Atendimento ao cliente seguro

Segurança do Zendesk

Mais de 110.000 clientes confiam seus dados à Zendesk. E nós levamos este voto de confiança muito a sério. Combinamos os recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes, para garantir a proteção contínua dos dados do cliente e das empresas. Nossos clientes ficam tranquilos em saber que suas informações estão protegidas, bem como suas interações e negócios.

Segurança de data center e redes

Segurança física
Instalações Os servidores da Zendesk são hospedados em instalações de conformidade Tier IV e III+, SSAE-16, PCI DSS ou ISO 27001. Nossos espaços de "cage" em co-locação são fisicamente e logicamente separados de outros clientes de datacenter. As instalações de datacenter são alimentadas por energia redundante, cada uma com geradores UPS e de backup.
Segurança no local Nossas instalações de data centers contam com um perímetro protegido com zonas de segurança multinível, com guardas 24 horas por dia, 7 dias por semana, sistema de vigilância por circuito fechado de TV (CCTV), identificação multifatorial com controle de acesso biométrico, bloqueios físicos e alarmes de violação de segurança.
Monitoramento Todos os sistemas de rede de produção, dispositivos em rede e circuitos são constantemente monitorados e logicamente administrados pela equipe da Zendesk. A segurança física, alimentação e conexão com a internet além das portas com gradil da "cage" ou serviços da Amazon são monitoradas pelos provedores das instalações.
Localização A Zendesk aproveita datacenters nos EUA, Europa e Japão. Os clientes podem escolher armazenar seus dados apenas nos EUA ou apenas na Europa (o Zendesk Chat está disponível apenas na Europa no momento). Saiba mais sobre nossas políticas de hospedagem de dados na UE*Disponível apenas com o complemento de localização do datacenter
Segurança de rede
Equipe de segurança exclusiva Nossa equipe de segurança distribuída globalmente fica de plantão 24 horas por dia, 7 dias por semana para responder a alertas e eventos de segurança.
Proteção Nossa rede é protegida por firewalls redundantes, roteadores de ponta, transporte HTTPS seguro por redes públicas, auditorias regulares e tecnologias de detecção/prevenção de intrusão de rede (IDS/IPS), que monitoram e/ou bloqueiam o tráfego malicioso e ataques à rede.
Arquitetura Nossa arquitetura de segurança de rede é composta por diversas zonas de segurança. Os sistemas mais confidenciais, como servidores de banco de dados, ficam protegidos nas nossas zonas mais confiáveis. Outros sistemas são alojados em zonas compatíveis com sua confidencialidade, dependendo da função, da classificação das informações e do risco. De acordo com a zona, o monitoramento de segurança e os controles de acesso são aplicados. As zonas desmilitarizadas (DMZ) são utilizadas intermediárias à Internet, e internamente, entre diferentes zonas de confiança.
Escaneamento de vulnerabilidade de rede O escaneamento de vulnerabilidade de rede nos fornece informações detalhadas para a identificação rápida de sistemas fora de conformidade ou potencialmente vulneráveis.
Testes de intrusão de terceiros Além do nosso programa abrangente de testes e escaneamento interno, contratamos anualmente especialistas em segurança para realizar um teste de intrusão amplo na rede de produção do Zendesk.
Gerenciamento de eventos de incidentes de segurança (SIEM) Nosso sistema de gerenciamento de eventos e informações de segurança (SIEM) reúne uma variedade de registros de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas por gatilhos que notificam a equipe de segurança com base em eventos co-relacionados para investigação e resposta.
Detecção e prevenção de instrusões Os principais pontos de entrada e saída de fluxo de dados de aplicativos são monitorados com Sistemas de Detecção de Intrusão (IDSs) ou Sistemas de Prevenção de Intrusão (IPS). Os sistemas são configurados para gerar alertas quando os incidentes e valores excedem limites pré-determinados e usam assinaturas atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema 24 horas por dia, 7 dias por semana.
Programa de inteligência sobre ameaças O Zendesk participa de diversos programas de compartilhamento de inteligência sobre ameaças. Monitoramos ameaças publicadas nessas redes de inteligência sobre ameaças e agimos com base em nosso risco e exposição.
Mitigação de DDoS Além das nossos próprios recursos e ferramentas, contratamos fornecedores de limpeza sob demanda de DDoS para mitigar ataques de negação de serviço (DDoS).
Acesso lógico O acesso à rede de produção do Zendesk é restrito pelos princípios de nível de necessidade de conhecimento das informações e privilégio mínimo, sendo frequentemente monitorado e sujeito a auditorias, bem como controlado pela nossa equipe de operações. Os funcionários precisam de uma autenticação multifatorial para acessar a rede de produção do Zendesk.
Resposta a incidentes de segurança Na ocorrência de um alerta de sistema, os eventos são encaminhados para as nossas equipes de prontidão 24 horas por dia, 7 dias por semana, oferecendo cobertura em operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de encaminhamento.
Criptografia
Criptografia em trânsito A comunicação entre você e os servidores do Zendesk Support e Chat é criptografada por meio de HTTPS e TLS (Transport Layer Security) de práticas recomendadas do setor por redes públicas. Também há suporte a TLS para a criptografia de emails.
Criptografia de dados em repouso Todos os clientes do Zendesk Support e Chat se beneficiam das proteções de criptografia em repouso para armazenamento offsite de anexos e backups diários completos. Caso os clientes do Support desejem que seus armazenamentos de dados de recuperação de desastres primários e secundários sejam criptografados em repouso, isso está disponível para a compra pelo complemento de segurança avançada. Garantias de criptografia dos dados de serviço do Chat também estão disponíveis para compra.
Disponibilidade e continuidade
Atividade A Zendesk mantém um site com o status do sistema disponível publicamente. Ele inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de atendimento e eventos de segurança relevantes.
Redudância O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nosso regime de backup rigoroso garante que os dados de serviço sejam copiados tanto nos sistemas de DR primários e secundários quanto nas instalações. Nossos bancos de dados de co-locação são armazenados em dispositivos eficientes de memória flash, com vários servidores por cluster de banco de dados.
Recuperação de desastres Nosso programa de recuperação de desastres (DR) garante que nossos serviços permaneçam disponíveis ou sejam recuperáveis com facilidade em caso de um desastre. Conseguimos isso estabelecendo um ambiente técnico robusto, criando planos de recuperação de desastres e testes.
Recuperação avançada de desastres Com a recuperação avançada de desastres, todo o ambiente de operação, incluindo os dados de serviço, é replicado em um site secundário para dar suporte à continuidade do serviço caso o site primário fique completamente indisponível. Se você precisar de garantias de RTO e RPO, elas estão disponíveis com o complemento de segurança avançada. *Disponível para o Chat apenas quando você compra um plano do Support com o complemento de segurança avançada

