Atención al cliente segura

Toma todas las precauciones

Zendesk takes security very seriously—just ask the number of Fortune 100 and Fortune 500 companies that trust us with their data. We use a combination of enterprise-class security features and comprehensive audits of our applications, systems, and networks to ensure that your data is always protected, which means every customer can rest easy—our own included.

Certificados de cumplimiento y afiliaciones

Aplicamos las mejores prácticas y normas sectoriales para cumplir con los marcos generales de seguridad y privacidad aceptados por el sector, lo que a su vez ayuda a nuestros clientes a respetar sus propias normas de cumplimiento.

Cumplimiento de seguridad
SOC 2 Tipo II

We undergo routinized audits to receive updated SOC 2 Type II reports, available upon request and under NDA. The latest SOC 2 Type II report can be requested here.

ISO 27001:2013

Zendesk is ISO 27001:2013 certified. The certificate is available for download here.

ISO 27018:2014

Zendesk is ISO 27018:2014 certified. The certificate is available for download here.

Cumplimiento de normas del sector
HIPAA

Ayudamos a nuestros clientes a cumplir con las obligaciones de la ley HIPAA mediante las opciones de configuración de seguridad apropiadas en los productos Zendesk. Asimismo, ponemos a disposición de los suscriptores nuestro Business Associate Agreement (BAA) para su ejecución.

* El BAA solo está disponible con la compra del complemento Seguridad avanzada y es aplicable únicamente a ciertos productos Zendesk (se aplican requisitos de configuración especiales).

Normativa PCI DSS (seguridad de datos para la industria de tarjetas de pago)

View our whitepaper on PCI compliance or learn more about our PCI compliant field for Zendesk Support.

*Se requiere una cuenta Enterprise

Click here to obtain our PCI Attestation of Compliance (AoC) and Certificate of Compliance.

Afiliaciones
Skyhigh Enterprise-Ready

Zendesk fue distinguido con el sello Skyhigh Enterprise-Ready™, la calificación más alta del programa CloudTrust™. Se le concede a servicios en la nube que satisfacen plenamente los requisitos más estrictos de protección de datos, verificación de identidad, seguridad de los servicios, prácticas empresariales y protección legal.

Cloud Security Alliance

Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin fines de lucro cuya misión es promover el uso de mejores prácticas para proporcionar garantías de seguridad en la computación en la nube. CSA ha lanzado el Security, Trust & Assurance Registry (STAR), un registro de acceso público que documenta los controles de seguridad proporcionados por los distintos productos de computación en la nube. Hemos completado un cuestionario Consensus Assessment Initiative (CAI) que está a disposición del público, basándonos en los resultados de nuestra autoevaluación de diligencia debida.

The CSA CAIQ is available for download here.

Certificaciones de privacidad y protección de datos
Programas de certificación de privacidad TRUSTe®

Zendesk ha demostrado que sus programas, políticas y prácticas de privacidad cumplen con los requisitos del Escudo de privacidad de la UE y EE. UU. y el de Suiza y EE. UU. Estas empresas han autocertificado su participación en el Escudo de privacidad con el Departamento de Comercio de los Estados Unidos en https://www.privacyshield.gov/list. Empleamos un agente de verificación independiente que comprueba si cumplimos lo estipulado en el Escudo de privacidad (en consonancia con los requisitos del principio de verificación complementario de este). Para comprobar nuestro estado de verificación, haz clic aquí.

Certificación del Escudo de privacidad de la UE y EE. UU. y de Suiza y EE. UU.

Zendesk ha obtenido la certificación de cumplimiento con los marcos del Escudo de privacidad entre la UE y EE. UU. y entre Suiza y EE. UU. del Departamento de Comercio de EE. UU. Además, la empresa ha sido incluida en la lista de participantes autocertificados del Escudo de privacidad del Departamento de Comercio estadounidense. Nuestras certificaciones confirman que cumplimos con los principios del Escudo de privacidad para la transferencia de los datos personales de Europa y Suiza a Estados Unidos.

