使用高级加密时，您可以在 Zendesk 之外管理自己的加密密钥。您可以使用以下任意受支持的密钥管理系统：AWS KMS、Azure Key 保管库、Google Cloud KMS 或 Tyles Cither Trust Manager，这是一个位于欧洲、由欧洲公司管理和托管的 KMS。

高级加密依赖于信封加密。加密时，Zendesk 会为数据块生成一个数据加密密钥 (DEK)，并请求 KMS 加密此密钥。然后它会放弃明文密钥，保留加密的密钥。

每当 Zendesk 需要访问加密数据时，都会请求 KMS 使用主密钥对数据密钥进行加密。这发生在运输途中；数据在我们的应用程序进行处理之前进入 Zendesk 时已加密，并一直保持加密状态，直到有用例需要加密为止。

数据加密不会影响专员体验。专员可继续搜索并访问其用户角色允许查看的数据。但也有一些 限制。

高级加密支持回填和加密 Zendesk 帐户中新建和现有的用户。

高级加密会加密Support中终端用户数据的以下用户字段，以及 Zendesk 中的知识和语音领域：

• 名称
• 别名
• 签名
• 详情
• 注释

上述用户字段在Zendesk Support的以下区域已加密：

• 终端用户管理
• 团队成员管理
• 工单背景信息中的用户数据（请求者、抄送、关注者、受托人）
• 组和组织成员身份
• 工单评论和电邮中的用户占位符解决方案
• 通过单点登录、 Web Widget和电邮创建用户
• 工单视图
• Support搜索
• 触发器和自行程序（业务规则）
• 通过消息传送对话创建的Support用户
• 协作快捷对话

所有与知识和语音相关的功能都将得到保护，但帮助中心的 @提及功能除外（如果激活加密，该功能将被关闭）。

高级加密是对所有 Zendesk 帐户使用的标准加密的补充。

您应注意高级加密的一些缺点。当数据加密时，您可能会遇到功能限制甚至不可用的功能。

一般限制

• 任何超出 Zendesk 数据加密中所述范围的功能（包括但不限于旧版 Chat、Sell、 质量保证、整合和移动设备）都可能被破坏，或在 UI 或 API 响应中显示加密数据。因此，Zendesk 建议您先在沙盒帐户中激活并测试高级加密，然后再在生产环境中激活。 
• 尚不支持密钥轮换。

Support限制

• 尚不支持工单共用。
• 已加密帐户将不可移动帐户区域。如果您要将数据移动到其他区域，请在激活高级加密之前请求移动。
• 激活高级加密后创建的高级沙盒环境将显示加密的复制数据。
• 条件基于终端用户名称的消息传送触发器将无法工作。

导入和导出降级

• 通过 批量操作导入程序 导入的用户不会加密，但通过 数据导入工具 添加的用户将会加密。
• 将不支持用户的 XML 导出，但支持 CSV 和 JSON 导出。

帮助中心降级

• @提及功能将关闭。

高级加密引入了一种使用客户管理密钥 (CMK) 对敏感数据进行加密的新方式。为确保 Zendesk 的功能不受影响，Zendesk 服务会在处理来自多种渠道（包括浏览器、REST API 和电邮）的请求时对敏感数据进行加密。Zendesk 保证纯文本数据永远不会存储在永久存储中，仅保留满足请求所需的最短时间。

以下项目是当前的例外情况：

• 网关 (Nginx + Cloudflare) 存储公开帮助中心页面，其中可能包含用户个人资料数据，最长持续三分钟。
• 出站电邮在通过简单邮件传输协议 (SMTP) 发送之前，会暂时存储电邮正文。
• 入站电邮的 原始电邮正文 将在工单或评论创建后予以维护，并为其他协作功能提供支持。
• Explore 用户数据集以明文存储。
• 批量导入和导出的文件会以纯文本格式暂时存储 30 天。文件将在 30 天后删除。
• Sunshine Conversations数据存储区中的用户数据以明文存储。（已涵盖Support数据存储区。）
• 实时服务中的用户数据（例如专员在线状态和呼叫控制台）以明文形式保留最多 7 天，以支持专员 UI 的操作。
• 专员和管理员用户数据将以明文显示，用于客户销售和支持案例，以便为客户提供帮助。