Atendimento ao cliente seguro

Segurança do Zendesk

Mais de 140 mil clientes confiam seus dados à Zendesk, que leva essa responsabilidade muito a sério. Combinamos recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para garantir a proteção contínua dos dados dos clientes e empresas. Nossos clientes ficam tranquilos em saber que suas informações estão protegidas, bem como suas interações e negócios.

Ver folha de dados

Segurança de data center e redes

Segurança física
Instalações A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI/DSS Service Provider Level 1 e/ou SOC II.

Os serviços de infraestrutura da AWS incluem geradores de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e, é claro, seus dados.
Segurança no local A segurança no local da AWS inclui vários recursos como vigias, cercas, sistema interno de segurança, tecnologia de detecção de invasores, entre outras medidas. Saiba mais sobre a segurança física da AWS.
Monitoramento Todos os sistemas de rede de produção, dispositivos em rede e circuitos são constantemente monitorados e administrados de maneira lógica pela equipe da Zendesk. A segurança física, a rede elétrica e a conexão com a Internet são monitoradas pela AWS.
Localização A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Os clientes podem escolher armazenar seus dados de serviço apenas nos EUA ou apenas na Europa* (o Zendesk Chat está disponível apenas na Europa no momento). Saiba mais sobre nossas opções de hospedagem regional dos dados.

*Disponível apenas com o complemento de localização do data center
Segurança de rede
Equipe de segurança exclusiva Nossa equipe de segurança distribuída globalmente fica de plantão 24 horas por dia, 7 dias por semana para responder a alertas e eventos de segurança.
Proteção Nossa rede é protegida usando os principais serviços de segurança da AWS, a integração com redes de proteção de borda da Cloudflare, auditorias regulares e tecnologias de inteligência de rede que monitoram e/ou bloqueiam ataques à rede ou tráfego mal-intencionado.
Arquitetura Nossa arquitetura de segurança de rede é composta por diversas zonas de segurança. Os sistemas mais confidenciais, como servidores de banco de dados, ficam protegidos nas nossas zonas mais confiáveis. Outros sistemas são alojados em zonas compatíveis com sua confidencialidade, dependendo da função, da classificação das informações e do risco. De acordo com a zona, o monitoramento de segurança e os controles de acesso são aplicados. As zonas desmilitarizadas (DMZ) são utilizadas intermediárias à Internet, e internamente, entre diferentes zonas de confiança.
Escaneamento de vulnerabilidade de rede O escaneamento de vulnerabilidade de rede nos fornece informações detalhadas para a identificação rápida de sistemas fora de conformidade ou potencialmente vulneráveis.
Testes de intrusão de terceiros Além do nosso abrangente programa de testes e monitoramento interno, a Zendesk contrata anualmente especialistas em segurança para realizar um teste de intrusão amplo na rede de produção da Zendesk.
Gerenciamento de eventos de incidentes de segurança (SIEM) Nosso sistema de gerenciamento de eventos e informações de segurança (SIEM) reúne uma variedade de registros de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas por gatilhos que notificam a equipe de segurança com base em eventos co-relacionados para investigação e resposta.
Detecção e prevenção de instrusões Os pontos de entrada e saída do serviço são instrumentados e monitorados para detectar comportamento anômalo. Os sistemas são configurados para enviar alertas quando incidentes e valores excedem limites pré-determinados e as assinaturas são atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema 24 horas por dia, 7 dias por semana.
Programa de inteligência sobre ameaças O Zendesk participa de diversos programas de compartilhamento de inteligência sobre ameaças. Monitoramos ameaças publicadas nessas redes de inteligência sobre ameaças e agimos com base em nosso risco e exposição.
Mitigação de DDoS A Zendesk arquitetou uma abordagem multicamada para mitigação de DDoS. Uma parceria de tecnologia nuclear com a Cloudflare fornece defesas de rede de borda, enquanto o uso das ferramentas de dimensionamento e proteção, além dos serviços específicos contra DDoS da AWS, aumentam ainda mais a segurança.
Acesso lógico O acesso à rede de produção do Zendesk é restrito pelos princípios de nível de necessidade de conhecimento das informações e privilégio mínimo, sendo frequentemente monitorado e sujeito a auditorias, bem como controlado pela nossa equipe de operações. Os funcionários precisam de uma autenticação multifatorial para acessar a rede de produção do Zendesk.
Resposta a incidentes de segurança Na ocorrência de um alerta de sistema, os eventos são encaminhados para as nossas equipes de prontidão 24 horas por dia, 7 dias por semana, oferecendo cobertura em operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de encaminhamento.
Criptografia
Criptografia em trânsito A comunicação entre você e os servidores do Zendesk Support e Chat é criptografada por meio de HTTPS e TLS (Transport Layer Security) de práticas recomendadas do setor por redes públicas. Também há suporte a TLS para a criptografia de emails.
Criptografia de dados em repouso Os clientes do Zendesk se beneficiam da proteção garantida pela criptografia em repouso dos dados. Os dados de serviço são criptografados em repouso usando a criptografia com chave AES de 256 bits da AWS.
Disponibilidade e continuidade
Atividade A Zendesk mantém um site com o status do sistema disponível publicamente. Ele inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de atendimento e eventos de segurança relevantes.
Redudância O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nossa rigorosa programação de backup e/ou nossa oferta de serviço de Recuperação avançada de desastres nos permite oferecer disponibilidade de serviço de alto nível, visto que os dados de serviço são replicados em zonas de disponibilidade.
Recuperação de desastres Nosso programa de Recuperação de desastres (DR) garante que nossos serviços permaneçam disponíveis ou sejam recuperados com facilidade em caso de desastres. Isso é possível graças ao ambiente técnico robusto, à criação de planos de recuperação de desastres e às atividades de teste.
Recuperação avançada de desastres O pacote de Recuperação avançada de desastres adiciona objetivos contratuais para o Objetivo de tempo de recuperação (RTO) e o Objetivo de ponto de recuperação (RPO). Eles são cumpridos pois damos prioridade às operações de recuperação avançada dos clientes vítimas de eventos de desastre declarados. *Disponível somente com complemento Segurança avançada

