Atendimento ao cliente seguro

Se proteja

A Zendesk leva a segurança muito a sério, basta perguntar às diversas empresas da Fortune 100 e Fortune 500 que confiam em nós para cuidarmos de seus dados. Combinamos recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para garantir a proteção contínua de seus dados e a tranquilidade de todos os clientes, incluindo os nossos.

Certificados e associações de conformidade

Usamos práticas recomendadas e padrões consagrados para garantir a conformidade com as estruturas gerais de segurança e privacidade aceitas pelo setor, o que, por sua vez, ajuda nossos clientes a atender a seus padrões de conformidade.

Conformidade de segurança
SOC 2 Tipo II

Nós passamos por auditorias de rotina para receber relatórios SOC 2 Tipo II atualizados, que estão disponíveis mediante solicitação e nos termos de um acordo de não-divulgação (NDA). O último relatório do SOC 2 Tipo II pode ser solicitado aqui.

ISO 27001:2013

A Zendesk tem certificação ISO 27001:2013. O certificado está disponível para download aqui.

ISO 27018:2014

A Zendesk tem certificação ISO 27018:2014. O certificado está disponível para download aqui.

LI-SaaS do FedRAMP

O Zendesk tem autorização de Software como serviço de baixo impacto (LI-SaaS) da FedRAMP e está anunciado no Marketplace da FedRAMP. Clientes de agências governamentais dos EUA podem solicitar acesso ao Pacote de segurança da FedRAMP da Zendesk preenchendo um Formulário de solicitação de acesso ao pacote aqui ou enviando uma solicitação para fedramp@zendesk.com.

Conformidade de acordo com o setor
HIPAA

Ajudamos os clientes a atender seus requisitos de HIPAA oferecendo as configurações de segurança apropriadas nos produtos Zendesk. Além disso, disponibilizamos nosso Business Associate Agreement (Contrato de Associação Comercial, BAA) para a execução pelos assinantes.

*BAA disponível apenas com a compra do complemento Conformidade avançada e aplica-se apenas a alguns produtos da Zendesk (aplicam-se requisitos especiais de configuração).

PCI-DSS

Consulte nosso whitepaper sobre a conformidade com PCI ou saiba mais sobre nosso campo em conformidade com PCI para o Zendesk Support.

*Necessária conta do Enterprise

Clique aqui para obter nosso Atestado de conformidade (AoC) com PCI e Certificado de conformidade.

Associações
Skyhigh Enterprise-Ready

O Zendesk recebeu o selo Skyhigh Enterprise-Ready™, a mais alta classificação do programa CloudTrust™. Ele é concedido a serviços na nuvem que satisfazem completamente os requisitos mais restritos de proteção de dados, verificação de identidade, segurança de atendimento, práticas comerciais e proteção jurídica.

Cloud Security Alliance

O Zendesk é membro do Cloud Security Alliance (CSA), uma organização sem fins lucrativos com uma missão de promover o uso de práticas recomendadas de garantia de segurança dentro da Computação em Nuvem. O CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. Nós preenchemos um Questionário de domínio público chamado Consensus Assessment Initiative (Iniciativa de Avaliação de Consenso, CAI), baseado nos resultados da nossa autoavaliação de due dilligence.

O CSA CAIQ está disponível para download aqui.

IT-ISAC

A Zendesk é membro do IT-ISAC, um grupo focado em reunir um conjunto diversificado de empresas do setor privado, comprometidas com a segurança e evolução da tecnologia. O IT-ISAC permite a colaboração e o compartilhamento de informações e práticas relevantes e acionáveis sobre ameaças. Ele modera grupos de interesses especiais que se concentram em Inteligência, Ameaça interna, Segurança física e outras áreas específicas para ajudar a avançar nossa missão de proteger os produtos Zendesk.

FIRST

A Zendesk é membro da FIRST, uma confederação internacional de equipes de resposta a incidentes que lidam cooperativamente com incidentes de segurança em informática e promovem programas de prevenção a eles. Os membros da FIRST desenvolvem e compartilham informações técnicas, ferramentas, metodologias, processos e práticas recomendadas. Como membro da FIRST, a equipe de Segurança da Zendesk trabalha com outros membros para aproveitar seus conhecimentos, habilidades e experiência combinados e promover um ambiente eletrônico global mais seguro.

Certificações de privacidade e proteção de dados
Política de privacidade
Recursos legais

Para obter informações sobre nossos termos de privacidade e legais, visite:

Artefatos

Temos diversos recursos que podemos fornecer mediante solicitação.

