Atención al cliente segura

Zendesk Security

Más de 110.000 clientes confían sus datos a Zendesk, hecho que nos tomamos muy en serio. Combinamos funciones de seguridad de clase empresarial con auditorías exhaustivas de nuestros sistemas, aplicaciones y redes con el objeto de garantizar la protección de los datos de los clientes y los negocios en todo momento. Nuestros clientes duermen tranquilos sabiendo que su información está en buenas manos, sus interacciones están seguras y sus negocios están protegidos.

Seguridad de data centers y redes

Seguridad física
Instalaciones Los servidores de Zendesk están alojados en instalaciones que cumplen las disposiciones de Tier IV o III+, SSAE-16, PCI, DSS o ISO 27001. Los espacios para las jaulas, aunque comparten el mismo lugar, están separados física y lógicamente de otros clientes del data center. Las instalaciones de los data centers cuentan con suministro eléctrico redundante, cada una con un sistema de alimentación ininterrumpida y generadores para casos de emergencia.
Seguridad en el local Las instalaciones de nuestros centros de datos cuentan con un perímetro seguro con zonas de seguridad de varios niveles, seguridad constante las 24 horas del día, videovigilancia de CCTV, identificación de varios factores con control de acceso biométrico, cerraduras físicas y alarmas de seguridad.
Monitoreo Todos los sistemas de redes de producción, los dispositivos conectados en la red y los circuitos son monitoreados constantemente y administrados lógicamente por personal de Zendesk. La seguridad física, la energía eléctrica y la conectividad a Internet más allá de las puertas de las jaulas del lugar compartido o los servicios de Amazon son monitoreados por los proveedores de las instalaciones.
Ubicación Zendesk utiliza varios data centers en Estados Unidos, Europa y Japón. Los clientes pueden elegir entre alojar sus datos de servicio solo en EE. UU. o solo en Europa (por el momento, Zendesk Chat solo se puede alojar en Europa). Obtenga más información sobre nuestras directivas de hosting de datos en la Unión Europea.*Solo disponible con el complemento Ubicación del Data Center
Seguridad de la red
Equipo de seguridad exclusivo Nuestro equipo de seguridad ubicado en todo el mundo está de guardia las 24 horas del día para responder a alertas de seguridad y otras eventualidades.
Protección Nuestra red está protegida por firewalls redundantes, la mejor tecnología de enrutadores, transporte HTTPS seguro a través de redes públicas, auditorías regulares y tecnologías de detección/prevención de intrusiones en la red (IDS/IPS) que monitorean y bloquean cualquier tráfico malicioso y los ataques a la red.
Arquitectura La arquitectura de seguridad de nuestra red consta de varias zonas de seguridad. Los sistemas más delicados, como los servidores de nuestra base de datos, están protegidos en las zonas de mayor confianza. Los otros sistemas residen en zonas acordes con su grado de delicadeza, según la función, la clasificación de la información y el riesgo. Según la zona, se aplicarán también un monitoreo de seguridad adicional y controles de acceso. Se pueden utilizar "zonas desmilitarizadas" entre su red e Internet y, de manera interna, entre distintas zonas de confianza.
Análisis de vulnerabilidad de la red El análisis de seguridad de la red proporciona información exhaustiva que permite identificar rápidamente los sistemas que no están en cumplimiento o que son potencialmente vulnerables.
Pruebas de penetración efectuadas por terceros Además de nuestro extenso programa de pruebas y análisis interno, Zendesk también contrata todos los años a terceros expertos en seguridad para realizar extensas pruebas de penetración en toda la red de producción de Zendesk.
Administración de eventos e incidentes de seguridad (SIEM) Nuestro sistema de administración de eventos e incidentes de seguridad (SIEM) reúne una gran cantidad de registros de dispositivos de red y sistemas de hosts importantes. El SIEM alerta sobre disparadores que notifican al equipo de seguridad basándose en eventos correlacionados para investigarlos y darles respuesta.