Segurança de aplicativos

Desenvolvimento seguro (SDLC)
Treinamento em segurança Pelo menos uma vez por ano, os engenheiros participam de treinamentos sobre código de segurança, que cobre os 10 principais riscos de segurança do OWASP, vetores de ataques comuns e controles de segurança da Zendesk.
Controles de segurança da estrutura Ruby on Rails A maioria dos produtos Zendesk utiliza os controles de segurança da estrutura Ruby on Rails para limitar a exposição aos 10 principais riscos de segurança do OWASP. Esses controles inerentes reduzem nossa exposição a cross-site scripting (XSS), solicitação intersite forjada (CSRF), ataque de injeção de SQL (SQLi), entre outros.
Controle de qualidade Nosso departamento de controle de qualidade (QA) analisa e testa nossa base de código. Diversos engenheiros de segurança de aplicativos da nossa equipe identificam, testam e separam as vulnerabilidades de segurança no código.
Ambientes separados Os ambientes de teste e preparo são separados do ambiente de produção de maneira lógica. Nenhum dado de serviço é usado nos ambientes de teste e desenvolvimento.
Vulnerabilidades do aplicativo
Escaneamento dinâmico de vulnerabilidades Usamos algumas ferramentas de segurança qualificadas de terceiros para monitorar nossos aplicativos Support e Chat dinâmica e continuamente, buscando os 10 principais riscos de segurança do OWASP. Temos uma equipe de segurança de produto interna dedicada a testes. Ela trabalha com equipes de engenheiros para remediar qualquer problema descoberto.
Análise estática de código Os repositórios de código-fonte da plataforma e dos aplicativos para dispositivos móveis são monitorados continuamente em busca de problemas de segurança através das nossas ferramentas de análise estática integrada.
Teste de intrusão de segurança Além do nosso programa abrangente de testes e escaneamento interno, todo trimestre a Zendesk contrata especialistas em segurança terceirizados para executar testes de penetração detalhados em diferentes aplicativos de nossa família de produtos.
Programa de divulgação responsável / "Bug Bounty" (recompensa por bug relatado) Em parceria com a HackerOne, criamos um Programa de divulgação responsável, que fornece a pesquisadores de segurança e clientes um espaço para a realização de testes de segurança e notificação da Zendesk quanto a vulnerabilidades.

Recursos de segurança para produtos

Autenticação segura
Opções de autenticação Para administradores e agentes no Support e Chat, oferecemos autenticação pelo Zendesk. Para o Zendesk Support, SSO e autenticação utilizando o Google também estão disponíveis.

Para os usuários finais do Support e Chat, oferecemos autenticação pelo Zendesk. Para o Zendesk Support, SSO normal e SSO por redes sociais (Facebook, Twitter, Google) também estão disponíveis para a autenticação de usuários finais.
Single sign-on (SSO) O single sign-on (SSO) permite que você autentique usuários em seus próprios sistemas sem exigir que eles insiram credenciais de acesso adicionais para a instância do Zendesk Support. Há suporte para o JSON Web Token (JWT) e para a Security Assertion Markup Language (SAML). Saiba mais sobre as configurações de segurança e acesso.