Recursos para download direto (não estão sob NDA)

Para baixar os recursos a seguir, clique no botão abaixo:

Certificação ISO 27001:2013

Certificação ISO 27018:2014

SOC 3 Report

Folha de dados/white paper

Atestado de conformidade (AoC) com PCI e Certificado de conformidade

Diagramas de arquitetura de rede

  • Support / Guide
  • Chat
  • Talk

CAIQ da CSA

Obter recursos
Recursos sob NDA

Os recursos a seguir podem exigir assinatura de um NDA. Clique no botão abaixo para acessar.

Certificado de seguro

SOC 2 Type II Report

Resumo do teste de intrusão anual

Resumo do teste de continuidade de negócios e recuperação de desastres

SIG Lite

VSA

Obter recursos

Segurança na nuvem

Segurança física do data center
Instalações

A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC 2. Saiba mais sobre conformidade na AWS.

Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e seus dados. Saiba mais sobre os controles de data center na AWS.

Segurança no local

A segurança no local físico da AWS inclui vários recursos como vigias, cercas, sistema interno de segurança, tecnologia de detecção de invasores, entre outras medidas. Saiba mais sobre a segurança física da AWS.

Localização da hospedagem dos dados

A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Saiba mais sobre os locais de hospedagem de seus dados de serviço da Zendesk.

Os clientes podem escolher armazenar seus dados apenas nos EUA ou apenas na UE.* Saiba mais sobre nossas opções de região de hospedagem de dados e restrições de tipos de dados de serviço.

*Disponível apenas com o complemento de localização do data center

Segurança de rede
Equipe de segurança exclusiva

Nossa equipe de segurança distribuída globalmente fica de plantão 24 horas por dia, 7 dias por semana para responder a alertas e eventos de segurança.

Proteção

Nossa rede é protegida usando os principais serviços de segurança da AWS, a integração com redes de proteção de ponta a ponta da Cloudflare, auditorias regulares e tecnologias de inteligência de rede que monitoram e/ou bloqueiam ataques à rede ou tráfego mal-intencionado.

Nossa arquitetura de segurança de rede é composta por diversas zonas de segurança. Os sistemas mais confidenciais, como servidores de banco de dados, ficam protegidos nas nossas zonas mais confiáveis. Outros sistemas são alojados em zonas compatíveis com sua confidencialidade, dependendo da função, da classificação das informações e do risco. De acordo com a zona, o monitoramento de segurança e os controles de acesso são aplicados. As zonas desmilitarizadas (DMZ) são utilizadas intermediárias à Internet, e internamente, entre diferentes zonas de confiança.

Escaneamento de vulnerabilidade de rede

O escaneamento de vulnerabilidade de rede nos fornece informações detalhadas para a identificação rápida de sistemas fora de conformidade ou potencialmente vulneráveis.

Testes de intrusão de terceiros

Além do nosso vasto programa de testes e monitoramento interno, a Zendesk contrata anualmente especialistas em segurança para realizar um amplo teste de intrusão nas redes de produção e corporativa da Zendesk.

Gerenciamento de eventos de incidentes de segurança

Nosso sistema de gerenciamento de eventos e informações de segurança (SIEM) reúne uma variedade de registros de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas por gatilhos que notificam a equipe de segurança com base em eventos correlacionados para investigação e resposta.

Detecção e prevenção de instrusões

Os pontos de entrada e saída do serviço são instrumentados e monitorados para detectar comportamento anômalo. Os sistemas são configurados para enviar alertas quando incidentes e valores excedem limites pré-determinados e as assinaturas são atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema 24 horas por dia, 7 dias por semana.

Programa de inteligência sobre ameaças

A Zendesk participa de diversos programas de compartilhamento de inteligência sobre ameaças. Monitoramos as ameaças publicadas nessas redes de inteligência sobre ameaças e agimos com base no risco.

Mitigação de DDoS

A Zendesk arquitetou uma abordagem multicamada para mitigação de DDoS. Uma parceria de tecnologia nuclear com a Cloudflare fornece defesas de rede de borda, enquanto o uso das ferramentas de dimensionamento e proteção, além dos serviços específicos contra DDoS da AWS, aumentam ainda mais a segurança.

Acesso lógico

O acesso à rede de produção do Zendesk é restrito pelos princípios de nível de necessidade de conhecimento das informações e privilégio mínimo, sendo frequentemente monitorado e sujeito a auditorias, bem como controlado pela nossa equipe de operações. Os funcionários precisam de uma autenticação multifatorial para acessar a rede de produção do Zendesk.

Resposta a incidentes de segurança

Na ocorrência de um alerta de sistema, os eventos são encaminhados para as nossas equipes de prontidão 24 horas por dia, 7 dias por semana, oferecendo cobertura em operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de encaminhamento.

