Atendimento ao cliente seguro

Segurança do Zendesk

Mais de 145 mil clientes confiam seus dados à Zendesk, que leva essa responsabilidade muito a sério. Combinamos recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para garantir a proteção contínua dos dados dos clientes e empresas. Nossos clientes ficam tranquilos em saber que suas informações estão protegidas, bem como suas interações e negócios.

Ver folha de dados

Segurança de data center e redes

Segurança física do data center
Instalações A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI/DSS Service Provider Level 1 e/ou SOC II. Saiba mais sobre conformidade na AWS.

Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e seus dados. Saiba mais sobre os controles de data center na AWS.
Segurança no local A segurança no local da AWS inclui vários recursos como vigias, cercas, sistema interno de segurança, tecnologia de detecção de invasores, entre outras medidas. Saiba mais sobre a segurança física da AWS.
Localização da hospedagem dos dados A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Saiba mais sobre os locais de hospedagem dos dados de serviço da Zendesk.

Os clientes podem escolher a localização de seus dados de serviço: somente nos EUA ou somente no EEE** Saiba mais sobre nossas opções regionais de hospedagem de dados e restrições de tipos de dados de serviço .

*Disponível apenas com o complemento Localização do data center
Segurança de rede
Equipe de segurança exclusiva Nossa equipe de segurança distribuída globalmente fica de plantão 24 horas por dia, 7 dias por semana para responder a alertas e eventos de segurança.
Proteção Nossa rede é protegida usando os principais serviços de segurança da AWS, a integração com redes de proteção da Cloudflare, auditorias regulares e tecnologias de inteligência de rede que monitoram e/ou bloqueiam ataques à rede ou tráfego mal-intencionado.
Arquitetura Nossa arquitetura de segurança de rede é composta por diversas zonas de segurança. Os sistemas mais confidenciais, como servidores de banco de dados, ficam protegidos nas nossas zonas mais confiáveis. Outros sistemas são alojados em zonas compatíveis com sua confidencialidade, dependendo da função, da classificação das informações e do risco. De acordo com a zona, o monitoramento de segurança e os controles de acesso são aplicados. As zonas desmilitarizadas (DMZ) são utilizadas intermediárias à Internet, e internamente, entre diferentes zonas de confiança.
Escaneamento de vulnerabilidade de rede O escaneamento de vulnerabilidade de rede nos fornece informações detalhadas para a identificação rápida de sistemas fora de conformidade ou potencialmente vulneráveis.
Testes de intrusão de terceiros Além do nosso vasto programa de testes e monitoramento interno, a Zendesk contrata anualmente especialistas em segurança para realizar um amplo teste de intrusão nas redes de produção e corporativa da Zendesk.
Gerenciamento de eventos de incidentes de segurança (SIEM) Nosso sistema de gerenciamento de eventos e informações de segurança (SIEM) reúne uma variedade de registros de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas por gatilhos que notificam a equipe de segurança com base em eventos co-relacionados para investigação e resposta.
Detecção e prevenção de instrusões Os pontos de entrada e saída do serviço são instrumentados e monitorados para detectar comportamento anômalo. Os sistemas são configurados para enviar alertas quando incidentes e valores excedem limites pré-determinados e as assinaturas são atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema 24 horas por dia, 7 dias por semana.
Programa de inteligência sobre ameaças A Zendesk participa de diversos programas de compartilhamento de inteligência sobre ameaças. Monitoramos as ameaças publicadas nessas redes de inteligência sobre ameaças e agimos com base em nosso risco.
Mitigação de DDoS A Zendesk arquitetou uma abordagem multicamada para mitigação de DDoS. Uma parceria de tecnologia nuclear com a Cloudflare fornece defesas de rede de borda, enquanto o uso das ferramentas de dimensionamento e proteção, além dos serviços específicos contra DDoS da AWS, aumentam ainda mais a segurança.
Acesso lógico O acesso à rede de produção do Zendesk é restrito pelos princípios de nível de necessidade de conhecimento das informações e privilégio mínimo, sendo frequentemente monitorado e sujeito a auditorias, bem como controlado pela nossa equipe de operações. Os funcionários precisam de uma autenticação multifatorial para acessar a rede de produção do Zendesk.
Resposta a incidentes de segurança Na ocorrência de um alerta de sistema, os eventos são encaminhados para as nossas equipes de prontidão 24 horas por dia, 7 dias por semana, oferecendo cobertura em operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de encaminhamento.
Criptografia
Criptografia em trânsito Todas as comunicações com a interface do usuário e as APIs do Zendesk são criptografadas usando HTTPS/TLS (TLS 1.2 ou superior) que é o padrão do setor em redes públicas. Isso garante que todo o tráfego entre você e a Zendesk é seguro durante o trânsito. No email, nosso produto também aproveita a TLS oportunista por padrão. A Transport Layer Security (TLS) criptografa e entrega emails com segurança, acabando com a interceptação entre servidores de email que oferecem suporte a este protocolo. As exceções à criptografia podem incluir qualquer uso de recurso de SMS no produto, qualquer aplicativo, integração ou serviço de terceiros que os assinantes possam escolher utilizar a seu critério.
Criptografia de dados em repouso Os dados de serviço são criptografados em repouso usando a criptografia de chave AES-256 da AWS.
Disponibilidade e continuidade
Atividade A Zendesk mantém um site com o status do sistema disponível publicamente. Ele inclui detalhes de disponibilidade do sistema, manutenção programada, histórico de incidentes de atendimento e eventos de segurança relevantes.
Redudância O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nossa rigorosa programação de backup e/ou nossa oferta de serviço de Recuperação avançada de desastres nos permite oferecer disponibilidade de serviço de alto nível, visto que os dados de serviço são replicados em zonas de disponibilidade.
Recuperação de desastres O programa de recuperação de desastres (DR) garante que nossos serviços permaneçam disponíveis e sejam recuperáveis com facilidade em caso de um desastre. Isso é possível graças ao ambiente técnico robusto, à criação de planos de recuperação de desastres e às atividades de teste.
Recuperação avançada de desastres O pacote de Recuperação avançada de desastres adiciona objetivos contratuais para o objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO). Eles são cumpridos pois damos prioridade às operações de Recuperação avançada de desastres dos clientes vítimas de eventos de desastre declarados. *Disponível somente com complemento de segurança avançada

