Servicio al cliente seguro

Cubra sus bases

Zendesk toma la seguridad muy en serio, basta con preguntar a las compañías incluidas dentro de las compañías de Fortune 100 y Fortune 500 que nos confían sus datos. Usamos una combinación de características de seguridad del tipo empresa y auditorías integrales de nuestras aplicaciones, sistemas y redes para garantizar que sus datos estén siempre protegidos, lo que significa que todos los clientes pueden estar tranquilos, inclusive los suyos.

Certificaciones de cumplimiento y membresías

Zendesk emplea las mejores prácticas y estándares de la industria para alcanzar el cumplimiento con los marcos de seguridad y privacidad generalmente aceptados en la industria que, a su vez, ayuda a nuestros suscriptores a cumplir con sus propios estándares de cumplimiento.

Cumplimiento de seguridad
SOC 2 Tipo II

Nos sometemos a auditorías de rutina para recibir informes SOC 2 Tipo II actualizados que están disponibles por pedido y en virtud de un Acuerdo de confidencialidad (NDA). Solicite el último informe SOC 2 Tipo II.

ISO 27001:2013

Zendesk cuenta con la certificación ISO 27001:2013. Descargue el certificado.

ISO 27018:2014

Zendesk cuenta con la certificación ISO 27018:2014. Este certificado está disponible para su descarga aquí.

LI-SaaS de FedRAMP

Zendesk cuenta con la autorización FedRAMP con un Software como servicio de bajo impacto (Low Impact Software-as-a-Service, LI-SaaS) y aparece en la lista FedRAMP Marketplace. Los suscriptores que son agencias del gobierno de los EE. UU. pueden solicitar acceso al Paquete de seguridad FedRAMP de Zendesk al completar un Formulario de solicitud de acceso al paquete o al enviar una solicitud a fedramp@zendesk.com.

Cumplimiento basado en la industria
PCI-DSS

El servicio de Soporte de Zendesk ofrece un campo de tarjeta de crédito que cumple con PCI que edita todo menos los últimos cuatro dígitos. Más información sobre Cumplimiento con PCI en Zendesk.

Membresías
McAfee Cloud Trust - McAfee Enterprise Ready

Zendesk recibió el Programa McAfee CloudTrust. El programa presenta el sello McAfee Enterprise-Ready solo para aquellos servicios que tienen la calificación CloudTrust™ más alta posible. Se encuentran entre los servicios que han ganado McAfee's CloudTrust™ y una calificación de McAfee Enterprise-Ready en función de sus atributos entre los datos, el usuario y el dispositivo, la seguridad, el negocio y las categorías de evaluación legal.

Cloud Security Alliance (CSA)

Zendesk es miembro de Cloud Security Alliance (CSA), una organización sin fines de lucro que tiene por misión promover el uso de las mejores prácticas con el fin de brindar garantía de seguridad dentro de Cloud Computing. CSA ha lanzado el Registro de Seguridad, Confianza y Garantía (Security, Trust & Assurance Registry, STAR), un registro de acceso público que documenta los controles de seguridad que brindan las distintas ofertas de informática en la nube. Zendesk completó un Cuestionario de la Iniciativa de Evaluación de Consenso (Consensus Assessment Initiative, CAI) disponible públicamente basándose en los resultados de nuestra autoevaluación de debida diligencia.

CSA CAIQ está disponible aquí.

IT-ISAC

Zendesk es miembro de IT-ISAC, un grupo dedicado a reunir un conjunto diverso de empresas del sector privado para sacar provecho de la tecnología en evolución y asumir un compromiso común con la seguridad. IT-ISAC permite colaborar y compartir información y prácticas de inteligencia frente a amenazas relevantes sobre las que se puede actuar. Moderan grupos de intereses especiales que se centran en Inteligencia, Amenazas internas, Seguridad física y otras áreas específicas con el fin de colaborar más con nuestra misión de asegurar a Zendesk.

FIRST

Zendesk es miembro de FIRST, una confederación internacional de respuesta ante incidentes que maneja de manera cooperativa los incidentes de seguridad y promueve programas de prevención de incidentes. Los miembros de FIRST desarrollan y comparten información técnica, herramientas, metodologías, procesos y mejores prácticas. Como miembro de FIRST, Zendesk Security trabaja con otros miembros para usar su conocimiento, aptitudes y experiencia combinados con el fin de promover un entorno electrónico más seguro y global.

Sistema de calificaciones para los servicios financieros (Financial Services Qualifications System, FSQS)

Zendesk ha cumplido con todos los requisitos (Etapa y Etapa ) para registrarse completamente en el sistema de calificación de proveedores del Sistema de Calificación de Servicios Financieros (FSQS, por sus siglas en inglés), según lo establecido por las organizaciones compradoras participantes. Solicite el Certificado FSQS más reciente aquí.

Más información sobre FSQS https://hellios.com/fsqs/.

Artefactos

Podemos brindar recursos adicionales por pedido.

Recursos de descarga directa (sin Acuerdo de confidencialidad)

Certificados ISO 27001:2013

Certificado ISO 27018:2014

Informe SOC 3

Hoja informativa / Papel blanco

Declaración de cumplimiento de PCI (Attestation of Compliance, AoC) y Certificado de cumplimiento

Diagramas de arquitectura de red

  • Support Suite
  • Chat
  • Talk

CSA CAIQ

Risk Ledger

Sistema de calificación de servicios financieros (Financial Services Qualification System, FSQS)

Obtener recursos
Recursos de NDA

Los recursos que siguen posiblemente requieran un Acuerdo de confidencialidad (NDA) en el archivo. Haga clic en el botón para acceder.

Certificado de seguro

Informe SOC 2 Tipo II

Resumen de la prueba de penetración anual

Resumen de la prueba de continuidad del negocio y recuperación ante desastres

SIG Lite

VSA

HECVAT Lite

Los clientes actuales tienen acceso a estos recursos desde la interfaz de usuario del administrador:

Seguridad en la nube

Seguridad física del centro de datos
Instalaciones

Zendesk aloja Datos de servicio fundamentalmente en los centros de datos AWS que recibieron la certificación ISO 27001, Nivel 1 de proveedor de servicio PCI DSS, y/o cumplimiento SOC 2. Obtenga más información sobre el cumplimiento en AWS.

