하는 네트워크 인텔리전스 기술을 통해 보호됩니다.
아키텍처 Zendesk의 네트워크 보안 아키텍처는 여러 보안 영역으로 구성되어 있습니다. 데이터베이스 서버와 같은 보다 민감한 시스템은 가장 신뢰 받는 영역에서 보호를 받습니다. 다른 시스템들은 기능, 정보 분류, 위험에 따라 해당 민감도에 알맞은 영역에 수용됩니다. 영역에 따라 추가적인 보안 모니터링 및 액세스 제어가 적용됩니다. 인터넷 사이에서, 그리고 내부적으로는 서로 다른 신뢰 영역들 사이에서 DMZ를 활용합니다.
네트워크 취약성 검사 네트워크 보안 검사를 통해 규정 비준수 또는 취약 가능성이 있는 시스템을 신속하고 철저하게 파악할 수 있습니다.
제3자의 침투 테스트 방대한 내부 검사 및 테스트 프로그램 외에, Zendesk는 매년 외부 보안 전문가를 고용하여 Zendesk 프로덕션 네트워크 전반에 걸쳐 광범위한 침투 테스트를 수행합니다.
SIEM(Security Incident Event Management) Zendesk의 SIEM(Security Incident Event Management) 시스템은 중요한 네트워크 장치와 호스트 시스템으로부터 방대한 로그를 수집합니다. SIEM은 조사 및 응답을 위해 관련 이벤트를 기준으로 보안 팀에 알리는 트리거를 생성합니다.
침입 감지 및 예방 비정상적인 동작을 감지하기 위해 서비스 흐름 수신 및 송신 지점을 측정 및 모니터링합니다. 이러한 시스템은 사건과 값이 미리 결정된 임계값을 초과할 때 경고를 생성하도록 구성되며 새로운 위협을 기준으로 주기적으로 업데이트되는 서명을 사용합니다. 또한 24/7 시스템 모니터링을 포함합니다.
위협 인텔리전스 프로그램 Zendesk는 여러 위협 인텔리전스 공유 프로그램에 참여하여 그러한 위협 인텔리전스 네트워크에 게시된 위협을 모니터링하며 Zendesk의 위험 및 노출에 따라 필요한 조치를 취합니다.
DDoS 완화 Zendesk는 DDoS 완화를 위한 다중 계층 접근 방식을 설계했습니다. AWS DDoS 특정 서비스와 함께 AWS 확장 및 보호 도구를 사용하여 보호 기능을 더욱 강화하는 동시에 Cloudflare와의 핵심 기술 파트너십을 통해 네트워크 에지를 방어합니다.
논리적 액세스 Zendesk 프로덕션 네트워크에 대한 액세스는 꼭 필요한 경우에 한해 명확하게 제한되며, 최소 권한을 이용하며, 수시로 감사 및 모니터링되며, Zendesk 운영 팀의 통제를 받습니다. Zendesk 프로덕션 네트워크에 액세스하는 직원은 여러 단계의 인증을 사용해야 합니다.
보안 사고 대응 시스템 경고가 있는 경우, 운영, 네트워크 엔지니어링 및 보안 담당을 하는 24/7 팀에 이벤트가 에스컬레이션됩니다. 직원들은 커뮤니케이션 채널 및 에스컬레이션 경로를 포함한 보안 사고 대응 절차에 관한 교육을 받습니다.
암호화
전송 중 데이터 암호화 Zendesk Support 및 Chat 서버와의 통신은 공용 네트워크를 통해 업계 최고로 인정받는 HTTPS 및 TLS(Transport Layer Security)를 통해 암호화됩니다. 이메일 암호화에도 TLS를 사용합니다.
저장된 데이터 암호화 Zendesk 고객은 저장된 데이터의 암호화를 통한 보호 기능의 혜택을 누립니다. AWS에 저장된 서비스 데이터는 AES 256키 암호화 기술을 사용하여 암호화됩니다.
가용성 및 연속성
가동 시간 Zendesk는 공개된 시스템 상태 웹페이지를 유지하는데, 여기에는 시스템 가용성 세부 정보, 예약된 유지 관리, 서비스 사고 내역 및 관련 보안 이벤트가 포함됩니다.
중복성 Zendesk는 서비스 클러스터링 및 네트워크 중복성을 통해 단일 실패 지점을 없애줍니다. Zendesk의 엄격한 백업 제도 및/또는 향상된 재해 복구 서비스 오퍼링을 통해 서비스 데이터가 가용성 영역에 걸쳐 복제되므로 높은 수준의 서비스 가용성을 제공할 수 있습니다.
재해 복구 Zendesk의 재해 복구(DR) 프로그램은 재해 시에도 Zendesk 서비스를 계속 사용할 수 있거나 쉽게 복구할 수 있도록 보장합니다. 이는 강력한 기술 환경 구축, 재해 복구 계획 작성 및 테스트 활동을 통해 수행됩니다.
향상된 재해 복구 향상된 재해 복구 패키지는 RTO(복구 시간 목표) 및 RPO(복구 지점 목표)에 대한 계약 목표를 추가합니다. 이는 선언된 재해 이벤트 동안 향상된 재해 복구 고객의 운영을 우선적으로 처리하는 기능을 통해 지원됩니다. *고급 보안 추가 기능 구입 시에만 사용 가능

