Atendimento ao cliente seguro

Atenda as bases

A Zendesk leva a segurança muito a sério, basta perguntar às diversas empresas da Fortune 100 e Fortune 500 que confiam em nós para cuidarmos de seus dados. Combinamos recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para garantir a proteção contínua de seus dados e a tranquilidade de todos os clientes, incluindo os nossos.

Certificações de conformidade e associações

Usamos práticas recomendadas e padrões do setor para atingir a conformidade com as estruturas gerais de segurança e privacidade aceitas pelo setor, que ajudam nossos clientes a cumprir seus próprios padrões de conformidade.

Conformidade de segurança
SOC 2 Tipo II

Nós passamos por auditorias de rotina para receber relatórios SOC Tipo II atualizados, que estão disponíveis mediante solicitação e nos termos de um acordo de não ivulgação (NDA). O último relatório do SOC 2 Tipo II pode ser solicitado aqui.

ISO 27001:2013

A Zendesk tem certificação ISO 27001:2013. O certificado está disponível para download aqui.

ISO 27018:2014

A Zendesk tem certificação ISO 27018:2014. O certificado está disponível para download aqui.

LI-SaaS do FedRAMP

O Zendesk tem autorização de Software como serviço de baixo impacto (LI-SaaS) da FedRAMP e está anunciado no Marketplace da FedRAMP. Clientes de agências governamentais dos EUA podem solicitar acesso ao Pacote de segurança da FedRAMP da Zendesk preenchendo um Formulário de solicitação de acesso ao pacote aqui ou enviando uma solicitação para fedramp@zendesk.com.

Conformidade com base no setor
HIPAA

Nós ajudamos os clientes a cumprirem as obrigações da HIPAA aproveitando as opções apropriadas de configuração de segurança nos produtos da Zendesk. Além disso, disponibilizamos nosso Business Associate Agreement (Contrato de associação comercial) (BAA) para ser assinado.

*BAA disponível apenas com a compra do complemento Conformidade avançada e aplica-se apenas a alguns produtos Zendesk (aplicam-se requisitos especiais de configuração).

PCI DSS

Consulte nosso whitepaper sobre a conformidade com PCI ou saiba mais sobre nosso campo em conformidade com PCI para o Zendesk Support.

*Conta empresarial obrigatória

Clique aqui para obter nosso Atestado de conformidade (AoC) com PCI e Certificado de conformidade.

HDS

A certificação HDS valida que a Zendesk garante confidencialidade, integridade e disponibilidade dos dados aos seus clientes e parceiros. A Zendesk trabalhou com um auditor independente para obter a certificação. Nós ajudamos os clientes a lidarem com os requisitos HDS ao proporcionarmos opções apropriadas de configuração de segurança em determinados produtos da Zendesk (requisitos especiais de configuração são aplicáveis). Além disso, temos uma apresentação da HDS para nossos assinantes.

FSQS

A Zendesk satisfez todos os requisitos (Estágio 1 e Estágio 2) para concluir o registro no Sistema de Qualificação de Serviços Financeiros (FSQS, Financial Services Qualification System), conforme estabelecido pelas organizações compradoras participantes. O certificado do FSQS mais recente pode ser solicitado aqui.

Para saber mais sobre o FSQS, consulte https://hellios.com/fsqs/.

Associações
Skyhigh Enterprise-Ready

O Zendesk recebeu o selo Skyhigh Enterprise-Ready™, a mais alta classificação do programa CloudTrust™. Ele é concedido a serviços na nuvem que satisfazem completamente os requisitos mais restritos de proteção de dados, verificação de identidade, segurança de atendimento, práticas comerciais e proteção jurídica.

Cloud Security Alliance

A Zendesk é membro da Cloud Security Alliance (CSA), uma organização sem fins lucrativos com a missão de promover o uso de práticas recomendadas para fornecer garantia de segurança em computação em nuvem. A CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. Concluímos um questionário de iniciativa de avaliação do consenso (CAI) disponível publicamente, com base nos resultados de nossa autoavaliação de due diligence.

O CSA CAIQ está disponível para download aqui.

IT-ISAC

A Zendesk é membro do IT-ISAC, um grupo focado em reunir um conjunto diversificado de empresas do setor privado, comprometidas com a segurança e evolução da tecnologia. O IT-ISAC permite a colaboração e o compartilhamento de informações e práticas relevantes e acionáveis sobre ameaças. Ele modera grupos de interesses especiais que se concentram em Inteligência, Ameaça interna, Segurança física e outras áreas específicas para ajudar a avançar nossa missão de proteger os produtos Zendesk.

