Wenn Agenten oder Endbenutzer Kreditkartennummern in Tickets eingeben, können Sie zum Ticketformular ein Kreditkartenfeld hinzufügen, das den Datensicherheitsstandard (DSS) der Kreditkartenbranche (PCI) voll und ganz erfüllt.
Dieser Beitrag beschreibt, wie Sie ein PCI-konformes Kreditkartenfeld hinzufügen und wie Sie die Sicherheit Ihres Zendesks erhöhen können. Diese Empfehlungen machen Ihren Zendesk zwar nicht PCI-konform, tragen aber zu seiner erhöhten Sicherheit bei.
Behandelte Themen:
Hinzufügen des Kreditkartennummernfelds zum Ticketformular
Sie können das PCI-konforme Ticketfeld für Kreditkartennummern verwenden. Endbenutzer und Agenten können eine vollständige Kreditkartennummer in das Feld eingeben, und alles mit Ausnahme der letzten 4 Ziffern wird automatisch geschwärzt.
Sobald Sie das Feld aktivieren, wird Ihr Konto in einen PCI-konformen Bereich der Zendesk Support-Infrastruktur verlegt. Dieser Prozess kann bis zu 5 Arbeitstage dauern.
Dieser Abschnitt beschreibt, wie Sie das Feld hinzufügen können, und geht auf dessen Einschränkungen ein.
So fügen Sie das Kreditkartennummernfeld hinzu
- Melden Sie sich als Administrator bei Ihrem Zendesk-Konto an.
- Klicken Sie auf das Symbol Admin (
) und dann auf Verwalten > Ticketfelder.
- Klicken Sie rechts auf Angepasstes Feld hinzufügen.
- Suchen Sie das Feld für die Kreditkartennummer und klicken Sie auf Auswählen.
- Legen Sie die folgenden Feldeigenschaften fest und klicken Sie auf Feld hinzufügen.
Feldeigenschaft Werte Titel Beliebiger Name Für Endbenutzer > Sichtbar Nicht markiert (siehe Hinweis unten) Für Endbenutzer > Bearbeitbar Nicht markiert Erforderlich Sollte für Agenten und Endbenutzer nicht markiert werden
Einschränkungen
Nachfolgend einige bekannte Einschränkungen mit dem Kreditkartennummernfeld.
Produkteinschränkungen
- Mobile App für Zendesk Support – Das Feld ist schreibgeschützt.
- Web Widget – Das Feld wird nicht unterstützt.
- Mobile SDK – Das Feld akzeptiert nur 4 Ziffern.
- App Framework-Apps – Wenn das Feld in eine App enthalten ist, die aus dem Zendesk Marketplace installiert wurde, können Apps abgehende Feldinhalte in der Browserkonsole sehen, bevor diese von Zendesk geschwärzt werden. Untersuchen Sie alle Apps auf diese potenzielle Gefahr hin, bevor Sie sie aktivieren.
- Teilen von Tickets – Das Feld kann nicht mit anderen Zendesk-Konten geteilt werden.
Andere Einschränkungen
- Die Speicherung einer vollständigen Kreditkartennummer wird von Zendesk Support nicht unterstützt.
- PCI erlaubt das Speichern der ersten 6 und der letzten 4 Ziffern einer Kreditkartennummer, Zendesk Support kann aber nur die letzten 4 Ziffern speichern.
- Es gibt keine vordefinierte Funktionalität zur Unterstützung anderer Felder, die mit Kreditkarten-Authentifizierungsdaten zu tun haben, wie z. B. Felder mit Ablaufdatum, Kartenprüfwert (CVV) oder PIN-Nummern. Um Zendesk Support auf PCI-konforme Weise zu verwenden, sollten Sie diese Informationen nicht von Ihren Endbenutzern in den Kommentaren von Supporttickets anfordern. Der PCI-Datensicherheitsstandard lässt die Verwendung dieser Informationen nur während des Kreditkartenautorisierungsprozesses zu; Zendesk Support ist jedoch keine Anwendung zur Zahlungsverarbeitung.
- Weitere vom Administrator aktivierte Funktionen können die Sicherheit des PCI-konformen Kreditkartenfelds betreffen. Bei korrekter Verwendung des PCI-konformen Felds empfängt oder speichert Zendesk Support zwar niemals die Kreditkartennummer, doch Drittanbieter-Apps, Browsererweiterungen oder Add-ons, Zendesk Talk oder E-Mails können dazu führen, dass Kartendaten von Endbenutzern abgefangen werden.
Implementierten strikter Kennwortanforderungen
Der PCI-Datensicherheitsstandard verlangt von den Agenten und Administratoren Ihres Unternehmens die Einhaltung der in diesem Abschnitt beschriebenen Kennwortanforderungen. Wenn Ihre Organisation strengere Auflagen hat, implementieren Sie sie entsprechend.
Wenn Sie für Ihre Agenten und Administratoren die Zendesk-Anmeldung verwenden, befolgen Sie die unten beschriebenen Schritte. Wenn Sie für Agenten und Administratoren die Google-Anmeldung oder Single-Sign-On (SSO) verwenden, stellen Sie sicher, dass Ihr Google-Konto oder Ihr SSO-Server die in diesem Abschnitt beschriebenen PCI-DSS-Kennwortanforderungen erfüllt.