애플리케이션 보안

보안 개발(SDLC)
보안 교육 엔지니어들은 매년 1회 이상 보안 코드 교육에 참여합니다. 이 교육은 OWASP 상위 10개 보안 위험, 일반적인 공격 경로 및 Zendesk 보안 제어 기능을 다룹니다.
Ruby on Rails 프레임워크 보안 제어 기능 대부분의 Zendesk 제품은 Ruby on Rails 프레임워크 보안 제어 기능을 활용하여 OWASP 상위 10개 보안 위험에 대한 노출을 제한합니다. 이러한 제어 기능은 무엇보다 XSS(Cross Site Scripting), CSRF(Cross Site Request Forgery) 및 SQLi(SQL Injection)에 대한 노출을 감소시킵니다.
품질 보증(QA) Zendesk의 QA(품질 보증) 부서는 코드 베이스를 검토하고 테스트합니다. 애플리케이션 보안 전담 엔지니어가 코드에 있는 보안 취약성을 식별, 테스트 및 선별합니다.
별도 환경 테스트 및 스테이징 환경은 프로덕션 환경과 논리적으로 분리됩니다. 개발 또는 테스트 환경에서는 실제 서비스 데이터를 사용하지 않습니다.
애플리케이션 취약성
동적 취약성 검사 Zendesk는 타사 정규 보안 도구를 이용하여 OWASP 상위 10개 보안 위험에 대해 자사 핵심 애플리케이션을 계속하여 동적으로 검사합니다. Zendesk는 전담 사내 제품 보안 팀을 운영하여 엔지니어링 팀과 협력하여 발견된 문제를 치유하도록 합니다.
정적 코드 분석 통합된 정적 분석 도구를 통해 보안 문제가 있는지 여부를 파악하기 위해 플랫폼과 모바일 애플리케이션용 소스 코드 저장소를 지속적으로 검사합니다.
보안 침투 테스트 방대한 내부 검사 및 테스트 프로그램 외에, Zendesk는 매 분기 외부 보안 전문가를 고용하여 Zendesk 제품군 내 서로 다른 애플리케이션들에 대한 상세한 침투 테스트를 수행합니다.
책임 공개/버그 바운티 프로그램 Zendesk의 책임 공개 프로그램은 HackerOne과의 제휴를 통해 고객은 물론 보안 연구자들에게 보안상 취약한 점을 안전하게 테스트하고 Zendesk에 알리는 기회를 제공합니다.

제품 보안 기능

인증 보안
인증 옵션 Support 및 Chat의 관리자/상담원을 위해서는 Zendesk 로그인을 제공하며, Zendesk Support의 경우에는 SSO 및 Google 인증을 사용 설정할 수도 있습니다.