*SAML está disponível apenas para as contas Professional e Enterprise*JWT está disponível apenas para as contas Team e superiores
Política de senha configurável O Zendesk Support/Guide oferece os seguintes níveis de segurança da senha: baixo, médio e alto, além de regras de senha personalizadas para agentes e administradores. O Zendesk também permite que diferentes níveis de segurança de senha sejam aplicados a usuários finais, ou agentes e administradores. Somente administradores podem alterar o nível de segurança da senha.

*Se aplica a contas Professional e Enterprise.
Autenticação de dois fatores (2FA) Se você estiver usando o acesso da Zendesk na sua instância do Zendesk Support, poderá ativar a autenticação de 2 fatores (2FA) para agentes e administradores. O Zendesk oferece suporte a SMS e inúmeros aplicativos autenticadores para a geração de códigos de acesso. Você também pode aproveitar a 2FA em seu ambiente, onde o SSO corporativo pode ser usado como método de autenticação do Zendesk. A 2FA oferece uma camada de segurança adicional para a sua conta do Zendesk, dificultando o acesso de terceiros fingindo ser você ao Zendesk. Saiba mais sobre a 2FA.
Armazenamento seguro de credenciais O Zendesk segue as práticas recomendadas de segurança de credenciais ao nunca armazenar senhas em formato legível por humanos, somente como resultado de uma função hash unilateral segura e experiente.
Segurança e autenticação de API A API do Zendesk Support é somente TLS. Você pode realizar a autorização com a API usando a autenticação básica, com seu nome e senha, ou um nome de usuário e token de API. A autenticação OAuth também é aceita. Saiba mais sobre a segurança da API.
Recursos adicionais de segurança para produtos
Controles de acesso baseados em função O acesso a dados dentro dos aplicativos Zendesk é governado por direitos de acesso com base em função (RBAC) e pode ser configurado para definir privilégios granulares. A Zendesk fornece vários níveis de permissão aos usuários (proprietário, administrador, agente, usuário final, etc). Saiba mais sobre funções de usuário do Support e segurança e acesso de usuários.
Restrições de IP O Zendesk Support e o Chat podem ser configurados para permitir acesso somente aos intervalos específicos de endereços IP que você definir. Essas restrições podem ser aplicadas a todos os usuários ou apenas aos seus agentes. Saiba mais sobre o uso de restrições de IP.

*Disponível apenas para contas Support Enterprise e Chat Enterprise
Anexos privados No Zendesk Support, você pode configurar sua instância para que os usuários sejam obrigados a se conectar para visualizar os anexos do ticket. Caso isso não esteja configurado, os anexos poderão ser acessados por meio de uma ID do ticket de token longa e aleatória.
Segurança de transmissão Todas as comunicações com as interfaces do usuário e APIs da Zendesk são criptografadas usando HTTPS/TLS padrão do setor por redes públicas. Isso garante que todo o tráfego entre você e a Zendesk esteja seguro durante a transmissão. No email, nosso produto também aproveita o TLS oportunista por padrão. A Transport Layer Security (TLS) criptografa e entrega emails com segurança, acabando com a interceptação entre servidores de email que oferecem suporte a este protocolo.
Assinatura de emails (DKIM/DMARC) O Zendesk Support oferece suporte a autenticações DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) para assinar emails enviados do Zendesk quando você configura um domínio de email externo no seu Zendesk. Usar um serviço de email compatível com esses recursos permite que você impeça a falsificação de email. Saiba mais como usar uma assinatura digital no seu email.
Controle de dispositivo Para maior segurança, sua instância do Zendesk Support monitora os dispositivos usados para acessar cada conta de usuário. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. Esse usuário pode receber uma notificação por email quando um novo dispositivo for adicionado e deve acompanhar se a atividade parecer suspeita. Sessões suspeitas podem ser encerradas da interface do usuário do agente.
Supressão de dados confidenciais A supressão do Zendesk Support e Chat permite suprimir ou remover dados confidenciais em comentários de tickets, campos personalizados e chats para que você possa proteger informações confidenciais. Os dados são suprimidos dos tickets para impedir que informações confidenciais sejam armazenadas no Zendesk. Saiba mais sobre a proteção de dados confidenciais.

*Disponível apenas para contas Enterprise
Filtro de spam para a Central de Ajuda O Zendesk Support oferece um serviço de filtro de spam que evita que publicações de spam de usuários finais sejam publicadas na sua Central de Ajuda ou no portal web. Saiba mais sobre como filtrar spam na Central de Ajuda.

