Atendimento ao cliente seguro

Atenda as bases

A Zendesk leva a segurança muito a sério, basta perguntar às diversas empresas da Fortune 100 e Fortune 500 que confiam em nós para cuidarmos de seus dados. Combinamos recursos de segurança de nível empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para garantir a proteção contínua de seus dados e a tranquilidade de todos os clientes, incluindo os nossos.

Certificações de conformidade e associações

A Zendesk utiliza as práticas recomendadas e normas do setor para alcançar a conformidade com as estruturas gerais de segurança e privacidade aceitas pelo setor, o que, por sua vez, ajuda nossos assinantes a manter a conformidade com suas próprias normas de conformidade.

Conformidade de segurança
SOC 2 Tipo II

Passamos por auditorias de rotina para receber relatórios SOC 2 Tipo II atualizados, disponíveis mediante solicitação e sob Contrato de confidencialidade (Non-Disclosure Agreement, NDA). Solicite o último relatório SOC 2 Tipo II.

ISO 27001:2013

A Zendesk tem certificação ISO 27001:2013. Baixar o certificado.

ISO 27018:2014

A Zendesk tem certificação ISO 27018:2014. O certificado está disponível para download aqui.

LI-SaaS do FedRAMP

A Zendesk é autorizada pelo Programa federal de gestão de autorização e risco (Federal Risk and Authorization Management Program, FedRAMP) com Software como serviço de baixo impacto) Low Impact Software-as-a-Service, LI-SaaS) e anunciada no Marketplace do FedRAMP. Os assinantes de órgãos governamentais dos EUA podem solicitar acesso ao Pacote de Segurança Zendesk do FedRAMP preenchendo um Formulário de Solicitação de Acesso ao Pacote ou enviando uma solicitação parafedramp@zendesk.com.

Conformidade com base no setor
PCI-DSS

O Suporte Zendesk oferece um campo de cartão de crédito configurável em conformidade com o Setor de Cartões de Pagamento (Payment Card Industry, PCI) que oculta todos dígitos, exceto os quatro últimos. Saiba mais sobre conformidade com o PCI na Zendesk.

Associações
McAfee Cloud Trust – compatível com o McAfee Enterprise

A Zendesk recebeu o Programa McAfee CloudTrust. O programa apresenta o selo compatível para uso com o McAfee Enterprise apenas com relação a serviços que tenham a classificação CloudTrust™ mais alta possível. Estão entre os serviços que ganharam o CloudTrust™ da McAfee e uma classificação de compatível para uso com o McAfee Enterprise com base em seus respectivos atributos nas categorias de dados, usuário e dispositivo, segurança, negócios e avaliação legal.

Cloud Security Alliance (CSA)

A Zendesk é membro da Cloud Security Alliance (CSA), uma organização sem fins lucrativos com a missão de promover o uso de práticas recomendadas para fornecer garantia de segurança em computação em nuvem. A CSA lançou o Security, Trust & Assurance Registry (STAR), um registro de acesso público que documenta os controles de segurança fornecidos por várias ofertas de computação em nuvem. A Zendesk preencheu o Questionário da iniciativa de avaliação de consenso (Consensus Assessment Initiative, CAI), com base nos resultados da nossa autoavaliação de diligência prévia.

O CAIQ da CSA está disponível aqui.

IT-ISAC

A Zendesk é membro do IT-ISAC, um grupo que se dedica a reunir um conjunto diversificado de empresas do setor privado para alavancar tecnologia em evolução e ter um compromisso comum com a segurança. O IT-ISAC permite a colaboração e o compartilhamento de informações e práticas relevantes e acionáveis sobre ameaças. Modera grupos de interesse especial que se concentram em Inteligência, Ameaça Interna, Segurança Física e outras áreas específicas para ajudar a promover nossa missão de proteger a Zendesk.

FIRST

A Zendesk é membro da FIRST, uma confederação internacional de equipes de resposta a incidentes, que lida de forma cooperativa com incidentes de segurança informática e promove programas de prevenção de incidentes. Os membros da FIRST desenvolvem e compartilham informações técnicas, ferramentas, metodologias, processos e práticas recomendadas. Como membro da FIRST, a Zendesk Security trabalha com outros membros para usar seus conhecimentos, habilidades e experiência combinados para promover um ambiente eletrônico global mais seguro e protegido.

Sistema de qualificações de serviços financeiros (Financial Services Qualifications System, FSQS)

A Zendesk satisfez todos os requisitos (Estágio 1 e Estágio 2) para concluir o registro no Sistema de Qualificação de Serviços Financeiros (FSQS, Financial Services Qualification System), conforme estabelecido pelas organizações compradoras participantes. Solicite o último certificado FSQS aqui.

Mais detalhes sobre FSQS https://hellios.com/fsqs/.

Artefatos

Podemos oferecer recursos adicionais mediante solicitação.

Recursos de download direto (sem NDA)

Certificados ISO 27001:2013

Certificado ISO 27018:2014

Relatório SOC 3

Folha de dados/documento

Atestado de conformidade (AoC) com PCI e Certificado de conformidade

Diagramas de arquitetura de rede

  • Suporte/Guia
  • Bate-papo
  • Conversa

CSA CAIQ

Registro de riscos

FSQS (Sistema de qualificação de serviços financeiros)

Obter recursos
Recursos com NDA

Os recursos a seguir talvez precisem de um NDA no arquivo. Clique no botão para obter acesso.

Certificado de seguro

Relatório SOC 2 Tipo II

Resumo do teste de penetração anual

Resumo do teste de continuidade dos negócios e recuperação de desastres

SIG Lite

VSA

HECVAT Lite

Os assinantes atuais podem acessar estes recursos na IU Admin

Segurança da nuvem

Segurança física do data center
Instalações

A Zendesk hospeda os dados de serviço nos data centers da AWS que atendem a normas como ISO 27001, PCI DSS Service Provider Level 1 e/ou SOC 2. Saiba sobre conformidade na AWS.