Más información sobre el Escudo de privacidad

Recursos jurídicos

Para obtener información sobre nuestros términos legales y de privacidad, visita:

Artefactos

Algunos de nuestros recursos solo pueden obtenerse si se solicitan.

Recursos de descarga directa (sin acuerdo de confidencialidad)

Para obtener acceso a los siguientes recursos descargables, haz clic en el botón de abajo:

Certificado ISO 27001:2013

Certificado ISO 27018:2014

Informe de SOC3

Hoja de datos/informe técnico

Certificación de conformidad (AoC) con PCI y certificado de cumplimiento

Diagramas de arquitectura de red

  • Support/Guide
  • Chat
  • Talk

Cuestionario CAI de CSA

Obtener recursos
Recursos con acuerdo de confidencialidad

Los siguientes recursos pueden requerir un acuerdo de confidencialidad. Haz clic en el botón siguiente para obtener acceso.

Certificado de seguro

SOC 2 Type II Report

Resumen anual de pruebas de penetración

Resumen de pruebas de continuidad del negocio y recuperación ante desastres

SIG Lite

VSA

Obtener recursos

Seguridad en la nube

Seguridad física en el centro de datos
Instalaciones

Zendesk aloja los datos del servicio principalmente en data centers de AWS que poseen la certificación de conformidad con ISO 27001 (proveedor de servicios de nivel 1 según la normativa PCI DSS) o de SOC tipo 2. Más información sobre los programas de cumplimiento de AWS.

Los servicios de infraestructura de AWS incluyen alimentación de reserva, sistemas de calefacción, ventilación y aire acondicionado (HVAC) y equipos de lucha contra incendios para ayudar a proteger los servidores y, en última instancia, tus datos. Más información sobre los controles de los data centers en AWS.

Seguridad en el local

La seguridad en las instalaciones de AWS incluye prestaciones como vigilantes de seguridad, barreras, fuentes de información sobre seguridad, tecnología de detección de intrusiones y otras medidas de protección. Más información sobre la seguridad física de AWS.

Ubicación de alojamiento de datos

Zendesk utiliza los data centers de AWS de Estados Unidos, Europa y Asia-Pacífico. Más información sobre las ubicaciones de alojamiento de datos para tus datos de servicio de Zendesk.

Los clientes pueden elegir entre alojar sus datos de servicio solo en EE. UU. o solo en el Espacio Económico Europeo (EEE)*. Más información sobre nuestras opciones de alojamiento regional de datos y las restricciones del tipo de datos del servicio.

*Solo disponible con el complemento Ubicación del centro de datos

Seguridad de la red
Equipo de seguridad exclusivo

Nuestro equipo de seguridad ubicado en todo el mundo está de guardia las 24 horas del día para responder a alertas de seguridad y otras eventualidades.

Protección

Nuestra red está protegida por los servicios de seguridad de AWS fundamentales, la integración con nuestras redes de protección perimetrales de CloudFlare, auditorías periódicas y tecnologías de inteligencia de red, que monitorean o bloquean el tráfico malintencionado conocido y los ataques a la red.

La arquitectura de seguridad de nuestra red consta de varias zonas de seguridad. Los sistemas más delicados, como los servidores de nuestra base de datos, están protegidos en las zonas de mayor confianza. Los otros sistemas residen en zonas acordes con su grado de delicadeza, según la función, la clasificación de la información y el riesgo. Según la zona, se aplicarán también un monitoreo de seguridad adicional y controles de acceso. Se pueden utilizar "zonas desmilitarizadas" entre tu red e Internet y, de manera interna, entre distintas zonas de confianza.

Análisis de vulnerabilidad de la red

El análisis de seguridad de la red proporciona información exhaustiva que permite identificar rápidamente los sistemas que no están en cumplimiento o que son potencialmente vulnerables.

Pruebas de penetración efectuadas por terceros

In addition to our extensive internal scanning and testing program, each year, Zendesk employs third-party security experts to perform a broad penetration test across the Zendesk Production and Corporate Networks.