Detección y prevención de intrusiones Los principales puntos de entrada y salida del flujo de datos de aplicaciones se monitorean con sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS). Los sistemas están configurados para generar alertas cuando los incidentes y los valores superan ciertos umbrales predefinidos y utilizan firmas que se actualizan regularmente según las nuevas amenazas. Esto incluye un monitoreo del sistema las 24 horas del día.
Programa de inteligencia sobre amenazas Zendesk participa en varios programas dedicados a compartir inteligencia sobre amenazas. Monitoreamos las amenazas publicadas por esos programas y tomamos las medidas necesarias de acuerdo con nuestro riesgo y nuestra exposición.
Mitigación de DDoS Además de nuestras propias capacidades y herramientas, también contratamos a proveedores de servicios de depuración DDoS a pedido para mitigar los ataques distribuidos de denegación de servicio (DDoS).
Acceso lógico El acceso a la red de producción de Zendesk está restringido por un principio de mínimo conocimiento explícito, utiliza privilegios mínimos de acceso, es auditado y monitoreado con frecuencia y está bajo el control de nuestro equipo de operaciones. También se requiere que los empleados que traten de acceder a la red de producción de Zendesk usen varios factores de autenticación.
Respuesta a incidentes de seguridad En caso de ocurrir una alerta del sistema, los eventos se derivan a los equipos de operaciones, ingeniería de redes y seguridad que atienden a toda hora del día, todos los días del año. Los empleados están perfectamente capacitados en los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de derivación que deberán emplearse.
Encriptación
Encriptación en tránsito La comunicación entre el usuario y los servidores de Zendesk Support y Chat, transmitida por redes públicas, se encripta mediante HTTPS y Transport Layer Security (TLS), protocolos altamente recomendados en el sector. El protocolo TLS también se utiliza para la encriptación de correos electrónicos.
Encriptación en reposo Todos los clientes de Zendesk Support y Chat se benefician de la protección de la encriptación en reposo para el almacenamiento externo de archivos adjuntos y copias de seguridad diarias. En caso de que los clientes de Support deseen que sus almacenamientos de datos principal y secundario sean encriptados en reposo, pueden comprar esta protección a través del complemento Seguridad avanzada. También se puede comprar la garantía de encriptación de los datos en reposo para el servicio de Chat.
Disponibilidad y continuidad
Tiempo de funcionamiento Zendesk mantiene un sitio web de acceso público que tiene el propósito de informar sobre los detalles de disponibilidad del sistema, el mantenimiento programado, un historial de los incidentes de mantenimiento y reparación, y eventos de seguridad importantes.
Redundancia Zendesk emplea el agrupamiento de servicios y las redundancias de red para eliminar los puntos únicos de falla. Nuestro sistema estricto de copias de seguridad garantiza que los datos de servicios se repliquen activamente en los sistemas y en las instalaciones de recuperación ante desastres principales y secundarias. Las bases de datos en ubicaciones compartidas se almacenan en dispositivos eficientes de memoria flash con varios servidores por cada grupo de base de datos.
Recuperación en caso de desastre Nuestro programa de recuperación en caso de desastre garantiza que nuestros servicios seguirán estando disponibles o que la recuperación se podrá realizar fácilmente ante la eventualidad de un desastre. Ese objetivo se logra creando un entorno técnico robusto, elaborando planes de recuperación ante desastres y haciendo pruebas.
Recuperación ante desastres mejorada Gracias a la recuperación ante desastres mejorada, todo el entorno operativo, incluidos los datos de servicios, se replican en un sitio secundario que puede asumir el control de los servicios en caso de que el sitio principal llegue a estar completamente desconectado. Si se necesitan garantías tipo RTO y RPO, se pueden conseguir con el complemento Seguridad avanzada. *Solo disponible para Chat si se compra un plan de Support con el complemento Seguridad avanzada

