Deutsch
  1. Zendesk-Hilfe
  2. Support
  3. Verwendung von Support
  4. Benutzerzugriff, Anmeldung und Sicherheit

Hinzufügen eines PCI-konformen Kreditkartenfelds (Enterprise)

Charles Nadeau
  • Bearbeitet

Enterprise-Plan

Wenn Agenten oder Endbenutzer Kreditkartennummern in Tickets eingeben, können Sie zum Ticketformular ein Kreditkartenfeld hinzufügen, das den Datensicherheitsstandard (DSS) der Kreditkartenbranche (PCI) voll und ganz erfüllt.

Hinweis: Gegenwärtig ist das Kreditkartennummernfeld das einzige PCI-konforme Angebot in der Agentenoberfläche von Zendesk Support und im Help Center.

Dieser Beitrag beschreibt, wie Sie ein PCI-konformes Kreditkartenfeld hinzufügen und wie Sie die Sicherheit Ihres Zendesks erhöhen können. Diese Empfehlungen machen Ihren Zendesk zwar nicht PCI-konform, tragen aber zu seiner erhöhten Sicherheit bei.

Behandelte Themen:

Hinzufügen des Kreditkartennummernfelds zum Ticketformular

Sie können das PCI-konforme Ticketfeld für Kreditkartennummern verwenden. Endbenutzer und Agenten können eine vollständige Kreditkartennummer in das Feld eingeben, und alles mit Ausnahme der letzten 4 Ziffern wird automatisch geschwärzt.

Hinweis: Der PCI-Compliance-Bericht geht nicht auf das Aktualisieren des Kreditkartenfelds bei Verwendung der Zendesk-API ein.

Sobald Sie das Feld aktivieren, wird Ihr Konto in einen PCI-konformen Bereich der Zendesk Support-Infrastruktur verlegt. Dieser Prozess kann bis zu 5 Arbeitstage dauern.

Dieser Abschnitt beschreibt, wie Sie das Feld hinzufügen können, und geht auf dessen Einschränkungen ein.

So fügen Sie das Kreditkartennummernfeld hinzu

  1. Melden Sie sich als Administrator bei Ihrem Zendesk-Konto an.
  2. Klicken Sie auf das Symbol Admin () und dann auf Verwalten > Ticketfelder.
  3. Klicken Sie rechts auf Angepasstes Feld hinzufügen.
  4. Machen Sie das Kreditkartennummernfeld ausfindig und klicken Sie auf Auswählen.
  5. Stellen Sie die folgenden Feldeigenschaften ein und klicken Sie auf Feld hinzufügen.
    Feldeigenschaft Werte
    Titel Beliebiger Name
    Für Endbenutzer > Sichtbar Nicht markiert (siehe Hinweis unten)
    Für Endbenutzer > Bearbeitbar Nicht markiert
    Erforderlich Sollte für Agenten und Endbenutzer nicht markiert werden
Hinweis: Wenn sich Ihr Konto in einem PCI-konformen Teil der Infrastruktur befinden soll, müssen Sie das Kreditkartenfeld hinzufügen. Um dieses Feld für Endbenutzer auszublenden, muss die Option „Für Endbenutzer > Sichtbar“ deaktiviert sein.

Einschränkungen

Nachfolgend einige bekannte Einschränkungen mit dem Kreditkartennummernfeld.

Produkteinschränkungen

  • Mobile App für Zendesk Support – Das Feld ist schreibgeschützt.
  • Web Widget – Das Feld wird nicht unterstützt.
  • Mobile SDK – Das Feld akzeptiert nur 4 Ziffern.
  • App Framework-Apps – Wenn das Feld in eine App integriert ist, die aus dem Apps Marketplace installiert wurde, können Apps abgehende Feldinhalte in der Browserkonsole sehen, bevor diese von Zendesk geschwärzt werden. Untersuchen Sie alle Apps auf diese potenzielle Gefahr hin, bevor Sie sie aktivieren.
  • Teilen von Tickets – Das Feld kann nicht mit anderen Zendesk Support-Konten geteilt werden.

