2025 年 8 月,一家领先的人力资源和财务管理软件提供商 Workday,遭受了一次针对第三方客户关系管理(CRM)系统的社会工程攻击。该事件暴露了公司的业务联系信息,包括姓名、电子邮件和电话号码。
同月,谷歌的 250 万条客户数据记录在其 CRM 系统上遭受了类似的攻击。世界上最有力的 IT 公司之一成为了一次语音网络钓鱼事件的受害者,导致此次事件。
在那个时期,美国领先的保险公司 Farmers Insurance 也遭受了一次攻击,影响了其客户群中的 110 万成员。该公司在一份声明中确认,未经授权的参与者访问了一个包含敏感客户信息的第三方数据库。
这些都是来自不同地区和不同行业的公司,服务于广泛不同的客户群体——但它们都有一个共同点:在每种情况下,它们的 CRM 系统都为恶意行为者提供了进入其敏感系统的途径,转储数百万条记录,并以此勒索赎金。
安全和 Zoho CRM
安全是我们基因中的核心。虽然我们不断采取措施改进产品功能,以满足客户不断变化的动态需求,但我们确保每个发送的构建、每个发布的功能以及每个新的更改都以安全为核心——包括 Zoho CRM。
我们的产品架构以安全为首要原则,这意味着我们的客户可以信任我们能够保护他们的数据安全,同时使其便于轻松进行业务使用。
在其基础上,Zoho CRM 受到多层安全保护——这种做法通过预防性控制、持续监控和严格的访问治理消除了数据风险。
在基础设施层面,Zoho CRM 运行在安全、全球分布式的数据中心上,具有强大的物理和网络保护。数据在静止和传输过程中都受到保护,以确保在操作期间保护客户的敏感数据。定期的安全审计、漏洞评估以及遵守全球标准,确保 Zoho CRM 的平台保持安全和可靠,使其成为适合各种规模的企业和业务的理想选择。Zoho 遵守 SOC 2、ISO 27001 等全球标准,以及多个行业特定的认证。

在产品层面,Zoho 的多租户架构强调细粒度的访问控制、身份验证和可追溯性,以确保其数据安全。基于职位的访问控制、基于角色的权限以及字段级别的访问限制,加上安全的数据共享规则,都确保用户只能执行他们被授权在模块和字段级别进行的操作(查看、创建、编辑或删除记录)。Zoho CRM 系统中执行的每个操作都会被记录下来,用于使用情况监控和异常检测,通过详细的审计跟踪。这使组织能够在维护组织政策的同时执行安全措施。 安全:这是 Zoho 和其客户之间的共同责任
作为供应商,Zoho 会尽最大努力确保您的数据安全,但安全是供应商和客户共同的责任。特别是在面对钓鱼攻击、复杂的社会工程学攻击、勒索软件和恶意软件攻击等高级威胁攻击时。
威胁行为者采用多种策略来获取其目标系统的访问权限,并且通常会部署一系列攻击策略。在所描述的示例中,语音钓鱼——即威胁行为者致电部分组织的 CRM 用户,冒充 IT 助理——被用来让用户执行可能危及其数据安全的操作。另一种流行的策略是让用户连接未经授权的应用程序或将恶意软件插入其 CRM 系统,这随后会将数据从 CRM 系统以小批量窃取。
此类攻击需要我们、供应商以及作为客户的您共同制定联合行动计划,以保护您的数据免受攻击和威胁。以下是组织可以在用户端采用的一些关键安全功能和最佳实践,以确保完整的数据安全。
使用多因素认证 (MFA) 来加强您的 CRM 访问权限
凭证填充和密码喷洒是自动化网络攻击中最普遍的形式,部分原因是密码的频繁重用以及弱身份验证协议的使用。单独的密码攻击和成功率令人放心地保持在约 0.1%到 2%之间。然而,考虑到机器人可以发起的大规模攻击,这些成功率可以高达 40%。
一种简单而有效的方法来保护您的数据免受与凭证相关的攻击,就是使用基于时间的单次密码(TOTP)的多因素认证来保护它们。除了使用强密码并且从不重复使用密码之外,MFA 为您的数据提供了额外的安全层。Zoho 提供了 OAuth 支持,其名为 Zoho OneAuth 的自有应用程序。通过 API 的访问也通过基于 OAuth 的认证机制来保护您的数据。如果您加入了 Zoho 应用生态系统,Zoho 还支持使用 SAML 等行业标准进行单点登录(SSO)。
在销售中,外部合作伙伴、第三方或供应商通常需要访问您 CRM 系统中的某些信息。Zoho CRM 提供安全的客户门户,非组织成员的外部用户可以通过 OAuth 和 SSO 等身份验证机制安全地访问您的系统。
