Atendimento ao cliente seguro

Se proteja

Zendesk takes security very seriously—just ask the number of Fortune 100 and Fortune 500 companies that trust us with their data. We use a combination of enterprise-class security features and comprehensive audits of our applications, systems, and networks to ensure that your data is always protected, which means every customer can rest easy—our own included.

Certificados e associações de conformidade

Usamos práticas recomendadas e padrões consagrados para garantir a conformidade com as estruturas gerais de segurança e privacidade aceitas pelo setor, o que, por sua vez, ajuda nossos clientes a atender a seus padrões de conformidade.

Conformidade de segurança
SOC 2 Tipo II

We undergo routinized audits to receive updated SOC 2 Type II reports, available upon request and under NDA. The latest SOC 2 Type II report can be requested here.

ISO 27001:2013

Zendesk is ISO 27001:2013 certified. The certificate is available for download here.

ISO 27018:2014

Zendesk is ISO 27018:2014 certified. The certificate is available for download here.

Conformidade de acordo com o setor
HIPAA

Ajudamos os clientes a atender seus requisitos de HIPAA oferecendo as configurações de segurança apropriadas nos produtos Zendesk. Além disso, disponibilizamos nosso Business Associate Agreement (Contrato de Associação Comercial, BAA) para a execução pelos assinantes.

*BAA disponível apenas com a compra do complemento Segurança avançada e aplica-se apenas a alguns produtos Zendesk (aplicam-se requisitos especiais de configuração).

PCI-DSS

View our whitepaper on PCI compliance or learn more about our PCI compliant field for Zendesk Support.

*Necessária conta do Enterprise

Click here to obtain our PCI Attestation of Compliance (AoC) and Certificate of Compliance.

Associações
Skyhigh Enterprise-Ready

O Zendesk recebeu o selo Skyhigh Enterprise-Ready™, a mais alta classificação do programa CloudTrust™. Ele é concedido a serviços na nuvem que satisfazem completamente os requisitos mais restritos de proteção de dados, verificação de identidade, segurança de atendimento, práticas comerciais e proteção jurídica.

Cloud Security Alliance

O Zendesk é membro do Cloud Security Alliance (CSA), uma organização sem fins lucrativos com uma missão de promover o uso de práticas recomendadas de garantia de segurança dentro da Computação em Nuvem. O CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. Nós preenchemos um Questionário de domínio público chamado Consensus Assessment Initiative (Iniciativa de Avaliação de Consenso, CAI), baseado nos resultados da nossa autoavaliação de due dilligence.

The CSA CAIQ is available for download here.

Certificações de privacidade e proteção de dados
Programas de Certificação de Privacidade TRUSTe®

A Zendesk demonstrou que nossos programas, políticas e práticas de privacidade atendem aos requisitos do Escudo de Proteção da Privacidade UE-EUA e/ou Escudo de Proteção da Privacidade Suíça-EUA. Essas empresas obtiveram certificação de participação no acordo do Escudo de Proteção da Privacidade junto ao Departamento de Comércio dos Estados Unidos, conforme disponível em https://www.privacyshield.gov/list. Utilizamos um agente de verificação terceirizado, que analisa se a conformidade com o Escudo de Proteção da Privacidade atende aos requisitos do Princípio suplementar de Verificação do Escudo de Proteção da Privacidade. Para consultar o status da verificação, clique aqui.

Certificações de Defesa de Privacidade UE-EUA e Suíça-EUA

A Zendesk tem conformidade certificada com as estruturas do acordo de Defesa de Privacidade UE-EUA e Suíça-EUA junto ao Departamento de Comércio dos Estados Unidos e foi adicionada à sua lista de participantes da Defesa de Privacidade com certificação própria. Nossas certificações confirmam que cumprimos os princípios da Defesa de Privacidade em relação à transferência de dados pessoais da Europa e Suíça para os Estados Unidos.

Saiba mais sobre o Escudo de Proteção da Privacidade

Política de privacidade
Recursos legais

Para obter informações sobre nossos termos de privacidade e legais, visite:

Artefatos

Temos diversos recursos que podemos fornecer mediante solicitação.

Recursos para download direto (não estão sob NDA)

Para baixar os recursos a seguir, clique no botão abaixo:

Certificação ISO 27001:2013

Certificação ISO 27018:2014

SOC 3 Report

Folha de dados/white paper

Atestado de conformidade (AoC) com PCI e Certificado de conformidade

Diagramas de arquitetura de rede

  • Support / Guide
  • Chat
  • Talk

CAIQ da CSA

Obter recursos
Recursos sob NDA

Os recursos a seguir podem exigir assinatura de um NDA. Clique no botão abaixo para acessar.