Certificados e associações de conformidade

Conformidade de segurança
SOC 2 Tipo II Temos um relatório SOC 2 Tipo II, disponível mediante solicitação e nos termos de um acordo de confidencialidade (NDA). Para obter mais informações, entre em contato pelo email security@zendesk.com.
ISO 27001:2013 O Zendesk tem certificação ISO 27001:2013. O certificado está disponível para download aqui.
ISO 27018:2014 O Zendesk tem certificação ISO 27018:2014. O certificado está disponível para download aqui.
Associações
Skyhigh Enterprise-Ready O Zendesk recebeu o selo Skyhigh Enterprise-Ready™, a mais alta classificação do programa CloudTrust™. Ele é concedido a serviços na nuvem que satisfazem completamente os requisitos mais restritos de proteção de dados, verificação de identidade, segurança de atendimento, práticas comerciais e proteção jurídica.
Cloud Security Alliance O Zendesk é membro do Cloud Security Alliance (CSA), uma organização sem fins lucrativos com uma missão de promover o uso de práticas recomendadas de garantia de segurança dentro da Computação em Nuvem. O CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. Nós preenchemos um Questionário de domínio público chamado Consensus Assessment Initiative (Iniciativa de Avaliação de Consenso, CAI), baseado nos resultados da nossa autoavaliação de due dilligence.
Certificações de Privacidade
Programas de Certificação de Privacidade TRUSTe® A Zendesk demonstrou que nossos programas, políticas e práticas de privacidade atendem aos requisitos da Defesa de Privacidade UE-EUA e/ou Defesa de Privacidade Suíça-EUA. Essas empresas obtiveram certificação de participação no acordo de Defesa de Privacidade junto ao Departamento de Comércio dos Estados Unidos, disponível em https://www.privacyshield.gov/list. A TRUSTe verifica se a conformidade com a Defesa de Privacidade atende aos requisitos do Princípio suplementar de Verificação do acordo de Defesa de Privacidade.
Certificações de Defesa de Privacidade UE-EUA e Suíça-EUA A Zendesk tem conformidade certificada com as estruturas do acordo de Defesa de Privacidade UE-EUA e Suíça-EUA junto ao Departamento de Comércio dos Estados Unidos e foi adicionada à sua lista de participantes da Defesa de Privacidade com certificação própria. Nossas certificações confirmam que cumprimos os princípios da Defesa de Privacidade em relação à transferência de dados pessoais da Europa e Suíça para os Estados Unidos.
Política de privacidade Saiba mais sobre privacidade no Zendesk
Conformidade segundo a indústria
HIPAA Ajudamos os clientes a atender seus requisitos de HIPAA oferecendo as configurações de segurança apropriadas nos produtos Zendesk. Além disso, disponibilizamos nosso Business Associate Agreement (Contrato de Associação Comercial, BAA) para a execução pelos assinantes.

*BAA disponível apenas com a compra do complemento Segurança avançada e se aplica apenas a alguns produtos da Zendesk (aplicam-se regras especiais de configuração).
Uso do Zendesk em um ambiente de PCI Consulte nosso whitepaper sobre a conformidade com PCI ou saiba mais sobre nosso campo em conformidade com PCI para o Zendesk Support.

*Necessária conta do Enterprise

Metodologias adicionais de segurança

Conscientização em segurança
Políticas A Zendesk desenvolveu um conjunto abrangente de políticas de segurança que cobre diversos tópicos. As políticas são compartilhadas e disponibilizadas com todos os funcionários e contratados com acesso aos ativos de informações do Zendesk.
Treinamento Todos os novos funcionários participam de um treinamento sobre conscientização de segurança, realizado no momento da contratação e, depois, anualmente. Todos os engenheiros recebem o treinamento de codificação com segurança anual. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por email, publicações de blogs e apresentações durante eventos internos.
Avaliação de funcionários
Verificações de antecedentes A Zendesk verifica os antecedentes de todos os novos funcionários segundo a legislação local. Este procedimento também é exigido para os prestadores de serviço. A verificação dos antecedentes inclui a análise do histórico criminal, educacional e trabalhista dos funcionários. As equipes de limpeza também estão incluídas neste procedimento.
Acordos de confidencialidade Todos os novos contratados são selecionados através do processo de contratação e devem assinar acordos de confidencialidade e de não divulgação.

Recursos de segurança para download

Até os nossos recursos estão protegidos. Para obter acesso, preencha o breve formulário abaixo.

Insira o seu nome
Insira o seu sobrenome
Insira um endereço de email válido
Selecione o seu país

Estamos quase lá. Fale um pouco sobre sua empresa.

Insira o nome de sua empresa
Selecione o número de funcionários
Selecione seu setor
Envie também emails esporádicos sobre os produtos e serviços da Zendesk. (Você pode cancelar a sua assinatura a qualquer momento.)
Selecione uma opção

Sua solicitação foi enviada.

Um de nossos representantes entrará em contato em breve.

Desculpe, algo deu errado.

Recarregue a página e tente novamente. Ou então, envie um email diretamente para support@zendesk.com

Estamos enviando sua solicitação; aguarde.

Se você precisar acessar nosso relatório de SOC 2, envie um email para security@zendesk.com.