Support 및 Chat의 최종 사용자를 위해서는 Zendesk 로그인을 지원하며, Zendesk Support의 경우에는 최종 사용자 인증에 SSO 및 소셜 미디어 SSO(Facebook, 트위터, Google)를 사용 설정할 수도 있습니다.
통합 인증(SSO) 통합 인증(SSO)을 사용하면 Zendesk Support 인스턴스에 추가 로그인 자격 증명을 입력할 필요 없이 자체 시스템에 등록된 사용자를 인증할 수 있습니다. JWT(JSON Web Token)와 SAML(Security Assertion Markup Language) 둘 다 지원됩니다. 보안 및 로그인 설정에 대해 자세히 알아보기

*SAML은 Professional 및 Enterprise 계정에서만 사용할 수 있습니다. *JWT는 Team 계정 이상에서만 사용할 수 있습니다. 
구성 가능한 비밀번호 정책 Zendesk Support/Guide에서 제공하는 비밀번호 보안 단계에는 낮음, 보통, 높음이 있으며, 상담원 및 관리자를 위한 사용자 지정 비밀번호 규칙을 설정할 수도 있습니다. 또한 Zendesk에서는 최종 사용자에 대한 비밀번호 보안 수준과 상담원과 관리자에 대한 비밀번호 보안 수준을 다르게 적용할 수 있습니다. 관리자만 비밀번호 보안 수준을 변경할 수 있습니다.

*Professional 및 Enterprise 계정에만 적용됩니다.
2단계 인증(2FA) Zendesk Support 인스턴스에서 Zendesk 로그인을 사용하는 경우 상담원과 관리자에 대해 2단계 인증(2FA)을 설정할 수 있습니다. Zendesk는 패스코드 생성을 위한 SMS 및 다양한 인증 앱을 지원합니다. 자체 환경에서 2단계 인증을 활용하여 엔터프라이즈 통합 인증을 Zendesk의 인증 방법으로 결합할 수도 있습니다. 2단계 인증은 본인 외 다른 사람이 로그인하는 것을 더 어렵게 만들어 Zendesk 계정의 보안 수준을 더욱 강화시켜 줍니다. 2단계 인증에 대해 자세히 알아보기
안전한 자격 증명 저장 Zendesk는 안전한 자격 증명 저장 성공 사례에 따라 사람이 읽을 수 있는 형식으로 비밀번호를 저장하는 일이 절대 없으며 안전하게 솔트 처리된 단방향 해시의 결과로서만 저장합니다.
API 보안 및 인증 Zendesk Support API는 TLS에서만 사용할 수 있으며 사용자 이름과 비밀번호로 기본 인증을 사용하거나, 사용자 이름과 API 토큰을 사용하여 API에 대해 인증할 수 있습니다. OAuth 인증도 지원됩니다. API 보안에 대해 자세히 알아보기
추가 제품 보안 기능
역할 기반 액세스 제어 Zendesk 애플리케이션 내 데이터에 대한 액세스에는 역할 기반 액세스 제어(RBAC)가 적용되며 세분화된 액세스 권한을 정의하도록 구성될 수 있습니다. Zendesk는 사용자(소유자, 관리자, 상담원, 최종 사용자 등)에 대해 다양한 권한 수준을 제공합니다. Support 사용자 역할사용자 액세스 및 보안에 대해 자세히 알아보기
IP 제한 정의하는 특정 IP 주소 범위에서만 액세스할 수 있도록 Zendesk Support 및 Chat을 구성할 수 있습니다. 이러한 제한은 모든 사용자에게 적용되거나 상담원에게만 적용될 수 있습니다. IP 제한 사용에 대해 자세히 알아보기