Certificado de seguro

SOC 2 Type II Report

Resumo do teste de intrusão anual

Resumo do teste de continuidade de negócios e recuperação de desastres

SIG Lite

VSA

Obter recursos

Segurança na nuvem

Segurança física do data center
Instalações

A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC 2. Saiba mais sobre conformidade na AWS.

Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e seus dados. Saiba mais sobre os controles de data center na AWS.

Segurança no local

A segurança no local físico da AWS inclui vários recursos como vigias, cercas, sistema interno de segurança, tecnologia de detecção de invasores, entre outras medidas. Saiba mais sobre a segurança física da AWS.

Localização da hospedagem dos dados

A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Saiba mais sobre os locais de hospedagem de seus dados de serviço da Zendesk.

Os clientes podem escolher armazenar seus dados apenas nos EUA ou apenas na UE.* Saiba mais sobre nossas opções de região de hospedagem de dados e restrições de tipos de dados de serviço.

*Disponível apenas com o complemento de localização do data center

Segurança de rede
Equipe de segurança exclusiva

Nossa equipe de segurança distribuída globalmente fica de plantão 24 horas por dia, 7 dias por semana para responder a alertas e eventos de segurança.

Proteção

Nossa rede é protegida usando os principais serviços de segurança da AWS, a integração com redes de proteção de ponta a ponta da Cloudflare, auditorias regulares e tecnologias de inteligência de rede que monitoram e/ou bloqueiam ataques à rede ou tráfego mal-intencionado.

Nossa arquitetura de segurança de rede é composta por diversas zonas de segurança. Os sistemas mais confidenciais, como servidores de banco de dados, ficam protegidos nas nossas zonas mais confiáveis. Outros sistemas são alojados em zonas compatíveis com sua confidencialidade, dependendo da função, da classificação das informações e do risco. De acordo com a zona, o monitoramento de segurança e os controles de acesso são aplicados. As zonas desmilitarizadas (DMZ) são utilizadas intermediárias à Internet, e internamente, entre diferentes zonas de confiança.

Escaneamento de vulnerabilidade de rede

O escaneamento de vulnerabilidade de rede nos fornece informações detalhadas para a identificação rápida de sistemas fora de conformidade ou potencialmente vulneráveis.

Testes de intrusão de terceiros

In addition to our extensive internal scanning and testing program, each year, Zendesk employs third-party security experts to perform a broad penetration test across the Zendesk Production and Corporate Networks.

Gerenciamento de eventos de incidentes de segurança

Nosso sistema de gerenciamento de eventos e informações de segurança (SIEM) reúne uma variedade de registros de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas por gatilhos que notificam a equipe de segurança com base em eventos correlacionados para investigação e resposta.

Detecção e prevenção de instrusões

Os pontos de entrada e saída do serviço são instrumentados e monitorados para detectar comportamento anômalo. Os sistemas são configurados para enviar alertas quando incidentes e valores excedem limites pré-determinados e as assinaturas são atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema 24 horas por dia, 7 dias por semana.

Programa de inteligência sobre ameaças

A Zendesk participa de diversos programas de compartilhamento de inteligência sobre ameaças. Monitoramos as ameaças publicadas nessas redes de inteligência sobre ameaças e agimos com base no risco.

Mitigação de DDoS

A Zendesk arquitetou uma abordagem multicamada para mitigação de DDoS. Uma parceria de tecnologia nuclear com a Cloudflare fornece defesas de rede de borda, enquanto o uso das ferramentas de dimensionamento e proteção, além dos serviços específicos contra DDoS da AWS, aumentam ainda mais a segurança.

Acesso lógico

O acesso à rede de produção do Zendesk é restrito pelos princípios de nível de necessidade de conhecimento das informações e privilégio mínimo, sendo frequentemente monitorado e sujeito a auditorias, bem como controlado pela nossa equipe de operações. Os funcionários precisam de uma autenticação multifatorial para acessar a rede de produção do Zendesk.

Resposta a incidentes de segurança

Na ocorrência de um alerta de sistema, os eventos são encaminhados para as nossas equipes de prontidão 24 horas por dia, 7 dias por semana, oferecendo cobertura em operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de encaminhamento.

