Atendimento ao cliente seguro

Segurança do Zendesk

Mais de 90.000 clientes confiam seus dados à Zendesk. E nós levamos este voto de confiança muito a sério. Combinamos os recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes, para garantir a proteção contínua dos dados do cliente e das empresas. Nossos clientes ficam tranquilos em saber que suas informações estão protegidas, bem como suas interações e negócios.

Práticas recomendadas

O Zendesk oferece diversas opções de segurança para garantir que os dados estejam protegidos e seguros. Mas é melhor prevenir do que remediar. Seguindo estas dez práticas recomendadas, é possível aumentar a segurança de seu Zendesk.

Saiba mais

Opinião dos clientes

Segurança de data center e redes

Segurança física
Instalações Os servidores Zendesk são hospedados em instalações de conformidade Tier III, SSAE-16, PCI DSS, ou ISO 27001. Nosso espaço de jaula é fisicamente e logicamente separado de outros centros de dados de clientes. As instalações que compartilham locações são alimentadas por energia redundante, cada um com geradores UPS e de backup.
Segurança no local Nossas instalações de data centers contam com um perímetro protegido com zonas de segurança multinível, com guardas 24 horas por dia, 7 dias por semana, sistema de vigilância por circuito fechado de TV (CCTV), identificação multifatorial com controle de acesso biométrico, bloqueios físicos e alarmes de violação de segurança.
Monitoramento Todos os sistemas, dispositivos em rede e circuitos são constantemente monitorados, tanto pela Zendesk quanto pelos provedores de co-localização.
Localização A Zendesk tem data centers na União Europeia e nos Estados Unidos. Os clientes podem escolher armazenar seus dados apenas nos EUA ou apenas na UE. Saiba mais sobre nossas políticas de hospedagem de dados na UE *Disponível apenas com o complemento de localização do data center
Segurança de rede
Equipe de segurança exclusiva Nossa equipe de segurança fica de plantão 24 horas por dia, 7 dias por semana para responder a alertas e eventos de segurança.
Proteção Nossa rede é protegida por 7 firewalls de camada redundantes, roteadores de ponta, transporte HTTPS seguro em redes públicas, auditorias regulares e tecnologias de detecção/prevenção de intrusão de rede (IDS/IPS), que monitoram e bloqueiam o tráfego malicioso e ataques à rede.
Arquitetura Nossa arquitetura de segurança de rede é composta por diversas zonas de confiança de segurança. Os sistemas mais confidenciais, como os servidores do nosso banco de dados, ficam protegidos nas nossas zonas mais confiáveis. Outros sistemas são alojados em zonas compatíveis com sua confidencialidade, dependendo da função, classificação das informações e risco. De acordo com a zona, o monitoramento de segurança e os controles de acesso podem exigir um reforço. As zonas desmilitarizadas (DMZ) são utilizadas intermediárias à Internet, e internamente, entre diferentes zonas de confiança.
Escaneamento de vulnerabilidade de rede O escaneamento de vulnerabilidade de rede nos fornece informações detalhadas para a identificação rápida de sistemas fora de conformidade ou potencialmente vulneráveis.
Testes de intrusão de terceiros Além do nosso programa abrangente de testes e escaneamento interno, contratamos anualmente especialistas em segurança para realizar um teste de intrusão amplo na rede de produção do Zendesk.
Gerenciamento de eventos de incidentes de segurança (SIEM) Um sistema de gerenciamento de eventos e informações de segurança (SIEM) reúne uma variedade de registros de dispositivos de rede e sistemas de host importantes. O SIEM cria gatilhos que notificam a equipe de segurança com base em eventos co-relacionados, e a equipe de segurança responde a esses eventos.
Detecção e prevenção de instrusões Os principais pontos de entrada e saída de fluxo de dados de aplicativos são monitorados com Sistemas de Detecção de Intrusão (IDSs) ou Sistemas de Prevenção de Intrusão (IPS). Os sistemas são configurados para gerar alertas quando os incidentes e valores excedem limites pré-determinados e usam assinaturas atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema 24 horas por dia, 7 dias por semana.
Programa de inteligência sobre ameaças O Zendesk participa de diversos programas de compartilhamento de inteligência sobre ameaças. Monitoramos ameaças publicadas nessas redes de inteligência sobre ameaças e agimos com base em nosso risco e exposição.
Mitigação de DDoS Além das nossos próprios recursos e ferramentas, contratamos fornecedores de limpeza sob demanda de DDoS para mitigar ataques de negação de serviço (DDoS).
Acesso lógico O acesso à rede de produção do Zendesk é restrito pelos princípios de nível de necessidade de conhecimento das informações e privilégio mínimo, sendo frequentemente monitorado e sujeito a auditorias, bem como controlado pela nossa equipe de operações. Os funcionários precisam de uma autenticação multifatorial para acessar a rede de produção do Zendesk.
Resposta a incidentes de segurança Na ocorrência de um alerta de sistema, os eventos são encaminhados para as nossas equipes de prontidão 24 horas por dia, 7 dias por semana, oferecendo cobertura em operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de encaminhamento.
Criptografia
Criptografia em trânsito As comunicações entre você e os servidores da Zendesk são criptografadas por meio de HTTPS e TLS (Transport Layer Security) de práticas recomendadas do setor.
Criptografia de dados em repouso O Zendesk suporta criptografia de dados do cliente em repouso. *Disponível somente com complemento de segurança avançada
Disponibilidade e continuidade
Atividade O Zendesk mantém um site com status de sistema disponível publicamente que inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de atendimento e eventos de segurança relevantes.
Redudância O clustering de serviço e as redundâncias de rede do Zendesk eliminam um ponto único de falha. Nosso regime de backup rigoroso garante que os dados do cliente sejam copiados tanto nos sistemas quanto nas instalações. Nossos dados do banco de dados são armazenados em dispositivos eficientes de Flash Memory, com vários servidores por cluster de banco de dados.
Recuperação de desastres Nosso programa de recuperação de desastres garante que nossos serviços permaneçam disponíveis ou sejam recuperáveis com facilidade em caso de um desastre. Conseguimos isso estabelecendo um ambiente técnico robusto, criando planos de recuperação de desastres e testes.
Recuperação avançada de desastres Com a recuperação avançada de desastres, todo o ambiente de operação, incluindo os dados de clientes, é replicado em um site secundário para dar suporte ao atendimento quando o site primário fica completamente indisponível. O Zendesk definiu uma meta de tempo de retorno (RTO) e uma meta de ponto de recuperação (RPO) para esse atendimento. *Disponível somente com complemento de segurança avançada