FIRST

A Zendesk é membro da FIRST, uma confederação internacional de equipes de resposta a incidentes que lidam cooperativamente com incidentes de segurança em informática e promovem programas de prevenção a eles. Os membros da FIRST desenvolvem e compartilham informações técnicas, ferramentas, metodologias, processos e práticas recomendadas. Como membro da FIRST, a equipe de Segurança da Zendesk trabalha com outros membros para aproveitar seus conhecimentos, habilidades e experiência combinados e promover um ambiente eletrônico global mais seguro.

Certificações de privacidade e proteção de dados
Política de privacidade
Recursos legais

Para obter informações sobre nossos termos legais e de privacidade, visite:

Artefatos

Podemos fornecer diversos recursos mediante solicitação.

Recursos de download direto (sem NDA)

Para obter acesso aos seguintes recursos para download, clique no botão abaixo:

Certificado ISO 27001:2013

Certificado ISO 27018:2014

Relatório SOC 3

Folha de dados/documento

Atestado de conformidade (AoC) com PCI e Certificado de conformidade

Diagramas de arquitetura de rede

  • Suporte/guia
  • Chat
  • Talk

CSA CAIQ

FSQS

Perfil de segurança da Zendesk no Risk Ledger

Obter recursos
Recursos com NDA

Os recursos a seguir talvez precisem de um NDA no arquivo. Clique no botão abaixo para obter acesso.

Certificado de seguro

Relatório SOC 2 Tipo II

Resumo do teste de penetração anual

Resumo do teste de continuidade dos negócios e recuperação de desastres

SIG Lite

VSA

HECVAT Lite

No momento, os clientes podem acessar esses recursos na interface de usuário de administração:

Segurança da nuvem

Segurança física do data center
Instalações

A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC 2. Saiba mais sobre conformidade na AWS.

Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e seus dados. Saiba mais sobre os controles de data center na AWS.

Segurança no local

A segurança no local físico da AWS inclui vários recursos como vigias, cercas, sistema interno de segurança, tecnologia de detecção de invasores, entre outras medidas. Saiba mais sobre a segurança física da AWS.

Localização da hospedagem de dados

A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Saiba mais sobre os locais de hospedagem de seus dados de serviço da Zendesk.

Os clientes podem optar por armazenar seus dados apenas nos EUA ou apenas na UE.* Saiba mais sobre nossas opções de região de hospedagem de dados e restrições de tipos de dados de serviço.

*Disponível somente com o complemento de localização do data center

Segurança de rede
Equipe de segurança dedicada

Nossa equipe de segurança global está disponível dia e noite para responder a alertas e eventos de segurança.

Proteção

Nossa rede é protegida com o uso dos principais serviços de segurança da AWS, integração com as redes de proteção de borda Cloudflare, auditorias regulares e tecnologias de inteligência de rede, que monitoram e/ou bloqueiam tráfego malicioso e ataques de rede.

Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Sistemas mais sensíveis, como servidores de banco de dados, são protegidos na maioria das zonas confiáveis. Outros sistemas são hospedados em zonas com nível de segurança proporcional à sensibilidade dos dados, dependendo da função, da classificação das informações e do risco. Dependendo da zona, outros controles de acesso e monitoramento de segurança serão aplicados. DMZs são utilizados entre a Internet e internamente entre as diferentes zonas confiáveis.

Varredura de vulnerabilidade de rede

A varredura de segurança de rede fornece insights detalhados para identificação rápida de falta de conformidade e sistemas possivelmente vulneráveis.

Testes de penetração de terceiros

Além do nosso vasto programa de testes e monitoramento interno, a Zendesk contrata anualmente especialistas em segurança para realizar um amplo teste de intrusão nas redes de produção e corporativa da Zendesk.

Gerenciamento de eventos de incidente de segurança

Nosso sistema de gerenciamento de eventos de incidente de segurança (SIEM) coleta logs extensos de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas que notificam a equipe de segurança com base em eventos correlacionados para investigação e resposta.

Detecção e prevenção de intrusões

Os pontos de entrada e saída de serviço são instrumentados e monitorados para detectar comportamentos anômalos. Esses sistemas são configurados para gerar alertas quando incidentes e valores ultrapassam limites predeterminados e usam assinaturas atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema dia e noite.

Programa de inteligência de ameaças

A Zendesk participa de vários programas de compartilhamento de inteligência de ameaça. Monitoramos as ameaças publicadas nessas redes de inteligência de ameaça e tomamos medidas com base em riscos.

Mitigação de DDoS

A Zendesk arquitetou uma abordagem em várias camadas para mitigação de DDoS. Uma parceria de tecnologia básica com a Cloudflare fornece defesas de borda de rede, enquanto o uso de ferramentas de dimensionamento e proteção da AWS oferece maior proteção juntamente com o uso de serviços específicos de DDoS da AWS.