Administración de eventos e incidencias de seguridad

Nuestro sistema de administración de eventos e incidencias de seguridad (SIEM) reúne una gran cantidad de registros de dispositivos de red y sistemas host importantes. El SIEM emite alertas sobre disparadores que se envían al equipo de seguridad basándose en eventos correlacionados, para que se investiguen y se tomen las medidas oportunas.

Detección y prevención de intrusiones

Los principales puntos de entrada y salida de datos del servicio están vigilados y dotados de instrumentos para detectar comportamientos anómalos. Los sistemas están configurados para generar alertas cuando las incidencias y los valores superan ciertos umbrales predefinidos y utilizan firmas que se actualizan regularmente en función de las nuevas amenazas. Esto incluye una vigilancia del sistema las 24 horas de los 7 días de la semana.

Programa de inteligencia sobre amenazas

Zendesk participa en varios programas dedicados a compartir inteligencia sobre amenazas. Monitoreamos las amenazas que publican y tomamos las medidas necesarias de acuerdo con el riesgo.

Mitigación de DDoS

Zendesk ha diseñado un sistema de mitigación de DDoS estructurado en varios niveles. Una alianza de tecnología básica con CloudFlare proporciona defensas del perímetro de la red, mientras que el uso de las herramientas de protección y escalado de AWS, unido a nuestro uso de servicios de AWS específicos para DDoS, ofrece un nivel de protección superior.

Acceso lógico

El acceso a la red de producción de Zendesk está restringido por un principio de mínimo conocimiento explícito, utiliza privilegios mínimos de acceso, es auditado y monitoreado con frecuencia y está bajo el control de nuestro equipo de operaciones. También se requiere que los empleados que traten de acceder a la red de producción de Zendesk usen varios factores de autenticación.

Respuesta a incidentes de seguridad

En caso de ocurrir una alerta del sistema, los eventos se derivan a los equipos de operaciones, ingeniería de redes y seguridad que atienden a toda hora del día, todos los días del año. Los empleados están perfectamente capacitados en los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de derivación que deberán emplearse.

Encriptación
Encriptación en tránsito

En su transmisión por redes públicas, todas las comunicaciones con la IU y las API de Zendesk están encriptadas con el estándar del sector HTTPS/TLS (TLS  1.2 o superior). Así se garantiza la seguridad del tráfico entre el usuario y Zendesk. Además, para el correo electrónico, nuestro producto utiliza de forma predeterminada TLS oportunista. TLS (Transport Layer Security o seguridad de la capa de transporte) es un protocolo que encripta y entrega el correo electrónico de manera segura, lo que disminuye el riesgo de escuchas clandestinas entre los servidores de correo donde los servicios de los pares admiten este protocolo. Las excepciones de encriptado pueden incluir el uso de la funcionalidad de SMS dentro del producto y de cualquier otra aplicación, integración o servicio de terceros. Los suscriptores pueden optar por utilizar estos componentes a criterio propio.

Encriptación en reposo

Los datos del servicio se encriptan en reposo en AWS mediante la encriptación de claves AES 256.

Disponibilidad y continuidad
Tiempo de funcionamiento

Zendesk mantiene una página web de acceso público con el propósito de proporcionar datos de disponibilidad del sistema, información sobre tareas de mantenimiento programadas, el historial de los incidentes de mantenimiento y reparación, y los eventos de seguridad importantes.

Redundancia

Zendesk emplea el agrupamiento de servicios y las redundancias de red para eliminar puntos únicos de error. Nuestro estricto régimen de copia de seguridad o nuestra oferta de servicios de recuperación ante desastres mejorada nos permiten ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en las zonas de disponibilidad.

Recuperación en caso de desastre

Our Disaster Recovery (DR) program ensures that our services remain available and are easily recoverable in the case of a disaster. This is accomplished through building a robust technical environment, creating Disaster Recovery plans, and testing activities.