- Melden Sie sich als Administrator bei Ihrer Zendesk-Instanz an.
- Klicken Sie in einem beliebigen Produkt in der oberen Symbolleiste auf das Zendesk-Produktsymbol (
) und dann auf Admin Center.
- Klicken Sie im Admin Center in der linken Seitenleiste auf das Symbol Sicherheit (
).
- Klicken Sie auf Mitarbeiter und dann im Menü Kennwortstufe auf Angepasst.
- Klicken Sie auf Bearbeiten.
- Legen Sie die folgenden Anforderungen fest:
Einstellung Mindestanforderung Vorherige Kennwörter 4 vorherige Kennwörter Mindestlänge 7 Muss Ziffern und Sonderzeichen enthalten nur Ziffern Muss Groß- und Kleinbuchstaben enthalten ja Ablauffrist für Kennwort 90 Anzahl fehlgeschlagener Versuche bis Sperre 6 Sitzungen laufen nach so vielen Minuten ab 15 (siehe Hinweis) Hinweis: Die Anforderung in Bezug auf den Sitzungsablauf ist optional, wenn Ihre Workstations so konfiguriert sind, dass sie nach 15 Minuten gesperrt werden, und die IP-Einschränkungen so konfiguriert sind, dass Timeout-Einstellungen nur auf Geräte in Ihrem autorisierten Netzwerk angewendet werden. - Klicken Sie auf Festlegen, um Ihre Änderungen zu speichern.
Die Kennwortanforderungen oben treffen auf Agenten und Administratoren zu. Für Endbenutzer wird die folgende Einstellung empfohlen, um eine Kompromittierung ihrer Konten zu verhindern. Im PCI-Datensicherheitsstandard wird dies zwar nicht vorgeschrieben, aber diese Vorkehrung schützt die Supportkonten Ihrer Kunden. Zendesk empfiehlt, auf der Seite Sicherheit > Endbenutzer die Option Hoch auszuwählen.
Sicherstellen, dass SSL aktiviert ist
PCI setzt voraus, dass jegliche Kommunikation über öffentliche Netzwerke, die Karteninhaberdaten enthalten kann, verschlüsselt wird.
So konfigurieren Sie Ihre Zendesk-Instanz für die Aktivierung der TLS-Verschlüsselung
- Melden Sie sich als Administrator bei Ihrem Zendesk-Konto an.
- Klicken Sie auf das Symbol Admin (
) und dann auf Sicherheit > SSL.
- Wenn Sie Gehostetes SSL verwenden, stellen Sie sicher, dass Ihr SSL-Zertifikat gültig ist. Andernfalls stellen Sie sicher, dass das Kontrollkästchen Aktiviert im Bereich Normales SSL aktiviert ist.
Zendesk verwendet TLS, da SSL den Anforderungen des PCI-Datensicherheitsstandards nicht mehr genügt. Standardmäßig verwendet Zendesk TLS 1.2; als Fallback-Optionen für Systeme, die TLS 1.2 nicht verwenden können, sind jedoch auch TLS 1.1 und TLS 1.0 aktiviert.
Empfehlung: Aktivieren der automatischen Schwärzung für andere Felder
Man kann nicht mit letzter Sicherheit verhindern, dass Endbenutzer oder Agenten Kreditkartennummern nicht versehentlich woanders eingeben. Möglicherweise geben sie eine Kreditkartennummer in die Ticketkommentare oder in ein anderes angepasstes Ticketfeld ein. Weitere Informationen dazu, wie Sie auch diese Nummern schwärzen können, finden Sie im Help Center unter Automatisches Schwärzen von Kreditkartennummern in Tickets.
Rechtlicher Hinweis
Zendesk hält für Abonnenten, die das Kreditkartenfeld in den Help-Desk- und Help-Center-Diensten von Zendesk verwenden möchten, eine Erfüllungsbescheinigung (Attestation of Compliance, AoC) der Kreditkartenbranche bereit. Diese Bescheinigung gilt nicht für andere Dienste oder Produkte von Zendesk. Diese AoC bestätigt, dass Zendesk Version 3.1 des PCI-Datensicherheitsstandards (Payment Card Industry Data Security Standard, PCI DSS), wie vom Payment Card Industry Security Standards Council (PCI SSC) formuliert, einhält. Zendesk-Abonnenten mit dem Enterprise-Plan können von der AoC von Zendesk profitieren, indem sie die in diesem Beitrag genannten Prozesse befolgen. Nach Befolgen der in diesem Beitrag genannten Prozesse kann es bis zu 5 Arbeitstage dauern, bis ihr Zendesk Support-Konto in eine PCI-konforme Umgebung von Zendesk verlegt wird.
Dieser Beitrag ist nicht als Ersatz für eine Beratung durch einen in Ihrer Gerichtshoheit lizenzierten oder autorisierten Experten zu betrachten. Bei konkreten Fragen zur Rechtslage oder Compliance sollten Sie stets einen qualifizierten Spezialisten zu Rate ziehen. Kein Teil dieses Beitrags ist als Rechtsberatung anzusehen.
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.