Os serviços de infraestrutura da AWS incluem fontes de energia de emergência, sistemas HVAC e equipamento de supressão de incêndios para ajudar a proteger os servidores e seus dados. Saiba mais sobre controles de centros de dados na AWS.

Segurança no local

A segurança no local da AWS inclui vários recursos, como guardas de segurança, cercas, feeds de segurança, tecnologia de detecção de intrusão e outras medidas de segurança. Saiba mais sobre segurança física da AWS.

Localização da hospedagem de dados

A Zendesk aproveita os data centers da AWS nos EUA, Europa e Ásia-Pacífico. Saiba mais sobre as localidades de hospedagem de dados dos dados do seu serviço Zendesk.

A Zendesk oferece múltiplas opções de localidade de dados, inclusive os Estados Unidos (EUA), Austrália (AU), Japão (JP) ou Espaço Econômico Europeu (EEE). Para obter mais informações sobre produtos, planos e ofertas regionais, consulte a nossa Política regional de hospedagem de dados.

Segurança do fornecedor

A Zendesk minimiza os riscos associados a terceiros fornecedores, realizando verificações de segurança em todos os fornecedores com qualquer nível de acesso aos nossos sistemas ou Dados de serviço.

Segurança de rede
Equipe de segurança dedicada

Nossa equipe de segurança global está disponível dia e noite para responder a alertas e eventos de segurança.

Proteção

Nossa rede é protegida com o uso dos principais serviços de segurança da AWS, integração com as redes de proteção de borda Cloudflare, auditorias regulares e tecnologias de inteligência de rede, que monitoram e/ou bloqueiam tráfego malicioso e ataques de rede.

Nossa arquitetura de segurança de rede consiste em várias zonas de segurança. Sistemas mais sigilosos, como servidores de banco de dados, são protegidos nas nossas zonas mais confiáveis. Outros sistemas são hospedados em zonas com nível de segurança proporcional à sensibilidade dos dados, dependendo da função, da classificação das informações e do risco. Dependendo da zona, outros controles de acesso e monitoramento de segurança serão aplicados. DMZs são utilizados entre a Internet e internamente entre as diferentes zonas confiáveis.

Varredura de vulnerabilidade de rede

A varredura de segurança da rede nos dá uma visão profunda para uma rápida identificação de sistemas fora de conformidade ou potencialmente vulneráveis.

Testes de penetração de terceiros

Além do nosso vasto programa interno de varredura e testagem, todos os anos, a Zendesk emprega terceiros especialistas em segurança para realizar um amplo teste de penetração nas redes corporativas e de produção da Zendesk.

Gerenciamento de eventos de incidente de segurança

Nosso sistema de gerenciamento de eventos de incidente de segurança (SIEM) coleta logs extensos de dispositivos de rede e sistemas de host importantes. O SIEM dispara alertas que notificam a equipe de segurança com base em eventos correlacionados para investigação e resposta.

Detecção e prevenção de intrusões

Os pontos de entrada e saída de serviço são instrumentados e monitorados para detectar comportamentos anômalos. Esses sistemas são configurados para gerar alertas quando incidentes e valores ultrapassam limites predeterminados e usam assinaturas atualizadas regularmente com base em novas ameaças. Isso inclui monitoramento do sistema dia e noite.

Programa de inteligência de ameaças

A Zendesk participa de vários programas de compartilhamento de inteligência de ameaça. Monitoramos as ameaças publicadas nessas redes de inteligência de ameaça e tomamos medidas com base em riscos.

Mitigação de DDoS

A Zendesk arquitetou uma abordagem em várias camadas para mitigação de DDoS. Uma parceria tecnológica central com a Cloudflare fornece defesas de borda de rede, enquanto o uso de encaminhamento e ferramentas de proteção da AWS oferecem proteção mais profunda em conjunto com o nosso uso de serviços específicos DDoS da AWS.

Acesso lógico

O acesso à Rede de produção da Zendesk é explicitamente restrito à necessidade de conhecimento, aplica privilégios mínimos de acesso, é frequentemente auditada e monitorada e é controlada pela nossa equipe de Operações. Os funcionários que acessam a rede de produção da Zendesk devem usar vários fatores de autenticação.

Resposta a incidentes de segurança

Em caso de alerta do sistema, os eventos são escalados para nossas equipes que trabalham dia e noite e fornecem cobertura de operações, engenharia de rede e segurança. Os funcionários são treinados em processos de resposta a incidentes de segurança, incluindo canais de comunicação e caminhos de escalação.

Criptografia
Criptografia em trânsito

Toda a comunicação com a interface e as APIs da Zendesk é criptografada pelo padrão do setor HTTPS/TLS (TLS 1.2 ou posterior) em redes públicas. Isso garante que todo o tráfego entre você e a Zendesk seja protegido durante o trânsito. Além disso, para e-mail, nosso produto aproveita o TLS por padrão. O protocolo Transport Layer Security (TLS) criptografa e entrega e-mails com segurança, eliminando a espionagem entre servidores de e-mail onde serviços associados oferecem suporte para esse protocolo. As exceções para criptografia podem incluir uso de função SMS no produto, qualquer outro aplicativo de terceiros, integração ou os assinantes do serviço podem optar por aproveitar os recursos a seu próprio critério.

Criptografia de dados em repouso

Os dados de serviço são criptografados em repouso na AWS usando criptografia de chave AES-256.

Disponibilidade e continuidade
Tempo de atividade

A Zendesk mantém uma página de status do sistema disponível publicamente, que inclui detalhes da disponibilidade do sistema, manutenção programada, histórico de incidentes de serviço e eventos de segurança relevantes.