Los servicios de infraestructura de AWS incluyen energía de resguardo, sistemas HVAC, y equipos extintores de incendios que ayudan a proteger los servidores y, finalmente, sus datos. Obtenga más información sobre los Controles del centro de datos en AWS.

Seguridad en el sitio

La seguridad en el sitio AWS incluye características tales como protecciones de seguridad, cercos, cargas de seguridad, tecnología de detección de intrusión y otras medidas de seguridad. Obtenga más información sobre seguridad física AWS.

Ubicación del alojamiento de datos

Zendesk aprovecha los centros de datos AWS en los Estados Unidos, Europa y Asia-Pacífico. Obtenga más información sobre las ubicaciones de alojamiento de datos para sus Datos de servicio de Zendesk.

Zendesk ofrece múltiples opciones de ubicación de datos, inclusive Estados Unidos (EE. UU.), Australia (AU), Japón (JP), o el Espacio Económico Europeo (EEE). Si desea obtener más información sobre un producto, plan y ofertas regionales, consulte nuestra Política de alojamiento de datos regional.

Seguridad del proveedor

Zendesk reduce al mínimo los riesgos asociados con proveedores externos al realizar revisiones de seguridad para todos los proveedores con cualquier nivel de acceso a nuestros sistemas o Datos de servicio.

Seguridad de red
Equipo de Seguridad dedicado

Nuestro Equipo de Seguridad distribuido en forma global está disponible las 24 horas, los 7 días de la semana, para responder ante alertas y eventos de seguridad.

Protección

Nuestra red está protegida a través del uso de servicios de seguridad AWS clave, la integración con nuestras redes de protección de borde Cloudflare, auditorías regulares, y tecnologías de inteligencia de red, que monitorean y/o bloquean tráfico malicioso y ataques en la red.

Nuestra arquitectura de seguridad de red comprende múltiples zonas de seguridad. Los sistemas más sensibles como los servidores de bases de datos están protegidos en nuestras zonas de más confianza. Otros sistemas están alojados en zonas de acuerdo con su nivel de sensibilidad, dependiendo de la función, clasificación de la información y riesgo. Dependiendo de la zona, se aplicarán monitoreo y controles de acceso adicionales. Los DMZ se utilizan entre Internet e internamente entre las diferentes zonas de confianza.

Escaneo de vulnerabilidad de la red

El escaneo de seguridad de red nos ofrece una perspectiva profunda para la identificación rápida de sistemas que no cumplen o son potencialmente vulnerables.

Pruebas de penetración de terceros

Además de contar con un extenso programa de pruebas y análisis interno, Zendesk también contrata todos los años a expertos en seguridad independientes para realizar pruebas de penetración exhaustivas en todas las redes de producción y corporativas de Zendesk.

Gestión de eventos de incidentes de seguridad

Nuestro sistema de Gestión de eventos e incidentes de seguridad (Security Incident Event Management, SIEM) recopila registros extensos de dispositivos de red importantes y sistemas de alojamiento. El SIEM alerta sobre disparadores que notifican al equipo de Seguridad basándose en eventos correlacionados para su investigación y respuesta.

Detección y prevención de intrusión

Se instrumentan y monitorean los puntos de ingreso y egreso del servicio para detectar comportamientos anómalos. Estos sistemas están configurados para generar alertas cuando los incidentes y valores superan los umbrales predeterminados y usan firmas actualizadas en forma regular en función de las nuevas amenazas. Esto incluye el monitoreo del sistema las 24 horas, los 7 días de la semana.

Programa de inteligencia de amenazas

Zendesk participa en varios programas de uso compartido de inteligencia de amenazas. Monitoreamos las amenazas publicadas para estas redes de inteligencia de amenazas y tomamos medidas en función del riesgo.

Mitigación DDoS

Zendesk ha diseñado un enfoque en múltiples niveles para la mitigación DDoS. Una asociación tecnológica central con Cloudflare ofrece defensas de borde de red, mientras que el uso de escalamiento AWS y las herramientas de protección ofrecen una protección más profunda junto con nuestro uso de los servicios específicos AWS DDoS.

Acceso lógico

El acceso a la Red de producción de Zendesk está restringido a la necesidad de saber explícita, utiliza el menor privilegio y es auditado y monitoreado con frecuencia, y es controlado por nuestro Equipo de operaciones. Los empleados que acceden a la Red de producción de Zendesk deben usar múltiples factores de autenticación.

Respuesta ante incidentes de seguridad

En el caso de una alerta de sistema, los eventos se remiten a nuestros equipos que prestan cobertura de Operaciones, Ingeniería de red y seguridad las 24 horas, los 7 días de la semana. Los empleados están capacitados en los procesos de respuesta ante incidentes de seguridad, incluidos los canales de comunicación y las vías de escalamiento.

Cifrado
Cifrado en tránsito

Todas las comunicaciones con la IU y API de Zendesk están cifradas usando HTTPS/TLS (TLS 1.2 o superior) estándares en la industria en las redes públicas. Esto garantiza que todo el tráfico entre usted y Zendesk sea seguro durante el tránsito. Además, para el correo electrónico, nuestro producto saca provecho del TLS oportunista por defecto. El cifrado de Seguridad de la Capa de Transporte (Transport Layer Security, TLS) cifra y entrega correo electrónico en forma segura, mitigando la interceptación furtiva entre los servidores de correo en los que los servicios de pares soportan este protocolo. Las excepciones para el cifrado pueden incluir cualquier uso de una funcionalidad SMS dentro del producto, cualquier otra aplicación de un tercero o integración, o bien los suscriptores del servicio pueden optar por aprovecharlos según su propio criterio.

Cifrado en descanso

Los Datos de servicio están cifrados en descanso en AWS usando cifrado de clave AES-256.

Disponibilidad & Continuidad
Tiempo de actividad

Zendesk mantiene una página web del estado del sistema disponible que incluye detalles sobre la disponibilidad del sistema, el mantenimiento programado, el historial de incidentes en el servicio y eventos de seguridad relevantes.

