Zope verfügt über ein ausgefeiltes Sicherheitssystem, mit dem sowohl die Rechte anonymer Benutzer (d.h. Besucher der Webseite) als auch authentifizierter Benutzer verwaltet werden können.
Man kann die in Zope integrierte Benutzerverwaltung verwenden oder die korrekte Anmeldung von Benutzern durch eine externe Datenquelle (Datenbank, LDAP) überprüfen.
Benutzer besitzen in Zope nicht nur eine Identität, sondern auch Rollenzugehörigkeiten. Der Zugriff auf Objekte wird über die Rollen gesteuert.
Scripte, die in Zope ausgeführt werden, verfügen nur über die Schnittmenge der Rechte des Script-Autors und des Betrachters der Webseite. Dadurch werden unberechtigte Aktionen verhindert. Der Autor kann allerdings für Scripte sog. Proxy-Rollen vergeben (nur die Rollen, die er selbst hat); das entspricht etwa einem suid-Bit in UNIX, das Script verfügt dann über die Rechte dieser Rolle.
Die Sicherheitseinstellungen eines Verzeichnisses werden an die Unterverzeichnisse weitervererbt, so wie es auch der .htaccess-Mechanismus in Apache realisiert. Damit können auf oberste Ebene allgemeine Einstellungen festgelegt werden, die nur von berechtigten Personen in Unterverzeichnissen überschrieben werden können.