*Enterprise Support 계정과 Chat Enterprise에서만 사용할 수 있습니다.
비공개 첨부 파일 Zendesk Support에서는 사용자가 로그인해야만 티켓 첨부 파일을 볼 수 있도록 인스턴스를 구성할 수 있습니다. 이렇게 구성되어 있지 않으면 긴 무작위 토큰 티켓 ID를 통해 첨부 파일에 액세스할 수 있습니다.
전송 보안 Zendesk UI 및 API와의 모든 커뮤니케이션은 공용 네트워크 상에서 업계 표준인 HTTPS/TLS를 사용하여 암호화됩니다. 이렇게 하면 Zendesk와의 모든 트래픽을 암호화하여 전송되는 데이터를 안전하게 보호합니다. 또한 이메일의 경우, Zendesk 제품은 기본적으로 편의적 TLS를 활용합니다. TLS(Transport Layer Security)는 피어 서비스가 이 프로토콜을 지원하는 메일 서버들 간의 도청 및 스푸핑을 완화하면서 이메일을 안전하게 암호화하고 전달합니다.
이메일 서명(DKIM/DMARC) Zendesk Support는 Zendesk에 외부 이메일 도메인이 설정되어 있을 때 Zendesk의 발신 이메일에 서명하기 위해 DKIM(Domain Keys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting & Conformance)를 제공합니다. 이러한 기능을 지원하는 이메일 서비스를 사용하면 이메일 스푸핑을 멈출 수 있습니다. 이메일 디지털 서명에 대해 자세히 알아보기
장치 추적 더욱 강화된 보안을 위해 Zendesk Support 인스턴스는 각 사용자 계정에 로그인하는 데 사용된 장치를 추적합니다. 새 장치에서 계정에 로그인하면 해당 사용자 프로필의 장치 목록에 이를 추가합니다. 해당 사용자는 새 장치가 추가될 때 이메일 알림을 받을 수 있고, 활동이 의심스러운 경우 그에 따른 조치를 취해야 합니다. 의심스러운 세션은 상담원 UI에서 종료될 수 있습니다.
민감한 데이터 삭제하기 Zendesk Support 및 Chat용 삭제 기능을 사용하면 티켓 댓글, 사용자 지정 필드 및 채팅에서 민감한 데이터를 삭제하거나 제거하여 기밀 정보를 보호할 수 있습니다. 티켓의 데이터를 삭제하여 민감한 정보가 Zendesk에 저장되는 일이 없도록 합니다. 민감한 데이터 보호에 대해 자세히 알아보기

*Enterprise 계정에서만 사용할 수 있습니다.
헬프 센터의 스팸 필터 Zendesk Support는 스팸 필터링 서비스를 제공하여 최종 사용자의 스팸 게시물이 헬프 센터나 웹 포털에 게시되지 못하도록 합니다. 헬프 센터의 스팸 필터링에 대해 자세히 알아보기

규정 준수 인증 및 멤버십

보안 규정 준수
SOC 2 Type II Zendesk는 자체 SOC 2 Type II 보고서를 가지고 있으며 요청 시 NDA 하에 제공됩니다. 자세한 내용은 security@zendesk.com으로 문의하세요.
ISO 27001:2013 Zendesk는 ISO 27001:2013 인증을 받았습니다. 여기에서 인증서를 다운로드할 수 있습니다.
ISO 27018:2014 Zendesk는 ISO 27018:2014 인증을 받았습니다. 여기에서 인증서를 다운로드할 수 있습니다.
멤버십
Skyhigh Enterprise-Ready Zendesk는 CloudTrust™ 프로그램의 최고 등급인 Skyhigh Enterprise-Ready™ 인증을 받았습니다. 데이터 보호, ID 인증, 서비스 보안, 비즈니스 관행 및 법적 보호에 있어 가장 엄격한 요건을 충족하는 클라우드 서비스에 수여하는 자격입니다.
Cloud Security Alliance Zendesk는 클라우드 컴퓨팅 내 보안을 보증하기 위한 성공 사례를 사용하도록 촉구하는 사명을 가진 비영리 단체인 CSA(Cloud Security Alliance) 회원사입니다. CSA는 다양한 클라우드 컴퓨팅 오퍼링에서 제공하는 보안 제어 기능을 문서화하는 공개 명부인 STAR(Security, Trust & Assurance Registry)를 출범했습니다. Zendesk는 기업 실사 자체 평가 결과를 기준으로 공개 CAI(Consensus Assessment Initiative) 설문지를 완료했습니다.
개인정보 보호 인증
TRUSTe® 개인정보 보호 인증 프로그램 Zendesk는 자사 개인정보 보호 프로그램, 정책 및 관행이 미국과 EU 간 개인정보 보호 쉴드 및/또는 미국과 스위스 간 개인정보 보호 쉴드의 요건을 준수한다는 것을 증명했습니다. 이러한 회사는 미국 상무부가 규정한 개인정보 보호 쉴드에 대한 참여를 https://www.privacyshield.gov/list에서 자체 인증했습니다. TRUSTe는 인증에서 개인정보 보호 쉴드가 개인정보 보호 쉴드 보충 원칙의 요건에 부합함을 인증합니다.
미국과 EU 간, 그리고 미국과 스위스 간 개인정보 보호 쉴드 인증 Zendesk는 미국 상무부에 미국과 EU 간, 그리고 미국과 스위스 간 개인정보 보호 쉴드 프레임워크를 준수함을 인증했으며 상무부 자체 인증 개인정보 보호 쉴드 참여자 목록에 추가되었습니다. Zendesk는 그러한 인증을 통해 Zendesk가 유럽 및 스위스의 개인 데이터를 미국에 전송하는 데 대한 개인정보 보호 쉴드 원칙을 준수함을 확인합니다.
개인정보 보호방침 Zendesk의 개인정보 보호방침에 대해 자세히 알아보기
업계 기반 규정 준수
HIPAA Zendesk는 고객이 Zendesk 제품의 적절한 보안 구성 옵션을 활용하여 HIPAA 의무를 준수할 수 있도록 도우며, 가입자들이 사업 제휴 계약(BAA, Business Associate Agreement)을 실행할 수 있도록 합니다.

