Atendimento ao cliente seguro
Atenda as bases
A Zendesk leva a segurança muito a sério, basta perguntar às diversas empresas da Fortune 100 e Fortune 500 que confiam em nós para cuidarmos de seus dados. Combinamos recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para assegurar a proteção contínua de seus dados e a tranquilidade de todos os clientes, inclusive os nossos.
Certificações de conformidade e associações
A Zendesk utiliza as práticas recomendadas e normas do setor para alcançar a conformidade com as estruturas gerais de segurança e privacidade aceitas pelo setor, o que, por sua vez, ajuda nossos assinantes a manter a conformidade com suas próprias normas de conformidade.
SOC 2 Tipo II
Passamos por auditorias de rotina para receber relatórios SOC 2 Tipo II atualizados, disponíveis mediante solicitação e sob Contrato de Confidencialidade (Non-Disclosure Agreement, NDA). Solicite o último relatório SOC 2 Tipo II.
ISO 27001:2022
A Zendesk tem certificação ISO 27001:2022. Baixar o certificado.
ISO 27018:2019
A Zendesk tem certificação ISO 27018:2019. O certificado está disponível para download aqui.
ISO 27701:2019
A Zendesk tem certificação ISO 27701:2019. O certificado está disponível para download aqui.
ISO 27017:2015
A Zendesk tem certificação ISO 27017:2015. O certificado está disponível para download aqui.
LI-SaaS do FedRAMP
A Zendesk é autorizada pelo Programa Federal de Gestão de Autorização e Risco (Federal Risk and Authorization Management Program, FedRAMP) com Software como serviço de baixo impacto (Low Impact Software-as-a-Service, LI-SaaS) e anunciada no Marketplace do FedRAMP. Os assinantes de órgãos governamentais dos EUA podem solicitar acesso ao Pacote de Segurança Zendesk do FedRAMP preenchendo um Formulário de Solicitação de Acesso ao Pacote ou enviando uma solicitação parafedramp@zendesk.com.
PCI-DSS
O Suporte Zendesk oferece um campo de cartão de crédito configurável em conformidade com o Setor de Cartões de Pagamento (Payment Card Industry, PCI) que oculta todos dígitos, exceto os quatro últimos. Saiba mais sobre conformidade com o PCI na Zendesk.
McAfee Cloud Trust – compatível com o McAfee Enterprise
A Zendesk recebeu o Programa McAfee CloudTrust. O programa apresenta o selo compatível para uso com o McAfee Enterprise apenas com relação a serviços que tenham a classificação CloudTrust™ mais alta possível. Estão entre os serviços que ganharam o CloudTrust™ da McAfee e uma classificação de compatível para uso com o McAfee Enterprise com base em seus respectivos atributos nas categorias de dados, usuário e dispositivo, segurança, negócios e avaliação legal.
Cloud Security Alliance (CSA)
A Zendesk é membro da Cloud Security Alliance (CSA), uma organização sem fins lucrativos com a missão de promover o uso de práticas recomendadas para fornecer garantia de segurança em computação em nuvem. A CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. A Zendesk preencheu o Questionário da Iniciativa de Avaliação de Consenso (Consensus Assessment Initiative, CAI), com base nos resultados da nossa autoavaliação de diligência.
O CAIQ da CSA está disponível aqui.
IT-ISAC
A Zendesk é membro do IT-ISAC, um grupo que se dedica a reunir um conjunto diversificado de empresas do setor privado para alavancar tecnologia em evolução e ter um compromisso comum com a segurança. O IT-ISAC permite a colaboração e o compartilhamento de informações e práticas relevantes e acionáveis sobre ameaças. Modera grupos de interesse especial que se concentram em Inteligência, Ameaça Interna, Segurança Física e outras áreas específicas para ajudar a promover nossa missão de proteger a Zendesk.
FIRST
A Zendesk é membro da FIRST, uma confederação internacional de equipes de resposta a incidentes, que lida de forma cooperativa com incidentes de segurança informática e promove programas de prevenção de incidentes. Os membros da FIRST desenvolvem e compartilham informações técnicas, ferramentas, metodologias, processos e práticas recomendadas. Como membro da FIRST, Zendesk Security trabalha com outros membros para usar seus conhecimentos, habilidades e experiência combinados para promover um ambiente eletrônico global mais seguro e protegido.
Sistema de Qualificações de Serviços Financeiros (Financial Services Qualifications System, FSQS)
A Zendesk satisfez todos os requisitos (Estágio 1 e Estágio 2) para concluir o registro no Sistema de Qualificação de Serviços Financeiros (FSQS, Financial Services Qualification System), conforme estabelecido pelas organizações compradoras participantes. Solicite o último certificado FSQS aqui.
Mais detalhes sobre FSQS https://hellios.com/fsqs/.
Artefatos
Podemos oferecer recursos adicionais mediante solicitação.
Certificação ISO 27001:2022
Certificação ISO 27018:2019
Certificado ISO 27701:2019
Certificação ISO 27017:2015
Relatório SOC 3
Datasheet/WhitepaperAtestado de conformidade (AoC) com PCI e Certificado de conformidade
Diagramas de arquitetura de rede
Suporte/Guia
Chat
Talk
CSA CAIQ
Registro de riscos
FSQS (Sistema de qualificação de serviços financeiros)
SIG Lite
VSA
HECVAT Lite
Os recursos a seguir talvez precisem de um NDA no arquivo. Clique no botão para obter acesso.
Certificado de seguro
Relatório SOC 2 Tipo II
Resumo do teste de penetração anual
Segurança da nuvem
Instalações
A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC 2. Saiba sobre conformidade na AWS.
Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e seus dados. Saiba mais sobre controles de centros de dados na AWS.
Segurança no local
A segurança no local da AWS inclui vários recursos, como guardas de segurança, cercas, feeds de segurança, tecnologia de detecção de intrusão e outras medidas de segurança. Saiba mais sobre segurança física da AWS.