Segurança de aplicativos

Desenvolvimento seguro (SDLC)
Treinamento de codificação com segurança Pelo menos uma vez por ano, os engenheiros participam de treinamentos sobre código de segurança, que cobre os 10 principais riscos de segurança do OWASP, vetores de ataques comuns e controles de segurança da Zendesk.
Controles de segurança da estrutura A Zendesk utiliza estruturas modernas e seguras de software livre com controles de segurança para limitar a exposição aos 10 principais riscos de segurança do OWASP. Esses controles inerentes reduzem nossa exposição a ataques de injeção de SQL (SQLi), cross-site scripting (XSS) e solicitações intersite forjadas (CSRF), entre outros.
Quality Assurance Nosso departamento de controle de qualidade (QA) analisa e testa nossa base de código. Diversos engenheiros de segurança de aplicativos da nossa equipe identificam, testam e separam as vulnerabilidades de segurança no código.
Ambientes separados Os ambientes de teste e preparo são separados do ambiente de produção de maneira lógica. Nenhum dado de serviço é usado em nossos ambientes de teste e desenvolvimento.
Gerenciamento de vulnerabilidades
Escaneamento dinâmico de vulnerabilidades Usamos ferramentas de segurança de terceiros para monitorar nossos principais aplicativos de forma dinâmica e contínua contra os 10 principais riscos de segurança do OWASP. Temos uma equipe de segurança de produto interna dedicada aos testes e que trabalha com equipes de engenheiros para remediar qualquer problema descoberto.
Análise estática de código Os repositórios de código-fonte da plataforma e dos aplicativos para dispositivos móveis são monitorados continuamente em busca de problemas de segurança através das nossas ferramentas de análise estática integrada.
Testes de intrusão de terceiros Além do nosso programa abrangente de testes e monitoramento interno, a Zendesk contrata especialistas em segurança terceirizados para executar testes de intrusão detalhados em vários aplicativos de nossa família de produtos.
Programa de divulgação responsável / "Bug Bounty" (recompensa por bug relatado) Em parceria com a HackerOne, criamos um programa de divulgação responsável, que fornece a pesquisadores de segurança e clientes um espaço para realizar testes de segurança e notificar a Zendesk quanto a vulnerabilidades.