Acesso lógico

O acesso à rede de produção da Zendesk é restrito pela necessidade explícita de saber, utiliza o privilégio mínimo, é auditado e monitorado com frequência, além de ser controlado por nossa equipe de operações. Os funcionários que acessam a rede de produção da Zendesk devem usar vários fatores de autenticação.

Resposta a incidentes de segurança

Em caso de alerta do sistema, os eventos são escalados para nossas equipes que trabalham dia e noite e fornecem cobertura de operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de escalação.

Criptografia
Criptografia em trânsito

Toda a comunicação com a interface e as APIs da Zendesk é criptografada pelo padrão do setor HTTPS/TLS (TLS 1.2 ou posterior) em redes públicas. Isso garante que todo o tráfego entre você e a Zendesk seja protegido durante o trânsito. Além disso, para e-mail, nosso produto aproveita o TLS por padrão. O protocolo Transport Layer Security (TLS) criptografa e entrega e-mails com segurança, eliminando a espionagem entre servidores de e-mail onde serviços associados oferecem suporte para esse protocolo. As exceções para criptografia podem incluir uso de função SMS no produto, qualquer outro aplicativo de terceiros, integração ou os assinantes do serviço podem optar por aproveitar os recursos a seu próprio critério.

Criptografia de dados em repouso

Os dados de serviço são criptografados em repouso na AWS usando criptografia de chave AES-256.

Disponibilidade e continuidade
Tempo de atividade

A Zendesk mantém um site com o status do sistema disponível publicamente. Ele inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de atendimento e eventos de segurança relevantes.

Redundância

O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nossa rigorosa programação de backup e/ou nossa oferta de serviço de Recuperação avançada de desastres nos permite oferecer uma disponibilidade de serviço de alto nível, visto que os dados de serviço são replicados em zonas de disponibilidade.

Recuperação de desastres

Nosso programa de recuperação de desastres (DR) garante que nossos serviços permaneçam disponíveis e sejam recuperáveis com facilidade em caso de um desastre. Isso é possível graças ao ambiente técnico robusto, à criação de planos de recuperação de desastres e às atividades de teste.

Recuperação avançada de desastres

Nosso pacote de Recuperação avançada de desastres adiciona objetivos contratuais para o objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO). Eles são cumpridos por meio de nossa capacidade de priorizar as operações dos clientes da recuperação avançada de desastres durante eventos de desastre declarados.

*Disponível apenas com a compra do complemento de Recuperação avançada de desastres.

Segurança do aplicativo

Desenvolvimento seguro (SDLC)
Treinamento de código seguro

Pelo menos uma vez ao ano, os engenheiros participam de treinamento de código seguro que abrange os 10 principais riscos de segurança da OWASP, vetores de ataque comuns e controles de segurança da Zendesk.

Controles de segurança de estrutura

A Zendesk aproveita as estruturas modernas e seguras de código aberto com controles de segurança para limitar a exposição aos 10 principais riscos de segurança da OWASP. Esses controles inerentes reduzem a exposição a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), entre outros.

Controle de qualidade

Nosso departamento de controle de qualidade (QA) revisa e testa nossa base de código. Engenheiros dedicados de segurança de aplicativo da equipe identificam, testam e fazem a triagem de vulnerabilidades de segurança no código.

Ambientes separados

Os ambientes de teste e preparação estão logicamente separados do ambiente de produção. Nenhum dado de serviço é usado em nossos ambientes de desenvolvimento ou teste.

Gerenciamento de vulnerabilidades
Varredura dinâmica de vulnerabilidades

Empregamos ferramentas de segurança de terceiros para examinar nossos aplicativos básicos de maneira contínua e dinâmica contra os 10 principais riscos de segurança OWASP. Mantemos uma equipe de segurança de produtos interna dedicada para testar e trabalhar com as equipes de engenharia para resolver os problemas descobertos.

Análise de código estático

Os repositórios de código-fonte da nossa plataforma e dos aplicativos móveis são examinados por nossas ferramentas de análise estática integradas para verificar se há problemas de segurança.

Teste de penetração de terceiros

Além do nosso vasto programa interno de varredura e teste, a Zendesk contrata especialistas em segurança de terceiros para realizar testes de penetração detalhados em diferentes aplicativos de nossa família de produtos.

Divulgação responsável/programa de recompensa por bug

Nosso Programa de divulgação responsável dá a pesquisadores de segurança, além de cliente, espaço para testes de segurança e para notificar o Zendesk sobre vulnerabilidades de segurança através da nossa parceria com o HackerOne.

Segurança do produto

Segurança de autenticação
Opções de autenticação

Os clientes podem ativar a autenticação nativa da Zendesk, single sign-on (SSO) de rede social (Facebook, Twitter, Google) e/ou SSO corporativo (SAML, JWT) para a autenticação do usuário final e/ou agente. Saiba mais sobre o acesso dos usuários.