Criptografia
Criptografia em trânsito

Todas as comunicações com a interface do usuário e as APIs da Zendesk são criptografadas usando HTTPS/TLS (TLS 1.2 ou superior), padrão em redes públicas. Isso garante que todo o tráfego entre você e a Zendesk está protegido durante o trânsito. No email, nosso produto também aproveita a TLS oportunista por padrão. A Transport Layer Security (TLS) criptografa e entrega emails com segurança, acabando com a interceptação entre servidores de email que utilizam este protocolo. As exceções à criptografia podem incluir qualquer uso de recurso de SMS no produto, qualquer aplicativo, integração ou serviço de terceiros que os assinantes possam escolher utilizar a seu critério.

Criptografia de dados em repouso

Os dados de serviço são criptografados em repouso usando a criptografia de chave AES-256 da AWS.

Disponibilidade e continuidade
Atividade

A Zendesk mantém um site com o status do sistema disponível publicamente. Ele inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de atendimento e eventos de segurança relevantes.

Redudância

O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nossa rigorosa programação de backup e/ou nossa oferta de serviço de Recuperação avançada de desastres nos permite oferecer uma disponibilidade de serviço de alto nível, visto que os dados de serviço são replicados em zonas de disponibilidade.

Recuperação de desastres

Our Disaster Recovery (DR) program ensures that our services remain available and are easily recoverable in the case of a disaster. This is accomplished through building a robust technical environment, creating Disaster Recovery plans, and testing activities.

Recuperação avançada de desastres

Nosso pacote de Recuperação avançada de desastres adiciona objetivos contratuais para o objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO). Eles são cumpridos por meio de nossa capacidade de priorizar as operações dos clientes da recuperação avançada de desastres durante eventos de desastre declarados.

*Disponível somente com o complemento Segurança avançada

Segurança de aplicativos

Desenvolvimento seguro (SDLC)
Treinamento de codificação com segurança

Pelo menos uma vez por ano, os engenheiros participam de treinamento sobre código de segurança, que cobre os 10 principais riscos de segurança do OWASP, vetores de ataques comuns e controles de segurança da Zendesk.

Controles de segurança da estrutura

A Zendesk utiliza estruturas modernas e seguras de software livre com controles de segurança para limitar a exposição aos 10 principais riscos de segurança do OWASP. Esses controles inerentes reduzem nossa exposição a ataques de injeção de SQL (SQLi), cross-site scripting (XSS) e solicitações intersite forjadas (CSRF), entre outros.

Quality Assurance

Nosso departamento de controle de qualidade (QA) analisa e testa nossa base de código. Diversos engenheiros de segurança de aplicativos da nossa equipe identificam, testam e separam as vulnerabilidades de segurança no código.

Ambientes separados

Os ambientes de teste e preparo são separados do ambiente de produção de maneira lógica. Nenhum dado de serviço é usado em nossos ambientes de teste e desenvolvimento.

Gerenciamento de vulnerabilidade
Escaneamento dinâmico de vulnerabilidades

Usamos ferramentas de segurança terceirizadas para monitorar nossos principais aplicativos de forma dinâmica e contínua quanto aos 10 principais riscos de segurança do OWASP. Temos uma equipe de segurança de produto interna dedicada a testes e que trabalha com equipes de engenheiros para remediar qualquer problema descoberto.

Análise estática de código

Os repositórios de código-fonte da plataforma e dos aplicativos para dispositivos móveis são monitorados continuamente em busca de problemas de segurança através das nossas ferramentas de análise estática integrada.

Testes de intrusão de terceiros

Além do nosso programa abrangente de testes e monitoramento interno, a Zendesk contrata especialistas em segurança terceirizados para executar testes de intrusão detalhados em vários aplicativos de nossa família de produtos.

Programa de divulgação responsável / "Bug Bounty" (recompensa por bug relatado)

Our Responsible Disclosure Program gives security researchers, as well as customers, an avenue for safely testing and notifying Zendesk of security vulnerabilities through our partnership with HackerOne.

Segurança dos produtos

Autenticação segura
Opções de autenticação

Os clientes podem ativar a autenticação nativa da Zendesk, single sign-on (SSO) de rede social (Facebook, Twitter, Google) e/ou SSO corporativo (SAML, JWT) para a autenticação do usuário final e/ou agente. Saiba mais sobre o acesso dos usuários.

