Atención al cliente segura

Zendesk Security

Más de 90.000 clientes confían sus datos a Zendesk, hecho que nos tomamos muy en serio. Combinamos funciones de seguridad de clase empresarial con auditorías exhaustivas de nuestros sistemas, aplicaciones y redes con el objeto de garantizar la protección de los datos de los clientes y los negocios en todo momento. Nuestros clientes duermen tranquilos sabiendo que su información está en buenas manos, sus interacciones están seguras y sus negocios están protegidos.

Mejores prácticas

Zendesk ofrece una serie de opciones de protección y seguridad de los datos. Pero más vale prevenir que tener que lamentar. La observación de las diez mejores prácticas a continuación, refuerza aun más la seguridad de su cuenta de Zendesk.

Más información

Perspectivas de los clientes

Seguridad de data centers y redes

Seguridad física
Instalaciones Los servidores de Zendesk están alojados en instalaciones que cumplen las disposiciones de Tier III, SSAE16, PCI, DSS o ISO 27001. El espacio para nuestras jaulas está separado física y lógicamente de otros clientes del data center. Las instalaciones de housing cuentan con suministro eléctrico redundante, cada una con un sistema de alimentación ininterrumpida y generadores para casos de emergencia.
Seguridad en el local Las instalaciones de nuestros centros de datos cuentan con un perímetro seguro con zonas de seguridad de varios niveles, seguridad constante las 24 horas del día, videovigilancia de CCTV, identificación de varios factores con control de acceso biométrico, cerraduras físicas y alarmas de seguridad.
Monitoreo Zendesk y los proveedores de housing vigilan constantemente todos los sistemas, los dispositivos conectados en red y los circuitos.
Ubicación Zendesk cuenta con varios data centers en la Unión Europea y Estados Unidos. Los clientes pueden elegir entre alojar sus datos solo en EE. UU. o solo en la UE. Obtenga más información sobre nuestras directivas de hosting de datos en la Unión Europea. *Solo disponible con el complemento Ubicación del Data Center
Seguridad de la red
Equipo de seguridad exclusivo Nuestro equipo de seguridad está de guardia las 24 horas del día para responder a alertas de seguridad y otras eventualidades.
Protección Nuestra red está protegida por 7 firewalls con capas redundantes, la mejor tecnología de enrutadores, transporte HTTPS seguro a través de redes públicas, auditorías regulares y tecnologías de detección/prevención de intrusiones en la red (IDS/IPS) que monitorean y bloquean el tráfico malicioso y los ataques a la red.
Arquitectura La arquitectura de seguridad de nuestra red consta de varias zonas de confianza de seguridad. Los sistemas más delicados, como los servidores de nuestra base de datos, están protegidos en las zonas de mayor confianza. Los otros sistemas residen en zonas acordes con su grado de delicadeza, según la función, la clasificación de la información y el riesgo. Según la zona, se aplicarán también un monitoreo de seguridad adicional y controles de acceso. Se pueden utilizar "zonas desmilitarizadas" entre su red e Internet y, de manera interna, entre distintas zonas de confianza.
Análisis de vulnerabilidad de la red El análisis de seguridad de la red proporciona información exhaustiva que permite identificar rápidamente los sistemas que no están en cumplimiento o que son potencialmente vulnerables.
Pruebas de penetración efectuadas por terceros Además de nuestro extenso programa de pruebas y análisis interno, Zendesk también contrata todos los años a terceros expertos en seguridad para realizar extensas pruebas de penetración en toda la red de producción de Zendesk.
Administración de eventos e incidentes de seguridad (SIEM) Un sistema de administración de eventos e incidentes de seguridad (SIEM) reúne una gran cantidad de registros de dispositivos de red y sistemas de hosts importantes. El SIEM crea disparadores que notifican al equipo de seguridad basándose en eventos correlacionados. El equipo de seguridad responde a esos eventos.
Detección y prevención de intrusiones Los principales puntos de entrada y salida del flujo de datos de aplicaciones se monitorean con sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS). Los sistemas están configurados para generar alertas cuando los incidentes y los valores superan ciertos umbrales predefinidos y utilizan firmas que se actualizan regularmente según las nuevas amenazas. Esto incluye un monitoreo del sistema las 24 horas del día.
Programa de inteligencia sobre amenazas Zendesk participa en varios programas dedicados a compartir inteligencia sobre amenazas. Monitoreamos las amenazas publicadas por esos programas y tomamos las medidas necesarias de acuerdo con nuestro riesgo y nuestra exposición.
Mitigación de DDoS Además de nuestras propias capacidades y herramientas, también contratamos a proveedores de servicios de depuración DDoS a pedido para mitigar los ataques distribuidos de denegación de servicio (DDoS).
Acceso lógico El acceso a la red de producción de Zendesk está restringido por un principio de mínimo conocimiento explícito, utiliza privilegios mínimos de acceso, es auditado y monitoreado con frecuencia y está bajo el control de nuestro equipo de operaciones. También se requiere que los empleados que traten de acceder a la red de producción de Zendesk usen varios factores de autenticación.
Respuesta a incidentes de seguridad En caso de ocurrir una alerta del sistema, los eventos se derivan a los equipos de operaciones, ingeniería de redes y seguridad que atienden a toda hora del día, todos los días del año. Los empleados están perfectamente capacitados en los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de derivación que deberán emplearse.
Encriptación
Encriptación en tránsito La comunicación entre el usuario y los servidores de Zendesk se encripta mediante HTTPS y Transport Layer Security (TLS), protocolos altamente recomendados en el sector.
Encriptación en reposo Zendesk admite la encriptación de los datos en reposo del cliente. *Solo disponible con el complemento de seguridad avanzada
Disponibilidad y continuidad
Tiempo de funcionamiento Zendesk mantiene un sitio web de acceso público que tiene el propósito de informar sobre los detalles de disponibilidad del sistema, el mantenimiento programado, un historial de los incidentes de mantenimiento y reparación y eventos de seguridad importantes.
Redundancia El agrupamiento de servicios y las redundancias de red de Zendesk eliminan los puntos únicos de falla. Nuestro sistema estricto de copias de seguridad garantiza que los datos de los clientes se replican activamente en los sistemas y en las instalaciones. Los datos de nuestra base de datos se almacenan en dispositivos eficientes de memoria flash con varios servidores por cada grupo de base de datos.
Recuperación en caso de desastre Nuestro programa de recuperación en caso de desastre garantiza que nuestros servicios permanecerán disponibles o bien que la recuperación se podrá realizar fácilmente ante la eventualidad de un desastre. Ese objetivo se logra creando un entorno técnico robusto, elaborando planes de recuperación ante desastre y haciendo pruebas.
Recuperación ante desastres mejorada Gracias a la recuperación ante desastres mejorada, todo el entorno operativo, incluidos los datos de los clientes, se replican en un sitio secundario que puede asumir el control de los servicios en caso de que el sitio principal llegue a estar completamente desconectado. Zendesk ha definido un tiempo objetivo de recuperación (RTO) y un punto objetivo de recuperación (RPO) para este servicio. *Solo disponible con el complemento de seguridad avanzada