Segurança de aplicativos

Desenvolvimento seguro (SDLC)
Treinamento em segurança Pelo menos uma vez por ano, os engenheiros participam de treinamento sobre código de segurança, que cobre as 10 principais falhas de segurança do OWASP, vetores de ataques comuns e controles de segurança da Zendesk.
Controles de segurança da estrutura Ruby on Rails O Zendesk Support utiliza os controles de segurança da estrutura Ruby on Rails para limitar a exposição às 10 principais falhas de segurança do OWASP. Isso inclui os controles inerentes que reduzem nossa exposição a Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e SQL Injection (SQLi), entre outros.
Controle de qualidade Nosso departamento de garantia da qualidade avalia e testa a nossa base de códigos. Diversos engenheiros de segurança de aplicativos da nossa equipe identificam, testam e separam as vulnerabilidades de segurança no código.
Ambientes separados Os ambientes de teste são física e logicamente separados do ambiente de produção. Nenhum dado de serviço é usado nos ambientes de teste e desenvolvimento.
Vulnerabilidades do aplicativo
Escaneamento dinâmico de vulnerabilidades Usamos algumas ferramentas de segurança qualificadas de terceiros para escanear nossos aplicativos Support e Chat dinâmica e continuamente, buscando as 10 principais falhas de segurança do OWASP. Temos uma equipe de segurança de produto interna dedicada a testes. Ela trabalha com equipes de engenheiros para remediar qualquer problema descoberto.
Análise estática de código Os repositórios de código-fonte do Zendesk Support, tanto para a plataforma quanto para os aplicativos de dispositivos móveis, são escaneados continuamente em busca de problemas de segurança através das nossas ferramentas de análise estática integrada.
Teste de intrusão de segurança Além do nosso programa abrangente de testes e escaneamento interno, todo trimestre a Zendesk contrata especialistas em segurança terceirizados para executar testes de penetração detalhados em diferentes aplicativos de nossa família de produtos.
Programa de divulgação responsável / "Bug Bounty" (recompensa por bug relatado) Nosso Programa de Divulgação Responsável dá a pesquisadores de segurança espaço para testes de segurança e para notificar o Zendesk sobre vulnerabilidades de segurança através da nossa parceria com o HackerOne.