Localização da hospedagem de dados
A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Saiba mais sobre as localidades de hospedagem dos dados do seu serviço Zendesk.
A Zendesk oferece múltiplas opções de localidade de dados, inclusive os Estados Unidos (EUA), Austrália (AU), Japão (JP) ou Espaço Econômico Europeu (EEE). Para obter mais informações sobre produtos, planos e ofertas regionais, consulte a nossa Política Regional de Hospedagem de Dados.
A Zendesk minimiza os riscos associados a terceiros fornecedores, realizando verificações de segurança em todos os fornecedores com qualquer nível de acesso aos nossos sistemas ou Dados de serviço.
Equipe de segurança dedicada
Nossa equipe de segurança global está disponível dia e noite para responder a alertas e eventos de segurança.
Proteção
Nossa rede é protegida com o uso dos principais serviços de segurança da AWS, integração com as redes de proteção de perímetro Cloudflare, auditorias regulares e tecnologias de inteligência de rede, que monitoram e/ou bloqueiam tráfego malicioso e ataques de rede.
Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Sistemas mais sigilosos, como servidores de banco de dados, são protegidos nas nossas zonas mais confiáveis. Outros sistemas são hospedados em zonas com nível de segurança proporcional à sensibilidade dos dados, dependendo da função, da classificação das informações e do risco. Dependendo da zona, outros controles de acesso e monitoramento de segurança serão aplicados. DMZs são utilizados entre a Internet e internamente entre as diferentes zonas confiáveis.
Varredura de vulnerabilidade de rede
A varredura de segurança da rede nos dá uma visão profunda para uma rápida identificação de sistemas fora de conformidade ou potencialmente vulneráveis.
Testes de penetração de terceiros
Além do nosso vasto programa interno de varredura e testagem, todos os anos, a Zendesk emprega terceiros especialistas em segurança para realizar um amplo teste de penetração nas redes corporativas e de produção da Zendesk.
Gerenciamento de eventos de incidente de segurança
Nosso sistema de gerenciamento de eventos de incidente de segurança (SIEM) coleta logs extensos de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas que notificam a equipe de segurança com base em eventos correlacionados para investigação e resposta.
Detecção e prevenção de intrusões
Os pontos de entrada e saída de serviço são instrumentados e monitorados para detectar comportamentos anômalos. Esses sistemas são configurados para gerar alertas quando incidentes e valores ultrapassam limites predeterminados e usam assinaturas atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema dia e noite.
Programa de inteligência de ameaças
A Zendesk participa de vários programas de compartilhamento de inteligência de ameaça. Monitoramos as ameaças publicadas nessas redes de inteligência de ameaça e tomamos medidas com base em riscos.
Mitigação de DDoS
A Zendesk arquitetou uma abordagem em várias camadas para mitigação de DDoS. Uma parceria tecnológica central com a Cloudflare fornece defesas de perímetro de rede, enquanto o uso de encaminhamento e ferramentas de proteção da AWS oferecem proteção mais profunda em conjunto com o nosso uso de serviços específicos DDoS da AWS.
Acesso lógico
O acesso à Rede de Produção da Zendesk é explicitamente restrito à necessidade de conhecimento, aplica privilégios mínimos de acesso, é frequentemente auditada e monitorada e é controlada pela nossa equipe de Operações. Os funcionários que acessam a Rede de Produção da Zendesk devem usar vários fatores de autenticação.
Resposta a incidentes de segurança
Em caso de alerta do sistema, os eventos são escalados para nossas equipes que trabalham dia e noite e fornecem cobertura de operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de escalação.
Criptografia em trânsito
Toda a comunicação com a interface e as APIs da Zendesk é criptografada pelo padrão do setor HTTPS/TLS (TLS 1.2 ou posterior) em redes públicas. Isso garante que todo o tráfego entre você e a Zendesk seja protegido durante o trânsito. Além disso, para e-mail, nosso produto aproveita o TLS por padrão. O protocolo Transport Layer Security (TLS) criptografa e entrega e-mails com segurança, eliminando a espionagem entre servidores de e-mail onde serviços associados oferecem suporte para esse protocolo. As exceções para criptografia podem incluir uso de função SMS no produto, qualquer outro aplicativo de terceiros, integração ou os assinantes do serviço podem optar por aproveitar os recursos a seu próprio critério.
Criptografia de dados em repouso
Os dados de serviço são criptografados em repouso na AWS usando criptografia de chave AES-256.
Tempo de atividade
A Zendesk mantém uma página de status do sistema disponível publicamente, que inclui detalhes da disponibilidade do sistema, manutenção programada, histórico de incidentes de serviço e eventos de segurança relevantes.
Redundância
O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nosso rigoroso regime de backup e/ou nossa oferta do serviço de Recuperação de Desastres Aprimorada nos permitem oferecer um alto nível de disponibilidade de serviço, pois os Dados do Serviço são replicados em todas as zonas disponíveis.
Recuperação de desastres
Nosso programa de Recuperação de desastres (Disaster Recovery, DR) assegura que nossos Serviços permaneçam disponíveis e sejam facilmente recuperáveis em caso de desastre.
Isso é possível graças ao ambiente técnico robusto, à criação de planos de recuperação de desastres e às atividades de teste.
Recuperação avançada de desastres
Nosso pacote de Recuperação de Desastres Aprimorada acrescenta Objetivos de Tempo de Recuperação (Recovery Time Objective, RTO) e Objetivos de Pontos de Recuperação (Recovery Point Objective, RPO). Isso é suportado por meio da nossa capacidade de priorizar operações de assinantes de Recuperação de Desastres Aprimorada durante o evento de desastre declarado.
Obtenha mais informações sobre as Garantias de recuperação de desastres.Segurança do aplicativo
Treinamento de código seguro
Controles de segurança de estrutura
A Zendesk aproveita as estruturas modernas e seguras de código aberto com controles de segurança para limitar a exposição aos 10 principais riscos de segurança da OWASP. Esses controles inerentes reduzem a exposição a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), entre outros.
