Welchen Plan habe ich?

Bei Suite Enterprise und höheren Plänen verfügbarBei Support Enterprise-Plänen verfügbar

Wenn Agenten oder Endbenutzer Kreditkartennummern in Tickets eingeben, können Sie zum Ticketformular ein Kreditkartenfeld hinzufügen, das den Datensicherheitsstandard (DSS) der Kreditkartenbranche (PCI) voll und ganz erfüllt.

Hinweis: Gegenwärtig ist das Kreditkartennummernfeld das einzige PCI-konforme Angebot in der Agentenoberfläche von Zendesk Support und im Help Center.

Dieser Beitrag beschreibt, wie Sie ein PCI-konformes Kreditkartenfeld hinzufügen und wie Sie die Sicherheit Ihres Zendesks erhöhen können. Diese Empfehlungen machen Ihren Zendesk zwar nicht PCI-konform, tragen aber zu seiner erhöhten Sicherheit bei.

Behandelte Themen:

  • Hinzufügen des Kreditkartennummernfelds zum Ticketformular
  • Implementierten strikter Kennwortanforderungen 
  • Sicherstellen, dass SSL aktiviert ist
  • Empfehlung: Aktivieren der automatischen Schwärzung für andere Felder
  • Rechtlicher Hinweis

Hinzufügen des Kreditkartennummernfelds zum Ticketformular

Sie können das PCI-konforme Ticketfeld für Kreditkartennummern verwenden. Endbenutzer und Agenten können eine vollständige Kreditkartennummer in das Feld eingeben, und alles mit Ausnahme der letzten 4 Ziffern wird automatisch geschwärzt.

Hinweis: Der PCI-Compliance-Bericht geht nicht auf das Aktualisieren des Kreditkartenfelds bei Verwendung der Zendesk-API ein.

Sobald Sie das Feld aktivieren, wird Ihr Konto in einen PCI-konformen Bereich der Zendesk Support-Infrastruktur verlegt. Dieser Prozess kann bis zu 5 Arbeitstage dauern.

Dieser Abschnitt beschreibt, wie Sie das Feld hinzufügen können, und geht auf dessen Einschränkungen ein.

So fügen Sie das Kreditkartennummernfeld hinzu

  1. Melden Sie sich als Administrator bei Ihrem Zendesk-Konto an.
  2. Klicken Sie in der Seitenleiste des Admin Centers auf Objekte und Regeln und dann auf Tickets > Felder.
  3. Klicken Sie rechts auf Feld hinzufügen.
  4. Klicken Sie auf das Feld Kreditkarte.
  5. Legen Sie die folgenden Feldeigenschaften fest und klicken Sie auf Speichern.
    Feldeigenschaft Werte
    Titel Beliebiger Name
    Nur Lesezugriff durch Endbenutzer Nicht markiert (siehe Hinweis unten)
    Von Endbenutzern bearbeitbar Nicht markiert
    Erforderlich Sollte für Agenten und Endbenutzer nicht markiert werden
Hinweis: Wenn sich Ihr Konto in einem PCI-konformen Teil der Infrastruktur befinden soll, müssen Sie das Kreditkartenfeld hinzufügen. Um dieses Feld für Endbenutzer auszublenden, muss die Option Nur Lesezugriff durch Endbenutzer deaktiviert sein.

Einschränkungen

Nachfolgend einige bekannte Einschränkungen mit dem Kreditkartennummernfeld.

Produkteinschränkungen

  • Mobile App für Zendesk Support – Das Feld ist schreibgeschützt.
  • Web Widget – Das Feld wird nicht unterstützt.
  • Mobile SDK – Das Feld akzeptiert nur 4 Ziffern.
  • App Framework-Apps – Wenn das Feld in eine App enthalten ist, die aus dem Zendesk Marketplace installiert wurde, können Apps abgehende Feldinhalte in der Browserkonsole sehen, bevor diese von Zendesk geschwärzt werden. Untersuchen Sie alle Apps auf diese potenzielle Gefahr hin, bevor Sie sie aktivieren.
  • Teilen von Tickets – Das Feld kann nicht mit anderen Zendesk Support-Konten geteilt werden.