Redundância

O clustering de serviço e as redundâncias de rede da Zendesk eliminam pontos únicos de falha. Nosso rigoroso regime de backup e/ou nossa oferta do serviço de Recuperação aprimorada de desastres nos permitem oferecer um alto nível de disponibilidade de serviço, pois os Dados do Serviço são replicados em todas as zonas disponíveis.

Recuperação de desastres

Nosso programa de Recuperação de desastres (Disaster Recovery, DR) assegura que nossos Serviços permaneçam disponíveis e sejam facilmente recuperáveis em caso de desastre. Isso é possível graças ao ambiente técnico robusto, à criação de planos de recuperação de desastres e às atividades de teste.

Recuperação avançada de desastres

Nosso pacote de Recuperação de desastres aprimorada acrescenta Objetivos de tempo de recuperação (Recovery Time Objective, RTO) e Objetivos de pontos de recuperação (Recovery Point Objective, RPO). Isso é suportado por meio da nossa capacidade de priorizar operações de assinantes de Recuperação de desastres aprimorada durante o evento de desastre declarado.

Obtenha mais informações sobre as Garantias de recuperação de desastres.

Segurança do aplicativo

Desenvolvimento da Segurança (SDLC)
Controles de segurança de estrutura

A Zendesk aproveita as estruturas modernas e seguras de código aberto com controles de segurança para limitar a exposição aos 10 principais riscos de segurança da OWASP. Esses controles inerentes reduzem a exposição a SQL Injection (SQLi), Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF), entre outros.

Controle de qualidade

Nosso departamento de controle de qualidade (QA) revisa e testa nossa base de código. Engenheiros dedicados de segurança de aplicativo da equipe identificam, testam e fazem a triagem de vulnerabilidades de segurança no código.

Ambientes separados

Os ambientes de teste e preparação estão logicamente separados do ambiente de produção. Nenhum dado de serviço é usado em nossos ambientes de desenvolvimento ou teste.

Gerenciamento de vulnerabilidades
Varredura dinâmica de vulnerabilidades

Empregamos ferramentas de segurança de terceiros para examinar contínua e dinamicamente as nossas principais aplicações contra riscos comuns de segurança de aplicativos web, inclusive, entre outros, aos riscos de segurança do OWASP Top 10. Mantemos uma equipe de segurança de produtos interna dedicada para testar e trabalhar com as equipes de engenharia para resolver os problemas descobertos.

Análise de composição de software

Fazemos a varredura das bibliotecas e dependências utilizadas nos nossos produtos para identificar vulnerabilidades e assegurar a gestão das vulnerabilidades.

Teste de penetração de terceiros

Além do nosso vasto programa interno de varredura e teste, a Zendesk contrata especialistas em segurança de terceiros para realizar testes de penetração detalhados em diferentes aplicativos de nossa família de produtos.

Divulgação responsável/programa de recompensa por bug

O nosso Programa de divulgação responsável oferece aos pesquisadores de segurança e assinantes um caminho para realizarem testes com segurança e notificarem a Zendesk a respeito de vulnerabilidades de segurança por meio da nossa parceria com o HackerOne.

Segurança do produto

Segurança de autenticação
Opções de autenticação

A Zendesk tem várias opções diferentes de autenticação: os assinantes podem ativar a autenticação nativa da Zendesk, o logon único (Single Sign-On, SSO) por mídia social (Facebook, Twitter, Google) e/ou o Enterprise SSO (SAML, JWT) para autenticação de usuário final e/ou agente. Saiba mais sobre acesso do usuário.

Política de senha configurável

A autenticação nativa da Zendesk para produtos disponível por meio do Centro de Administração oferece os seguintes níveis de segurança de senhas: baixo, médio e alto, bem como regras de senhas personalizadas para agentes e administradores. A Zendesk também permite níveis de segurança de senhas diferentes aplicáveis a usuários finais em relação a agentes e administradores. Somente os administradores podem alterar o nível de segurança da senha. Saiba mais sobre as políticas de senhas configuráveis.

Autenticação de dois fatores (2FA)

A autenticação nativa da Zendesk para produtos disponíveis por meio do Centro de Administração oferece autenticação de dois fatores (Two-factor authentication, 2FA) para agentes e administradores via SMS ou aplicativo autenticador. Saiba mais sobre 2FA.

Armazenamento de credenciais de serviço

A Zendesk segue as práticas recomendadas de armazenamento seguro de credenciais, jamais armazenando senhas em formato legível por humanos e somente como resultado da criptografia hash segura, saltada e unidirecional.

Recursos adicionais de segurança do produto
Controles de acesso com base em função

O acesso aos dados nos aplicativos da Zendesk é governado pelo controle de acesso com base em função (RBAC) e pode ser configurado para definir privilégios de acesso granular. A Zendesk é compatível com vários níveis de permissão para usuários (proprietário, administrador, agente, usuário final, etc.).

Saiba mais sobre funções do usuário:

Detalhes sobre segurança global e acesso do usuário

Restrições de IP

A conta Zendesk pode restringir o acesso ao Suporte Zendesk de usuários dentro de uma variedade específica de endereços IP. Apenas os usuários com endereços IP permitidos poderão acessar a sua conta Zendesk. Você pode permitir que os assinantes (e não agentes ou administradores) ignorem essa restrição. Para obter mais informações, consulte Restrição de acesso ao Suporte Zendesk e ao Centro de ajuda usando restrições de IP e Uso de restrições de acesso IP no bate-papo.

Certificados de criptografia hospedados para o Centro de ajuda (TLS)

A Zendesk oferece criptografia TLS gratuita para centros de ajuda de Guias mapeados no host. A Zendesk utiliza a Let's Encrypt para solicitar certificados e renova automaticamente o certificado antes que este expire.

Você também pode carregar o seu próprio certificado, se desejar.

Para saber mais sobre como configurar certificados criptografados para o centro de ajuda de Guias, consulte Criação de certificado de criptografia TLS hospedado.