Seguridad de aplicaciones

Desarrollo seguro (SDLC)
Capacitación en seguridad Los ingenieros participan en sesiones de capacitación de programación segura por lo menos una vez al año. Esa capacitación cubre los 10 principales defectos de seguridad según OWASP, los vectores de ataque comunes y los controles de seguridad de Zendesk.
Controles de seguridad del framework Ruby on Rails Zendesk Support utiliza los controles de seguridad del framework Ruby on Rails para limitar nuestra exposición a los 10 principales defectos de seguridad según OWASP. Estos incluyen controles inherentes que reducen nuestra exposición a ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) y de Inyección SQL (SQLi), entre otros.
Control de calidad Nuestro departamento de control de calidad revisa y prueba nuestro código base. Tenemos varios ingenieros en planilla dedicados a la seguridad de las aplicaciones que identifican, prueban y clasifican las vulnerabilidades de seguridad de nuestro código.
Entornos separados Los entornos de prueba y de control de calidad están separados física y lógicamente del entorno de producción. En los entornos de desarrollo y de pruebas no se utilizan datos de los servicios.
Vulnerabilidades de la aplicación
Análisis de vulnerabilidad dinámico Empleamos una serie de herramientas de seguridad de terceros que se encargan de analizar continua y dinámicamente nuestras aplicaciones Support y Chat en caso de ocurrir alguno de los 10 principales defectos de seguridad según OWASP. Contamos con un equipo interno dedicado a la seguridad de productos que realiza pruebas y trabaja con los ingenieros para remediar cualquier problema descubierto.
Análisis del código estático Los repositorios del código fuente para Zendesk Support (para la plataforma y las aplicaciones móviles) se analizan constantemente en busca de riesgos de seguridad a través de nuestra herramienta integrada de análisis estático.
Pruebas de penetración de seguridad Además de nuestro extenso programa interno de análisis y pruebas, cada trimestre Zendesk contrata a terceros expertos en seguridad para realizar pruebas de penetración detalladas en las distintas aplicaciones dentro de nuestra familia de productos.
Divulgación responsable y programa de gratificación bug bounty Nuestro programa de divulgación responsable ofrece a los investigadores de seguridad un medio para hacer pruebas sin riesgo y notificar a Zendesk sobre cualquier vulnerabilidad de seguridad mediante nuestra alianza con HackerOne.

Funciones de seguridad de productos

Seguridad de autenticación
Opciones de autenticación

Para los agentes de Support y Chat, ofrecemos el inicio de sesión de Zendesk. Para Zendesk Support, también se puede activar SSO y la autenticación con Google.

Los usuarios finales de Support y Chat, pueden aprovechar el inicio de sesión de Zendesk. Para Zendesk Support, también se puede activar el SSO y el SSO por redes sociales (Facebook, Twitter, Google) para la autenticación de los usuarios finales.