Recursos de segurança para produtos

Autenticação segura
Opções de autenticação Os clientes podem ativar a autenticação nativa da Zendesk, single sign-on (SSO) de rede social (Facebook, Twitter, Google) e/ou SSO corporativo (SAML, JWT) para a autenticação do usuário final e/ou agente. Saiba mais sobre o acesso dos usuários.
Política de senha configurável A autenticação nativa do Zendesk para produtos disponível na Central de administração fornece os níveis de segurança de senha baixo, médio e alto, além de definir regras personalizadas de senhas para agentes e administradores. O Zendesk também permite que diferentes níveis de segurança de senha sejam aplicados a usuários finais, e agentes e administradores. Somente administradores podem alterar o nível de segurança da senha. Saiba mais sobre as políticas configuráveis de senha.
Autenticação de dois fatores (2FA) A autenticação nativa do Zendesk para produtos que está disponível na Central de administração oferece a autenticação de dois fatores (2FA) para agentes e administradores via SMS ou aplicativo autenticador. Saiba mais sobre a 2FA.
Serviço de armazenamento de credenciais O Zendesk segue as práticas recomendadas de segurança de credenciais ao nunca armazenar senhas em formato legível por humanos, somente como resultado de uma função hash unilateral segura e experiente.
Recursos adicionais de segurança para produtos
Controles de acesso baseados em função O acesso a dados nos aplicativos Zendesk é governado por direitos de acesso com base em função (RBAC) e pode ser configurado para definir privilégios de acesso granulares. O Zendesk tem vários níveis de permissão para usuários (responsável, administrador, agente, usuário final, etc).

Saiba mais sobre as funções dos usuários:
Veja os detalhes sobre a segurança global e o acesso dos usuários aqui.
Restrições de IP Os produtos Zendesk podem ser configurados para permitir acesso somente a faixas específicas de endereços IP que você definir. Essas restrições podem ser aplicadas a todos os usuários ou apenas aos seus agentes.

Saiba mais sobre o uso de restrições de IP:
Anexos privados Configure sua instância e para tornar obrigatória a conexão dos usuários para visualizar os anexos do ticket. Saiba mais sobre os anexos privados.
Assinatura de emails (DKIM/DMARC) O Zendesk Support oferece suporte a autenticações DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) para assinar emails enviados do Zendesk quando você configura um domínio de email externo no seu Zendesk. Usar um serviço de email compatível com esses recursos permite que você impeça a falsificação de email. Saiba mais como usar uma assinatura digital no seu email.
Controle de dispositivo O Zendesk monitora os dispositivos usados para entrar em sua conta. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. Esse usuário pode receber uma notificação por email quando um novo dispositivo for adicionado e deve acompanhar se a atividade parecer suspeita. Sessões suspeitas podem ser encerradas da interface do usuário do agente. Saiba mais sobre o monitoramento de dispositivos.
Supressão de dados confidenciais A supressão manual permite suprimir ou remover dados confidenciais em comentários de tickets e apagar anexos com segurança para que você possa proteger informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas no Zendesk. Saiba mais sobre a supressão pela UI ou API.

A supressão automática de informações permite suprimir automaticamente cadeias de números que correspondam ao número de cartão de crédito válido da conta principal (CC PAN) que corresponda à uma verificação Luhn tanto no Support quanto no Chat. Saiba mais sobre a supressão automática de informações no Support e no Chat.

O Zendesk Support oferece um campo configurável de cartão de crédito compatível com PCI, que suprime todo o número, exceto os últimos quatro dígitos. Saiba mais sobre a conformidade da Zendesk.
Filtro de spam para a Central de Ajuda O serviço de filtro de spam do Zendesk pode ser usado para impedir que publicações de spam de usuários finais sejam publicadas na sua Central de Ajuda. Saiba mais sobre como filtrar spam na Central de Ajuda.

Certificados e associações de conformidade

Conformidade de segurança
SOC 2 Tipo II Nós passamos por auditorias de rotina para receber relatórios SOC 2 Tipo II atualizados, que estão disponíveis mediante solicitação e nos termos de um acordo de não divulgação. Para obter mais informações, entre em contato pelo email security@zendesk.com.
ISO 27001:2013 O Zendesk tem certificação ISO 27001:2013. O certificado está disponível para download aqui.
ISO 27018:2014 O Zendesk tem certificação ISO 27018:2014. O certificado está disponível para download aqui.
Associações
Skyhigh Enterprise-Ready O Zendesk recebeu o selo Skyhigh Enterprise-Ready™, a mais alta classificação do programa CloudTrust™. Ele é concedido a serviços na nuvem que satisfazem completamente os requisitos mais restritos de proteção de dados, verificação de identidade, segurança de atendimento, práticas comerciais e proteção jurídica.
Cloud Security Alliance A Zendesk faz parte da Cloud Security Alliance (CSA), uma organização sem fins lucrativos que tem a missão de promover o uso de práticas recomendadas para garantir a segurança da computação em nuvem. A CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. Nós preenchemos um questionário de domínio público chamado Consensus Assessment Initiative (Iniciativa de Avaliação de Consenso, CAI), baseado nos resultados da nossa autoavaliação de devida diligência.