Criptografia
Criptografia em trânsito

Todas as comunicações com a interface do usuário e as APIs da Zendesk são criptografadas usando HTTPS/TLS (TLS 1.2 ou superior), padrão em redes públicas. Isso garante que todo o tráfego entre você e a Zendesk está protegido durante o trânsito. No email, nosso produto também aproveita a TLS oportunista por padrão. A Transport Layer Security (TLS) criptografa e entrega emails com segurança, acabando com a interceptação entre servidores de email que utilizam este protocolo. As exceções à criptografia podem incluir qualquer uso de recurso de SMS no produto, qualquer aplicativo, integração ou serviço de terceiros que os assinantes possam escolher utilizar a seu critério.

Criptografia de dados em repouso

Os dados de serviço são criptografados em repouso usando a criptografia de chave AES-256 da AWS.

Disponibilidade e continuidade
Atividade

A Zendesk mantém um site com o status do sistema disponível publicamente. Ele inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de atendimento e eventos de segurança relevantes.

Redudância

O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nossa rigorosa programação de backup e/ou nossa oferta de serviço de Recuperação avançada de desastres nos permite oferecer uma disponibilidade de serviço de alto nível, visto que os dados de serviço são replicados em zonas de disponibilidade.

Recuperação de desastres

Nosso programa de recuperação de desastres (DR) garante que nossos serviços permaneçam disponíveis e sejam recuperáveis com facilidade em caso de um desastre. Isso é possível graças ao ambiente técnico robusto, à criação de planos de recuperação de desastres e às atividades de teste.

Recuperação avançada de desastres

Nosso pacote de Recuperação avançada de desastres adiciona objetivos contratuais para o objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO). Eles são cumpridos por meio de nossa capacidade de priorizar as operações dos clientes da recuperação avançada de desastres durante eventos de desastre declarados.

*Disponível apenas com a compra do complemento Recuperação avançada de desastres.

Segurança de aplicativos

Desenvolvimento seguro (SDLC)
Treinamento de codificação com segurança

Pelo menos uma vez ao ano, os engenheiros participam de treinamento de código seguro que abrange os 10 principais riscos de segurança da OWASP, vetores de ataque comuns e controles de segurança da Zendesk.

Controles de segurança da estrutura

A Zendesk utiliza estruturas modernas e seguras de software livre com controles de segurança para limitar a exposição aos 10 principais riscos de segurança do OWASP. Esses controles inerentes reduzem nossa exposição a ataques de injeção de SQL (SQLi), cross-site scripting (XSS) e solicitações intersite forjadas (CSRF), entre outros.

Quality Assurance

Nosso departamento de controle de qualidade (QA) analisa e testa nossa base de código. Diversos engenheiros de segurança de aplicativos da nossa equipe identificam, testam e separam as vulnerabilidades de segurança no código.

Ambientes separados

Os ambientes de teste e preparo são separados do ambiente de produção de maneira lógica. Nenhum dado de serviço é usado em nossos ambientes de teste e desenvolvimento.

Gerenciamento de vulnerabilidade
Escaneamento dinâmico de vulnerabilidades

Usamos ferramentas de segurança terceirizadas para monitorar nossos principais aplicativos de forma dinâmica e contínua quanto aos 10 principais riscos de segurança do OWASP. Temos uma equipe de segurança de produto interna dedicada a testes e que trabalha com equipes de engenheiros para remediar qualquer problema descoberto.

Análise estática de código

Os repositórios de código-fonte da plataforma e dos aplicativos para dispositivos móveis são monitorados continuamente em busca de problemas de segurança através das nossas ferramentas de análise estática integrada.

Testes de intrusão de terceiros

Além do nosso programa abrangente de testes e monitoramento interno, a Zendesk contrata especialistas em segurança terceirizados para executar testes de intrusão detalhados em vários aplicativos de nossa família de produtos.

Programa de divulgação responsável / "Bug Bounty" (recompensa por bug relatado)

Nosso Programa de divulgação responsável dá a pesquisadores de segurança, além de cliente, espaço para testes de segurança e para notificar o Zendesk sobre vulnerabilidades de segurança através da nossa parceria com o HackerOne.

Segurança dos produtos

Autenticação segura
Opções de autenticação

Os clientes podem ativar a autenticação nativa da Zendesk, single sign-on (SSO) de rede social (Facebook, Twitter, Google) e/ou SSO corporativo (SAML, JWT) para a autenticação do usuário final e/ou agente. Saiba mais sobre o acesso dos usuários.

