안전한 고객 서비스

Zendesk 보안

100,000명 이상의 고객들이 데이터 관리에 있어 Zendesk를 신뢰합니다. Zendesk는 이러한 사실을 중요하게 여겨 애플리케이션, 시스템 및 네트워크의 종합적인 감사와 함께 엔터프라이즈급 보안 기능을 결합하여 고객과 비즈니스 데이터를 항상 안전하게 보호해 줍니다. Zendesk 고객은 자신들의 정보가 안전하고, 상호 작용의 보안이 유지되며, 비즈니스가 보호받는다는 사실을 알고 있으므로 안심합니다.

데이터 센터 및 네트워크 보안

물리적 보안
시설 Zendesk 서버는 Tier IV 또는 III+, SSAE-16, PCI DSS, 또는 ISO 27001 표준을 준수하는 시설에서 호스팅됩니다. Zendesk가 사용하는 공간은 다른 데이터 센터 고객과 물리적, 논리적으로 분리되어 있습니다. 데이터 센터 시설에는 각각 UPS와 백업 발전기를 갖춘 중복 전원이 공급됩니다.
현장 보안 Zendesk의 데이터 센터 시설은 여러 수준의 보안 영역, 24/7 인력 배치 보안, CCTV 비디오 감시, 생체 인식 액세스 제어장치와 함께 여러 단계에 걸친 신원 확인, 물리적 잠금 및 보안 침입 시 경보 시스템을 갖춘 보안 경계 내에 있습니다.
모니터링 Zendesk 직원이 모든 프로덕션 네트워크 시스템, 네트워크로 연결된 장치 및 회로를 계속하여 모니터링하며 논리적으로 관리합니다. 공동 배치 장소나 Amazon 서비스를 벗어난 물리적 보안, 전원 및 인터넷 연결은 시설 제공업체에서 모니터링합니다.
위치 Zendesk는 미국, 유럽 및 일본에 있는 데이터 센터를 활용합니다. 고객은 서비스 데이터를 미국에만 저장할지 또는 유럽에만 저장할지 선택할 수 있습니다(Zendesk Chat의 데이터는 현재 유럽에만 저장 가능). Zendesk의 EU 데이터 호스팅 정책에 대해 자세히 알아보기*데이터 센터 위치 추가 기능 구입 시에만 사용 가능
네트워크 보안
전담 보안 팀 전 세계에 분산된 Zendesk 보안 팀은 24/7 대기 상태로 보안 경고 및 이벤트에 대처합니다.
보호 Zendesk의 네트워크는 중복 방화벽, 동급 최고의 라우터 기술, 공용 네트워크 상의 보안 HTTPS 전송, 정기적 감사 및 악성 트래픽과 네트워크 공격을 모니터링 및 차단하는 네트워크 침입 감지 및/또는 예방 기술(IDS/IPS)로 보호를 받습니다.
아키텍처 Zendesk의 네트워크 보안 아키텍처는 여러 보안 영역으로 구성되어 있습니다. 데이터베이스 서버와 같은 보다 민감한 시스템은 가장 신뢰 받는 영역에서 보호를 받습니다. 다른 시스템들은 기능, 정보 분류, 위험에 따라 해당 민감도에 알맞은 영역에 수용됩니다. 영역에 따라 추가적인 보안 모니터링 및 액세스 제어가 적용됩니다. 인터넷 사이에서, 그리고 내부적으로는 서로 다른 신뢰 영역들 사이에서 DMZ를 활용합니다.
네트워크 취약성 검사 네트워크 보안 검사를 통해 규정 비준수 또는 취약 가능성이 있는 시스템을 신속하고 철저하게 파악할 수 있습니다.
제3자의 침투 테스트 방대한 내부 검사 및 테스트 프로그램 외에, Zendesk는 매년 외부 보안 전문가를 고용하여 Zendesk 프로덕션 네트워크 전반에 걸쳐 광범위한 침투 테스트를 수행합니다.
SIEM(Security Incident Event Management) Zendesk의 SIEM(Security Incident Event Management) 시스템은 중요한 네트워크 장치와 호스트 시스템으로부터 방대한 로그를 수집합니다. SIEM은 조사 및 응답을 위해 관련 이벤트를 기준으로 보안 팀에 알리는 트리거를 생성합니다.