Redundancia

Zendesk emplea el agrupamiento o clustering de servicios y las redundancias de la red para eliminar puntos de falla únicos. Nuestro estricto régimen de copia de resguardo y/o nuestra oferta del servicio de Recuperación ante desastres mejorado nos permite brindar un alto nivel de disponibilidad del servicio ya que los Datos de servicio se replican entre zonas de disponibilidad.

Recuperación ante desastres

Nuestro programa de Recuperación ante desastres (Disaster Recovery, DR) asegura que nuestros servicios sigan estando disponibles y que puedan ser recuperados con facilidad en caso de un desastre. Esto se logra a través de la construcción de un entorno técnico robusto, creando planes de Recuperación ante desastres, y actividades de prueba.

Recuperación ante desastres mejorada

Nuestro paquete de Recuperación ante desastres mejorado suma objetivos adicionales para el Objetivo de tiempo de recuperación (Recovery Time Objective, RTO) y el Objetivo de punto de recuperación (Recovery Point Objective, RPO). Estos están respaldados con nuestra capacidad para priorizar las operaciones de los suscriptores para la Recuperación ante desastres mejorada durante cualquier evento de desastre declarado.

Obtenga más información sobre la Garantía de recuperación ante desastres.

Seguridad de la aplicación

Desarrollo de seguridad (SDLC)
Controles de seguridad de marco

Zendesk aprovecha los marcos de fuente abierta con controles de seguridad modernos y seguros para limitar la exposición a los 10 principales riesgos de seguridad de OWASP. Estos controles intrínsecos reducen nuestra exposición a Inyección SQL (SQLi), Ejecución de comandos en sitios cruzados (Cross Site Scripting, XSS), y Falsificación de peticiones en sitios cruzados (Cross Site Request Forgery, CSRF), entre otros.

Garantía de calidad

Nuestro departamento de Garantía de Calidad (Quality Assurance, QA) revisa y prueba nuestra base de códigos. Los ingenieros de seguridad de la aplicación dedicados de nuestro personal identifican, prueban y derivan las vulnerabilidades de seguridad en el código.

Entornos separados

Los entornos de prueba y representación están lógicamente separados del entorno de Producción. No se usan Datos de servicio en nuestros entornos de desarrollo o prueba.

Gestión de vulnerabilidad
Escaneo de vulnerabilidad dinámico

Empleamos equipamiento de herramientas de seguridad de terceros para hacer un escaneo en forma continua y dinámica de nuestras aplicaciones clave contra los riesgos comunes para la seguridad de la aplicación, lo que incluye, aunque solamente como ejemplo, los 10 riesgos principales para la seguridad de OWASP. Mantenemos un equipo interno de seguridad de producto dedicado para probar y trabajar con los equipos de ingeniería con el fin de remediar cualquier problema que se haya detectado.

Análisis de composición del software

Hacemos un escaneo de las bibliotecas y dependencias utilizadas en nuestros productos para identificar las vulnerabilidades y asegurar que se manejen las vulnerabilidades.

Pruebas de penetración de terceros

Además de nuestro programa de escaneo y pruebas internas extensivo, Zendesk recurre a expertos en seguridad externos para realizar pruebas de penetración detalladas en las diversas aplicaciones dentro de nuestra familia de productos.

Revelación responsable / Programa Bug Bounty

Nuestro Programa de revelación responsable brinda tanto a los investigadores de seguridad como a los suscriptores un camino que permite probar y notificar en forma segura las vulnerabilidades en seguridad de Zendesk a través de su sociedad con HackerOne.

Seguridad de producto

Seguridad de autenticación
Opciones de autenticación

Zendesk tiene diversas opciones de autenticación diferentes: los suscriptores pueden activar la autenticación propia de Zendesk, la autenticación de inicio de sesión único en redes sociales (Single sign-on, SSO) (Facebook, Twitter, Google), y/o la autenticación SSO para Enterprise (SAML, JWT) del usuario final y/o agente. Más información sobre el acceso del usuario.

Política de contraseña configurable

La autenticación propia de Zendesk para los productos disponibles a través del Centro de Administración brinda los siguientes niveles de seguridad de contraseñas: bajo, medio y alto, así como normas personalizadas para las contraseñas de agentes y administradores. Zendesk también permite distintos niveles de seguridad de contraseñas para aplicarlos a usuarios finales, como contrapuesto con agentes y administradores. Solo los administradores pueden cambiar el nivel de seguridad de las contraseñas. Más información sobre las políticas de contraseñas configurables.

Autenticación de 2 factores (2-Factor Authentication, 2FA)

Zendesk native authentication for products available through the Admin Center offers 2-factor (2FA) for agents and admins via SMS or an authenticator app. Más información sobre 2FA.

Almacenamiento de credenciales de servicio

Zendesk sigue las mejores prácticas para el almacenamiento seguro de credenciales al no almacenar jamás contraseñas en un formato que puede ser leído por humanos, y solamente como resultado de una función hash segura, salteada, de una vía.

Funcionales adicionales de seguridad del producto
Controles de acceso basados en el rol

El acceso a los datos dentro de las aplicaciones de Zendesk se rige por el control de acceso basados en el rol (role-based access control, RBAC) y se lo puede configurar para definir privilegios de acceso granular. Zendesk soporta diversos niveles de permiso para los usuarios (propietario, administrador, agente, usuario final, etc.).

Más información sobre roles del usuario:

Detalles sobre seguridad global y acceso del usuario

Restricciones de IP

Cualquier cuenta de Zendesk puede restringir el acceso a su servicio de Soporte de Zendesk a aquellos usuarios comprendidos dentro de un rango específico de direcciones IP. Solo los usuarios de las direcciones IP permitidas podrán iniciar sesión en su cuenta de Zendesk. Puede permitir que los suscriptores (no los agentes o administradores) eludan esta restricción. Si desea obtener más información, consulte Cómo restringir el acceso a Soporte de Zendesk y su Centro de ayuda usando las restricciones de IP y Cómo usar la restricción de acceso IP en Chat.

Certificados de cifrado alojados para el Centro de ayuda (TLS)

Zendesk ofrece cifrado TLS gratuito para los centros de ayuda de la Guía con asociación de alojamiento. Zendesk usa Let’s Encrypt para solicitar certificados y renueva automáticamente el certificado antes de que expire.