Seguridad de aplicaciones

Desarrollo seguro (SDLC)
Capacitación en seguridad Los ingenieros participan en sesiones de capacitación de programación segura por lo menos una vez al año. Esta capacitación cubre los 10 principales defectos de seguridad según OWASP, los vectores de ataque comunes y los controles de seguridad de Zendesk.
Controles de seguridad del framework Ruby on Rails Utilizamos los controles de seguridad del framework Ruby on Rails para limitar nuestra exposición a los 10 principales defectos de seguridad según OWASP. Estos incluyen controles inherentes que reducen nuestra exposición a ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) y de Inyección SQL (SQLi), entre otros.
Control de calidad Nuestro departamento de control de calidad revisa y prueba nuestro código base. Tenemos varios ingenieros en planilla dedicados a la seguridad de las aplicaciones que identifican, prueban y clasifican las vulnerabilidades de seguridad de nuestro código.
Entornos separados Los entornos de prueba y de control de calidad están separados físicamente y de manera lógica del entorno de producción. En los entornos de desarrollo y de pruebas no se utilizan datos de los clientes.
Vulnerabilidades de la aplicación
Análisis de vulnerabilidad dinámico Empleamos una serie de herramientas de seguridad idóneas de terceros que se encargan de analizar continuamente nuestra aplicación. Zendesk es analizado diariamente en busca de los 10 principales defectos de seguridad según OWASP. Contamos con un equipo interno dedicado a la seguridad de productos que realiza pruebas y trabaja con los ingenieros para remediar cualquier problema descubierto.
Análisis del código estático Los repositorios de nuestro código fuente (de plataforma y aplicaciones móviles) se analizan constantemente en busca de riesgos de seguridad a través de nuestra herramienta de análisis estático integrada.
Pruebas de penetración de seguridad Además de nuestro extenso programa interno de análisis y pruebas, cada trimestre Zendesk contrata a terceros expertos en seguridad para realizar pruebas de penetración detalladas en las distintas partes de la aplicación.
Divulgación responsable y programa de gratificación bug bounty Nuestro programa de divulgación responsable ofrece a los investigadores de seguridad un medio para hacer pruebas sin riesgo y notificar a Zendesk sobre cualquier vulnerabilidad de seguridad mediante nuestra alianza con HackerOne.