Controle de qualidade
Nosso departamento de controle de qualidade (QA) revisa e testa nossa base de código. Engenheiros dedicados de segurança de aplicativo da equipe identificam, testam e fazem a triagem de vulnerabilidades de segurança no código.
Ambientes separados
Os ambientes de teste e preparação estão logicamente separados do ambiente de produção. Nenhum dado de serviço é usado em nossos ambientes de desenvolvimento ou teste.
Varredura dinâmica de vulnerabilidades
Empregamos ferramentas de segurança de terceiros para examinar contínua e dinamicamente as nossas principais aplicações contra riscos comuns de segurança de aplicativos web, inclusive, entre outros, ao 10 principais riscos de segurança do OWASP. Mantemos uma equipe de segurança de produtos interna dedicada para testar e trabalhar com as equipes de engenharia para resolver os problemas descobertos.
Análise de composição de software
Fazemos a varredura das bibliotecas e dependências utilizadas nos nossos produtos para identificar vulnerabilidades e assegurar a gestão das vulnerabilidades.
Teste de penetração de terceiros
Além do nosso vasto programa interno de varredura e teste, a Zendesk contrata especialistas em segurança de terceiros para realizar testes de penetração detalhados em diferentes aplicativos de nossa família de produtos.
Divulgação responsável/programa de recompensa por bug
O nosso Programa de Divulgação Responsável oferece aos pesquisadores de segurança e assinantes um caminho para realizarem testes com segurança e notificarem a Zendesk a respeito de vulnerabilidades de segurança por meio da nossa parceria com o HackerOne.
Segurança do produto
Opções de autenticação
A Zendesk tem várias opções diferentes de autenticação: os assinantes podem ativar a autenticação nativa da Zendesk, o logon único (Single Sign-On, SSO) por mídia social (Facebook, Twitter, Google) e/ou o Enterprise SSO (SAML, JWT) para autenticação de usuário final e/ou agente. Saiba mais sobre acesso do usuário.
Política de senha configurável
A autenticação nativa da Zendesk para produtos disponível por meio do Centro de Administração oferece os seguintes níveis de segurança de senhas: baixo, médio e alto, bem como regras de senhas personalizadas para agentes e administradores. A Zendesk também permite níveis de segurança de senhas diferentes aplicáveis a usuários finais em relação a agentes e administradores. Somente os administradores podem alterar o nível de segurança da senha. Saiba mais sobre as políticas de senhas configuráveis.
Autenticação de dois fatores (2FA)
A autenticação nativa da Zendesk para produtos disponíveis por meio do Centro de Administração oferece autenticação de dois fatores (Two-factor authentication, 2FA) para agentes e administradores via SMS ou aplicativo autenticador. Saiba mais sobre 2FA.
Armazenamento de credenciais de serviço
A Zendesk segue as práticas recomendadas de armazenamento seguro de credenciais, jamais armazenando senhas em formato legível por humanos e somente como resultado da criptografia hash segura, saltada e unidirecional.
Privacidade e proteção de dados avançada
Para empresas que necessitam de um nível mais elevado de privacidade e segurança de dados, a Zendesk oferece o complemento Avançado de Privacidade e Proteção de Dados. O complemento inclui recursos para criptografia BYOK, políticas de retenção de dados personalizáveis, mascaramento de dados, redação de PII e logs de acesso.
Controles de acesso com base em função
O acesso aos dados nos aplicativos da Zendesk é governado pelo controle de acesso com base em função (RBAC) e pode ser configurado para definir privilégios de acesso granular. A Zendesk é compatível com vários níveis de permissão para usuários (proprietário, administrador, agente, usuário final, etc.).
Saiba mais sobre funções do usuário:
- Funções de suporte padrão
- Compatível com funções personalizadas *Apenas para Enterprise
- Funções padrão de chat
- Funções personalizadas de bate-papo *Apenas para Enterprise
- Explorar funções padrão
- Funções padrão de guia
- Funções padrão de fala
- Tempo da sessão
Restrições de IP
A conta Zendesk pode restringir o acesso ao Suporte Zendesk de usuários dentro de uma variedade específica de endereços IP. Apenas os usuários com endereços IP permitidos poderão acessar a sua conta Zendesk. Você pode permitir que os assinantes (e não agentes ou administradores) ignorem essa restrição. Para obter mais informações, consulte Restrição de acesso ao Suporte Zendesk e ao Centro de ajuda usando restrições de IP e Uso de restrições de acesso IP no bate-papo.
Certificados de criptografia hospedados para o Centro de ajuda (TLS)
A Zendesk oferece criptografia TLS gratuita para centros de ajuda de Guias mapeados no host. A Zendesk utiliza a Let's Encrypt para solicitar certificados e renova automaticamente o certificado antes que este expire.
Você também pode carregar o seu próprio certificado, se desejar.
Para saber mais sobre como configurar certificados criptografados para o centro de ajuda de Guias, consulte Criação de certificado de criptografia TLS hospedado.
Restrições de arquivos no bate-papo
O Chat da Zendesk conta com o recurso de restringir quais tipos de arquivo são enviados para os agentes. Ou então, você pode optar por desativar o envio de arquivos completamente no produto Chat. Para saber mais sobre esse recurso, consulte Gerenciamento de envio de arquivos em chat ao vivo.
Registros de auditoria
A Zendesk oferece Registros de auditoria para contas com planos Enterprise/Enterprise Plus. Esses registros incluem alterações a contas, mudanças de usuários, alterações a aplicativos, regras de negócios, exclusões de tíquetes e configurações. O Registro de auditoria está disponível no Centro de Administração e na API de suporte. Para saber mais sobre Registros de Auditoria e ver quais informações estão disponíveis no registro, consulte Verificação de alterações no registro de auditoria.
Anexos privados
Os assinantes podem configurar a ocorrência para que os usuários sejam obrigados a se conectar para visualizar os anexos aos tickets. Saiba mais sobre Anexos privados.