Recursos de segurança para produtos

Autenticação segura
Opções de autenticação

Para administradores e agentes no Support e Chat, oferecemos autenticação pelo Zendesk. Para o Zendesk Support, SSO e autenticação via Google também estão disponíveis.

Para usuários finais no Support e Chat, oferecemos autenticação pelo Zendesk. Para o Zendesk Support, SSO normal e SSO de redes sociais (Facebook, Twitter, Google) também estão disponíveis para autenticação de usuários finais.

Single sign-on (SSO) O single sign-on (SSO) permite que você autentique usuários em seus próprios sistemas sem exigir que eles insiram credenciais de entrada adicionais para acessar sua instância do Zendesk Support. Tanto o JSON Web Token (JWT) e Security Assertion Markup Language (SAML) são suportados. Saiba mais sobre o SSO *SAML só está disponível para as contas Professional e Enterprise*JWT só está disponível para as contas Team e superiores
Política de senha configurável O Zendesk Support oferece os seguintes níveis de segurança da senha: baixo, médio e alto, além de regras de senha personalizadas para agentes e administradores. O Zendesk permite que você defina um nível de segurança de senha para usuários finais e um nível diferente para administradores e agentes. Somente administradores podem alterar o nível de segurança da senha. *Se aplica a contas Professional e Enterprise.
Autenticação de dois fatores (2FA) Habilite a autenticação de 2 fatores (2FA) para administradores e agentes se você estiver usando a autenticação pelo Zendesk em sua instância do Zendesk Support. O Zendesk é compatível com SMS e aplicativos geradores de senhas, como o Authy e o Google Authenticator . A 2FA oferece uma camada de segurança adicional para a sua conta do Zendesk, dificultando o acesso de outra pessoa, que está fingindo ser você, ao seu Zendesk. Saiba mais sobre a 2FA
Armazenamento seguro de credenciais O Zendesk segue as práticas recomendadas de segurança de credenciais ao nunca armazenar senhas em formato legível por humanos, somente como resultado de uma função hash unilateral segura e experiente.
Segurança e autenticação de API A API do Zendesk Support usa somente SSL e você precisa ser um usuário verificado para fazer solicitações de API. Você pode verificar a autorização com a API usando a autenticação básica, com seu nome e senha, ou um nome de usuário e token de API. A autenticação OAuth também é aceita. Saiba mais sobre segurança da API
Recursos adicionais de segurança para produtos
Privilégios e funções de acesso O acesso a dados dentro do seu Zendesk Support e Chat é governado por direitos de acesso e pode ser configurado para definir privilégios de acesso granular. O Zendesk tem vários níveis de permissão para usuários (proprietário, administrador, agente, usuário final, etc). Saiba mais sobre níveis de acesso
Restrições de IP O Zendesk Support e o Chat podem ser configurados para permitir acesso somente aos intervalos específicos de endereços IP que você definir. Essas restrições podem ser aplicadas a todos os usuários ou apenas aos seus agentes. Saiba mais sobre o uso das restrições de IP *Disponível apenas para contas do Support Enterprise e Chat Enterprise
Anexos privados No Zendesk Support, você pode configurar sua instância para que os usuários sejam obrigados a se conectar para visualizar os anexos do ticket. Caso isso não esteja configurado, os anexos poderão ser acessados por meio de uma ID do ticket de token longa e aleatória.
Segurança de transmissão Todas as comunicações com os servidores da Zendesk são criptografadas usando HTTPS padrão do setor por redes públicas. Isso garante que todo o tráfego entre você e a Zendesk esteja seguro durante a transmissão. Adicionalmente para email, nosso produto oferece suporte a Transport Layer Security (TLS), um protocolo que criptografa e envia email de modo seguro, mitigando interceptação e falsificação entre servidores de email.
Assinatura de emails (DKIM/DMARC) O Zendesk Support oferece suporte a autenticações DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) para assinar emails enviados do Zendesk quando você configura um domínio de email externo no seu Zendesk. Usar um serviço de email compatível com esses recursos permite que você impeça a falsificação de email. Saiba mais como usar uma assinatura digital no seu email.
Controle de dispositivo Para maior segurança, sua instância do Zendesk Support monitora os dispositivos usados para acessar cada conta de usuário. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil daquele usuário. Esse usuário pode receber uma notificação por email quando um novo dispositivo for adicionado e deve acompanhar se a atividade parecer suspeita.
Supressão automática de informações A Supressão automática de informações do Zendesk Support oferece a possibilidade de suprimir ou remover dígitos dos números de cartão de crédito encontrados em comentários em tickets ou campos personalizados, para que você possa proteger informações confidenciais. Os dados são suprimidos de um ticket recebido para evitar que o número completo do cartão de crédito seja armazenado no Zendesk. Saiba mais sobre a ferramenta de Supressão *Disponível somente para contas Enterprise
Filtro de spam para Central de Ajuda e portal web O Zendesk Support oferece um serviço de filtro de spam que evita que publicações de spam de usuários finais sejam publicadas na sua Central de Ajuda ou portal web. Saiba mais sobre o filtro de spam na Central de Ajuda e no portal web