침입 감지 및 예방 침입 감지 시스템(IDS, Intrusion Detection System)이나 침입 예방 시스템(IPS, Intrusion Prevention System)은 주요 애플리케이션 데이터 흐름 수신 및 송신 지점을 모니터링합니다. 이러한 시스템은 사건과 값이 미리 결정된 임계값을 초과할 때 경고를 생성하도록 구성되며 새로운 위협을 기준으로 주기적으로 업데이트된 서명을 사용합니다. 또한 24/7 시스템 모니터링을 포함합니다.
위협 인텔리전스 프로그램 Zendesk는 여러 위협 인텔리전스 공유 프로그램에 참여하여 그러한 위협 인텔리전스 네트워크에 게시된 위협을 모니터링하며 Zendesk의 위험 및 노출에 따라 필요한 조치를 취합니다.
DDoS 완화 Zendesk는 자체 역량과 도구 외에 필요에 따라 DDoS 스크러빙 제공업체와 계약하여 DDoS(Distributed Denial of Service) 공격을 완화합니다.
논리적 액세스 Zendesk 프로덕션 네트워크에 대한 액세스는 꼭 필요한 경우에 한해 명확하게 제한되며, 최소 권한을 이용하며, 수시로 감사 및 모니터링되며, Zendesk 운영 팀의 통제를 받습니다. Zendesk 프로덕션 네트워크에 액세스하는 직원은 여러 단계의 인증을 사용해야 합니다.
보안 사고 대응 시스템 경고가 있는 경우, 운영, 네트워크 엔지니어링 및 보안 담당을 하는 24/7 팀에 이벤트가 접수됩니다. 직원들은 커뮤니케이션 채널 및 접수 경로를 포함한 보안 사고 대응 절차에 관한 교육을 받습니다.
암호화
전송 중 데이터 암호화 Zendesk Support 및 Chat 서버와의 통신은 공용 네트워크를 통해 업계 최고로 인정받는 HTTPS 및 TLS(Transport Layer Security)를 통해 암호화됩니다. 이메일 암호화에도 TLS를 사용합니다.
저장된 데이터 암호화 첨부 파일의 오프사이트 보관 및 일일 전체 백업을 위해 저장된 데이터를 암호화하여 모든 Zendesk Support 및 Chat 고객에게 최고 수준의 보안을 제공합니다. 기본 및 보조 DR 데이터 저장소의 암호화를 원하는 Support 고객은 고급 보안 추가 기능을 구매해야 합니다. 저장된 Chat 서비스 데이터의 암호화 보장 기능 역시 구매 가능합니다.
가용성 및 연속성
가동 시간 Zendesk는 공개된 시스템 상태 웹페이지를 유지하는데, 여기에는 시스템 가용성 세부 정보, 예약된 유지 관리, 서비스 사고 내역 및 관련 보안 이벤트가 포함됩니다.
중복성 Zendesk는 서비스 클러스터링 및 네트워크 중복성을 통해 단일 실패 지점을 없애줍니다. Zendesk의 엄격한 백업 제도는 기본 및 보조 DR 시스템과 시설 전반에 걸쳐 서비스 데이터 실시간 복제를 보장합니다. 또한 Zendesk의 동일 장소 배치 데이터베이스는 데이터베이스 클러스터당 여러 개의 서버가 있는 효율적인 플래시 메모리 장치에 저장됩니다.
재해 복구 Zendesk의 재해 복구(DR) 프로그램은 재해 시에도 Zendesk 서비스를 계속 사용할 수 있거나 쉽게 복구할 수 있도록 보장합니다. 이는 강력한 기술 환경 구축, 재해 복구 계획 작성 및 테스트를 통해 수행됩니다.
향상된 재해 복구 향상된 재해 복구 기능으로 서비스 데이터를 포함한 전체 운영 환경을 보조 사이트에 복제하여 기본 사이트를 전혀 사용할 수 없게 되었을 때 해당 사이트에서 서비스를 다시 시작할 수 있도록 지원합니다. RTO 및 RPO 보장이 필요한 경우 고급 보안 추가 기능을 통해 이용 가능합니다. *고급 보안 추가 기능을 포함한 Support 플랜 구입 시 Chat에서만 사용 가능