Revisão
A Zendesk tem dois tipos de ocultação para remoção de dados sigilosos: A ocultação manual possibilita a ocultação ou a remoção de dados sensíveis nos comentários dos tickets do Suporte, bem como a exclusão segura de anexos, para que você possa proteger as informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas na Zendesk. Saiba mais sobre ocultação via IU ou API.
A ocultação automática permite a ocultação automática de números de cartão de crédito dos tickets enviados pelo assinante. Quando esse recurso está ativado, os números do cartão de crédito são parcialmente substituídos por espaços em branco no ticket. Também são ocultados dos registros e entradas de bancos de dados. Para saber mais sobre como ativar esse recurso e como números de cartão de crédito podem ser identificados, consulte Ocultação automática de números de cartão de crédito de tickets e de bate-papos.
Filtro de spam para o centro de ajuda de Guias
O serviço de filtro de spam da Zendesk pode ser usado para impedir que postagens de spam do usuário final sejam publicadas no seu centro de ajuda de Guias. Saiba mais sobre filtragem de spam em Guia.
Assinatura de e-mail(DKIM/DMARC)
A Zendesk oferece Chaves de domínio para correio identificado (Domain Keys Identified Mail, DKIM) e Autenticação, relatório e conformidade de mensagens baseadas em domínio (Domain-based Message Authentication, Reporting, & Conformance, DMARC) para assinar e-mails enviados pela Zendesk quando você tiver que configurar um domínio de e-mail externo em seu Zendesk. O uso de um serviço de e-mail compatível com esses recursos ajuda você a impedir spoofing de e-mails. Saiba mais sobre a assinatura digital dos seus e-mails.
Rastreamento de dispositivos
A Zendesk monitora os dispositivos usados para entrar em cada conta de usuário. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. O usuário pode receber uma notificação por e-mail a cada vez que um novo dispositivo é acrescentado, devendo acompanhar se a atividade parecer suspeita. As sessões suspeitas podem ser encerradas por meio da IU do agente. Saiba mais sobre rastreamento de dispositivos.
Segurança de RH
Políticas
A Zendesk desenvolveu um conjunto abrangente de políticas de segurança e abrangem diversos tópicos. Essas políticas são compartilhadas e disponibilizadas para todos os funcionários e contratantes com acesso aos ativos de informações da Zendesk.
Treinamento
Todos os funcionários participam de um treinamento de conscientização sobre segurança, que é administrado após a contratação e, depois, uma vez por ano. Todos os engenheiros recebem o treinamento anual de código seguro. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por e-mail, postagens de blog e em apresentações durante eventos internos.
Investigações paralelas
A Zendesk realiza investigações paralelas sobre todos os novos funcionários de acordo com as leis locais. Essas verificações também são exigidas para prestadores de serviços. A investigação paralela inclui verificação criminal, educacional e trabalhista. Equipes de limpeza estão incluídas.
Contratos de confidencialidade
Todos os novos contratados devem assinar contratos de não divulgação e confidencialidade.
Bem-vindo(a) ao Programa de Privacidade Global da Zendesk
A Zendesk tem um programa formal global de privacidade e proteção de dados, que inclui as principais partes interessadas, inclusive os setores Jurídico, Segurança, Produto e Executivo da empresa. Na qualidade de defensores da privacidade, trabalhamos diligentemente para assegurar que os nossos serviços e colaboradores se dediquem à conformidade com as estruturas regulatórias e do setor aplicáveis.
Conformidade
A Lei de Privacidade da Austrália, de 1998 (conforme emendada), estabelece vários direitos do titular de dados e acrescentou a obrigatoriedade da comunicação de violações de dados qualificados. Ao contrário do GDPR (Regulamento Geral sobre a Proteção de Dados), não contém os conceitos de controlador e processador de dados. https://www.zendesk.com/company/anz-privacy/
A Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor em 18 de setembro de 2020. A LGPD é uma lei abrangente de proteção de dados que abrange as atividades dos controladores e processadores de dados e estabelece direitos individuais.
Os assinantes da Zendesk que coletam e armazenam dados pessoais nos Serviços da Zendesk podem ser considerados “controladores” nos termos da LGPD. Os controladores têm como principal responsabilidade assegurar que o processamento de dados pessoais esteja em conformidade com a lei de proteção de dados relevante, inclusive a LGPD. A Zendesk atua como “processadora”, conforme definição do termo na LGPD, no que diz respeito ao processamento de dados pessoais por meio dos nossos Serviços.
Os assinantes podem verificar nossos Guias de Produtos e a Política de Exclusão de Dados de Serviço para obter informações mais detalhadas sobre como usar os produtos da Zendesk para alinhamento às iniciativas de conformidade. A Autoridade Nacional de Proteção de Dados (ANPD) poderá emitir orientações adicionais sobre a LGPD no futuro. A Zendesk continuará a acompanhar ativamente a lei e continuaremos a manter os nossos assinantes atualizados sobre os recursos e funcionalidades que poderão usar para apoiar seus respectivos esforços de conformidade.
O Adendo da LGPD da Zendesk foi incorporado ao Contrato de Processamento de Dados da Zendesk. Se você deseja analisar e/ou assinar o Contrato de Processamento de Dados da Zendesk, clique aqui.
A Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA) Código Civil, §§ 1798.100 e seguintes, é uma lei promulgada no Estado da Califórnia, EUA, que entrou em vigor em 1.º de janeiro de 2020. Essa lei amplia os direitos de privacidade disponíveis a determinados consumidores da Califórnia, EUA, e exige que determinadas empresas estejam em conformidade com várias exigências de proteção de dados. Visite também os Regulamentos Finais da CCPA e a Lei de Direitos de Privacidade da Califórnia (California Privacy Rights Act, CPRA), EUA. Algumas disposições da CPRA entraram em vigor em 16 de dezembro de 2020 e as demais disposições da CPRA entrarão em vigor em 1.º de janeiro de 2023.