También puede cargar su propio certificado, si lo elige.

Si desea obtener más información sobre la configuración de los certificados de cifrado para un centro de ayuda de la Guía, consulte Cómo configurar un certificado de cifrado TLS alojado.

Restricciones de archivo en Chat

El chat de Zendesk permite restringir el tipo de archivo que se envía a los agentes. De forma alternativa, puede elegir desactivar por completo el envío de archivos en el producto Chat. Si desea obtener más información sobre esta función, consulte Administración de envío de archivos en el chat en vivo.

Registros de auditoría

Zendesk ofrece Registros de auditoría para las cuentas con planes Enterprise/Enterprise Plus. Estos registros incluyen cambios en la cuenta, cambios de usuario, cambios en la aplicación, normas comerciales, eliminaciones de solicitudes y configuraciones. El Registro de auditoría está disponible tanto en el Centro de Administración como en la API de soporte. Si desea obtener más información sobre los Registros de auditoría y conocer qué información está disponible en el registro, consulte Visualización del registro de auditoría para detectar cambios.

Adjuntos privados

Los suscriptores pueden configurar su instancia de modo tal que los usuarios tengan que iniciar sesión para ver los adjuntos a la solicitud. Más información sobre los Adjuntos privados.

Edición

Zendesk cuentas con dos tipos de edición para la eliminación de los datos sensibles: La edición manual ofrece la capacidad para editar o eliminar datos sensibles en los comentarios de la solicitud de Soporte y eliminar de manera segura adjuntos, de modo tal que pueda proteger la información confidencial. Se editan los datos de las solicitudes a través de la IU o API para evitar que se almacene la información sensible en Zendesk. Más información sobre la adición a través de la IU o API.

La edición automática permite la edición automática de números de tarjetas de crédito de las solicitudes enviadas por suscriptores. Cuando está activada, se reemplazan parcialmente los números de tarjetas de crédito con cuadros en blanco en la solicitud. También se los edita en los ingresos a registros y bases de datos. Si desea obtener más información sobre cómo activar esta función y cómo se identifican los números de tarjeta de crédito, consulte Edición automática de números de tarjetas de crédito de las solicitudes y de chats.

Filtro de correo masivo o spam para el centro de ayuda de Guía

El servicio de filtro de correo masivo o spam de Zendesk puede usarse para evitar que las publicaciones de correo masivo o spam para el usuario final se publiquen en su centro de ayuda de Guía. Más información sobre cómo filtrar el correo masivo o spam en la Guía.

Firma de correo electrónico (DKIM/DMARC)

Zendesk ofrece Correspondencia identificada por claves de dominio (Domain Keys Identified Mail, DKIM) y Autenticación, informes y conformidad de mensajes basados en el dominio (Domain-based Message Authentication, Reporting, & Conformance, DMARC) para firmar los mensajes de correo electrónico salientes de Zendesk en los casos en los que tenga que dar de alta un dominio de correo electrónico externo en su Zendesk. El uso de un servicio de correo electrónico que respalda estas funciones le ayuda a detener el spoofing por correo electrónico. Más información sobre cómo firmar digitalmente sus correos electrónicos.

Seguimiento de dispositivos

Zendesk realiza un seguimiento de los dispositivos utilizados para iniciar sesión en cada cuenta de usuario. Cuando alguien inicia sesión para una cuenta desde un nuevo dispositivo, se lo agrega a la lista de dispositivos en el perfil de ese usuario. Ese usuario puede recibir una notificación por correo electrónico cuando se agrega un nuevo dispositivo, y debe hacer un seguimiento si la actividad parece sospechosa. Las sesiones sospechosas pueden ser finalizadas a través de la IU (interfaz del usuario) del agente. Más información sobre el seguimiento de dispositivos.

Seguridad de los RR. HH.

Conciencia en materia de seguridad
Políticas

Zendesk ha desarrollado un conjunto integral de políticas de seguridad que cubren una amplia gama de temas. Estas políticas se comparten y ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Zendesk.

Capacitación

Todos los empleados asisten a una Capacitación de conciencia en materia de seguridad, que se imparte por contrato cada año. Todos los ingenieros reciben una Capacitación anual en códigos seguros. El equipo de Seguridad ofrece actualizaciones adicionales de conciencia en materia de seguridad por correo electrónico, publicaciones en blog y en presentaciones durante eventos internos.

Investigación del empleado
Verificaciones de antecedentes

Zendesk realiza verificaciones de antecedentes a todos los nuevos empleados, de conformidad con lo que establecen las leyes locales. También se exigen estas verificaciones para los contratistas. La verificación de antecedentes incluye verificación penal, educativa y laboral. Los equipos de limpieza están incluidos.

Acuerdos de confidencialidad

Todos los nuevos contratados deben firmar acuerdos de no divulgación y confidencialidad.

Bienvenido al Programa de privacidad global de Zendesk

Zendesk cuenta con un programa de privacidad y protección de datos global formal que abarca a los interesados clave en las distintas funciones, entre ellos los sectores de Asuntos Legales, Seguridad, Producto y Ejecutivos de la compañía. Como defensores de la privacidad, trabajamos diligentemente para garantizar que nuestros Servicios y los miembros del equipo se dediquen al cumplimiento con los marcos regulatorios y de la industria pertinentes.

. Cumplimiento.

Ley de Privacidad Australiana de 1988 y Principios de la Privacidad

La Ley de Privacidad Australiana de 1998 (según enmienda) establece diversos derechos al sujeto de datos y una notificación obligatoria adicional de las violaciones de datos que califican. A diferencia del RGPD, no existen los conceptos de controlador de datos y procesador de datos. https://www.zendesk.com/company/anz-privacy/

Brasil, Lei Geral de Proteção de Dados Pessoais (LGPD), Apéndice

La Ley General de Protección de Datos Brasileña o Lei Geral de Proteção de Dados Pessoais (la “LGPD”) entró en vigor el 18 de septiembre de 2020. La LGPD es una ley de protección de datos integral que cubre las actividades de los controladores y procesadores de datos y brinda derechos individuales.