Certificados e associações de conformidade

Conformidade de segurança
SOC 2 Tipo II Temos um relatório SOC 2 Tipo II, disponível mediante solicitação e nos termos de um acordo de confidencialidade (NDA). Para obter mais informações, entre em contato pelo email security@zendesk.com.
ISO 27001:2013 O Zendesk tem certificação ISO27001:2013.
ISO 27018:2014 O Zendesk tem certificação ISO27018:2014.
Associações
Skyhigh Enterprise-Ready O Zendesk recebeu o selo Skyhigh Enterprise-Ready™, a mais alta classificação do programa CloudTrust™. Ele é concedido a serviços na nuvem que satisfazem completamente os requisitos mais restritos de proteção de dados, verificação de identidade, segurança de atendimento, práticas comerciais e proteção jurídica.
Cloud Security Alliance O Zendesk é membro do Cloud Security Alliance (CSA), uma organização sem fins lucrativos com uma missão de promover o uso de práticas recomendadas de garantia de segurança dentro da Computação em Nuvem. O CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. Nós preenchemos um Questionário de domínio público chamado Consensus Assessment Initiative (Iniciativa de Avaliação de Consenso, CAI), baseado nos resultados da nossa autoavaliação de due dilligence.
Certificações de Privacidade
Programas de Certificação de Privacidade TRUSTe® Recebemos o Selo de Privacidade da TRUSTe, o que significa que nossa declaração e e nossaspráticas de privacidade tiveram a conformidade analisada de acordo com o programa TRUSTe, que pode ser visualizado na página de validação deles.
Programas Safe Harbor dos EUA-Suíça e Escudo de Proteção da Privacidade EUA-UE A Zendesk possui conformidade certificada com o Escudo de Proteção da Privacidade dos EUA-UE e o programa Safe Harbor dos Estados Unidos-Suíça, conforme estabelecido pelo Departamento de Comércio dos Estados Unidos.
Política de privacidade Saiba mais sobre privacidade no Zendesk
Conformidade segundo a indústria
HIPAA A Zendesk concluiu com sucesso uma avaliação de HIPAA/HITECH e pode disponibilizar o BAA (Business Associate Agreement, contrato de associação comercial) para ser executado por assinantes. *BAA disponível apenas com a compra do complemento de segurança avançada e se aplica apenas a alguns produtos da Zendesk (aplicam-se regras especiais de configuração).
Uso do Zendesk em um ambiente de PCI Leia nosso whitepaper sobre a conformidade com PCI ou saiba mais sobre nosso campo em conformidade com PCI para o Zendesk Support.*Obrigatório ter uma conta Enterprise

Metodologias adicionais de segurança

Conscientização em segurança
Políticas A Zendesk desenvolveu um conjunto abrangente de políticas de segurança que cobre diversos tópicos. As políticas são compartilhadas e disponibilizadas com todos os funcionários e contratados com acesso aos ativos de informações do Zendesk.
Treinamento Todos os novos funcionários participam de um treinamento sobre conscientização de segurança, realizado no momento da contratação e, depois, anualmente. Todos os engenheiros recebem o treinamento de codificação com segurança anual. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por email, publicações de blogs e apresentações durante eventos internos.
Avaliação de funcionários
Verificações de antecedentes A Zendesk verifica os antecedentes de todos os novos funcionários segundo a legislação local. Este procedimento também é exigido para os prestadores de serviço. A verificação dos antecedentes inclui a análise do histórico criminal, educacional e trabalhista dos funcionários. As equipes de limpeza também estão incluídas neste procedimento.
Acordos de confidencialidade Todos os novos contratados são selecionados através do processo de contratação e devem assinar acordos de confidencialidade e de não divulgação.