Restrições de arquivos no bate-papo

O Bate-papo da Zendesk conta com o recurso de restringir quais tipos de arquivo são enviados para os agentes. Ou então, você pode optar por desativar o envio de arquivos completamente no produto Bate-papo. Para saber mais sobre esse recurso, consulte Gerenciamento de envio de arquivos em bate-papos ao vivo.

Registros de auditoria

A Zendesk oferece Registros de auditoria para contas com planos Enterprise/Enterprise Plus. Esses registros incluem alterações a contas, mudanças de usuários, alterações a aplicativos, regras de negócios, exclusões de tíquetes e configurações. O Registro de auditoria está disponível no Centro de Administração e na API de suporte. Para saber mais sobre Registros de auditoria e ver quais informações estão disponíveis no registro, consulte Verificação de alterações no registro de auditoria.

Anexos privados

Os assinantes podem configurar a ocorrência para que os usuários sejam obrigados a se conectar para visualizar os anexos aos tíquetes. Saiba mais sobre Anexos particulares.

Ocultação

A Zendesk tem dois tipos de ocultação para remoção de dados sigilosos: A ocultação manual possibilita a ocultação ou a remoção de dados sensíveis nos comentários dos tíquetes do Suporte, bem como a exclusão segura de anexos, para que você possa proteger as informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas na Zendesk. Saiba mais sobre ocultação via IU ou API.

A ocultação automática permite a ocultação automática de números de cartão de crédito dos tíquetes enviados pelo assinante. Quando esse recurso está ativado, os números do cartão de crédito são parcialmente substituídos por espaços em branco no tíquete. Também são ocultados dos registros e entradas de bancos de dados. Para saber mais sobre como ativar esse recurso e como números de cartão de crédito podem ser identificados, consulte Ocultação automática de números de cartão de crédito de tíquetes e de bate-papos.

Filtro de spam para o centro de ajuda de Guias

O serviço de filtro de spam da Zendesk pode ser usado para impedir que postagens de spam do usuário final sejam publicadas no seu centro de ajuda de Guias. Saiba mais sobre filtragem de spam em Guia.

Assinatura de e-mail(DKIM/DMARC)

A Zendesk oferece Chaves de domínio para correio identificado (Domain Keys Identified Mail, DKIM) e Autenticação, relatório e conformidade de mensagens baseadas em domínio (Domain-based Message Authentication, Reporting, & Conformance, DMARC) para assinar e-mails enviados pela Zendesk quando você tiver que configurar um domínio de e-mail externo em seu Zendesk. O uso de um serviço de e-mail compatível com esses recursos ajuda você a impedir spoofing de e-mails. Saiba mais sobre a assinatura digital dos seus e-mails.

Rastreamento de dispositivos

A Zendesk monitora os dispositivos usados para entrar em cada conta de usuário. Quando alguém entra em uma conta de um novo dispositivo, ele é adicionado à lista de dispositivos no perfil do usuário. O usuário pode receber uma notificação por e-mail a cada vez que um novo dispositivo é acrescentado, devendo acompanhar se a atividade parecer suspeita. As sessões suspeitas podem ser encerradas por meio da IU do agente. Saiba mais sobre rastreamento de dispositivos.

Segurança de RH

Conscientização de segurança
Políticas

A Zendesk desenvolveu um conjunto abrangente de políticas de segurança e abrangem diversos tópicos. Essas políticas são compartilhadas e disponibilizadas para todos os funcionários e contratantes com acesso aos ativos de informações da Zendesk.

Treinamento

Todos os funcionários participam de um treinamento de conscientização sobre segurança, que é administrado após a contratação e, depois, uma vez por ano. Todos os engenheiros recebem o treinamento anual de código seguro. A equipe de segurança fornece atualizações adicionais de conscientização sobre segurança por e-mail, postagens de blog e em apresentações durante eventos internos.

Verificação do funcionário
Investigações paralelas

A Zendesk realiza investigações paralelas sobre todos os novos funcionários de acordo com as leis locais. Essas verificações também são exigidas para prestadores de serviços. A investigação paralela inclui verificação criminal, educacional e trabalhista. Equipes de limpeza estão incluídas.

Contratos de confidencialidade

Todos os novos contratados devem assinar contratos de não divulgação e confidencialidade.

Bem-vindo(a) ao Programa de privacidade global da Zendesk

A Zendesk tem um programa formal global de privacidade e proteção de dados, que inclui as principais partes interessadas, inclusive os setores Jurídico, Segurança, Produto e Executivo da empresa. Na qualidade de defensores da privacidade, trabalhamos diligentemente para assegurar que os nossos serviços e colaboradores se dediquem à conformidade com as estruturas regulatórias e do setor aplicáveis.

Conformidade

Lei de Privacidade da Austrália, de 1988, e Princípios de privacidade

A Lei de Privacidade da Austrália, de 1998 (conforme emendada), estabelece vários direitos do titular de dados e acrescentou a obrigatoriedade da comunicação de violações de dados qualificados. Ao contrário do RGPD (Regulamento Geral sobre a Proteção de Dados), não contém os conceitos de controlador e processador de dados. https://www.zendesk.com/company/anz-privacy/

Adendo da Lei Geral de Proteção de Dados (LGPD) do Brasil

A Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor em 18 de setembro de 2020. A LGPD é uma lei abrangente de proteção de dados que abrange as atividades dos controladores e processadores de dados e estabelece direitos individuais.

Os assinantes da Zendesk que coletam e armazenam dados pessoais nos Serviços da Zendesk podem ser considerados “controladores” nos termos da LGPD. Os controladores têm como principal responsabilidade assegurar que o processamento de dados pessoais esteja em conformidade com a lei de proteção de dados relevante, inclusive a LGPD. A Zendesk atua como “processadora”, conforme definição do termo na LGPD, no que diz respeito ao processamento de dados pessoais por meio dos nossos Serviços.