Los suscriptores de Zendesk que recopilan y almacenan datos personales en los Servicios de Zendesk pueden ser considerados “controladores” de acuerdo con la LGPD. Los controladores asumen la responsabilidad principal de asegurar que su procesamiento de los datos personales cumpla con la ley de protección de datos pertinentes, incluida la LGPD. Zendesk actúa como “procesador”, conforme se define dicho término en el LGPD, en lo que respecta al procesamiento de los datos personales a través de nuestros Servicios.

Los suscriptores pueden ver nuestras Guías de producto y nuestra Política de eliminación de datos de servicio si desean obtener información más detallada sobre cómo usar los productos de Zendesk para que estén en línea con las iniciativas de cumplimiento. La Autoridad Nacional para la Protección de Datos de (Authority for Protection Data, “ANPD”) puede emitir una guía adicional para la LGPD en el futuro. Zendesk seguirá haciendo un seguimiento de la ley en forma activa y nosotros seguiremos manteniendo informados a nuestros suscriptores con respecto a las funciones y la funcionalidad que pueden usar para respaldar sus esfuerzos de cumplimiento.

Si desea revisar y/o firmar el Apéndice de la LGPD de Zendesk para el Acuerdo suscripción marco, haga clic aquí. Nuestro Acuerdo de suscripción marco de Zendesk incluye “Términos específicos para la región”, más específicamente una sección para Brasil.

. Anexo de la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA).

La Ley de Privacidad del Consumidor de California, Cód. Civ. Cal., secciones 1798.100 y siguientes (la “CCPA”) es una ley de los EE. UU. promulgada en el estado de California que entró en vigor el 1 de enero de 2020. Desarrolla los derechos de privacidad que ciertos consumidores de California tienen a su disposición, y exige que ciertas compañías cumplan con diversos requisitos de protección de datos. Tenga a bien visitar también las Reglamentaciones definitivas de la CCPA y la Ley de Derechos de Privacidad de California (California Privacy Rights Act, “CPRA”). Algunas disposiciones de la CPRA entraron en vigor el 16 de diciembre de 2020, mientras que las disposiciones restantes de la CPRA se harán efectivas el 1 de enero de 2023.

Los suscriptores de Zendesk que recopilan y almacenan información personal en los Servicios de Zendesk pueden ser considerados “Empresas” de acuerdo con la CCPA (Ley de Privacidad del Consumidor de California). Las empresas asumen la responsabilidad principal de asegurar que su procesamiento de los datos personales cumpla con la ley de protección de datos pertinente, incluida la CCPA. Zendesk actúa como “Proveedor de servicios”, conforme se define dicho término en la versión actualmente vigente de la CCPA, en lo que respecta al procesamiento de la información personal a través de nuestros Servicios. Por lo tanto, Zendesk recopila, accede, mantiene, usa, procesa y transfiere la información personal de nuestros suscriptores y de los usuarios finales de nuestros suscriptores procesada a través de los Servicios exclusivamente con el fin de cumplir con nuestras obligaciones en virtud de uno o más contratos existentes con nuestros suscriptores; y para ningún otro fin comercial que no sea el cumplimiento de dichas obligaciones y la mejora de los Servicios que prestamos.

No “vendemos” la información personal de nuestros suscriptores, conforme se define en la CCPA. Podemos compartir información agregada y/o anonimizada en relación con el uso del o de los Servicios que no sea considerada información personal de acuerdo con lo que establece la CCPA, con terceros para que nos ayuden a desarrollar y mejorar los Servicios y brindar a nuestros suscriptores contenido relevante y ofertas de servicios, tal como se detalla en nuestros acuerdos de suscriptor.

Puede revisar y/o firmar el Apéndice de la CCPA de Zendesk para el Acuerdo suscripción marco aquí.

Ley de Protección de la Información Personal y Documentos Electrónicos de Canadá (Canada Personal Information Protection and Electronic Documents Act, PIPEDA)

La Ley de Protección de la Información Personal y Documentos Electrónicos de Canadá entró en vigor en el año 2000 y gira en torno de diez principios de información justa, que conforman las normas para la recopilación, el uso, el acceso y la revelación de información personal. En octubre de 2021, la Asociación Internacional de Tecnología de Canadá (International Technology Association of Canada) y el Consejo para la Industria de la Tecnología de la Información (Information Technology Industry Council) sugirieron cambios en la Ley de Protección de la Información Personal y Documentos Electrónicos de Canadá (PIPEDA) con el fin de establecer mayores derechos de privacidad y transparencia para los ciudadanos canadienses.

Acuerdo de procesamiento de datos

Usted puede revisar y/o firmar el DPA de Zendesk aquí. El DPA de Zendesk cubre las actividades de procesamiento y las medidas de seguridad específicas aplicables a nuestros Servicios.

Los suscriptores pueden leer nuestras Guías de producto y la Política de eliminación de los datos de servicio si desea obtener información detallada sobre cómo usar los productos de Zendesk para asistir en el cumplimiento con las leyes de privacidad y protección de datos.

Reglamento General de Protección de Datos (RGPD)

Desde nuestros comienzos, el enfoque de Zendesk ha estado asentado por un férreo compromiso con la privacidad, la seguridad, el cumplimiento y la transparencia. Este enfoque incluye respaldar el cumplimiento de nuestros suscriptores con los requisitos de protección de datos de la UE, entre ellos los que se establecen en el Reglamento General de Protección de Datos (“RGPD”).

Si un suscriptor recopila, transmite, aloja o analiza datos personales de ciudadanos de la UE, el RGPD exige que el suscriptor use procesadores de datos externos que garanticen su capacidad de implementación de los requisitos técnicos y organizativos del RGPD. Para ganarnos aún más la confianza de nuestros suscriptores, se ha actualizado nuestro Contrato de procesamiento de datos (Data Processing Agreement, “DPA”) para ofrecer a nuestros clientes compromisos contractuales respecto de nuestro cumplimiento con la ley de protección de datos aplicable de la UE y para implementar las disposiciones contractuales adicionales exigidas por el RGPD.