Funciones de seguridad de productos

Desarrollo seguro (SDLC)
Opciones de autenticación En relación a administradores y agentes, admitimos el inicio de sesión de Zendesk, SSO y autenticación de Google. En relación a usuarios finales admitimos el inicio de sesión de Zendesk, SSO y SSO con redes sociales (Facebook, Twitter, Google).
Inicio de sesión único (SSO) El inicio de sesión único (SSO) le permite autenticar a los usuarios en sus propios sistemas sin que tengan que introducir datos de autenticación adicionales para acceder a Zendesk. Zendesk otorga acceso únicamente a los usuarios que han sido autenticados por usted. Se admiten JSON Web Token (JWT) y Security Assertion Markup Language (SAML). Más información sobre el SSO*SAML solo está disponible para las cuentas de los planes Professional y Enterprise *JWT solo está disponible para las cuentas y los planes Team
Política de contraseña configurable Zendesk proporciona los siguientes niveles de seguridad de contraseñas: bajo, mediano y alto. Con Zendesk se puede configurar un nivel de seguridad de contraseñas para los usuarios finales y otro diferente para los administradores y agentes. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. En los planes Professional y Enterprise, puede especificar su propio nivel de seguridad de contraseñas.
Autenticación de dos factores (2FA) Si está usando el inicio de sesión de Zendesk, puede activar la autenticación de 2 factores (2FA). Zendesk admite SMS y aplicaciones como Authy y Google Authenticator para la generación de códigos de acceso. La 2FA proporciona una capa de seguridad adicional para su cuenta de Zendesk, para que sea más difícil que otra persona inicie sesión como si fuera usted. Más información sobre 2FA.
Almacenamiento seguro de credenciales Zendesk sigue las mejores prácticas de almacenamiento seguro de credenciales: nunca almacena las contraseñas en formatos legibles para el ser humano. Las almacena utilizando una función hash segura y unidireccional.
Seguridad y autenticación de la API La API de Zendesk admite SSL únicamente: solo los usuarios verificados pueden hacer solicitudes de API. Para efectuar la autorización frente a la API, se puede recurrir a la autenticación básica con el nombre de usuario y la contraseña o con el nombre de usuario y el token de API. También se admite la autenticación OAuth. Más información sobre la seguridad de la API.
Funciones adicionales de seguridad del producto
Roles y privilegios de acceso El acceso a los datos dentro de la cuenta de Zendesk está gobernado por los derechos de acceso. El acceso se puede configurar para especificar privilegios muy precisos. Zendesk ofrece varios niveles de permiso para los usuarios (dueño, administrador, agente, usuario final, etc.) que acceden a su cuenta de Zendesk. Más información sobre los niveles de acceso
Restricciones de IP La cuenta de Zendesk se puede configurar para que solo permita el acceso desde intervalos de IP específicos definidos por usted. Estas restricciones se pueden aplicar a todos los usuarios o solo a los agentes. Más información sobre el uso de restricciones de IP *Solo disponible en las cuentas Enterprise
Adjuntos privados Es posible configurar la cuenta de Zendesk para obligar a los usuarios a que inicien sesión para ver los archivos adjuntos de un ticket. Si no se configura así, es posible acceder a los adjuntos mediante una ID de ticket de token aleatorio.
Seguridad de transmisiones Todas las comunicaciones con los servidores de Zendesk se encriptan usando HTTPS, el protocolo estándar en el sector. Así se garantiza la seguridad del tráfico entre el usuario y Zendesk. Además, para el correo electrónico, nuestro producto admite Transport Layer Security (TLS), un protocolo que encripta y entrega el correo electrónico de manera segura, con lo cual se mitigan las escuchas clandestinas y el spoofing entre los servidores de correo.
Firma de correo electrónico (DKIM/DMARC) Admitimos DKIM (Domain Keys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting & Conformance) para firmar los correos de salida enviados desde Zendesk si se ha configurado un dominio de correo electrónico externo en su cuenta de Zendesk. Los servicios de correo electrónico que admiten estas funciones permiten prevenir el spoofing del correo. Más información sobre cómo firmar digitalmente el correo electrónico
Seguimiento de dispositivos Para más seguridad, Zendesk hace un seguimiento de los dispositivos que se usan para iniciar sesión en cada cuenta de usuario. Cuando una persona inicia sesión en una cuenta desde un dispositivo nuevo, el dispositivo es agregado a la lista de dispositivos en el perfil del usuario. El usuario recibe una notificación por correo electrónico cuando se agrega un nuevo dispositivo y debe investigar el hecho si la actividad parece sospechosa.
Censura automática La censura automática sirve para censurar, o suprimir, dígitos de los números de una tarjeta de crédito incluidos en comentarios de tickets o en campos personalizados con el fin de proteger la información confidencial. Los datos se censuran en el ticket entrante propiamente para evitar que el número completo de la tarjeta de crédito se guarde en Zendesk. Más información sobre nuestra herramienta de censura *Solo disponible en las cuentas Professional y Enterprise
Filtrado de spam para el Centro de ayuda y el Portal Web Zendesk admite un servicio de filtrado de spam que evita la publicación de spam por parte de los usuarios finales en el Centro de ayuda o el Portal Web. Más información sobre el filtrado de spam en el Centro de ayuda y en el Portal Web.