Os assinantes da Zendesk que coletam e armazenam informações pessoais nos Serviços da Zendesk poderão ser considerados “Empresas” nos termos da Lei de Privacidade do Consumidor da CCPA. As empresas têm como responsabilidade principal assegurar que o processamento de dados pessoais esteja em conformidade com a lei de proteção de dados relevante, inclusive a CCPA. A Zendesk atua como “Prestadora de Serviços”, conforme definido na versão atual da CCPA, no que diz respeito ao processamento de informações pessoais por meio dos nossos Serviços. Assim sendo, a Zendesk coleta, acessa, mantém, utiliza, processa e transfere as informações pessoais dos nossos assinantes e dos usuários finais dos nossos assinantes processadas por meio dos Serviços exclusivamente com a finalidade de cumprir as nossas obrigações nos termos dos nossos contratos existentes com os nossos assinantes; e para nenhuma outra finalidade comercial que não seja o cumprimento destas obrigações e a melhoria dos Serviços que prestamos.
Não “vendemos” as informações pessoais dos nossos assinantes, conforme definido na CCPA. Poderemos compartilhar, com terceiros, informações agregadas e/ou anônimas sobre o uso dos Serviços que não sejam consideradas informações pessoais nos termos da CCPA, para nos ajudar a desenvolver e melhorar os Serviços e oferecer aos nossos assinantes conteúdos e ofertas de serviços mais relevantes, conforme detalhado nos nossos contratos com os assinantes.
O Adendo da CCPA da Zendesk foi incorporado ao Contrato de Processamento de Dados da Zendesk. Se você deseja analisar e/ou assinar o Contrato de Processamento de Dados da Zendesk, clique aqui.
Se você deseja analisar e/ou assinar o Adendo estadual dos EUA ao Contrato Principal de Assinatura da Zendesk, clique aqui.
A Lei de Proteção de Informações Pessoais e de Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act, PIPEDA) do Canadá entrou em vigor em 2000 e se concentra em dez princípios de informação justa, que formam as regras para a coleta, uso, acesso e divulgação de informações pessoais. Em outubro de 2021, a Associação Internacional de Tecnologia do Canadá e o Conselho do Setor de Tecnologia da Informação sugeriram mudanças na PIPEDA para assegurar maiores direitos de privacidade e transparência aos cidadãos canadenses.
Você pode ler e/ou executar o DPA da Zendesk aqui. O DPA da Zendesk abrange as atividades de processamento específicas, as medidas de segurança aplicáveis aos nossos Serviços e incorpora as novas Cláusulas Contratuais Padrão da UE (“SCCs da UE”).
Os assinantes podem ler os nossos Guias de Produtos e a nossa Política de Exclusão de Dados de Serviço para obter informações detalhadas sobre como utilizar os produtos da Zendesk para ajudar no cumprimento das leis de proteção de dados e privacidade.
Desde o nosso início, a abordagem da Zendesk tem sido ancorada por um forte compromisso com a privacidade, segurança, conformidade e transparência. Esta abordagem inclui o apoio ao cumprimento das exigências de proteção de dados da UE pelos nossos assinantes, como as estabelecidas no GDPR.
Se algum assinante coletar, transmitir, hospedar ou analisar dados pessoais de cidadãos da UE, o GDPR exige que o assinante utilize processadores de dados terceirizados que garantam a capacidade de implementar as exigências técnicas e organizacionais do GDPR. Para ganhar ainda mais a confiança dos nossos assinantes, nosso Contrato de Processamento de Dados (Data Processing Agreement, DPA) foi atualizado para oferecer aos nossos clientes compromissos contratuais com relação à nossa conformidade com a lei de proteção de dados da UE aplicável e para implementar as disposições contratuais adicionais exigidas pelo GDPR.
Regras corporativas vinculantes (BCRs): As Regras Corporativas Vinculantes (Binding Corporate Rules, BCRs) são políticas de proteção de dados de toda a empresa aprovadas pelas autoridades de proteção de dados europeias para facilitar transferências intragrupos de dados pessoais do Espaço Econômico Europeu (EEE) para países fora do EEE. As BCRs baseiam-se em princípios de privacidade estritos estabelecidos pelas autoridades de proteção de dados da União Europeia e exigem intensa consulta a essas autoridades. Os assinantes podem encontrar a lista completa de entidades aprovadas na Lista Aprovada das Regras Corporativas Vinculantes aqui. Em 2017, a Zendesk concluiu o processo de aprovação da UE das BCRs com o Comissário de Proteção de Dados (Data Protection Commissioner, DPC) Irlandês (analisado por pares pelo Escritório do Comissário de Informação do Reino Unido e pela autoridade de proteção de dados holandesa) como processadora e controladora. Essa importante aprovação regulatória validou a implementação da Zendesk dos mais altos padrões possíveis de proteção de dados pessoais globalmente, abrangendo tanto os dados pessoais dos seus respectivos clientes como dos funcionários da empresa. A Zendesk é uma das primeiras empresas de software do mundo a receber aprovação para as próprias BCRs; e foi a segunda empresa a receber aprovação do DPC irlandês.
Para acessar as BCRs da Zendesk, visite:
- Regras Corporativas de Vinculação da UE do Processador da Zendesk
- Regras Corporativas de Vinculação da UE do Controlador da Zendesk
Para acessar as BCRs da Zendesk, visite:
- Regras Corporativas de Vinculação do Reino Unido do Processador da Zendesk
- Regras Corporativas de Vinculação do Reino Unido do Controlador da Zendesk
Solicitações de titulares de dados: Um indivíduo que busque exercer seus direitos de proteção de dados no que diz respeito a dados pessoais armazenados ou processados por nós, em nome de um assinante nosso dentro dos Dados de Serviço do assinante (inclusive para buscar acesso a esses dados pessoais ou corrigir, alterar, excluir, exportar ou restringir o processamento de tais dados pessoais), deve encaminhar sua dúvida para o nosso assinante (o controlador de dados). Mediante solicitação dos nossos assinantes para removermos os dados pessoais da Zendesk, responderemos à solicitação no prazo de 30 (trinta) dias. Preservaremos os dados pessoais que processarmos e armazenarmos em nome dos nossos assinantes pelo tempo necessário para fornecer os Serviços aos nossos assinantes.