Os assinantes podem verificar nossos Guias de produtos e a Política de exclusão de Dados de serviço para obter informações mais detalhadas sobre como usar os produtos da Zendesk para alinhamento às iniciativas de conformidade. A Autoridade nacional de proteção de dados (ANPD) poderá emitir orientações adicionais sobre a LGPD no futuro. A Zendesk continuará a acompanhar ativamente a lei e continuaremos a manter os nossos assinantes atualizados sobre os recursos e funcionalidades que poderão usar para apoiar seus respectivos esforços de conformidade.

Se você deseja ler e/ou assinar o Adendo da LGPD ao Contrato principal de assinatura da Zendesk, clique aqui. O nosso Contrato principal de assinatura da Zendesk inclui “Termos regionais específicos”, com uma cláusula relacionada especificamente ao Brasil.

Adendo à Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA)

A Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA), Código Código §§ 1798.100 e seguintes, é uma lei promulgada no Estado da Califórnia, EUA, que entrou em vigor em 1.º de janeiro de 2020. Essa lei amplia os direitos de privacidade disponíveis a determinados consumidores da Califórnia, EUA, e exige que determinadas empresas estejam em conformidade com várias exigências de proteção de dados. Visite também os Regulamentos finais da CCPA e a Lei de Direitos de Privacidade da Califórnia (California Privacy Rights Act, CPRA), EUA. Algumas disposições da CPRA entraram em vigor em 16 de dezembro de 2020 e as demais disposições da CPRA entrarão em vigor em 1.º de janeiro de 2023.

Os assinantes da Zendesk que coletam e armazenam informações pessoais nos Serviços da Zendesk poderão ser considerados “Empresas” nos termos da Lei de Privacidade do Consumidor da CCPA. As empresas têm como responsabilidade principal assegurar que o processamento de dados pessoais esteja em conformidade com a lei de proteção de dados relevante, inclusive a CCPA. A Zendesk atua como “Prestadora de serviços”, na acepção da expressão na versão atual da CCPA, no que diz respeito ao processamento de informações pessoais por meio dos nossos Serviços. Assim sendo, a Zendesk coleta, acessa, mantém, utiliza, processa e transfere as informações pessoais dos nossos assinantes e dos usuários finais dos nossos assinantes processadas por meio dos Serviços exclusivamente com a finalidade de cumprir as nossas obrigações nos termos dos nossos contratos existentes com os nossos assinantes; e para nenhuma outra finalidade comercial que não seja o cumprimento destas obrigações e a melhoria dos Serviços que prestamos.

Não “vendemos” as informações pessoais dos nossos assinantes, conforme definido na CCPA. Poderemos compartilhar, com terceiros, informações agregadas e/ou anônimas sobre o uso dos Serviços que não sejam consideradas informações pessoais nos termos da CCPA, para nos ajudar a desenvolver e melhorar os Serviços e oferecer aos nossos assinantes conteúdos e ofertas de serviços mais relevantes, conforme detalhado nos nossos contratos com os assinantes.

Você pode ler e/ou assinar o Adendo da CCPA ao Contrato principal de assinatura aqui.

Lei de Proteção de Informações Pessoais e de Documentos Eletrônicos (PIPEDA) do Canadá

A Lei de Proteção de Informações Pessoais e de Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act, PIPEDA) do Canadá entrou em vigor em 2000 e se concentra em dez princípios de informação justa, que formam as regras para a coleta, uso, acesso e divulgação de informações pessoais. Em outubro de 2021, a Associação Internacional de Tecnologia do Canadá e o Conselho do Setor de Tecnologia da Informação sugeriram mudanças na PIPEDA para assegurar maiores direitos de privacidade e transparência aos cidadãos canadenses.

Contrato de processamento de dados (DPA)

Você pode ler e/ou assinar o DPA da Zendesk aqui. O DPA da Zendesk abrange as atividades específicas de processamento e as medidas de segurança aplicáveis aos nossos serviços.

Os assinantes podem ler os nossos Guias de produtos e a nossa Política de exclusão de Dados de serviço para obter informações detalhadas sobre como utilizar os produtos da Zendesk para ajudar a manter a conformidade com as leis de privacidade e proteção de dados.

Regulamento Geral sobre a Proteção de Dados (RGPD) da Europa

Desde o nosso início, a abordagem da Zendesk tem sido ancorada por um forte compromisso com a privacidade, segurança, conformidade e transparência. Esta abordagem inclui o apoio ao cumprimento das exigências de proteção de dados da UE pelos nossos assinantes, como as estabelecidas no RGPD.

Se algum assinante coletar, transmitir, hospedar ou analisar dados pessoais de cidadãos da UE, o RGPD exige que o assinante utilize processadores de dados terceirizados que garantam a capacidade de implementar as exigências técnicas e organizacionais do RGPD. Para ganhar ainda mais a confiança dos nossos assinantes, nosso Contrato de processamento de dados (Data Processing Agreement, DPA) foi atualizado para oferecer aos nossos clientes compromissos contratuais com relação à nossa conformidade com a lei de proteção de dados da UE aplicável e para implementar as disposições contratuais adicionais exigidas pelo RGPD.

Regras corporativas vinculantes (BCRs): as Regras corporativas vinculantes (Binding Corporate Rules, BCRs) são políticas de proteção de dados de toda a empresa aprovadas pelas autoridades de proteção de dados europeias para facilitar transferências intragrupos de dados pessoais do Espaço Econômico Europeu (EEE) para países fora do EEE. As BCRs baseiam-se em princípios de privacidade estritos estabelecidos pelas autoridades de proteção de dados da União Europeia e exigem intensa consulta a essas autoridades. Os assinantes podem encontrar a lista completa de entidades aprovadas na Lista aprovada das Regras corporativas vinculantes aqui. Em 2017, a Zendesk concluiu o processo de aprovação da UE das BCRs com o Comissário de proteção de dados (Data Protection Commissioner, DPC) irlandês (analisado por pares pelo Escritório do Comissário de Informação do Reino Unido e pela autoridade de proteção de dados holandesa) como processadora e controladora. Essa importante aprovação regulatória validou a implementação da Zendesk dos mais altos padrões possíveis de proteção de dados pessoais globalmente, abrangendo tanto os dados pessoais dos seus respectivos clientes como dos funcionários da empresa. A Zendesk é uma das primeiras empresas de software do mundo a receber aprovação para as próprias BCRs; e foi a segunda empresa a receber aprovação do DPC irlandês.