Andere Einschränkungen

  • Die Speicherung einer vollständigen Kreditkartennummer wird von Zendesk Support nicht unterstützt.
  • PCI ermöglicht das Speichern der ersten 6 und der letzten 4 Ziffern einer Kreditkarte; Zendesk Support kann jedoch nur die letzten 4 Ziffern speichern.
  • Im Feld „Kreditkartennummer“ können nur Kreditkartennummern gespeichert werden. Alle anderen Zeichen, die Sie in das Feld eingeben, werden beim Speichern der Einstellungen entfernt.
  • Es gibt keine vordefinierte Funktionalität zur Unterstützung anderer Felder, die mit Kreditkarten-Authentifizierungsdaten zu tun haben, wie z. B. Felder mit Ablaufdatum, Kartenprüfwert (CVV) oder PIN-Nummern. Um Zendesk Support auf PCI-konforme Weise zu verwenden, sollten Sie diese Informationen nicht von Ihren Endbenutzern in den Kommentaren von Supporttickets anfordern. Der PCI-Datensicherheitsstandard lässt die Verwendung dieser Informationen nur während des Kreditkartenautorisierungsprozesses zu; Zendesk Support ist jedoch keine Anwendung zur Zahlungsverarbeitung.
  • Weitere vom Administrator aktivierte Funktionen können die Sicherheit des PCI-konformen Kreditkartenfelds betreffen. Bei korrekter Verwendung des PCI-konformen Felds empfängt oder speichert Zendesk Support zwar niemals die Kreditkartennummer, doch Drittanbieter-Apps, Browsererweiterungen oder Add-ons, Zendesk Talk oder E-Mails können dazu führen, dass Kartendaten von Endbenutzern abgefangen werden.

Implementierten strikter Kennwortanforderungen

Der PCI-Datensicherheitsstandard verlangt von den Agenten und Administratoren Ihres Unternehmens die Einhaltung der in diesem Abschnitt beschriebenen Kennwortanforderungen. Wenn Ihre Organisation strengere Auflagen hat, implementieren Sie sie entsprechend.

Wenn Sie für Ihre Agenten und Administratoren die Zendesk-Anmeldung verwenden, befolgen Sie die unten beschriebenen Schritte. Wenn Sie für Agenten und Administratoren die Google-Anmeldung oder Single-Sign-On (SSO) verwenden, stellen Sie sicher, dass Ihr Google-Konto oder Ihr SSO-Server die in diesem Abschnitt beschriebenen PCI-DSS-Kennwortanforderungen erfüllt.

  1. Melden Sie sich als Administrator bei Ihrer Zendesk-Instanz an.
  2. Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
  3. Klicken Sie auf Angepasst im Menü Kennwortstufe.
  4. Klicken Sie auf Bearbeiten.
  5. Legen Sie die folgenden Anforderungen fest:
    Einstellung Mindestanforderung
    Anzahl der zuletzt verwendeten Kennwörter, die nicht zulässig sind 4 vorherige Kennwörter
    Mindestlänge 7
    Muss Ziffern und Sonderzeichen enthalten Nur Ziffern
    Muss Groß- und Kleinbuchstaben enthalten Ja
    Ablauffrist für Kennwort 90 Tage
    Anzahl fehlgeschlagener Versuche bis Sperre 6
    Sitzungen laufen nach so vielen Minuten ab 15 (siehe Hinweis)
    Hinweis: Die Anforderung in Bezug auf den Sitzungsablauf ist optional, wenn Ihre Workstations so konfiguriert sind, dass sie nach 15 Minuten gesperrt werden, und die IP-Einschränkungen so konfiguriert sind, dass Timeout-Einstellungen nur auf Geräte in Ihrem autorisierten Netzwerk angewendet werden.
  6. Klicken Sie auf Festlegen, um Ihre Änderungen zu speichern.