Política de senha configurável

A autenticação nativa da Zendesk para os produtos disponíveis na Central de administração fornece os níveis de segurança de senha baixo, médio e alto, além de regras personalizadas de senhas que podem ser definidas para agentes e administradores. A Zendesk também permite que diferentes níveis de segurança de senha sejam aplicados a usuários finais, e a agentes e administradores. Somente os administradores podem alterar o nível de segurança da senha. Saiba mais sobre as políticas configuráveis de senha.

Autenticação de dois fatores (2FA)

A autenticação nativa da Zendesk para os produtos disponíveis na Central de administração oferece a autenticação de dois fatores (2FA) para agentes e administradores por SMS ou aplicativo autenticador. Saiba mais sobre a 2FA.

Serviço de armazenamento de credenciais

O Zendesk segue as práticas recomendadas de segurança de credenciais ao nunca armazenar senhas em formato legível por humanos, somente como resultado de uma função hash unilateral segura e experiente.

Recursos adicionais de segurança para produtos
Controles de acesso baseados em função

O acesso a dados nos aplicativos Zendesk é governado por direitos de acesso com base em função (RBAC) e pode ser configurado para definir privilégios de acesso granulares. A Zendesk tem vários níveis de permissão para usuários (proprietário, administrador, agente, usuário final, etc).

Saiba mais sobre as funções dos usuários:

Consulte detalhes sobre a segurança global e o acesso dos usuários aqui.

Restrições de IP

Os produtos Zendesk podem ser configurados para permitir acesso somente a intervalos específicos de endereços IP que você definir. Essas restrições podem ser aplicadas a todos os usuários ou apenas aos seus agentes. Saiba mais sobre o uso de restrições de IP:

Anexos privados

Configure sua instância para definir que apenas usuários conectados podem visualizar anexos de tickets. Saiba mais sobre os anexos privados.

Assinatura de emails (DKIM/DMARC)

A Zendesk oferece suporte a autenticações DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) para assinar emails enviados da Zendesk quando você configura um domínio de email externo na sua instância. Usar um serviço de email compatível com esses recursos permite impedir spoofing de email. Saiba mais como usar uma assinatura digital no seu email.

Controle de dispositivo

A Zendesk monitora os dispositivos usados para acessar sua conta. Quando alguém acessa uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. Esse usuário pode receber uma notificação por email quando um novo dispositivo for adicionado e deve acompanhar se a atividade parecer suspeita. Sessões suspeitas podem ser encerradas da interface do usuário do agente. Saiba mais sobre o monitoramento de dispositivos.

Supressão de dados confidenciais

A supressão manual permite suprimir ou remover dados confidenciais em comentários de tickets e apagar anexos com segurança para que você possa proteger informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas nos produtos Zendesk. Saiba mais sobre a supressão por meio da interface ou API.

A supressão automática de informações permite suprimir automaticamente cadeias de caracteres numerais que correspondam ao número de cartão de crédito válido da conta principal (CC PAN) e atendam a uma verificação Luhn no Support e no Chat. Saiba mais sobre a supressão automática de informações no Support e no Chat.

Zendesk Support offers a configurable PCI-compliant credit card field which redacts all but the last four digits. Learn more about PCI Compliance at Zendesk.

Filtro de spam para a Central de Ajuda

O serviço de filtro de spam da Zendesk pode ser usado para impedir que publicações de spam de usuários finais sejam publicadas na sua Central de Ajuda. Saiba mais sobre como filtrar spam na Central de Ajuda.

Segurança de recursos humanos

Conscientização em segurança
Políticas

A Zendesk desenvolveu um conjunto abrangente de políticas de segurança que cobre diversos tópicos. As políticas são compartilhadas e disponibilizadas com todos os funcionários e contratados com acesso aos ativos de informações do Zendesk.

Treinamento

Todos os novos funcionários participam de um treinamento sobre conscientização de segurança, realizado no momento da contratação e, depois, anualmente. Todos os engenheiros recebem o treinamento anual de codificação com segurança. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por email, publicações de blogs e apresentações durante eventos internos.

Avaliação de funcionários
Verificações de antecedentes

A Zendesk verifica os antecedentes de todos os novos funcionários segundo a legislação local. Este procedimento também é exigido para os prestadores de serviço. A verificação dos antecedentes inclui a análise do histórico criminal, educacional e trabalhista dos funcionários. As equipes de limpeza também estão incluídas neste procedimento.

Acordos de confidencialidade

Todos os novos funcionários são obrigados a assinar acordos de confidencialidade e de não divulgação.