Normas Corporativas Vinculantes (Binding Corporate Rules, BCR): Las Normas Corporativas Vinculantes (Binding Corporate Rules, “BCR”) son políticas de protección de datos para toda la compañía aprobadas por las autoridades de protección de datos europea con el fin de facilitar las transferencias de datos personales dentro de un grupo del Espacio Económico Europeo (“EEE”) a países fuera del EEE. Los BCR se basan en principios de privacidad estrictos establecidos por las autoridades de protección de datos de la Unión Europea que requieren una consulta intensiva con dichas autoridades. Los suscriptores pueden encontrar la lista completa de entidades aprobadas en la Lista Aprobada de las Normas Corporativas Vinculantes aquí. En 2017 Zendesk completó el proceso de aprobación de la UE ante el Comisionado de Protección de Datos irlandés (Data Protection Commissioner, “DPC”) (revisado por pares tanto por la Oficina del Comisionado de Información del Reino Unido como por la Autoridad de Protección de Datos holandesa) para las BCR como procesador y como controlador. Esta aprobación regulatoria significativa validó la implementación por parte de Zendesk de los estándares más altos posibles para la protección de los datos personales a nivel global, cubriendo tanto los datos personales de sus clientes como los de sus empleados. Zendesk es una de las primeras compañías de software en el mundo que ha recibido la aprobación para sus BCR; y fue la segunda compañía en recibir la aprobación del DPC irlandés.

Para acceder a las BCR de Zendesk, visite:
las Normas Corporativas Vinculantes para el procesador de Zendesk que se aplican cuando Zendesk procesa datos personales en nombre de sus clientes;
y
las Normas Corporativas Vinculantes para el controlador de Zendesk que se aplican cuando Zendesk procesa los datos personales para los cuales es un controlador de datos.

Solicitudes del sujeto de datos: Toda persona que desee ejercer sus derechos de protección de datos con respecto a los datos personales almacenados o procesados por nosotros en nombre de un Suscriptor nuestro dentro de los Datos de Servicio del Suscriptor (incluida la solicitud de acceso o de corrección, modificación, eliminación, traslado o restricción del procesamiento de dichos datos personales) debe dirigir su consulta a nuestro Suscriptor (el controlador de datos). Una vez recibida una solicitud de uno de nuestros suscriptores para que eliminemos los datos personales de Zendesk, responderemos a tal solicitud dentro de un plazo de treinta (30) días. Conservaremos los datos personales que procesemos y almacenemos en nombre de nuestros Suscriptores durante el tiempo necesario para prestar los Servicios a nuestros Suscriptores.

Oficial de Protección de Datos: Puede comunicarse con el Oficial de Protección de Datos de Zendesk (Data Protection Officer, “DPO”) escribiendo a euprivacy@zendesk.com.

Escudo de privacidad: El Departamento de Comercio de los EE. UU., junto con la Comisión Europea y el gobierno suizo, crearon Acuerdos marco de Escudo de Privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. (el “Escudo de privacidad”) con el objetivo de darles a las compañías un mecanismo que les permitiera transferir datos personales de la Unión Europea a los Estados Unidos de un modo que ofrezca un nivel de protección adecuado para los fines de la ley de protección de datos europea. Zendesk ha certificado su cumplimiento con el acuerdo marco del Escudo de privacidad entre la UE y los EE. UU. y entre Suiza y los EE. UU. frente al Departamento de Comercio de los EE. UU. y ha sido agregado a la lista de participantes del Escudo de privacidad autocertificados del Departamento de Comercio. Nuestras certificaciones confirman que cumplimos con los Principios del Escudo de Privacidad para la transferencia de los datos personales europeos y suizos a los Estados Unidos.

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (“TJUE”) expidió un dictamen que invalidaba el programa de Escudo de Privacidad entre la UE y los EE. UU. Entendemos que tal vez tenga preguntas con respecto a la invalidación del Escudo de privacidad y la posición de Zendesk con respecto a ello, por lo que hemos publicado esta publicación en el blog que lo ayudará con sus consultas.

France Hébergeur de Données de Santé (HDS, o Health Data Hosting o Alojamiento de Datos de Salud)

HDS permite que los proveedores de atención médica en Francia usen el servicio al cliente de Zendesk y la plataforma de contratación con la confianza de que nuestra plataforma cuenta con las medidas de gestión en vigor que permitan garantizar y proteger la información médica personal (personal health information, PHI). Podrá encontrar información adicional disponible aquí.

Ley de Privacidad de Nueva Zelanda de 2020 y sus Principios de Privacidad de la Información

La Ley de Privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020. Se aplica a los organismos y mantiene el marco basado en el principio de la Ley de 1993. La Ley de 2020 establece que las organizaciones tienen la responsabilidad de garantizar que la información personal enviada fuera de Nueva Zelanda esté adecuadamente protegida y agregó requisitos de notificación obligatoria en caso de incumplimiento. https://www.zendesk.com/company/anz-privacy/

Ley de Protección de Datos Personales de Singapur (Personal Data Protection Act, PDPA)

La Ley de Protección de Datos Personales de Singapur establece las leyes de protección de datos que rigen la recopilación, el uso y la revelación de Datos personales a partir del 2 de julio de 2014. Zendesk es un Intermediario de datos de la Autoridad de Desarrollo de las Infocomunicaciones de Singapur (Infocomm Development Authority, IDA) como Proveedor de servicios de Software como servicio (Software-as-a-Service, “SaaS”). Podrá encontrar información adicional disponible aquí.

RGDP del Reino Unido y el Brexit

El Reino Unido se retiró de la Unión Europea el 31 de enero de 2020. El 28 de junio de 2021, la Comisión Europea adoptó decisiones de adecuación para las transferencias de datos personales al Reino Unido de acuerdo con lo establecido en el RGPD.

Ley de Transferibilidad y Responsabilidad del Seguro de Salud de los EE. UU. (Health Insurance Portability and Accountability Act, HIPAA) y Contrato de socio comercial (Business Associate Agreement, BAA)

Para lograr una Cuenta activada por HIPAA, usted tendrá que (1) adquirir el Servicio asociado desplegado de seguridad avanzado o el complemento de servicio asociado desplegado de cumplimiento avanzado; (2) activar un conjunto de configuraciones de seguridad, según lo indique Zendesk; y (3) firmar nuestro Contrato de socio comercial (“BAA”). Si desea obtener más información, inclusive una lista de qué Servicios pueden tener la activación de HIPAA, consulte Cumplimiento avanzado.