애플리케이션 보안

보안 개발(SDLC)
보안 교육 엔지니어들은 매년 1회 이상 보안 코드 교육에 참여합니다. 이 교육은 OWASP 상위 10개 보안 결함, 일반적인 공격 경로 및 Zendesk 보안 제어 기능을 다룹니다.
Ruby on Rails 프레임워크 보안 제어 기능 Zendesk Support는 Ruby on Rails 프레임워크 보안 제어 기능을 활용하여 OWASP 상위 10개 보안 결함에 대한 노출을 제한합니다. 여기에는 무엇보다 XSS(Cross Site Scripting), CSRF(Cross Site Request Forgery) 및 SQLi(SQL Injection)에 대한 노출을 감소시키는 제어 기능이 포함되어 있습니다.
품질 보증(QA) Zendesk의 QA 부서는 코드 베이스를 검토하고 테스트합니다. 여러 명의 애플리케이션 보안 전담 엔지니어가 코드에 있는 보안상 취약한 점을 식별, 테스트 및 분류합니다.
별도 환경 테스트 및 스테이징 환경은 프로덕션 환경과 물리적, 논리적으로 분리됩니다. 개발 또는 테스트 환경에서는 실제 서비스 데이터를 사용하지 않습니다.
애플리케이션 취약성
동적 취약성 검사 Zendesk는 다양한 타사 정규 보안 도구를 이용하여 자사 Support 및 Chat 애플리케이션에 OWASP 상위 10개 보안 결함에 해당하는 것이 없는지 계속하여 동적으로 검사합니다. Zendesk는 전담 사내 제품 보안 팀을 운영하여 엔지니어링 팀과 협력하여 발견된 문제를 치유하도록 합니다.
정적 코드 분석 통합된 분석 도구를 통해 보안 문제가 있는지 여부를 파악하기 위해 Zendesk Support의 플랫폼과 모바일 애플리케이션용 소스 코드 저장소를 지속적으로 검사합니다.
보안 침투 테스트 방대한 내부 검사 및 테스트 프로그램 외에, Zendesk는 매 분기 외부 보안 전문가를 고용하여 Zendesk 제품군 내 서로 다른 애플리케이션들에 대한 상세한 침투 테스트를 수행합니다.
책임 공개/버그 바운티 프로그램 Zendesk의 책임 공개 프로그램은 HackerOne과의 제휴를 통해 보안 연구자들에게 보안상 취약한 점을 안전하게 테스트하고 Zendesk에 알리는 기회를 제공합니다.

제품 보안 기능

보안 개발(SDLC)
인증 옵션

Support 및 Chat의 관리자/상담원을 위해서는 Zendesk 로그인을 제공하며, Zendesk Support의 경우에는 SSO 및 Google 인증을 사용 설정할 수도 있습니다.

Support 및 Chat의 최종 사용자를 위해서는 Zendesk 로그인을 지원하며, Zendesk Support의 경우에는 최종 사용자 인증에 SSO 및 소셜 미디어 SSO(Facebook, 트위터, Google)를 사용 설정할 수도 있습니다.