Encarregado da proteção de dados(DPO): O encarregado da proteção de dados (Data Protection Officer, DPO) da Zendesk pode ser contatado em euprivacy@zendesk.com.
A HDS permite que os provedores de saúde da França utilizem o serviço de atendimento ao cliente e a plataforma de relacionamento com o cliente da Zendesk com a certeza de que a nossa plataforma conta com medidas técnicas e de governança adequadas implementadas para garantir e proteger informações de saúde pessoais (Personal Health Information, PHI). Consulte informações adicionais aqui.
A Lei de Privacidade da Nova Zelândia, de 2020, entrou em vigor em 1.º de dezembro de 2020, aplica-se a agências e mantém a estrutura baseada em princípios da Lei de 1993. A Lei de 2020 dispõe que as organizações são responsáveis por assegurar que as informações pessoais enviadas para fora da Nova Zelândia estejam suficientemente protegidas e acrescentou exigências de obrigatoriedade de comunicação de violações. https://www.zendesk.com/company/anz-privacy/
A Lei de Proteção de Dados Pessoais (Personal Data Protection Act, PDPA) de Cingapura, estabelece normas de proteção de dados que regem a coleta, o uso e a divulgação de Dados pessoais a partir de 2 de julho de 2014. A Zendesk é reconhecida como Intermediário de Dados da Autoridade de Desenvolvimento de Infocomm (Infocomm Development Authority, IDA) de Cingapura, como Provedora de Serviços de Software como Serviço (Software-as-a-Service, SaaS). Consulte informações adicionais aqui.
O Reino Unido se retirou da União Europeia em 31 de janeiro de 2020. Em 28 de junho de 2021, a Comissão Europeia adotou decisões de adequação sobre transferências de dados pessoais para o Reino Unido nos termos do GDPR.
Para conseguir uma Conta habilitada para a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (Health Insurance Portability and Accountability Act, HIPAA), você precisará: (1) adquirir o Serviço associado implantado de segurança avançada ou o Complemento do Serviço associado implantado de conformidade avançada; (2) ativar um conjunto de configurações de segurança conforme delineado pela Zendesk; e (3) assinar nosso Contrato de Associação Comercial (Business Associate Agreement, BAA). Para obter mais detalhes, inclusive uma lista de quais Serviços podem ser habilitados para HIPAA, consulte Conformidade Avançada.
Detalhes dos Dados de Serviço do Assinante
Dados de serviço são informações, inclusive dados pessoais, armazenadas ou transmitidas por meio dos Serviços da Zendesk em nome ou pelos nossos assinantes e seus respectivos usuários finais. Utilizamos os Dados de Serviço para operar e melhorar os nossos Serviços, ajudar os clientes a acessar e utilizar os Serviços, responder às consultas dos assinantes e enviar comunicações relacionadas aos Serviços.
Acesso: A Zendesk oferece um conjunto avançado de recursos de acesso e criptografia para ajudar os clientes a proteger de maneira eficaz suas respectivas informações. Não acessamos ou usamos o conteúdo do cliente para qualquer outra finalidade que não seja a de fornecer, manter e melhorar os serviços da Zendesk ou, de outra forma, conforme exigido por lei. Consulte aqui para obter informações adicionais.
Hospedagem de dados: A Zendesk utiliza a Amazon Web Services para hospedar Dados de Serviço, conforme descrito aqui e na Política Regional de Hospedagem de Dados. Para obter mais informações, consulte também a seção de Segurança.
Tipos de dados padrão coletados pelo serviço: A Zendesk criou uma lista de pontos de dados categorizados por produto. Para visualizar um quadro completo dos tipos de dados, os assinantes podem usar esta lista em conjunto com seus casos específicos de uso pretendido e tipos de dados resultantes.
Solicitações judiciais ou governamentais: A privacidade, a segurança dos dados e a confiança dos assinantes são as nossas maiores prioridades. A Zendesk não divulga Dados de Serviço, salvo quando necessário para fornecer os nossos Serviços e para estar em conformidade com a legislação aplicável, conforme detalhado na nossa Política de Privacidade. Para ajudar os nossos assinantes a realizar análises de conformidade, contamos com recursos adicionais: Relatório de transparência e Política de solicitações governamentais.
Propriedade: Do ponto de vista da privacidade, o assinante é o controlador dos Dados de serviço e a Zendesk é a processadora. Isso significa que, enquanto assinar os serviços da Zendesk, você mantém a propriedade e o controle sobre os Dados de Serviço na sua instância Zendesk.
Replicação: A Zendesk replica periodicamente os dados para fins de arquivamento, backup e registros de auditoria. Utilizamos a Amazon Web Services (AWS) para armazenar algumas das informações que são copiadas, como informações do banco de dados e arquivos anexos. Consulte a nossa Política Regional de Hospedagem de Dados para obter mais detalhes.
Segurança: A Zendesk prioriza a segurança de dados e combina recursos de segurança de classe empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para assegurar a proteção dos dados de assinantes e negócios. Consulte informações adicionais aqui.
Incidentes de segurança: Para obter mais informações sobre gestão de incidentes de segurança, consulte a nossa Resposta a Incidentes de Segurança.
Subprocessadores: A Zendesk poderá utilizar subprocessadores, inclusive afiliadas da Zendesk e empresas terceirizadas, para fornecer, proteger ou melhorar os Serviços, e os subprocessadores poderão ter acesso aos Dados de Serviço. A nossa política de subprocessadores apresenta uma lista atualizada dos nomes e localizações de todos os subprocessadores.
Rescisão: A Zendesk mantém uma Política de exclusão de Dados de Serviço que descreve os processos de exclusão de dados da Zendesk após a rescisão ou expiração da assinatura Zendesk pelo assinante.