Para acessar as BCRs da Zendesk, visite:
Regras corporativas vinculantes para processadores da Zendesk, aplicáveis quando a Zendesk processa dados pessoais em nome dos seus respectivos clientes
e
Regras corporativas vinculantes para processadores da Zendesk, aplicáveis quando a Zendesk processa dados pessoais para os quais ela é a controladora dos dados.

Solicitações de titulares de dados: Um indivíduo que busque exercer seus direitos de proteção de dados no que diz respeito a dados pessoais armazenados ou processados por nós, em nome de um assinante nosso dentro dos Dados de Serviço do assinante (inclusive para buscar acesso a esses dados pessoais ou corrigir, alterar, excluir, exportar ou restringir o processamento de tais dados pessoais), deve encaminhar sua dúvida para o nosso assinante (o controlador de dados). Mediante solicitação dos nossos assinantes para removermos os dados pessoais da Zendesk, responderemos à solicitação no prazo de 30 (trinta) dias. Preservaremos os dados pessoais que processarmos e armazenarmos em nome dos nossos assinantes pelo tempo necessário para fornecer os Serviços aos nossos assinantes.

Encarregado da proteção de dados: o encarregado da proteção de dados (Data Protection Officer, DPO) da Zendesk pode ser contatado em euprivacy@zendesk.com.

Escudo de Proteção da Privacidade: o Departamento de Comércio dos EUA, juntamente com a Comissão Europeia e o governo suíço, criou a Estrutura do Escudo de Proteção da Privacidade da UE-EUA e Suíça-EUA (“Escudo de Proteção da Privacidade”) para oferecer às empresas um mecanismo de transferência de dados pessoais da União Europeia para os Estados Unidos de forma a proporcionar um nível adequado de proteção para os fins da lei europeia de proteção de dados. A Zendesk já certificou sua respectiva conformidade com a Estrutura do Escudo de Proteção de Privacidade da UE-EUA e Suíça-EUA para o Departamento de Comércio dos EUA e foi adicionada à lista de participantes do Escudo de Proteção da Privacidade autocertificado do Departamento de Comércio dos EUA. Nossas certificações confirmam que cumprimos os Princípios do Escudo de Proteção da Privacidade no que diz respeito à transferência de dados pessoais europeus e suíços para os Estados Unidos.

Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia (Court of Justice of the European Union, CJEU) emitiu uma decisão invalidando o programa do Escudo de Proteção da Privacidade UE-EUA. . Sabemos que você poderá ter dúvidas sobre a invalidação do Escudo de Proteção da Privacidade e o posicionamento da Zendesk com relação a isso. Por esse motivo, divulgamos esta publicação no blog para auxiliar você com relação às suas dúvidas.

Hospedagem de dados de saúde (Hébergeur de Données de Santé, HDS) da França

A HDS permite que os provedores de saúde da França utilizem o serviço de atendimento ao cliente e a plataforma de relacionamento com o cliente da Zendesk com a certeza de que a nossa plataforma conta com medidas técnicas e de governança adequadas implementadas para garantir e proteger informações de saúde pessoais (Personal Health Information, PHI). Consulte informações adicionais aqui.

Lei de Privacidade da Nova Zelândia, de 2020, e seus Princípios de privacidade da informação

A Lei de Privacidade da Nova Zelândia, de 2020, entrou em vigor em 1.º de dezembro de 2020, aplica-se a agências e mantém a estrutura baseada em princípios da Lei de 1993. A Lei de 2020 dispõe que as organizações são responsáveis por assegurar que as informações pessoais enviadas para fora da Nova Zelândia estejam suficientemente protegidas e acrescentou exigências de obrigatoriedade de comunicação de violações. https://www.zendesk.com/company/anz-privacy/

Lei de Proteção de Dados Pessoais de Cingapura (PDPA)

A Lei de Proteção de Dados Pessoais (Personal Data Protection Act, PDPA) de Cingapura, estabelece normas de proteção de dados que regem a coleta, o uso e a divulgação de Dados pessoais a partir de 2 de julho de 2014. A Zendesk é reconhecida como Intermediário de dados da Autoridade de Desenvolvimento de Infocomm (Infocomm Development Authority, IDA) de Cingapura, como Provedora de serviços de software como serviço (Software-as-a-Service, SaaS). Consulte informações adicionais aqui.

O RGPD do Reino Unido e o Brexit

O Reino Unido se retirou da União Europeia em 31 de janeiro de 2020. Em 28 de junho de 2021, a Comissão Europeia adotou decisões de adequação sobre transferências de dados pessoais para o Reino Unido nos termos do RGPD.

Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) dos EUA e Contrato de Associação Comercial (BAA)

Para conseguir uma Conta habilitada para a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (Health Insurance Portability and Accountability Act, HIPAA), você precisará: (1) adquirir o Serviço associado implantado de segurança avançada ou o Complemento do Serviço associado implantado de conformidade avançada; (2) ativar um conjunto de configurações de segurança conforme delineado pela Zendesk; e (3) assinar nosso Contrato de Associação Comercial (Business Associate Agreement, BAA). Para obter mais detalhes, inclusive uma lista de quais Serviços podem ser habilitados para HIPAA, consulte Conformidade avançada.