Política de senha configurável

A autenticação nativa da Zendesk para os produtos disponíveis na Central de administração fornece os níveis de segurança de senha baixo, médio e alto, além de regras personalizadas de senhas que podem ser definidas para agentes e administradores. A Zendesk também permite que diferentes níveis de segurança de senha sejam aplicados a usuários finais, e a agentes e administradores. Somente os administradores podem alterar o nível de segurança da senha. Saiba mais sobre as políticas configuráveis de senha.

Autenticação de dois fatores (2FA)

A autenticação nativa da Zendesk para os produtos disponíveis na Central de administração oferece a autenticação de dois fatores (2FA) para agentes e administradores por SMS ou aplicativo autenticador. Saiba mais sobre a 2FA.

Serviço de armazenamento de credenciais

O Zendesk segue as práticas recomendadas de segurança de credenciais ao nunca armazenar senhas em formato legível por humanos, somente como resultado de uma função hash unilateral segura e experiente.

Recursos adicionais de segurança para produtos
Controles de acesso baseados em função

O acesso a dados nos aplicativos Zendesk é governado por direitos de acesso com base em função (RBAC) e pode ser configurado para definir privilégios de acesso granulares. A Zendesk tem vários níveis de permissão para usuários (proprietário, administrador, agente, usuário final, etc).

Saiba mais sobre as funções dos usuários:

Consulte detalhes sobre a segurança global e o acesso dos usuários aqui.

Restrições de IP

Os produtos Zendesk podem ser configurados para permitir acesso somente a intervalos específicos de endereços IP que você definir. Essas restrições podem ser aplicadas a todos os usuários ou apenas aos seus agentes. Saiba mais sobre o uso de restrições de IP:

Anexos privados

Configure sua instância para definir que apenas usuários conectados podem visualizar anexos de tickets. Saiba mais sobre os anexos privados.

Assinatura de emails (DKIM/DMARC)

A Zendesk oferece suporte a autenticações DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) para assinar emails enviados da Zendesk quando você configura um domínio de email externo na sua instância. Usar um serviço de email compatível com esses recursos permite impedir spoofing de email. Saiba mais como usar uma assinatura digital no seu email.

Controle de dispositivo

A Zendesk monitora os dispositivos usados para acessar sua conta. Quando alguém acessa uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. Esse usuário pode receber uma notificação por email quando um novo dispositivo for adicionado e deve acompanhar se a atividade parecer suspeita. Sessões suspeitas podem ser encerradas da interface do usuário do agente. Saiba mais sobre o monitoramento de dispositivos.

Supressão de dados confidenciais

A supressão manual permite suprimir ou remover dados confidenciais em comentários de tickets e apagar anexos com segurança para que você possa proteger informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas nos produtos Zendesk. Saiba mais sobre a supressão por meio da interface ou API.

A supressão automática de informações permite suprimir automaticamente cadeias de caracteres numerais que correspondam ao número de cartão de crédito válido da conta principal (CC PAN) e atendam a uma verificação Luhn no Support e no Chat. Saiba mais sobre a supressão automática de informações no Support e no Chat.

O Zendesk Support oferece um campo configurável de cartão de crédito compatível com PCI, que suprime os números, exceto os últimos quatro dígitos. Saiba mais sobre conformidade com PCI na Zendesk.

Filtro de spam para a Central de Ajuda

O serviço de filtro de spam da Zendesk pode ser usado para impedir que publicações de spam de usuários finais sejam publicadas na sua Central de Ajuda. Saiba mais sobre como filtrar spam na Central de Ajuda.

Segurança de recursos humanos

Conscientização em segurança
Políticas

A Zendesk desenvolveu um conjunto abrangente de políticas de segurança que cobre diversos tópicos. As políticas são compartilhadas e disponibilizadas com todos os funcionários e contratados com acesso aos ativos de informações do Zendesk.

Treinamento

Todos os novos funcionários participam de um treinamento sobre conscientização de segurança, realizado no momento da contratação e, depois, anualmente. Todos os engenheiros recebem o treinamento anual de codificação com segurança. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por email, publicações de blogs e apresentações durante eventos internos.

Avaliação de funcionários
Verificações de antecedentes

A Zendesk verifica os antecedentes de todos os novos funcionários segundo a legislação local. Este procedimento também é exigido para os prestadores de serviço. A verificação dos antecedentes inclui a análise do histórico criminal, educacional e trabalhista dos funcionários. As equipes de limpeza também estão incluídas neste procedimento.

Acordos de confidencialidade

Todos os novos funcionários são obrigados a assinar acordos de confidencialidade e de não divulgação.