Segurança de aplicativos

Desenvolvimento seguro (SDLC)
Treinamento em segurança Pelo menos uma vez por ano, os engenheiros participam de treinamento em código de segurança. Esse treinamento cobre as 10 principais falhas de segurança OWASP, vetores de ataques comuns e controles de segurança do Zendesk.
Controles de segurança da estrutura Ruby on Rails Usamos os controles de segurança da estrutura Ruby on Rails para limitar a exposição às 10 principais falhas de segurança do OWASP. Incluindo os controles inerentes que reduzem nossa exposição a Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), e SQL Injection (SQLi), entre outros.
Controle de qualidade Nosso departamento de garantia da qualidade avalia e testa a nossa base de códigos. Diversos engenheiros de segurança de aplicativos da nossa equipe identificam, testam e separam as vulnerabilidades de segurança no código.
Ambientes separados Os ambientes de teste são física e logicamente separados do ambiente de produção. Nenhum dado dos clientes é usado nos ambientes de teste e desenvolvimento.
Vulnerabilidades do aplicativo
Escaneamento dinâmico de vulnerabilidades Usamos algumas ferramentas de segurança qualificadas de terceiros para escanear nosso aplicativo continuamente. O Zendesk é escaneado em busca das 10 principais falhas de segurança OWASP. Temos uma equipe de segurança de produto interna dedicada para testes que trabalha com equipes de engenheiros para remediar qualquer problema descoberto.
Análise estática de código Nossos repositórios de código-fonte, tanto para a plataforma como para os aplicativos de dispositivos móveis, são escaneados continuamente em busca de problemas de segurança através das nossas ferramentas de análise estática integrada.
Teste de intrusão de segurança Além do nosso programa abrangente de testes e escaneamento interno, todo trimestre o Zendesk contrata especialistas em segurança terceiros para executar testes de intrusão detalhados em diferentes partes do aplicativo.
Programa de divulgação responsável / "Bug Bounty" (recompensa por bug relatado) Nosso Programa de Divulgação Responsável dá a pesquisadores de segurança espaço para testes de segurança e para notificar o Zendesk sobre vulnerabilidades de segurança através da nossa parceria com o HackerOne.