Recuperación ante desastres mejorada

Nuestro paquete de recuperación ante desastres mejorada incluye objetivos contractuales de tiempo objetivo de recuperación (RTO) y de punto objetivo de recuperación (RPO). Dichos objetivos se alcanzan gracias a nuestra capacidad para dar prioridad a las operaciones de los clientes de recuperación ante desastres mejorada durante cualquier desastre declarado.

* Solo disponible con el complemento Seguridad avanzada

Seguridad de aplicaciones

Desarrollo seguro (SDLC)
Cursos de capacitación en programación segura

Los ingenieros participan en sesiones de capacitación de programación segura por lo menos una vez al año. Dicha capacitación cubre los 10 riesgos principales para la seguridad según OWASP, los vectores de ataque comunes y los controles de seguridad de Zendesk.

Controles de seguridad del framework

Zendesk utiliza frameworks de código abierto modernos y seguros con controles de seguridad para limitar su exposición a los 10 riesgos principales para la seguridad según OWASP. Estos controles inherentes reducen nuestra exposición a los ataques de inyección SQL (SQLi), Cross Site Scripting (XSS) y Cross Site Request Forgery (CSRF), entre otros.

Quality Assurance

Nuestro departamento de control de calidad revisa y somete a pruebas nuestro código base. Tenemos ingenieros en plantilla especializados en la seguridad de las aplicaciones que identifican, analizan y clasifican las vulnerabilidades de seguridad de nuestro código.

Entornos separados

Los entornos de prueba y de control de calidad están separados lógicamente del entorno de producción. En nuestros entornos de desarrollo y de pruebas no se utilizan datos del servicio.

Administración de vulnerabilidades
Análisis de vulnerabilidad dinámico

Analizamos de forma continua y dinámica nuestras aplicaciones principales con herramientas de seguridad de terceros a fin de detectar los 10 principales fallos de seguridad según OWASP. Contamos con un equipo interno especializado en la seguridad de productos que realiza pruebas y colabora con los ingenieros para remediar cualquier problema que se descubra.

Análisis del código estático

Los repositorios de código fuente (de nuestra plataforma y de las aplicaciones móviles) se analizan constantemente con nuestras herramientas de análisis estático integradas para detectar posibles riesgos de seguridad.

Pruebas de penetración efectuadas por terceros

Además de nuestro extenso programa interno de análisis y pruebas, Zendesk contrata a expertos en seguridad externos para realizar pruebas de penetración detalladas en las distintas aplicaciones dentro de nuestra familia de productos.

Divulgación responsable y programa de gratificación bug bounty

Our Responsible Disclosure Program gives security researchers, as well as customers, an avenue for safely testing and notifying Zendesk of security vulnerabilities through our partnership with HackerOne.

Seguridad de los productos

Seguridad de autenticación
Opciones de autenticación

Los clientes pueden activar la autenticación nativa de Zendesk, el inicio de sesión único (SSO) en redes sociales (Facebook, Twitter y Google) o Enterprise SSO (SAML, JWT) para la autenticación de los usuarios finales o los agentes. Más información sobre el acceso de los usuarios.

Política de contraseña configurable

La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, proporciona los niveles de seguridad de contraseñas bajo, mediano y alto, además de reglas de contraseña personalizadas para agentes y administradores. Con Zendesk se puede configurar un nivel de seguridad de contraseñas para los usuarios finales y otro diferente para los administradores y agentes. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. Más información sobre las políticas de contraseña configurables.

Autenticación de 2 factores (2FA)

La autenticación nativa de Zendesk en los productos, que se obtiene con el Centro de administración, ofrece 2 factores (2FA) para los agentes y administradores mediante SMS o una aplicación de autenticación. Más información sobre 2FA.

Almacenamiento de credenciales de servicio

Zendesk sigue las mejores prácticas de almacenamiento seguro de credenciales: nunca almacena las contraseñas en formatos legibles para el ser humano. Las almacena utilizando una función hash segura y unidireccional.

Funciones adicionales de seguridad del producto
Controles de acceso basados en roles

El acceso a los datos dentro de las aplicaciones de Zendesk se rige por el control de acceso basado en roles (RBAC) y se puede configurar para definir privilegios de acceso muy precisos. Zendesk ofrece varios niveles de permisos para los usuarios (dueño, administrador, agente, usuario final, etc.).