Andere Einschränkungen

  • Die Speicherung einer vollständigen Kreditkartennummer wird von Zendesk Support nicht unterstützt.
  • PCI ermöglicht das Speichern der ersten 6 und der letzten 4 Ziffern einer Kreditkarte; Zendesk Support kann jedoch nur die letzten 4 Ziffern speichern.
  • Es gibt keine vordefinierte Funktionalität zur Unterstützung anderer Felder, die mit Kreditkarten-Authentifizierungsdaten zu tun haben, wie z. B. Felder mit Ablaufdatum, Kartenprüfwert (CVV) oder PIN-Nummern. Um Zendesk Support auf PCI-konforme Weise zu verwenden, sollten Sie diese Informationen nicht von Ihren Endbenutzern in den Kommentaren von Supporttickets anfordern. Der PCI-Datensicherheitsstandard lässt die Verwendung dieser Informationen nur während des Kreditkartenautorisierungsprozesses zu; Zendesk Support ist jedoch keine Anwendung zur Zahlungsverarbeitung.
  • Weitere vom Administrator aktivierte Funktionen können die Sicherheit des PCI-konformen Kreditkartenfelds betreffen. Bei korrekter Verwendung des PCI-konformen Felds empfängt oder speichert Zendesk Support zwar niemals die Kreditkartennummer, doch Drittanbieter-Apps, Browsererweiterungen oder Add-ons, Zendesk Talk oder E-Mails können dazu führen, dass Kartendaten von Endbenutzern abgefangen werden.

Implementierten strikter Kennwortanforderungen

Der PCI-Datensicherheitsstandard verlangt von den Agenten und Administratoren Ihres Unternehmens die Einhaltung der in diesem Abschnitt beschriebenen Kennwortanforderungen. Wenn Ihre Organisation strengere Auflagen hat, implementieren Sie sie entsprechend.

Wenn Sie für Ihre Agenten und Administratoren die Zendesk-Anmeldung verwenden, befolgen Sie die unten beschriebenen Schritte. Wenn Sie für Agenten und Administratoren die Google-Anmeldung oder Single-Sign-On (SSO) verwenden, stellen Sie sicher, dass Ihr Google-Konto oder Ihr SSO-Server die in diesem Abschnitt beschriebenen PCI-DSS-Kennwortanforderungen erfüllt.

  1. Melden Sie sich als Administrator bei Ihrer Zendesk-Instanz an.
  2. Klicken Sie auf das Symbol Admin und dann auf Sicherheit > Administratoren/Agenten.
  3. Klicken Sie auf das Optionsfeld Zendesk und anschließend auf das Optionsfeld Angepasst.
  4. Legen Sie die folgenden Anforderungen fest:
    Einstellung Mindestanforderung
    Muss sich von mindestens so vielen Kennwörtern unterscheiden: 4 vorherige Kennwörter
    Muss mindestens so viele Zeichen enthalten: 7
    Muss Ziffern und Sonderzeichen enthalten: nur Ziffern
    Muss Groß- und Kleinbuchstaben enthalten ja
    Läuft nach so vielen Tagen ab: 90
    Anzahl fehlgeschlagener Versuch bis Sperre: 6
    Sitzungen laufen nach so vielen Minuten ab: 15 (siehe Hinweis)
    Hinweis: Die Anforderung in Bezug auf den Sitzungsablauf ist optional, wenn Ihre Workstations so konfiguriert sind, dass sie nach 15 Minuten gesperrt werden, und die IP-Einschränkungen so konfiguriert sind, dass Timeout-Einstellungen nur auf Geräte in Ihrem autorisierten Netzwerk angewendet werden.
  5. Klicken Sie auf Speichern.