Die Kennwortanforderungen oben treffen auf Agenten und Administratoren zu. Für Endbenutzer wird die folgende Einstellung empfohlen, um eine Kompromittierung ihrer Konten zu verhindern.  Im PCI-Datensicherheitsstandard wird dies zwar nicht vorgeschrieben, aber diese Vorkehrung schützt die Supportkonten Ihrer Kunden. Zendesk empfiehlt, auf der Seite Admin Center > Konto > Sicherheit > Authentifizierung für Endbenutzer > Endbenutzer die Einstellung Hoch zu wählen.

Sicherstellen, dass SSL aktiviert ist

PCI setzt voraus, dass jegliche Kommunikation über öffentliche Netzwerke, die Karteninhaberdaten enthalten kann, verschlüsselt wird.

So konfigurieren Sie Ihre Zendesk-Instanz für die Aktivierung der TLS-Verschlüsselung

  1. Melden Sie sich als Administrator bei Ihrem Zendesk Support-Konto an.
  2. Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Weitere Einstellungen.
  3. Klicken Sie auf die Registerkarte SSL.
  4. Wenn Sie gehostetes SSL verwenden, stellen Sie sicher, dass Ihr SSL-Zertifikat gültig ist. Markieren Sie andernfalls das Kästchen Aktiviert im Bereich Normales SSL.

Zendesk verwendet TLS, da SSL den Anforderungen des PCI-Datensicherheitsstandards nicht mehr genügt. Standardmäßig verwendet Zendesk TLS 1.2; als Fallback-Optionen für Systeme, die TLS 1.2 nicht verwenden können, sind jedoch auch TLS 1.1 und TLS 1.0 aktiviert.

Empfehlung: Aktivieren der automatischen Schwärzung für andere Felder

Es lässt sich nie ganz ausschließen, dass Endbenutzer oder Agenten Kreditkartennummern nicht versehentlich an anderer Stelle eingeben. Möglicherweise geben sie eine Kreditkartennummer in die Ticketkommentare oder in ein anderes angepasstes Ticketfeld ein. Um zu erfahren, wie Sie auch diese Nummern schwärzen können, lesen Sie Schwärzen von Kreditkartennummern in Tickets im Help Center.

Hinweis: Gegenwärtig ist die Schwärzungsfunktion nicht PCI-konform. Sie wird als zusätzliche Sicherheitsstufe angeboten, damit Kreditkartendaten nicht versehentlich in Ihrem Zendesk-Konto und in E-Mail-Benachrichtigungen weitergegeben werden.

Rechtlicher Hinweis

Zendesk hält für Abonnenten, die das Kreditkartenfeld in den Help-Desk- und Help-Center-Diensten von Zendesk verwenden möchten, eine Erfüllungsbescheinigung (Attestation of Compliance, AoC) der Kreditkartenbranche bereit. Diese Bescheinigung gilt nicht für andere Dienste oder Produkte von Zendesk. Eine Kopie der AoC können Sie unter Artefakte > Ressourcen zum direkten Download (ohne Geheimhaltungsvereinbarung) > Ressourcen aufrufen herunterladen. Diese AoC bestätigt, dass Zendesk mit Version 4.0 des Datensicherheitsstandards PCI (Payment Card Industry Data Security Standard, PCI DSS), wie vom Payment Card Industry Security Standards Council (PCI SSC) formuliert, konform ist. Zendesk-Abonnenten mit dem Enterprise-Plan können von der AoC von Zendesk profitieren, indem sie die in diesem Beitrag genannten Prozesse befolgen.  Danach kann es bis zu 5 Arbeitstage dauern, bis Ihr Zendesk Support-Konto in eine PCI-konforme Zendesk-Umgebung verlegt wird.

Dieser Beitrag ist nicht als Ersatz für eine Beratung durch einen in Ihrer Gerichtshoheit lizenzierten oder autorisierten Experten zu betrachten. Bei konkreten Fragen zur Rechtslage oder Compliance sollten Sie stets einen qualifizierten Spezialisten zu Rate ziehen. Kein Teil dieses Beitrags ist als Rechtsberatung anzusehen.

Powered by Zendesk