Más información sobre los roles de usuario:

Consulta los detalles sobre seguridad global y acceso de usuarios aquí.

Restricciones de IP

Los productos de Zendesk se pueden configurar de forma que solo permitan el acceso desde intervalos de direcciones IP específicos definidos por el usuario. Estas restricciones se pueden aplicar a todos los usuarios o solamente a los agentes. Más información sobre el uso de restricciones de IP:

Adjuntos privados

Puedes configurar tu instancia para obligar a los usuarios a que inicien sesión si desean ver los archivos adjuntos de un ticket. Más información sobre los archivos adjuntos privados.

Firma de correo electrónico (DKIM/DMARC)

Zendesk ofrece DKIM (correo identificado por claves de dominio) y DMARC (autenticación de mensajes, informes y conformidad basada en dominios) para firmar los mensajes de correo electrónico que envía Zendesk, siempre que se haya configurado un dominio de correo electrónico externo en la cuenta de Zendesk. Los servicios de correo electrónico que admiten estas funciones permiten prevenir el spoofing del correo. Más información sobre cómo firmar digitalmente el correo electrónico.

Seguimiento de dispositivos

Zendesk lleva un seguimiento de los dispositivos que se utilizan para iniciar sesión en las cuentas de los usuarios. Cuando una persona inicia sesión en una cuenta desde un dispositivo nuevo, el dispositivo se añade a la lista de dispositivos en el perfil del usuario. El usuario recibe una notificación por correo electrónico cuando se añade un dispositivo nuevo y debe investigar este hecho si la actividad le parece sospechosa. Las sesiones sospechosas pueden cerrarse desde la IU del agente. Más información sobre el seguimiento de dispositivos.

Censura de datos confidenciales

La censura manual permite censurar, o suprimir, los datos confidenciales incluidos en los comentarios de los tickets de Support, así como borrar los archivos adjuntos, con el fin de proteger la información confidencial. Los datos se censuran en los tickets desde la IU o la API para evitar que se guarde información confidencial en Zendesk. Más información sobre la censura de datos en la IU o la API.

La censura automática permite censurar automáticamente cadenas de números que coinciden con un número de cuenta principal de tarjeta de crédito (CC PAN) válido que pasa una verificación de Luhn tanto en Support como en Chat. Obtén más información sobre la censura automática en Support y en Chat.

Zendesk Support offers a configurable PCI-compliant credit card field which redacts all but the last four digits. Learn more about PCI Compliance at Zendesk.

Filtrado de spam para el Centro de ayuda

El servicio de filtrado de spam de Zendesk impide que los usuarios finales publiquen spam en el Centro de ayuda. Más información sobre el filtrado de spam en el Centro de ayuda.

Seguridad de recursos humanos

Conciencia de seguridad
Políticas

Zendesk ha elaborado un conjunto amplio de políticas de seguridad que abarcan una diversidad de temas. Estas políticas están a disposición de todos los empleados y los contratistas con acceso a los recursos de información de Zendesk.

Capacitación

Todos los empleados asisten a un curso de capacitación en seguridad cuando se incorporan a la empresa y posteriormente cada año. Todos los ingenieros asisten cada año a un curso de capacitación en programación segura. Además, el equipo de seguridad ofrece actualizaciones concernientes a la toma de conciencia en materia de seguridad, ya sea por correo electrónico, en publicaciones de blogs y en presentaciones realizadas en eventos internos.

Investigación de empleados
Verificación de antecedentes

Zendesk verifica los antecedentes de todos los empleados nuevos conforme a las leyes locales. Esas verificaciones también son obligatorias para los contratistas. La investigación incluye la verificación de antecedentes criminales, la educación y el historial de empleo. También se aplican al personal de limpieza.

Acuerdos de confidencialidad

Todos los empleados nuevos deben firmar acuerdos de no divulgación y de confidencialidad.