Política de senha configurável

A autenticação nativa da Zendesk para os produtos disponíveis na Central de administração fornece os níveis de segurança de senha baixo, médio e alto, além de regras personalizadas de senhas que podem ser definidas para agentes e administradores. A Zendesk também permite que diferentes níveis de segurança de senha sejam aplicados a usuários finais, a agentes e administradores. Somente os administradores podem alterar o nível de segurança da senha. Saiba mais sobre as políticas configuráveis de senha.

Autenticação de dois fatores (2FA)

A autenticação nativa da Zendesk para os produtos disponíveis na Central de administração oferece autenticação de dois fatores (2FA) para agentes e administradores por SMS ou um aplicativo autenticador. Saiba mais sobre a 2FA.

Armazenamento de credenciais de serviço

A Zendesk segue práticas recomendadas de armazenamento seguro de credenciais nunca armazenando senhas em formato legível por humanos e somente como resultado de um hash unidirecional seguro com salt.

Recursos adicionais de segurança do produto
Controles de acesso com base em função

O acesso aos dados nos aplicativos da Zendesk é governado pelo controle de acesso com base em função (RBAC) e pode ser configurado para definir privilégios de acesso granular. A Zendesk tem vários níveis de permissão para os usuários (responsável, administrador, agente, usuário final etc.).

Saiba mais sobre funções de usuário:

Consulte detalhes sobre a segurança global e o acesso dos usuários aqui.

Restrições de IP

Os produtos da Zendesk podem ser configurados para permitir o acesso somente de intervalos de endereço IP específicos que você definir. Essas restrições podem ser aplicadas a todos os usuários ou apenas aos seus agentes. Saiba mais sobre como usar restrições de IP:

Anexos privados

Configure sua instância para definir que apenas usuários conectados podem visualizar anexos de tickets. Saiba mais sobre os anexos privados.

Assinatura de e-mail(DKIM/DMARC)

A Zendesk oferece suporte a autenticações DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) para assinar emails enviados da Zendesk quando você configura um domínio de email externo na sua instância. Usar um serviço de e-mail compatível com esses recursos permite impedir spoofing de e-mail. Saiba mais sobre como usar uma assinatura digital no seu e-mail.

Rastreamento de dispositivos

A Zendesk monitora os dispositivos usados para entrar em cada conta de usuário. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. Esse usuário pode receber uma notificação por e-mail quando um novo dispositivo for adicionado e deve acompanhar se a atividade parecer suspeita. Sessões suspeitas podem ser encerradas na interface do usuário do agente. Saiba mais sobre o rastreamento de dispositivos.

Supressão de dados confidenciais

A supressão manual permite suprimir ou remover dados confidenciais em comentários de tickets de suporte e apagar anexos com segurança para que você possa proteger informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas na Zendesk. Saiba mais sobre a supressão por meio da interface ou API.

A supressão automática de informações permite suprimir automaticamente cadeias de caracteres numerais que correspondam ao número de cartão de crédito válido da conta principal (CC PAN) e atendam a uma verificação Luhn no Support e no Chat. Saiba mais sobre a supressão automática de informações no Support e no Chat.

O Zendesk Support oferece um campo configurável de cartão de crédito compatível com PCI que suprime os números, exceto os últimos quatro dígitos. Saiba mais sobre conformidade com PCI na Zendesk.

Filtro de spam da Central de Ajuda

O serviço de filtro de spam da Zendesk pode ser usado para impedir que publicações de spam de usuários finais sejam publicadas na sua Central de Ajuda. Saiba mais sobre como filtrar spam na Central de Ajuda.

Segurança de Recursos Humanos

Conscientização de segurança
Políticas

A Zendesk desenvolveu um conjunto abrangente de políticas de segurança e abrangem diversos tópicos. Essas políticas são compartilhadas e disponibilizadas para todos os funcionários e contratantes com acesso aos ativos de informações da Zendesk.

Treinamento

Todos os funcionários participam de um treinamento de conscientização sobre segurança, que é administrado após a contratação e, depois, uma vez por ano. Todos os engenheiros recebem o treinamento anual de código seguro. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por e-mail, postagens de blog e em apresentações durante eventos internos.

Verificação do funcionário
Investigações paralelas

A Zendesk realiza investigações paralelas sobre todos os novos funcionários de acordo com as leis locais. Essas investigações também precisam ser realizadas para os contratantes. A investigação paralela inclui verificação criminal, educacional e trabalhista. Equipes de limpeza estão incluídas.

Contratos de confidencialidade

Todos os novos contratados devem assinar contratos de não divulgação e confidencialidade.