Inicio de sesión único (SSO) El inicio de sesión único (SSO) le permite autenticar a los usuarios en sus propios sistemas sin exigirles que ingresen datos adicionales para iniciar sesión en su cuenta de Zendesk Support. Se admiten JSON Web Token (JWT) y Security Assertion Markup Language (SAML). Más información sobre el SSO *SAML solo está disponible para las cuentas Professional y Enterprise *JWT solo está disponible para las cuentas Team y superiores
Política de contraseña configurable Zendesk Support proporciona los siguientes niveles de seguridad de contraseñas: bajo, mediano y alto, además de reglas para contraseñas personalizadas para agentes y administradores. Con Zendesk se puede configurar un nivel de seguridad de contraseñas para los usuarios finales y otro diferente para los administradores y agentes. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. *Se aplica a las cuentas Professional y Enterprise.
Autenticación de dos factores (2FA) Si está usando el inicio de sesión de Zendesk en su cuenta de Zendesk Support, puede activar la autenticación de 2 factores (2FA) para los agentes y administradores. Zendesk admite SMS y aplicaciones como Authy y Google Authenticator para la generación de códigos de acceso. La 2FA proporciona una capa de seguridad adicional para su cuenta de Zendesk, para que sea más difícil que otra persona inicie sesión como si fuera usted. Más información sobre 2FA.
Almacenamiento seguro de credenciales Zendesk sigue las mejores prácticas de almacenamiento seguro de credenciales: nunca almacena las contraseñas en formatos legibles para el ser humano. Las almacena utilizando una función hash segura y unidireccional.
Seguridad y autenticación de la API La API de Zendesk Support admite SSL únicamente: solo los usuarios verificados pueden hacer solicitudes de API. Para efectuar la autorización frente a la API, se puede recurrir a la autenticación básica con el nombre de usuario y la contraseña o con el nombre de usuario y el token de API. También se admite la autenticación OAuth. Más información sobre la seguridad de la API.
Funciones adicionales de seguridad del producto
Roles y privilegios de acceso El acceso a los datos dentro de la cuenta de Zendesk Support y Chat está gobernado por los derechos de acceso. El acceso se puede configurar para especificar privilegios muy precisos. Zendesk ofrece varios niveles de permiso para los usuarios (dueño, administrador, agente, usuario final, etc.). Más información sobre los niveles de acceso
Restricciones de IP Zendesk Support y Chat se pueden configurar para que solo permitan el acceso desde intervalos de IP específicos definidos por usted. Estas restricciones se pueden aplicar a todos los usuarios o solo a los agentes. Más información sobre el uso de restricciones de IP *Solo disponible en las cuentas Support Professional y Enterprise, así como Chat Enterprise
Adjuntos privados Es posible configurar la cuenta de Zendesk Support para obligar a los usuarios a que inicien sesión para ver los archivos adjuntos de un ticket. Si no se configura así, es posible acceder a los adjuntos mediante una ID de ticket de token aleatorio y largo.
Seguridad de transmisiones Al transmitirse por redes públicas, todas las comunicaciones con los servidores de Zendesk se encriptan usando HTTPS, el protocolo estándar del sector. Así se garantiza la seguridad del tráfico entre el usuario y Zendesk. Además, para el correo electrónico, nuestro producto admite Transport Layer Security (TLS), un protocolo que encripta y entrega el correo electrónico de manera segura, con lo cual se mitigan las escuchas clandestinas y el spoofing entre los servidores de correo.
Firma de correo electrónico (DKIM/DMARC) Zendesk Support ofrece DKIM (correo identificado por claves de dominio) y DMARC (autenticación, informe y conformidad de mensajes según el dominio) para firmar los mensajes de correo electrónico que envía Zendesk, siempre que se haya configurado un dominio de correo electrónico externo en su cuenta de Zendesk. Los servicios de correo electrónico que admiten estas funciones permiten prevenir el spoofing del correo. Más información sobre cómo firmar digitalmente el correo electrónico.
Seguimiento de dispositivos Para mayor seguridad, su cuenta de Zendesk Support hace seguimiento de los dispositivos utilizados para iniciar sesión en cada cuenta de usuario. Cuando una persona inicia sesión en una cuenta desde un dispositivo nuevo, el dispositivo es agregado a la lista de dispositivos en el perfil del usuario. El usuario recibe una notificación por correo electrónico cuando se agrega un nuevo dispositivo y debe investigar el hecho si la actividad parece sospechosa.
Censura automática La censura automática para Zendesk Support sirve para censurar, o suprimir, dígitos de los números de una tarjeta de crédito incluidos en comentarios de tickets o en campos personalizados con el fin de proteger la información confidencial. Los datos se censuran en el ticket entrante propiamente para evitar que el número completo de la tarjeta de crédito se guarde en Zendesk. Más información sobre nuestra herramienta de censura *Solo disponible en las cuentas Enterprise
Filtrado de spam para el Centro de ayuda y el Portal Web Zendesk Support ofrece un servicio de filtrado de spam que evita la publicación de spam por parte de los usuarios finales en el Centro de ayuda o el Portal Web. Más información sobre el filtrado de spam en el Centro de ayuda y en el Portal Web.