O CSA CAIQ está disponível para download aqui.
Certificações de Privacidade
Programas de Certificação de Privacidade TRUSTe® A Zendesk demonstrou que nossos programas, políticas e práticas de privacidade atendem aos requisitos da Defesa de Privacidade UE-EUA e/ou Defesa de Privacidade Suíça-EUA. Essas empresas obtiveram certificação de participação no acordo de Defesa de Privacidade junto ao Departamento de Comércio dos Estados Unidos, disponível em https://www.privacyshield.gov/list. A TRUSTe verifica se a conformidade com a Defesa de Privacidade atende aos requisitos do Princípio suplementar de Verificação do acordo de Defesa de Privacidade.
Certificações de Defesa de Privacidade UE-EUA e Suíça-EUA A Zendesk tem conformidade certificada com as estruturas do acordo de Defesa de Privacidade UE-EUA e Suíça-EUA junto ao Departamento de Comércio dos Estados Unidos e foi adicionada à sua lista de participantes da Defesa de Privacidade com certificação própria. Nossas certificações confirmam que cumprimos os princípios do Privacy Shield para a transferência de dados pessoais da Europa e Suíça para os Estados Unidos.

Saiba mais sobre o Privacy Shield.
Política de privacidade Saiba mais sobre privacidade no Zendesk
Conformidade segundo a indústria
HIPAA Ajudamos os clientes a atender seus requisitos de HIPAA oferecendo as configurações de segurança apropriadas nos produtos Zendesk. Além disso, disponibilizamos nosso Business Associate Agreement (Contrato de Associação Comercial, BAA) para a execução pelos assinantes.

*BAA disponível apenas com a compra do complemento Segurança avançada e se aplica apenas a alguns produtos Zendesk (aplicam-se regras especiais de configuração).
PCI Consulte nosso whitepaper sobre a conformidade com PCI ou saiba mais sobre nosso campo em conformidade com PCI para o Zendesk Support.

*É obrigatório ter conta do Enterprise
Para ver nosso atestado de conformidade com PCI (AoC) e o certificado de conformidade, entre em contato com security@zendesk.com

Segurança de recursos humanos

Conscientização em segurança
Políticas A Zendesk desenvolveu um conjunto abrangente de políticas de segurança que cobre diversos tópicos. As políticas são compartilhadas e disponibilizadas com todos os funcionários e contratados com acesso aos ativos de informações do Zendesk.
Treinamento Todos os novos funcionários participam de um treinamento sobre conscientização de segurança, realizado no momento da contratação e, depois, anualmente. Todos os engenheiros recebem o treinamento anual de codificação com segurança. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por email, publicações de blogs e apresentações durante eventos internos.
Avaliação de funcionários
Verificações de antecedentes A Zendesk verifica os antecedentes de todos os novos funcionários segundo a legislação local. Este procedimento também é exigido para os prestadores de serviço. A verificação dos antecedentes inclui a análise do histórico criminal, educacional e trabalhista dos funcionários. As equipes de limpeza também estão incluídas neste procedimento.
Acordos de confidencialidade Todos os novos funcionários são obrigados a assinar acordos de confidencialidade e de não divulgação.

Recursos de segurança para download

Até os nossos recursos estão protegidos. Para obter acesso, preencha o breve formulário abaixo.

Insira o seu nome
Insira o seu sobrenome
Insira um endereço de email válido
Selecione o seu país

Estamos quase lá. Fale um pouco sobre sua empresa.

Insira o nome de sua empresa
Selecione o número de funcionários
Selecione seu setor
Envie também emails esporádicos sobre os produtos e serviços da Zendesk. (Você pode cancelar a sua assinatura a qualquer momento.)
Selecione uma opção

Sua solicitação foi enviada.

Um de nossos representantes entrará em contato em breve.

Desculpe, algo deu errado.

Recarregue a página e tente novamente. Ou então, envie um email diretamente para support@zendesk.com

Estamos enviando sua solicitação; aguarde.

Se você precisar acessar nosso relatório de SOC 2, envie um email para security@zendesk.com.