통합 인증(SSO) 통합 인증(SSO)을 사용하면 Zendesk Support 인스턴스에 추가 로그인 자격 증명을 입력할 필요 없이 자체 시스템에 등록된 사용자를 인증할 수 있습니다. JWT(JSON Web Token)와 SAML(Security Assertion Markup Language) 둘 다 지원됩니다. 통합 인증(SSO)에 대해 자세히 알아보기 *SAML은 Professional 및 Enterprise 계정에서만 사용할 수 있습니다.*JWT는 Team 계정 이상에서만 사용할 수 있습니다.
구성 가능한 비밀번호 정책 Zendesk Support에서 제공하는 비밀번호 보안 단계에는 낮음, 보통, 높음이 있으며, 상담원 및 관리자를 위한 사용자 지정 비밀번호 규칙을 설정할 수도 있습니다. Zendesk는 최종 사용자에 대한 비밀번호 보안 수준을 설정하고, 관리자와 상담원에 대해 다른 비밀번호 보안 수준을 설정할 수 있게 합니다. 관리자만 비밀번호 보안 수준을 변경할 수 있습니다. *Professional 및 Enterprise 계정에만 적용됩니다.
2단계 인증(2FA) Zendesk Support 인스턴스에서 Zendesk 로그인을 사용하는 경우 상담원과 관리자에 대해 2단계 인증(2FA)을 설정할 수 있습니다. Zendesk는 SMS 및 패스코드 생성을 위한 AuthyGoogle Authenticator 같은 앱을 지원합니다. 2FA는 본인 외 다른 사람이 로그인하는 것을 더 어렵게 만들어 Zendesk 계정의 보안 수준을 더욱 강화시켜 줍니다. 2FA에 대해 자세히 알아보기
안전한 자격 증명 저장 Zendesk는 안전한 자격 증명 저장 성공 사례에 따라 사람이 읽을 수 있는 형식으로 비밀번호를 저장하는 일이 절대 없으며 안전하게 솔트 처리된 단방향 해시의 결과로서만 저장합니다.
API 보안 및 인증 Zendesk Support API는 SSL에서만 사용할 수 있으며 인증된 사용자만이 API 요청을 할 수 있습니다. 사용자 이름과 비밀번호로 기본 인증을 사용하거나, 사용자 이름과 API 토큰을 사용하여 API에 대해 인증할 수 있습니다. OAuth 인증도 지원됩니다. API 보안에 대해 자세히 알아보기
추가 제품 보안 기능
액세스 권한 및 역할 Zendesk Support 및 Chat 내 데이터에 대한 액세스는 액세스 권한으로 결정되며 세분화된 액세스 권한을 정의하도록 구성될 수도 있습니다. Zendesk는 사용자(소유자, 관리자, 상담원, 최종 사용자 등)에 대해 다양한 권한 수준을 제공합니다. 액세스 수준에 대해 자세히 알아보기
IP 제한 정의하는 특정 IP 주소 범위에서만 액세스할 수 있도록 Zendesk Support 및 Chat을 구성할 수 있습니다. 이러한 제한은 모든 사용자에게 적용되거나 상담원에게만 적용될 수 있습니다. IP 제한 사용에 대해 자세히 알아보기 *Professional 및 Enterprise Support 계정과 Premium Chat에서만 사용할 수 있습니다.
비공개 첨부 파일 Zendesk Support에서는 사용자가 로그인해야만 티켓 첨부 파일을 볼 수 있도록 인스턴스를 구성할 수 있습니다. 이렇게 구성되어 있지 않으면 긴 무작위 토큰 티켓 ID를 통해 첨부 파일에 액세스할 수 있습니다.
전송 보안 Zendesk 서버와의 모든 커뮤니케이션은 공용 네트워크 상에서 업계 표준인 HTTPS를 사용하여 암호화됩니다. 이렇게 하면 Zendesk와의 모든 트래픽을 암호화하여 전송되는 데이터를 안전하게 보호합니다. 이메일의 경우, Zendesk의 제품은 메일 서버들 간의 도청 및 스푸핑을 완화하면서 이메일을 안전하게 암호화하고 전달하는 프로토콜인 TLS(Transport Layer Security)를 지원합니다.
이메일 서명(DKIM/DMARC) Zendesk Support는 Zendesk에 외부 이메일 도메인이 설정되어 있을 때 Zendesk의 발신 이메일에 서명하기 위해 DKIM(Domain Keys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting & Conformance)를 제공합니다. 이러한 기능을 지원하는 이메일 서비스를 사용하면 이메일 스푸핑을 멈출 수 있습니다. 이메일 디지털 서명에 대해 자세히 알아보기
장치 추적 더욱 강화된 보안을 위해 Zendesk Support 인스턴스는 각 사용자 계정에 로그인하는 데 사용된 장치를 추적합니다. 새 장치에서 계정에 로그인하면 해당 사용자 프로필의 장치 목록에 이를 추가합니다. 해당 사용자는 새 장치가 추가될 때 이메일 알림을 받을 수 있고, 활동이 의심스러운 경우 그에 따른 조치를 취해야 합니다.
자동 편집 Zendesk Support용 자동 편집을 사용하면 티켓 댓글이나 사용자 지정 필드에서 발견된 신용카드 번호의 숫자를 편집하거나 제거하여 비밀 정보를 보호할 수 있으며, 수신 티켓의 데이터를 편집하여 신용카드 번호 전체가 Zendesk에 저장되는 일이 없도록 합니다. 편집 도구에 대해 자세히 알아보기 *Enterprise 계정에서만 사용할 수 있습니다.
헬프 센터 및 웹 포털의 스팸 필터 Zendesk Support는 스팸 필터링 서비스를 제공하여 최종 사용자의 스팸 게시물이 헬프 센터나 웹 포털에 게시되지 못하도록 합니다. 헬프 센터의 스팸 필터링웹 포털의 스팸 필터링에 대해 자세히 알아보기