Detalles de Datos de servicio del suscriptor

Datos de servicios es toda aquella información, incluidos los datos personales, que se almacenan o transmiten a través de los Servicios de Zendesk por o en nombre de nuestros suscriptores y sus usuarios finales. Usamos los Datos de servicio para operar y mejorar nuestros Servicios, ayudar a los clientes a acceder y usar los Servicios, responder a las consultas del suscriptor y enviar comunicaciones relacionadas con los Servicios.

Información adicional

Acceso: Zendesk ofrece un conjunto de características avanzadas de acceso y cifrado que ayudan a los clientes a proteger su información de manera efectiva. No accedemos ni usamos el contenido del cliente para ningún fin que no sea prestar, mantener y mejorar los servicios de Zendesk y, de otro modo, conforme lo exija la ley. Consulte aquí para obtener información adicional.

Alojamiento de datos: Zendesk usa los Servicios web de Amazon para alojar los Datos de servicio, tal como se describe aquí y en la Política de alojamiento de datos regionales. Si desea obtener información adicional, consulte también la sección Seguridad.

Tipos de datos predeterminados que recopila Servicio: Zendesk ha creado una lista de puntos de datos, categorizados por producto. Si desea conocer la imagen completa de los tipos de datos, los suscriptores pueden usar esta lista junto con su caso de uso pretendido específico y los tipos de datos resultantes.

Solicitudes legales o gubernamentales: La privacidad, la seguridad de los datos y la confianza del suscriptor son nuestras máximas prioridades. Zendesk no revela Datos de servicio, excepto en la medida en que sea necesario para prestar nuestros Servicios y cumplir con las leyes aplicables, tal como se detalla en nuestra Política de privacidad. Para asistir a nuestros suscriptores en la realización de revisiones de cumplimiento, contamos con recursos adicionales: Informe de transparencia y Política de solicitud del gobierno.

. Nosotros nos encargamos: Desde la perspectiva de la privacidad, el suscriptor es el controlador de los Datos de servicio, y Zendesk es un procesador. Esto significa que durante todo el tiempo que se suscriba a los servicios de Zendesk, retiene la propiedad y el control de los Datos de servicio en su instancia de Zendesk.

Replicación: Zendesk replica periódicamente datos para fines de archivo, copia de resguardo y registros de auditoría. Usamos los Servicios web de Amazon (Amazon Web Services, AWS) para almacenar parte de la información que se conserva como resguardo, por ejemplo información de bases de datos y archivos adjuntos. Consulte nuestra Política de alojamiento de datos regionales si desea más información.

Seguridad Zendesk prioriza la seguridad de los datos y combina funciones de seguridad del tipo empresa con auditorías integrales de nuestras aplicaciones, sistemas y redes para garantizar que los datos del suscriptor y la empresa estén protegidos. Consulte la información adicional aquí.

Incidentes de seguridad: Si desea obtener más información sobre la gestión de incidentes de seguridad, consulte nuestra Respuesta ante incidentes de seguridad.

. Subprocesadores.: Zendesk puede usar subprocesadores, inclusive afiliados de Zendesk, al igual que compañías externas, para prestar servicios seguros o mejorar los Servicios, y dichos subprocesadores pueden tener acceso a los Datos de servicio. Nuestra política de subprocesadores establece una lista actualizada de los nombres y lugares de todos los subprocesadores.

Extinción: Zendesk mantiene una Política de eliminación de datos de servicio que describe los procesos de eliminación de datos de Zendesk tras la rescisión o expiración de la suscripción del suscriptor a Zendesk.

Políticas relacionadas con la privacidad

Políticas

Puede obtener información detallada sobre cómo y cuándo usamos cookies en nuestros sitios web de Zendesk.

Brinda información sobre cómo y cuándo Zendesk usa cookies dentro de los Servicios de Zendesk.

Cómo se eliminan los Datos de servicio de nuestros Suscriptores en relación con la cancelación, rescisión o migración de una Cuenta dentro de los Servicios de Zendesk.

Este marco aclara a qué partes les corresponde realizar controles, así como cuáles son los controles que deben realizar, en relación con la seguridad y la privacidad de sus datos.

Características de la aplicación en relación con la privacidad

Privacidad y protección de datos

Zendesk cuenta con herramientas para cada uno de sus productos con el fin de asistir con las solicitudes del usuario y otras obligaciones, de acuerdo con las leyes y reglamentaciones de privacidad y protección de los datos aplicables, entre ellas acceso a los datos, corrección, transferibilidad, eliminación y objeción. Si desea obtener más información sobre las características y la funcionalidad en cada producto Zendesk, consulte Cumplimiento con la privacidad y la protección de los datos en los productos Zendesk.

Gestión de acceso

Zendesk ofrece un conjunto de características avanzadas de acceso y cifrado que ayudan a los suscriptores a proteger su información de manera efectiva. No accedemos ni usamos los datos del suscriptor para ningún fin que no sea prestar, mantener y mejorar los servicios de Zendesk y, de otro modo, conforme lo exija la ley. Podrá encontrar información adicional disponible aquí.

Certificaciones

Zendesk ha obtenido muchas certificaciones y acreditaciones reconocidas a nivel internacional que demuestran su cumplimiento con los marcos de garantía de terceros. Las certificaciones de seguridad se describen aquí.

Localidad del alojamiento de datos

Los suscriptores que adquieren el Servicio asociado desplegado para la ubicación del Centro de datos (el “Complemento de ubicación del Centro de datos”), o tienen la funcionalidad de ubicación del centro de datos en su Plan de servicio, cuentan con la capacidad para seleccionar la región que alojará sus Datos de servicio de una lista de regiones disponibles de Zendesk.

Privacidad por

Zendesk cuenta con un programa de privacidad y protección de datos global robusto que adopta un enfoque unificado para la gestión de la privacidad y la información para dar a los clientes flexibilidad en la gestión de los datos personales que residen en los sistemas de Zendesk. Consulte nuestras guías de productos si desea más información: Cumplimiento con la privacidad y protección de los datos en los Productos de Zendesk.