Ihre Einstellungen sollten wie folgt aussehen:

Die Kennwortanforderungen oben treffen auf Agenten und Administratoren zu. Für Endbenutzer wird die folgende Einstellung empfohlen, um eine Kompromittierung ihrer Konten zu verhindern. Im PCI-Datensicherheitsstandard wird dies zwar nicht vorgeschrieben, aber diese Vorkehrung schützt die Supportkonten Ihrer Kunden. Zendesk empfiehlt für Endbenutzer die Option Hoch auf der Seite Sicherheit > Endbenutzer. Beispiel:

Sicherstellen, dass SSL aktiviert ist

PCI setzt voraus, dass jegliche Kommunikation über öffentliche Netzwerke, die Karteninhaberdaten enthalten kann, verschlüsselt wird.

So konfigurieren Sie Ihre Zendesk-Instanz für die Aktivierung der TLS-Verschlüsselung

  1. Melden Sie sich als Administrator bei Ihrem Zendesk Support-Konto an.
  2. Klicken Sie auf das Symbol Admin () und dann auf Sicherheit > SSL.
  3. Wenn Sie gehostetes SSL verwenden, stellen Sie sicher, dass Ihr SSL-Zertifikat gültig ist. Markieren Sie andernfalls das Kästchen Aktiviert im Bereich Normales SSL.

Zendesk verwendet TLS, da SSL den Anforderungen des PCI-Datensicherheitsstandards nicht mehr genügt. Standardmäßig verwendet Zendesk TLS 1.2; als Fallback-Optionen für Systeme, die TLS 1.2 nicht verwenden können, sind jedoch auch TLS 1.1 und TLS 1.0 aktiviert.

Empfehlung: Aktivieren der automatischen Schwärzung für andere Felder

Es lässt sich nie ganz ausschließen, dass Endbenutzer oder Agenten Kreditkartennummern nicht versehentlich an anderer Stelle eingeben. Möglicherweise geben sie eine Kreditkartennummer in die Ticketkommentare oder in ein anderes angepasstes Ticketfeld ein. Um zu erfahren, wie Sie auch diese Nummern schwärzen können, lesen Sie Schwärzen von Kreditkartennummern in Tickets im Help Center.

Hinweis: Gegenwärtig ist die Schwärzungsfunktion nicht PCI-konform. Sie wird als zusätzliche Sicherheitsstufe angeboten, damit Kreditkartendaten nicht versehentlich in Ihrem Zendesk-Konto und in E-Mail-Benachrichtigungen weitergegeben werden.

Rechtlicher Hinweis

Zendesk hält für Abonnenten, die das Kreditkartenfeld in den Help-Desk- und Help-Center-Diensten von Zendesk verwenden möchten, eine Erfüllungsbescheinigung (Attestation of Compliance, AoC) der Kreditkartenbranche bereit. Diese Bescheinigung gilt nicht für andere Dienste oder Produkte von Zendesk. Diese AoC bestätigt, dass Zendesk Version 3.1 des PCI-Datensicherheitsstandards (Payment Card Industry Data Security Standard, PCI DSS), wie vom Payment Card Industry Security Standards Council (PCI SSC) formuliert, einhält. Zendesk-Abonnenten mit dem Enterprise-Plan können von der AoC von Zendesk profitieren, indem sie die in diesem Beitrag genannten Prozesse befolgen. Nach Befolgen der in diesem Beitrag genannten Prozesse kann es bis zu 5 Arbeitstage dauern, bis ihr Zendesk Support-Konto in eine PCI-konforme Umgebung von Zendesk verlegt wird.

Dieser Beitrag ist nicht als Ersatz für eine Beratung durch einen in Ihrer Gerichtshoheit lizenzierten oder autorisierten Experten zu betrachten. Bei konkreten Fragen zur Rechtslage oder Compliance sollten Sie stets einen qualifizierten Spezialisten zu Rate ziehen. Kein Teil dieses Beitrags ist als Rechtsberatung anzusehen.

Haben Sie Fragen? Anfrage einreichen

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.

Verwandte Beiträge

Verwandte Beiträge

Powered by Zendesk