Certificados de cumplimiento y afiliaciones

Cumplimiento de seguridad
SOC 2 Tipo II Tenemos un informe SOC 2 Tipo II, que está disponible previa solicitud y después de firmar un acuerdo de confidencialidad. Si desea más información comuníquese con security@zendesk.com.
ISO 27001:2013 Zendesk cuenta con la certificación ISO 27001:2013.
ISO 27018:2014 Zendesk cuenta con la certificación ISO 27018:2014.
Afiliaciones
Skyhigh Enterprise-Ready Zendesk fue distinguido con el sello Skyhigh Enterprise-Ready™, la calificación más alta del programa CloudTrust™. Se le concede a servicios en la nube que satisfacen plenamente los requisitos más estrictos de protección de datos, verificación de identidad, seguridad de los servicios, prácticas empresariales y protección legal.
Cloud Security Alliance Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin fines de lucro cuya misión es promover el uso de mejores prácticas para proporcionar garantías de seguridad en la computación en la nube. CSA ha lanzado el Security, Trust & Assurance Registry (STAR), un registro de acceso público que documenta los controles de seguridad proporcionados por los distintos productos de computación en la nube. Hemos completado un cuestionario Consensus Assessment Initiative (CAI) que está a disposición del público, basándonos en los resultados de nuestra autoevaluación de diligencia debida.
Certificaciones de privacidad
Programas de certificación de privacidad TRUSTe® Hemos recibido el sello TRUSTe’s Privacy Seal lo que significa que se ha constatado que nuestra declaración de privacidad y nuestras prácticas se conforman al programa TRUSTe (que se puede ver en la página de validación correspondiente).
Programas Privacy Shield entre EE. UU. y la Unión Europea y Safe Harbor entre y EE. UU. y Suiza Zendesk ha certificado su cumplimiento con los programas Privacy Shield, entre Estados Unidos y la Unión Europea, y Safe Harbor, entre Estados Unidos y Suiza, según lo estipulado por el Departamento de Comercio de Estados Unidos.
Política de privacidad Más información sobre la política de privacidad de Zendesk.
CUMPLIMIENTO DE NORMAS DEL SECTOR
HIPAA Zendesk concluyó con éxito una evaluación relativa al cumplimiento de las leyes HIPAA/HITECH de Estados Unidos y puede poner a disposición el Business Associate Agreement (BAA) para su ejecución por parte de los suscriptores. *El BAA solo está disponible con la compra del complemento Seguridad avanzada y es aplicable únicamente a ciertos productos Zendesk (se aplican reglas de configuración especial).
Uso de Zendesk en un entorno de PCI Consulte el informe técnico sobre el cumplimiento de las normas de la industria de tarjetas de pago (PCI) o conozca más sobre el campo conforme con la industria de tarjetas de pago (PCI) para Zendesk Support.*Se requiere una cuenta Enterprise

Metodologías de seguridad adicionales

Conciencia de seguridad
Políticas Zendesk ha elaborado un conjunto amplio de políticas de seguridad que abarcan una diversidad de temas. Todos los empleados y los contratistas con acceso a los recursos de información de Zendesk puedan disponer de esas políticas.
Capacitación Todos los empleados nuevos participan en una capacitación en seguridad que se ofrece a la hora de la contratación y luego anualmente. Todos los ingenieros reciben anualmente capacitación en programación segura. El equipo de seguridad ofrece actualizaciones concernientes a la sensibilización sobre la seguridad a través de correo electrónico, publicaciones en blogs y presentaciones en eventos internos.
Investigación de empleados
Verificación de antecedentes Zendesk verifica los antecedentes de todos los empleados nuevos conforme a las leyes locales. Esas verificaciones también son obligatorias para los contratistas. La investigación incluye la verificación de antecedentes criminales, la educación y el historial de empleo. También se aplican al personal de limpieza.
Acuerdos de confidencialidad Todo empleado nuevo debe someterse a una evaluación como parte del proceso de contratación y además, firmar acuerdos de no divulgación y de confidencialidad.