Detalhes dos Dados de serviço do assinante

Dados de serviço são informações, inclusive dados pessoais, armazenadas ou transmitidas por meio dos Serviços da Zendesk em nome ou pelos nossos assinantes e seus respectivos usuários finais. Utilizamos os Dados de serviço para operar e melhorar os nossos Serviços, ajudar os clientes a acessar e utilizar os Serviços, responder às consultas dos assinantes e enviar comunicações relacionadas aos Serviços.

Informações adicionais

Acesso: a Zendesk oferece um conjunto avançado de recursos de acesso e criptografia para ajudar os clientes a proteger de maneira eficaz suas respectivas informações. Não acessamos ou usamos o conteúdo do cliente para qualquer outra finalidade que não seja a de fornecer, manter e melhorar os serviços da Zendesk ou, de outra forma, conforme exigido por lei. Consulte aqui para obter informações adicionais.

Hospedagem de dados: a Zendesk utiliza a Amazon Web Services para hospedar Dados de serviço, conforme descrito aqui e na Política regional de hospedagem de dados. Para obter mais informações, consulte também a seção de Segurança.

Tipos de dados padrão coletados pelo serviço: A Zendesk criou uma lista de pontos de dados categorizados por produto. Para visualizar um quadro completo dos tipos de dados, os assinantes podem usar esta lista em conjunto com seus casos específicos de uso pretendido e tipos de dados resultantes.

Solicitações judiciais ou governamentais: a privacidade, a segurança dos dados e a confiança dos assinantes são as nossas maiores prioridades. A Zendesk não divulga Dados de serviço, salvo quando necessário para fornecer os nossos Serviços e para cumprir a legislação aplicável, conforme detalhado na nossa Política de privacidade. Para ajudar os nossos assinantes a realizar análises de conformidade, contamos com recursos adicionais: Relatório de transparência e Política de solicitações governamentais.

Propriedade: Do ponto de vista da privacidade, o assinante é o controlador dos Dados de serviço e a Zendesk é a processadora. Isso significa que, enquanto assinar os serviços da Zendesk, você mantém a propriedade e o controle sobre os Dados de serviço na sua instância Zendesk.

Replicação: a Zendesk replica periodicamente os dados para fins de arquivamento, backup e registros de auditoria. Utilizamos a Amazon Web Services (AWS) para armazenar algumas das informações que são copiadas, como informações do banco de dados e arquivos anexos. Consulte a nossa Política regional de hospedagem de dados para obter mais detalhes.

Segurança: A Zendesk prioriza a segurança de dados e combina recursos de segurança de classe empresarial com auditorias abrangentes dos nossos aplicativos, sistemas e redes para assegurar a proteção dos dados de assinantes e negócios. Consulte informações adicionais aqui.

Incidentes de segurança: para obter mais informações sobre gestão de incidentes de segurança, consulte a nossa Resposta a incidentes de segurança.

Subprocessadores: A Zendesk poderá utilizar subprocessadores, inclusive afiliadas da Zendesk e empresas terceirizadas, para fornecer, proteger ou melhorar os Serviços, e os subprocessadores poderão ter acesso aos Dados de serviço. A nossa política de subprocessadores apresenta uma lista atualizada dos nomes e localizações de todos os subprocessadores.

Rescisão: a Zendesk mantém uma Política de exclusão de Dados de serviço que descreve os processos de exclusão de dados da Zendesk após a rescisão ou expiração da assinatura Zendesk pelo assinante.

Políticas relacionadas a privacidade

Políticas

Informações detalhadas a respeito de como e quando usamos cookies nos sites da Zendesk.

Fornece informações sobre como e quando a Zendesk utiliza cookies nos Serviços da Zendesk.

Como os Dados de serviço dos nossos Assinantes são excluídos com relação ao cancelamento, rescisão ou migração da Conta dos Serviços da Zendesk.

Esta estrutura esclarece qual parte é responsável por quais controles relacionados a segurança e privacidade dos seus dados.

Recursos do aplicativo relacionados a privacidade

Ferramentas de privacidade e proteção de dados

A Zendesk tem ferramentas para cada um dos seus respectivos produtos para auxiliar nas solicitações dos usuários e outras obrigações previstas nos regulamentos e leis aplicáveis de privacidade e proteção de dados, como acesso, correção, portabilidade e exclusão de dados, bem como objeção. Para saber mais sobre os recursos e funcionalidades de cada produto da Zendesk, consulte Conformidade com a privacidade e proteção de dados nos produtos da Zendesk.

Gestão de acesso

A Zendesk oferece um conjunto avançado de recursos de acesso e criptografia para ajudar os assinantes a proteger de maneira eficaz suas respectivas informações. Não acessamos ou usamos os dados dos assinantes para qualquer outra finalidade que não seja a de fornecer, manter e melhorar os Serviços da Zendesk ou, de outra forma, conforme exigido por lei. Consulte informações adicionais aqui.

Certificados

A Zendesk alcançou uma série de certificações e credenciamentos reconhecidos internacionalmente, demonstrando a conformidade com as estruturas de garantia de terceiros. Os certificados de segurança estão descritos aqui.

Localidade de hospedagem de dados

Os assinantes que adquirem o Serviço associado implantado de localização de Centro de dados (“Complemento de localização de Centro de dados”) ou têm a funcionalidade de Localização de Centro de dados no Plano de serviço, têm a capacidade de selecionar a região que hospedará seus respectivos Dados de serviço a partir de uma lista de regiões disponíveis da Zendesk.

Privacidade desde a concepção

A Zendesk conta com um programa global avançado de privacidade e proteção de dados, que adota uma abordagem unificada de privacidade e governança de informações para oferecer aos clientes flexibilidade para gerenciar dados pessoais que residem nos sistemas da Zendesk. Para obter mais detalhes, consulte os nossos guias de produtos: Conformidade com a privacidade e proteção de dados nos produtos da Zendesk.