규정 준수 인증 및 멤버십

보안 규정 준수
SOC 2 Type II Zendesk는 자체 SOC 2 Type II 보고서를 가지고 있으며 요청 시 NDA 하에 제공됩니다. 자세한 내용은 [email protected]으로 문의하세요.
ISO 27001:2013 Zendesk는 ISO 27001:2013 인증을 받았습니다.
ISO 27018:2014 Zendesk는 ISO 27018:2014 인증을 받았습니다.
멤버십
Skyhigh Enterprise-Ready Zendesk는 CloudTrust™ 프로그램의 최고 등급인 Skyhigh Enterprise-Ready™ 인증을 받았습니다. 데이터 보호, ID 인증, 서비스 보안, 비즈니스 관행 및 법적 보호에 있어 가장 엄격한 요건을 충족하는 클라우드 서비스에 수여하는 자격입니다.
Cloud Security Alliance Zendesk는 클라우드 컴퓨팅 내 보안을 보증하기 위한 성공 사례를 사용하도록 촉구하는 사명을 가진 비영리 단체인 CSA(Cloud Security Alliance) 회원사입니다. CSA는 다양한 클라우드 컴퓨팅 오퍼링에서 제공하는 보안 제어 기능을 문서화하는 공개 명부인 STAR(Security, Trust & Assurance Registry)를 출범했습니다. Zendesk는 기업 실사 자체 평가 결과를 기준으로 공개 CAI(Consensus Assessment Initiative) 설문지를 완료했습니다.
개인정보 보호 인증
TRUSTe® 개인정보 보호 인증 프로그램 Zendesk는 자사 개인정보 보호방침 및 관행의 TRUSTe 프로그램 준수 여부를 평가받았고 이를 증명하는 TRUSTe의 개인정보 보호 인증을 받았습니다. 유효성 검사 페이지에서 확인하실 수 있습니다.
미국과 EU 간 개인정보 보호 쉴드 및 미국과 스위스 간 세이프 하버 프로그램 Zendesk는 미국 상무부에서 정한 대로 미국과 EU 간 개인정보 보호 쉴드(Privacy Shield) 및 미국과 스위스 간 세이프 하버(Safe Harbor) 프로그램을 준수한다는 사실을 입증했습니다.
개인정보 보호방침 Zendesk의 개인정보 보호방침에 대해 자세히 알아보기
업계 기반 규정 준수
HIPAA Zendesk는 HIPAA/HITECH 평가를 성공적으로 완료했으며 가입자들이 사업 제휴 계약(BAA, Business Associate Agreement)을 실행하도록 할 수 있습니다. *BAA는 고급 보안 추가 기능을 구매하는 경우에만 사용할 수 있으며, 특정 Zendesk 제품에만 적용됩니다(특별한 구성 규칙이 적용됨).
PCI 환경에서 Zendesk 사용 PCI 준수에 관한 백서를 보거나 Zendesk Support의 PCI 준수 필드에 대해 자세히 알아보세요.*Enterprise 계정이 필요합니다.

추가 보안 방법론

보안 인식
정책 Zendesk는 다양한 주제를 다루는 종합적인 보안 정책을 개발했습니다. Zendesk 정보 자산에 액세스할 수 있는 모든 직원 및 계약업체와 이러한 정책을 공유하고 사용할 수 있게 합니다.
교육 모든 신입 직원은 보안 인식 교육에 참가합니다. 이 교육은 채용 시, 그리고 이후 매년 제공됩니다. 모든 엔지니어들은 연례 보안 코딩 교육을 받습니다. 보안 팀은 이메일, 블로그 게시물을 통해, 그리고 사내 행사 중 프레젠테이션을 통해 보안 인식을 고취합니다.
직원 심사
신원 조회 Zendesk는 현지 법규에 의거하여 모든 신입 지원에 대한 신원 조회를 실시합니다. 계약업자에 대해서도 이와 같은 신원 조회가 완료되어야 합니다. 신원 조회는 범죄, 교육 및 직장 경력에 대한 확인을 포함합니다. 청소 직원들 역시 신원 조회를 받습니다.
기밀 유지 계약 모든 신규 채용은 채용 절차를 통해 선별되며 비공개 및 기밀 유지 계약에 서명해야 합니다.