Políticas relacionadas a privacidade
Informações detalhadas a respeito de como e quando usamos cookies nos sites da Zendesk.
Fornece informações sobre como e quando a Zendesk utiliza cookies nos Serviços da Zendesk.
Como os Dados de serviço dos nossos Assinantes são excluídos com relação ao cancelamento, rescisão ou migração da Conta dos Serviços da Zendesk.
Esta estrutura esclarece qual parte é responsável por quais controles relacionados a segurança e privacidade dos seus dados.
Recursos do aplicativo relacionados a privacidade
A Zendesk tem ferramentas para cada um dos seus respectivos produtos para auxiliar nas solicitações dos usuários e outras obrigações previstas nos regulamentos e leis aplicáveis de privacidade e proteção de dados, como acesso, correção, portabilidade e exclusão de dados, bem como objeção. Para saber mais sobre os recursos e funcionalidades de cada produto da Zendesk, consulte Conformidade com a Privacidade e Proteção de Dados nos produtos da Zendesk.
A Zendesk oferece um conjunto avançado de recursos de acesso e criptografia para ajudar os assinantes a proteger de maneira eficaz suas respectivas informações. Não acessamos ou usamos os dados dos assinantes para qualquer outra finalidade que não seja a de fornecer, manter e melhorar os Serviços da Zendesk ou, de outra forma, conforme exigido por lei. Consulte informações adicionais aqui.
A Zendesk alcançou uma série de certificações e credenciamentos reconhecidos internacionalmente, demonstrando a conformidade com as estruturas de garantia de terceiros. Os certificados de segurança estão descritos aqui.
Os assinantes que adquirem o Serviço Associado Implantado de Localização de Centro de Dados (“Complemento de Localização de Centro de Dados”) ou têm a funcionalidade de Localização de Centro de Dados no Plano de Serviço, têm a capacidade de selecionar a região que hospedará seus respectivos Dados de Serviço a partir de uma lista de regiões disponíveis da Zendesk.
A Zendesk conta com um programa global avançado de privacidade e proteção de dados, que adota uma abordagem unificada de privacidade e governança de informações para oferecer aos clientes flexibilidade para gerenciar dados pessoais que residem nos sistemas da Zendesk. Para obter mais detalhes, consulte os nossos guias de produtos: Conformidade com a Privacidade e Proteção de Dados nos produtos da Zendesk.
A Zendesk tem dois tipos de ocultação para remoção de dados sigilosos:
A ocultação manual possibilita a ocultação ou a remoção de dados sensíveis nos comentários dos tickets do Suporte, bem como a eliminação segura de anexos, para que você possa proteger as informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas na Zendesk. Saiba mais sobre ocultação via IU ou API.
A ocultação automática permite a ocultação automática dos números de cartão de crédito dos tíquetes enviados pelo agente ou usuário final. Quando esse recurso está ativado, os números do cartão de crédito são parcialmente substituídos por espaços em branco no ticket. Os números também são ocultados dos registros e entradas em banco de dados. Saiba como ativar esse recurso e como os números dos cartões de crédito são identificados.
IA da Zendesk
A Zendesk AI foi criada com base nos princípios fundamentais de privacidade, segurança e conformidade desde a concepção. Nosso compromisso de fornecer às empresas produtos e soluções seguros e confiáveis está incorporado no nosso DNA. Como parte disso, a Zendesk utiliza um conjunto de princípios de design que não apenas estabelecem o padrão de como projetamos, desenvolvemos e construímos tudo o que fazemos, mas também estabelecem uma base clara para nosso uso de IA para experiências do cliente (customer experiences, CX) e experiência do funcionário (employee experience, EX).
Os Dados de Serviço processados pela Zendesk AI estão sujeitos a todas as normas e compromissos de segurança, inclusive conformidade com as altas Medidas de Segurança Empresarial da Zendesk e armazenamento no ambiente compatível com SOC 2 da Zendesk. Os Dados de Serviço não serão compartilhados com nenhum outro cliente.
Os recursos de IA generativa atualmente são alimentados pela OpenAI. A OpenAI exclui todos os dados após a produção da saída, sem nenhum armazenamento. As práticas de segurança de dados da OpenAI estão disponíveis aqui.
Todos os modelos desenvolvidos pela Zendesk são modelos de classificação, o que significa que eles são treinados para ler e classificar os registros em uma das categorias criadas pela Zendesk. Como esses modelos não são generativos, nenhum conteúdo é produzido pelo modelo, e não é possível que os dados sejam reproduzidos pelo modelo..
A Zendesk utiliza dados de atendimento ao cliente para treinar modelos de machine learning?
A Zendesk oferece três tipos de funcionalidade de aprendizado de máquina:
1. Funcionalidade de ML específica da conta: A Zendesk cria modelos de machine learning adaptados à conta de um cliente usando apenas dados existentes na conta. Modelos específicos de contas não serão utilizados por nenhum outro cliente.
2. Funcionalidade genérica de ML: A Zendesk usa os Dados de Serviço para treinar seus modelos genéricos de machine learning entre várias contas para serem preditivos e úteis para vários clientes da Zendesk. Isso inclui modelos globais e industriais. Esses modelos jamais divulgarão os Dados de Serviço de um cliente para outro cliente, porque eles não são “generativos” (ou seja, eles não criam texto).
3. Funcionalidade de ML generativa suportada por OpenAI: Os modelos OpenAI são pré-treinados e os dados do cliente da Zendesk jamais serão usados pela OpenAI (ou qualquer outro terceiro) para treinar seu(s) modelos(s).
Como a Zendesk protege os Dados de Serviço quando usada para treinamento de modelos? Antes que os Dados de Serviço sejam usados para treinar funcionalidades genéricas de ML, a Zendesk aplica processos de agregação e sanitização, conforme necessário. Nenhum campo projetado para receber dados pessoais ou anexos de tíquetes é usado para o treinamento do modelo. A Zendesk tem o compromisso de garantir que nenhum Dado de Serviço seja reproduzido pelo modelo. Não há risco de que os dados de um cliente sejam expostos a outro cliente por meio do resultado do modelo. Consulte Informações de uso de dados da IA.