Metodologías de seguridad adicionales

Conciencia de seguridad
Políticas Zendesk ha elaborado un conjunto amplio de políticas de seguridad que abarcan una diversidad de temas. Todos los empleados y los contratistas con acceso a los recursos de información de Zendesk puedan disponer de esas políticas.
Capacitación Todos los empleados nuevos participan en una capacitación en materia de seguridad. El equipo de seguridad ofrece actualizaciones concernientes a la sensibilización sobre la seguridad a través de correo electrónico, publicaciones en blogs y presentaciones en eventos internos.
Investigación de empleados
Verificación de antecedentes Zendesk verifica los antecedentes de todos los empleados nuevos conforme a las leyes locales. Esas verificaciones también son obligatorias para los contratistas. La investigación incluye la verificación de antecedentes criminales, la educación y el historial de empleo. También se aplican al personal de limpieza.
Acuerdos de confidencialidad Todo empleado nuevo debe someterse a una evaluación como parte del proceso de contratación y además, firmar acuerdos de no divulgación y de confidencialidad.

Certificados de cumplimiento y afiliaciones

Cumplimiento de seguridad
SOC 2 Tipo II Tenemos nuestro propio informe SOC 2 Tipo II, que está disponible previa solicitud y después de firmar un acuerdo de confidencialidad. Si desea más información comuníquese con security@zendesk.com.
ISO 27001:2013 Zendesk cuenta con la certificación ISO 27001:2013.
ISO 27018:2014 Zendesk cuenta con la certificación ISO 27018:2014.
Afiliaciones
Skyhigh Enterprise-Ready Zendesk fue distinguido con el sello Skyhigh Enterprise-Ready™, la calificación más alta del programa CloudTrust™. Se le concede a servicios en la nube que satisfacen plenamente los requisitos más estrictos de protección de datos, verificación de identidad, seguridad de los servicios, prácticas empresariales y protección legal.
Cloud Security Alliance Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin fines de lucro cuya misión es promover el uso de mejores prácticas para proporcionar garantías de seguridad en la computación en la nube. CSA ha lanzado el Security, Trust & Assurance Registry (STAR), un registro de acceso público que documenta los controles de seguridad proporcionados por los distintos productos de computación en la nube. Hemos completado un cuestionario Consensus Assessment Initiative (CAI) que está a disposición del público, basándonos en los resultados de nuestra autoevaluación de diligencia debida.
Certificaciones de privacidad
Programas de certificación de privacidad TRUSTe® Hemos recibido el sello TRUSTe’s Privacy Seal lo que significa que se ha constatado que nuestra declaración de privacidad y nuestras prácticas se conforman al programa TRUSTe (que se puede ver en la página de validación correspondiente).
Programas Safe Harbor entre Estados Unidos y Suiza Zendesk cuenta con un certificado de cumplimiento del marco Safe Harbor para Estados Unidos y Suiza, según lo estipulado por el Departamento de Comercio de Estados Unidos.
Política de privacidad Más información sobre la política de privacidad de Zendesk.
CUMPLIMIENTO DE NORMAS DEL SECTOR
HIPAA Zendesk concluyó con éxito una evaluación relativa al cumplimiento de las leyes HIPAA/HITECH de Estados Unidos y puede poner a disposición el Business Associate Agreement (BAA) para su ejecución por parte de los suscriptores. *La evaluación HIPAA/HITECH se aplica a todos los planes, BAA solo está disponible con el complemento de seguridad avanzada.
Uso de Zendesk en un entorno de PCI Consulte el informe técnico sobre el cumplimiento de las normas de la industria de tarjetas de pago (PCI) o conozca más sobre el campo conforme a la industria de tarjetas de pago (PCI).
  • AICPA
  • BSI ISO/IEC 27001
  • Skyhigh Enterprise Ready
  • Cloud Security Alliance
  • Verificado por TRUSTe
  • BSI ISO/IEC 27018