*BAA는 고급 보안 추가 기능을 구매하는 경우에만 사용할 수 있으며, 특정 Zendesk 제품에만 적용됩니다(특별한 구성 규칙이 적용됨).
PCI 환경에서 Zendesk 사용 PCI 준수에 관한 백서를 보거나 Zendesk Support의 PCI 준수 필드에 대해 자세히 알아보세요.

*Enterprise 계정이 필요합니다.

추가 보안 방법론

보안 인식
정책 Zendesk는 다양한 주제를 다루는 종합적인 보안 정책을 개발했습니다. Zendesk는 Zendesk 정보 자산에 액세스할 수 있는 모든 직원 및 계약업체와 이러한 정책을 공유하고 사용할 수 있게 합니다.
교육 모든 신입 직원은 보안 인식 교육에 참가합니다. 이 교육은 채용 시, 그리고 이후 매년 제공됩니다. 모든 엔지니어들은 연례 보안 코딩 교육을 받습니다. 보안 팀은 이메일, 블로그 게시물을 통해, 그리고 사내 행사 중 프레젠테이션을 통해 보안 인식을 고취합니다.
직원 심사
신원 조회 Zendesk는 현지 법규에 의거하여 모든 신입 지원에 대한 신원 조회를 실시합니다. 계약업자에 대해서도 이와 같은 신원 조회가 완료되어야 합니다. 신원 조회는 범죄, 교육 및 직장 경력에 대한 확인을 포함합니다. 청소 직원들 역시 신원 조회를 받습니다.
기밀 유지 계약 모든 신규 채용은 채용 절차를 통해 선별되며 비공개 및 기밀 유지 계약에 서명해야 합니다.

다운로드 가능한 보안 자료

저희 자료도 보호되어 있습니다. 액세스 권한을 얻으려면 아래의 간략한 양식을 작성해 주세요.

이름을 입력하세요.
성을 입력하세요.
올바른 이메일 주소를 입력하세요.
국가를 선택하세요.

거의 다 됐습니다. 귀사에 대해 알려주세요.

회사 이름을 입력하세요.
직원 수를 선택하세요.
업종을 선택하세요.
가끔 Zendesk 제품 및 서비스에 관한 이메일도 보내 주세요. (언제든 수신 취소할 수 있습니다.)
옵션을 선택하세요.

요청을 보냈습니다!

Zendesk 담당자 중 한 명이 곧 연락을 드릴 것입니다.

죄송합니다. 문제가 발생했습니다.

페이지를 다시 로드한 후 다시 시도하거나 support@zendesk.com으로 바로 이메일을 보내실 수 있습니다.

요청을 보내는 중입니다. 기다려 주세요.

Zendesk의 SOC 2 보고서에 액세스하려면 security@zendesk.com으로 이메일을 보내 주세요.