As alucinações são um risco intrínseco para funcionalidades de IA generativa. A Zendesk faz duas coisas para mitigar esse risco:
A Zendesk utiliza a técnica Geração Aumentada de Recuperação (Retrieval Augmented Generation, RAG) para assegurar que as respostas geradas ou os resultados da pesquisa sejam baseados em conteúdo específico da base de conhecimento
A equipe de desenvolvimento da Zendesk inspeciona regularmente as respostas que receberam feedback negativo do usuário final, em busca de alucinações para desenvolver ferramentas que possam detectar e prevenir automaticamente esses cenários.
Todos os Dados de Serviço são hospedados nas regiões AWS existentes da Zendesk.
O uso da Zendesk AI não afeta nenhum compromisso de localidade de dados do Assinante, inclusive aqueles disponíveis no Complemento de localização do Data center. Os Dados de Serviço dos Assinantes qualificados continuarão a ser hospedados na região selecionada.
Observação: Zendesk WFM (Tymeshift), Zendesk QA (Klaus) e Ultimate Service Data estão hospedados na plataforma Google Cloud nas regiões indicadas abaixo:
Produto | Local(is) de hospedagem de Dados de Serviço |
---|---|
Zendesk WFM (Tymeshift) | EUA, Alemanha |
Zendesk QA (Klaus) | Alemanha |
Ultimate | Bélgica |
Todos os produtos e recursos da Zendesk são projetados tendo em mente a privacidade, e a Zendesk AI não é diferente.
Os Assinantes podem cumprir várias leis de privacidade (inclusive o RGPD e a CCPA) ao usar a Zendesk, inclusive osrecursos da Zendesk AI.
A Zendesk AI está qualificada para cobertura de acordo com o Contrato de Associação Comercial (Business Associate Agreement, BAA) da Zendesk.
Os Assinantes interessados em celebrar um BAA com a Zendesk precisam ter acesso ao Complemento de conformidade avançada.
Segurança de dados
As práticas de segurança de dados de OpenAI estão disponíveis aqui.
Modelo de segurança
A Zendesk usa modelos pré-treinados de OpenAI, e os Dados de Serviço jamais serão usados pela OpenAI para qualquer finalidade que não seja fornecer e proteger seu serviço ao Assinante. Após a entrega do resultado, os Dados de Serviço são excluídos.
Treinamento do modelo
A OpenAI jamais usará os Dados de Serviço para treinamento de modelos ou qualquer outra forma de aprimoramento de serviços.
Localidade de hospedagem de dados
Atualmente, a OpenAI processa Dados de Serviço nos Estados Unidos. No entanto, a OpenAI não armazena nem hospeda Dados de Serviço porque eles são prontamente excluídos após o fornecimento do resultado.
Privacidade de dados
A Zendesk usa a política de "retenção zero de dados" da OpenAI para que nenhum Dado de Serviço seja armazenado ou hospedado pela OpenAI após a entrega do resultado. Como resultado, o uso de OpenAI não afeta a capacidade dos Assinantes de cumprir várias leis de privacidade (inclusive o GDPR e a CCPA) ao usar a Zendesk.
Todos os recursos de OpenAI na Zendesk são opcionais. Os Assinantes que não desejarem usar esses recursos não precisam ativá-los e sempre poderão desativá-los por meio da Central de Administração.
HIPAA
Alguns recursos com tecnologia OpenAI estão disponíveis para uso com contas habilitadas para HIPAA. Consulte a página Conformidade avançada para obter mais informações.
Saiba mais sobre a Segurança e Privacidade do agente de IA do Ultimate aqui.
Jurídico
Os nossos contratos e políticas fornecem aos nossos assinantes transparência e informações detalhadas sobre os Serviços da Zendesk, que por sua vez apoiam os nossos assinantes a manterem a conformidade com suas próprias normas legais e de conformidade.
A Zendesk oferece vários contratos de processamento de dados e outros adendos para apoiar a conformidade dos assinantes com as leis de privacidade de dados, disponíveis para assinatura aqui. Incluindo:
Contrato de Processamento de Dados (DPA)
Contrato de Associação Comercial (BAA) da HIPAA dos EUA
Contrato Principal de Serviços (MSA)
Os assinantes podem utilizar o nosso Modelo de acessibilidade voluntária do produto na realização das avaliações preliminares.
Os padrões mínimos que esperamos de nossos diretores, executivos, funcionários e trabalhadores temporários na condução dos nossos negócios.
Informações detalhadas a respeito de como e quando usamos cookies nos sites da Zendesk.
Fornece informações sobre como e quando a Zendesk utiliza cookies nos Serviços da Zendesk.
Como a Zendesk lida com comunicados de violação.
Como os Dados de serviço dos nossos Assinantes são excluídos com relação ao cancelamento, rescisão ou migração da Conta dos Serviços da Zendesk.
Aborda o procedimento da Zendesk para responder a solicitações recebidas de autoridades de manutenção da ordem pública ou de outra autoridade governamental.
Descreve como a Zendesk coleta, utiliza, compartilha e protege os dados pessoais que não são Dados de Serviço.
Quando os Dados de Serviço da Zendesk podem ser hospedados se o Assinante comprar ou ativar o Complemento de Localização de Centro de Dados.
Programas para os pesquisadores de segurança relatarem descobertas de vulnerabilidade de segurança nos Serviços da Zendesk.
As políticas da Zendesk estão disponíveis aqui.
Relatório de transparência
Divulgação de Dados de serviço: A Zendesk divulga Dados de serviço a terceiros apenas quando a divulgação é necessária para realizar ou melhorar os serviços, ou conforme necessário para atender a solicitações judiciais de autoridades públicas. Consulte a nossa Política de Solicitação de Dados por parte do Governo e o Relatório de Transparência da Zendesk.