Recursos de segurança para produtos

Desenvolvimento seguro (SDLC)
Opções de autenticação Para administradores/agentes oferecemos suporte para a conexão por Zendesk, SSO e autenticação via Google. Para usuários finais oferecemos suporte para a conexão por Zendesk, SSO, e SSO de redes sociais (Facebook, Twitter, Google).
Single sign-on (SSO) O single sign-on (SSO) permite que você autentique usuários em seus próprios sistemas sem exigir que eles insiram credenciais de entrada adicionais para acessar o Zendesk. O Zendesk concede acesso somente aos usuários que você autenticou. Tanto o JSON Web Token (JWT) e Security Assertion Markup Language (SAML) são suportados. Saiba mais sobre o SSO *SAML só está disponível para as contas Professional e Enterprise*JWT só está disponível para as contas Team e superiores
Política de senha configurável O Zendesk oferece os seguintes níveis de segurança da senha: baixo, médio e alto. O Zendesk permite que você defina um nível de segurança de senha para usuários finais e um nível diferente para admins e agentes. Somente administradores podem alterar o nível de segurança da senha. Nos Planos Professional e Enterprise, você pode especificar seu próprio nível de segurança da senha personalizado.
Autenticação de dois fatores (2FA) Habilite a autenticação de 2 fatores (2FA) ao entrar com o Zendesk. O Zendesk é compatível com SMS e aplicativos geradores de senhas, como o Authy e o Google Authenticator . A 2FA oferece uma camada de segurança adicional para a sua conta do Zendesk, tornando mais difícil que outra pessoa acesse o Zendesk fingindo ser você. Saiba mais sobre a 2FA
Armazenamento seguro de credenciais O Zendesk segue as práticas recomendadas de segurança de credenciais ao nunca armazenar senhas em formato legível por humanos, somente como resultado de uma função hash unilateral segura e experiente.
Segurança e autenticação de API A API do Zendesk usa somente SSL e você precisa ser um usuário verificado para fazer solicitações de API. Você pode rejeitar a API usando a autenticação básica, com seu nome e senha, ou um nome de usuário e token de API. A autenticação OAuth também é aceita. Saiba mais sobre segurança de API
Recursos adicionais de segurança para produtos
Privilégios e funções de acesso O acesso a dados dentro do seu Zendesk é governado por direitos de acesso e pode ser configurado para definir privilégios de acesso granular. O Zendesk tem vários níveis de permissão para usuários (proprietário, admin, agente, usuário final, etc.) que acessam seu Zendesk. Saiba mais sobre níveis de acesso
Restrições de IP Seu Zendesk pode ser configurado para permitir acesso somente a faixas específicas de endereços IP que você definir. Essas restrições podem ser aplicadas a todos os usuários ou apenas aos seus agentes. Saiba mais sobre como usar as restrições de IP *Disponível somente para as contas Enterprise
Anexos privados Configure seu Zendesk para que os usuários sejam obrigados a se conectar para visualizar os anexos do ticket. Caso isso não esteja configurado, os anexos poderão ser acessados por meio de uma ID do ticket de token aleatória.
Segurança de transmissão Todas as comunicações com os servidores Zendesk são criptografadas usando HTTPS padrão do meio. Isso garante que todo o tráfego entre você e o Zendesk é seguro durante o trânsito. Adicionalmente para email, nosso produto oferece suporte a Transport Layer Security (TLS), um protocolo que criptografa e envia email de modo seguro, mitigando eavesdropping e spoofing entre servidores de email.
Assinatura de emails (DKIM/DMARC) O Zendesk oferece suporte a autenticações DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) para assinar emails enviados do Zendesk quando você configura um domínio de email externo no seu Zendesk. Usar um serviço de email compatível com esses recursos permite que você impeça o uso de IP falso de email. Saiba mais como usar uma assinatura digital no seu email.
Controle de dispositivo Para maior segurança, o Zendesk monitora os dispositivos usados para acessar cada conta de usuário do Zendesk. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil daquele usuário. Esse usuário pode receber uma notificação por email quando um novo dispositivo for adicionado e deve acompanhar se a atividade parecer suspeita.
Supressão automática de informações A Supressão Automática de Informações oferece a possibilidade de suprimir ou remover dígitos dos números de cartão de crédito encontrados em comentários em tickets ou campos personalizados, para que você possa proteger informações confidenciais. Os dados são suprimidos de um ticket recebido para evitar que o número completo do cartão de crédito seja armazenado no Zendesk. Saiba mais sobre a ferramenta de Supressão *Disponível somente para contas Professional e Enterprise
Filtro de spam para Central de Ajuda e portal web O Zendesk dá suporte a um serviço de filtro de spam que evita que publicações spam do usuário final sejam publicadas na nossa Central de Ajuda no portal. Saiba mais sobre o filtro de spam na Central de Ajuda e filtro de spam no portal web