Ocultação/minimização de dados

A Zendesk tem dois tipos de ocultação para remoção de dados sigilosos:

A ocultação manual possibilita a ocultação ou a remoção de dados sensíveis nos comentários dos tíquetes do Suporte, bem como a eliminação segura de anexos, para que você possa proteger as informações confidenciais. Os dados são suprimidos dos tickets pela interface de usuário ou API para impedir que informações confidenciais sejam armazenadas na Zendesk. Saiba mais sobre ocultação via IU ou API.

A ocultação automática permite a ocultação automática dos números de cartão de crédito dos tíquetes enviados pelo agente ou usuário final. Quando esse recurso está ativado, os números do cartão de crédito são parcialmente substituídos por espaços em branco no tíquete. Os números também são ocultados dos registros e entradas em banco de dados. Saiba como ativar esse recurso e como os números dos cartões de crédito são identificados.

Relatório de transparência

Divulgação de Dados de serviço: a Zendesk divulga Dados de serviço a terceiros apenas quando a divulgação é necessária para realizar ou melhorar os serviços, ou conforme necessário para atender a solicitações judiciais de autoridades públicas. Consulte a nossa Política de solicitação de dados por parte do governo e o Relatório de transparência da Zendesk.

Relatório de transparência

Atual em: 24 de setembro de 2021.

SOBRE O NOSSO RELATÓRIO DE TRANSPARÊNCIA

A Zendesk, como muitas empresas de tecnologia, às vezes recebe solicitações de agências de manutenção da ordem pública dos Estados Unidos e de outros lugares, buscando informações pessoais processadas pela Zendesk em nome de algum cliente. Essas solicitações poderão ser na forma de intimação, determinação judicial, mandado de busca e apreensão, Carta de Segurança Nacional ou determinações expedidas nos termos da Lei de Vigilância de Inteligência Estrangeira. A Zendesk é obrigada a atender às solicitações governamentais válidas de informações pessoais.

Ao mesmo tempo, a Zendesk se preocupa profundamente em manter a confiança dos nossos clientes. Uma maneira de manter essa confiança é informar os clientes Zendesk e o público sobre as solicitações governamentais válidas. Para isso, elaboramos este relatório de transparência.

O relatório de transparência fornece informações sobre solicitações de autoridades de manutenção da ordem pública relativas a informações pessoais que recebemos durante o primeiro semestre de 2021 (de 1.º de janeiro de 2021 até 30 de junho de 2021). A Zendesk fornecerá relatórios atualizados, aproximadamente, a cada seis meses referentes ao período que compreende os seis meses anteriores.

Para obter mais informações sobre a abordagem da Zendesk para responder a solicitações de informações das autoridades de manutenção da ordem pública, consulte a nossa Política de solicitação de dados por parte do governo aqui.

Solicitações de autoridades de manutenção da ordem pública dos EUA:

Outras informações sobre a abordagem da Zendesk com relação ao atendimento a solicitações de informações pessoais por parte de autoridades de manutenção da ordem pública.

Tipo de solicitaçãoNúmero de solicitaçõesDados de conteúdo divulgadosDados que não sejam de conteúdo divulgados
Intimação404
Determinação judicial101
Mandado de busca e apreensão220
Solicitações de autoridades de manutenção da ordem pública externas aos EUA:

embora a Zendesk esteja localizada nos EUA, temos presença corporativa em vários outros países. Quando recebemos solicitações de governos que não sejam dos EUA, trabalhamos com advogados dos EUA e de fora dos EUA para sabermos a validade da solicitação e a nossa capacidade de responder nos termos da legislação norte-americana e de outras legislações aplicáveis

Tipo de solicitaçãoNúmero de solicitaçõesNúmero de vezes que os dados foram fornecidos
Solicitações informais80
Solicitações governamentais que não sejam dos EUA de acordo com um MLAT0N/A
Definições

Dados de conteúdo: inclui conteúdo de comunicações de usuários finais com uma Conta, como os conteúdos de Tíquetes de suporte da Zendesk e dos Bate-papos da Zendesk. Os Dados de conteúdo são, de modo geral, considerados Dados de serviço, conforme definido no Contrato principal de assinatura da Zendesk.

Dados que não sejam de conteúdo: todos os dados que não sejam Dados de conteúdo. Podem incluir Informações da Conta, conforme definido na Política de privacidade da Zendesk (como nome do Proprietário da Conta e informações de contato, informações de faturamento da Conta, duração do Serviço, tipos de Serviços utilizados e informações de login da conta). Além disso, se a Zendesk receber uma determinação judicial, os Dados que não sejam de conteúdo também podem incluir metadados que não sejam de conteúdo relacionados às comunicações dos usuários finais com uma Conta, que são Dados de serviço.

Determinação judicial: determinação emitida por juiz após constatar motivos para acreditar que as informações procuradas são relevantes e significativas para a investigação penal em curso.

Determinações FISA: determinação ou solicitação emitida nos termos da Lei de Vigilância de Inteligência Estrangeira (Foreign Intelligence Surveillance Act, FISA) para informações de usuários emitidas nos EUA.

MLAT): a Zendesk exige que entidades governamentais não americanas utilizem processos legais internacionais adequados, como por meio de um tratado de assistência jurídica mútua (Mutual Legal Assistance Treaty, MLAT), para obter dados dos clientes.

Cartas de Segurança Nacional: carta de segurança nacional expedida nos termos da Seção 18 do Código Uniforme dos EUA (18 U.S.C.), § 2709

Mandado de busca e apreensão: determinação emitida por juiz após a descoberta de uma causa provável pela autoridade de manutenção da ordem pública. É necessário um mandado de busca e apreensão para obter os Dados de conteúdo.

Intimação: exigência obrigatória emitida por uma entidade governamental para a apresentação de documentos em um processo penal (como intimações do grande júri)