遵循最小权限原则:仅授予用户他们需要的数据访问权限
一位新加入的销售代表在入职第一周不需要访问高价值交易的详细信息。一个区域的销售经理——比如亚太地区——不需要访问另一个区域的客户历史记录。实施严格的访问控制,并确保用户只能访问完成他们任务所需的数据。超出这个范围会损害您的数据安全,并将敏感数据暴露给未知的威胁;而不足则会阻碍生产力,迫使您的客服去寻求他们完成工作所需的数据访问权限。
Zoho CRM 提供基于角色和基于职位的访问控制——RBAC 模型——以确保您的数据保持安全。基于职位的用户权限限制与销售代表、区域经理、分支经理、副总裁、总监和首席执行官等职位相关的用户访问。粒度权限级别还定义了用户是否可以查看同事的数据。
使用基于角色的权限来限制用户对特定模块的访问。也就是说,选择并限制用户在每个模块中可以执行的操作,例如创建、查看、编辑或删除记录。Zoho CRM 的基于角色的权限帮助您避免赋予每个 CRM 用户完全的权限,同时确保他们可以访问并执行其活动而不影响生产力。
Zoho CRM 的访问权限还提供字段级权限,您可以根据与特定角色关联的用户确定他们是否可以访问—创建、编辑、查看或删除—CRM 中任何模块的特定字段。例如,如果您在 Leads 模块中存储了客户的信用卡信息,您可以隐藏该字段,以便 CRM 用户(您的销售代理)无法访问该字段。
实施基于 IP 的限制以防止未经授权的访问
当您将应用程序的访问限制在一系列 IP 地址时,您将自动保护您的系统免受未经授权的访问和网络钓鱼尝试。来自其他国家或不同网络的字段销售代理可以通过使用 VPN 来访问 CRM 系统来确保其连接的安全性。这确保了全面的安全性,并保护您免受未经验证和不信任的 IP 访问。您可以实施一个额外的步骤,其中从未知 IP 地址连接的系统被要求验证其身份并对其访问进行身份验证,作为额外的安全层。
使用审计日志跟踪用户活动
尽管已实施严格的访问控制和协议来保护您的数据安全,但您可能希望保留您 CRM 应用程序中所有活动的记录。Zoho CRM 通过审计日志功能,让您能够实现这一点,该功能是应用程序中所有操作的详细、带时间戳的事件历史记录,包括用户执行的活动、管理操作和关键系统事件,按时间顺序排列。您可以跟踪记录创建、记录修改、审批提交、工作流创建以及批量活动,如批量记录更新、删除和导出。
为了方便访问,用户可以按执行的操作筛选审计日志。这样,用户可以根据模块、用户、操作类型或选定日期范围来筛选审计日志中的条目。
所有用户都可以访问审计日志。但是,每个用户只能查看自己的审计轨迹,而不能查看其他用户的审计日志。管理员用户将拥有对审计日志的完全访问权限,并且还可以导出它们。Zoho CRM 中的审计日志将保留长达三年。
设计安全:Zoho CRM 中的租户隔离
当我们说隐私和安全是 Zoho 的核心构建的一部分时,这意味着当您依赖我们的云基础设施时,我们强大的模型确保基础设施为效率而共享,而您的数据仍然安全。
在 Zoho CRM 中,租户隔离是我们安全运营的核心部分。该平台采用多租户模式,并具有严格的数据逻辑隔离,以确保每个组织的数据保持安全地分离。即使在共享的数据库基础设施中,访问也通过我们的共享模型进行管理,因此一个租户的数据完全隔离且对其他租户不可访问。这种方法使企业能够高效扩展,同时保持强大的数据隐私和安全边界。 Zoho CRM:认证和独立审计
Zoho CRM 拥有业界认可的认证,包括 ISO/IEC 27001、ISO/IEC 27017 和 ISO/IEC 27018,并且我们接受 SOC 2 Type II 独立审计。这些认证验证了 Zoho 的云安全控制和信息安全管理体系,并确保对个人身份信息(PII)的保护。
Zoho 还遵守全球隐私法规,如 GDPR,以及行业特定法规,如 HIPAA。Zoho 接受认证审计机构和第三方进行的定期外部审计,以评估和验证我们的安全和隐私状况。
Zoho CRM:值得信赖的安全保障
在 Zoho CRM 中,安全不是事后考虑的问题,而是嵌入在整个 CRM 平台中的层次结构。从访问控制到监控和合规准备,Zoho CRM 旨在每个步骤中保护您的数据,同时不牺牲可用性。随着组织规模的扩大和增长,这种以安全为先的方法确保团队可以自信地运营,知道他们的数据是安全的、受管理的,并且始终处于他们的控制之下。