Edición / Minimización de los datos

Zendesk cuentas con dos tipos de edición para la eliminación de los datos sensibles:

La edición manual establece la capacidad para redactar o eliminar datos sensibles en los comentarios de las solicitudes de Soporte, y eliminar de manera segura los adjuntos para que usted pueda proteger la información confidencial. Se editan los datos de las solicitudes a través de la IU o API para evitar que se almacene la información sensible en Zendesk. Obtenga más información sobre la adición a través de IU o API.

La edición automática permite la edición automática de números de tarjetas de crédito de las solicitudes enviadas por el Agente o el Usuario final. Cuando está activada, se reemplazan parcialmente los números de tarjetas de crédito con cuadros en blanco en la solicitud. También se editan los números de los ingresos a registros y bases de datos. Obtenga más información sobre cómo activar esta función y cómo se identifican los números de tarjeta de crédito.

Informe de transparencia

Revelación de datos de servicio: Zendesk solo revela Datos de servicio a terceros en los casos en los que la revelación sea necesaria para brindar o mejorar los servicios o, según fuese necesario, para responder a solicitudes legítimas de autoridades públicas. Tenga a bien consultar nuestra Política de solicitud de datos del gobierno, así como el Informe de transparencia de Zendesk.

Informe de transparencia

Vigente al: 24 de septiembre de 2021.

ACERCA DE NUESTRO INFORME DE TRANSPARENCIA

Zendesk, como muchas compañías tecnológicas, ocasionalmente recibe solicitudes de organismos responsables del cumplimiento de la ley en los Estados Unidos y otros lugares, en busca de información personal procesada por Zendesk en nombre de un cliente. Tales solicitudes pueden tomar la forma de una citación, orden judicial, orden de allanamiento, Carta de Seguridad Nacional u órdenes libradas en virtud de la Ley de Vigilancia de Inteligencia Extranjera. Zendesk debe cumplir con las solicitudes de información personal gubernamentales válidas.

Al mismo tiempo, Zendesk se preocupa intensamente por mantener la confianza de nuestros clientes. Nuestra manera de mantener esa confianza consiste en informar a los clientes de Zendesk y al público las solicitudes gubernamentales válidas. Para hacerlo, hemos preparado este informe de transparencia.

Este informe de transparencia brinda información relacionada con las solicitudes de información personal de las autoridades responsables del cumplimiento de la ley que recibimos durante la primera mitad de 2021 (desde el 1 de enero de 2021 hasta el 30 de junio de 2021). Zendesk entregará informes actualizados aproximadamente cada seis meses por el periodo de seis meses.

Si desea obtener más información sobre el enfoque de Zendesk para responder a las solicitudes de información personal de las autoridades responsables del cumplimiento de la ley, consulte nuestra Política de solicitud de datos del gobierno aquí.

Solicitudes de las autoridades responsables del cumplimiento de la ley de los Estados Unidos:

Más información sobre el enfoque de Zendesk para responder a las solicitudes de información personal de las autoridades responsables del cumplimiento de la ley.

Tipo de solicitudCantidad de solicitudesDatos de contenido reveladosDatos que no son contenidos revelados
Citación404
Orden judicial101
Orden de allanamiento220
Solicitudes de las autoridades responsables del cumplimiento de la ley que no son de los Estados Unidos:

Si bien Zendesk se encuentra en los Estados Unidos, tenemos presencia corporativa en varios países. Cuando recibimos solicitudes de otros gobiernos que no sean de los EE. UU., trabajamos con abogados de los EE. UU. y de otros países que no son EE. UU. para determinar la validez de la solicitud y nuestra capacidad para responder en virtud de lo que establecen las leyes de los Estados Unidos y otras leyes aplicables

Tipo de solicitudCantidad de solicitudescantidad de veces que se proporcionaron los datos
Solicitudes informales80
Solicitudes gubernamentales que no son de los EE. UU. en virtud de un MLAT0N/A
Definiciones

Datos de contenido: Incluye el contenido de las comunicaciones de los Usuarios finales con una Cuenta, como el contenido de las solicitudes de Soporte de Zendesk y el chat de Zendesk. Por lo general, se considera que los datos de contenido son Datos de servicio, tal como se define en el Contrato marco de suscripción de Zendesk.

Datos que no son de contenido: No todos los datos son Datos de contenido. Esto puede incluir Información de cuenta, tal como se define en la Política de privacidad de Zendesk (como nombre del Propietario de la cuenta e información de contacto, información de facturación para la Cuenta, duración del Servicio, tipos de Servicios utilizados e información de inicio de sesión de la cuenta). Además, si Zendesk recibe una orden judicial, los Datos que no son contenido también pueden incluir metadatos que no son contenido en relación con las comunicaciones de los Usuarios finales con una Cuenta, lo cual constituye Datos de servicio.

Orden judicial: Una orden emitida por un juez tras la determinación de la existencia de fundamentos razonables para creer que la información solicitada es relevante y material para una investigación criminal en curso.

Órdenes de FISA: Una orden o solicitud emitida en virtud de lo establecido por la Ley de Vigilancia de Inteligencia Extranjera (Foreign Intelligence Surveillance Act, FISA) para la información del usuario emitida en los EE. UU.

MLAT (Tratado de asistencia legal mutua): Zendesk exige que las entidades gubernamentales que no son de los EE. UU. utilicen los procesos apropiados del derecho internacional, entre ellos un MLAT, para obtener datos del cliente.

Cartas de Seguridad Nacional: Una carta de seguridad nacional emitida en virtud de lo dispuesto en el título 18 del Código de los Estados Unidos (United States Code, U.S.C.) sección 2709

Orden de allanamiento: Una orden librada por un juez tras la determinación de una causa probable por parte de la autoridad responsable del cumplimiento de la ley. Se requiere una orden de allanamiento para obtener Datos de contenido.

Citación: Una demanda obligatoria emitida por una entidad gubernamental para la presentación de documentos en un caso criminal (por ejemplo, citaciones del gran jurado)