Metodologias adicionais de segurança

Conscientização em segurança
Políticas A Zendesk desenvolveu um conjunto abrangente de políticas de segurança que cobre diversos tópicos. As políticas são compartilhadas e disponibilizadas com todos os funcionários e contratados com acesso aos ativos de informações do Zendesk.
Treinamento Todos os novos funcionários participam de um Treinamento sobre Conscientização sobre Segurança e a Equipe de Segurança fornece atualizações de conscientização sobre segurança por email, publicações de blogs e apresentações durantes eventos internos.
Avaliação de funcionários
Verificações de antecedentes A Zendesk verifica os antecedentes de todos os novos funcionários segundo a legislação local. Este procedimento também é exigido para os prestadores de serviço. A verificação dos antecedentes inclui a análise do histórico criminal, educacional e trabalhista dos funcionários. As equipes de limpeza também estão incluídas neste procedimento.
Acordos de confidencialidade Todos os novos contratados são selecionados através do processo de contratação e devem assinar acordos de confidencialidade e de não divulgação.

Certificados e associações de conformidade

Conformidade de segurança
SOC 2 Tipo II Temos nosso próprio relatório SOC 2 Tipo II, disponível mediante solicitação e nos termos de um acordo de não divulgação. Para mais informações entre em contato pelo email security@zendesk.com.
ISO 27001:2013 O Zendesk tem certificação ISO27001:2013.
ISO 27018:2014 O Zendesk tem certificação ISO27018:2014.
Associações
Skyhigh Enterprise-Ready O Zendesk recebeu o selo Skyhigh Enterprise-Ready™, a mais alta classificação do programa CloudTrust™. Ele é concedido a serviços na nuvem que satisfazem completamente os requisitos mais restritos de proteção de dados, verificação de identidade, segurança de atendimento, práticas comerciais e proteção jurídica.
Cloud Security Alliance O Zendesk é membro do Cloud Security Alliance (CSA), uma organização sem fins lucrativos com uma missão de promover o uso de práticas recomendadas de garantia de segurança dentro da Computação em Nuvem. O CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. Nós preenchemos um Questionário de domínio público chamado Consensus Assessment Initiative (Iniciativa de Avaliação de Consenso, CAI), baseado nos resultados da nossa autoavaliação de due dilligence.
Certificações de Privacidade
Programas de Certificação de Privacidade TRUSTe® Recebemos o Selo de Privacidade da TRUSTe, o que significa que nossa declaração e e nossaspráticas de privacidade tiveram a conformidade analisada de acordo com o programa TRUSTe, que pode ser visualizado na página de validação deles.
Programas Safe Harbor dos EUA e da Suíça A Zendesk está em conformidade certificada com os Safe Harbor Frameworks dos EUA e da Suíça, conforme determinado pelo Departamento de Comércio dos Estados Unidos.
Política de privacidade Saiba mais sobre privacidade no Zendesk
Conformidade segundo a indústria
HIPAA O Zendesk concluiu com sucesso uma avaliação de HIPAA/HITECH e pode disponibilizar o BAA (Business Associate Agreement, contrato de associação comercial) para ser executado por assinantes. *Avaliação HIPAA/HITECH aprovada em todos os níveis de planos, BAA disponível somente com Complemento de Segurança Avançada
Uso do Zendesk em um ambiente de PCI Veja nosso whitepaper sobre a conformidade com PCI ou saiba mais sobre nosso campo compatível com PCI.
  • AICPA
  • Norma ISO/IEC 27001 do BSI
  • Skyhigh Enterprise-Ready
  • Cloud Security Alliance
  • Verificado pelo TRUSTe
  • Norma ISO/IEC 27018 do BSI