Zendesk fungiert sowohl als Händler als auch als Dienstanbieter. Als Händler ist Zendesk PCI DSS-konform. Als cloudbasierter Serviceprovider spielt Zendesk keine Rolle, was den Lebenszyklus der Zahlungskartenverarbeitung anbelangt. Kunden haben zwar die Möglichkeit, ihre Zendesk-Instanz so zu nutzen, wie es ihren Geschäftsanforderungen entspricht, aber Zendesk ist nicht als Abrechnungssystem oder zur Übertragung und/oder Speicherung von Kreditkartendaten gedacht.

Als Dienstanbieter bietet Zendesk eine Funktion, mit der Unternehmen eine persönliche Kontonummer (Pan) in ein angepasstes Ticketfeld in der Zendesk-Agentenoberfläche eingeben können (über das PCI-konforme Ticketfeld). Zahlungskartennummern, die in das PCI-konforme Ticketfeld eingegeben werden, werden vor der Übermittlung an die Zendesk-Plattform bis auf die letzten vier Ziffern geschwärzt. Dieses Feld und die zugehörigen Funktionen sind PCI-konform. Bitte beachten Sie, dass die Zendesk PCI DSS-Compliance nur für das Support-Produkt gilt. 

Fordern Sie eine Kopie der Erfüllungsbescheinigung (Attestation of Compliance, AoC) an (unter „Articles“).

 

ein Zendesk-Ansatz für Sicherheit und Compliance 

Zendesk verwendet branchenübliche Sicherheitskontrollen und Datenschutz-Frameworks, um die Sicherheit der Plattform und die Einhaltung branchenspezifischer Vorschriften wie PCI DSS zu gewährleisten. Hierzu gehören die folgenden Einstellungen:

Physische Sicherheit 

Zendesk hostet Servicedaten hauptsächlich in AWS-Rechenzentren, die nach ISO 27001, PCI DSS Service Provider Level 1 und/oder SOC 2 zertifiziert sind. Weitere Infos zu Compliance bei AWS.

Daten-Hosting-Standorte

Zendesk nutzt AWS-Rechenzentren auf der ganzen Welt.  Weitere Informationen zu Hosting-Standorten für Ihre Zendesk-Servicedaten.

In bestimmten Bereichen bieten wir auch Optionen für den Ort der Daten. Weitere Informationen zu Produkten, Plänen und regionalen Angeboten finden Sie unter Richtlinie für das regionale Daten-Hosting.

Netzwerksicherheit

Unser Netzwerk wird geschützt durch Nutzung wichtiger AWS-Sicherheitsdienste, Integration mit unseren Cloudflare Edge-Protection-Netzwerken, regelmäßigen Audits und Network-Intelligence-Technologien, die bekannten bösartigen Datenverkehr und Netzwerkzugriffe überwachen und/oder blockieren.

Architektur

Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme wie Datenbankserver befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZ finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.

Verschlüsselung

Die gesamte Kommunikation mit der Zendesk-UI und den APIs ist per Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Für E-Mail nutzt unser Produkt außerdem standardmäßig Opportunist Transport Layer Security (TLS). Die Dienstdaten werden bei der Speicherung in AWS mit einem AES-256-Schlüssel verschlüsselt.

Automatische Schwärzung

Um unseren Kunden zu helfen, ihren PCI-Verpflichtungen nachzukommen, haben wir eine Funktion namens „Automatische Schwärzung“ entwickelt. Diese Funktion wendet einen Luhn-Prüfalgorithmus an, wenn eine PaN in Ihre Zendesk-Instanz gelangt. Wenn das Tool eine Übereinstimmung mit der Kartennummer erkennt, kürzt es die Zahl auf die ersten 6 und die letzten 4 Zeichen und kennzeichnet sie mit dem Datum, an dem die Änderung angegeben ist. Dadurch werden die Daten in der Benutzeroberfläche maskiert, Protokoll- und Datenbankeinträge geschwärzt und sie nur so lange gespeichert, wie die Luhn-Prüfung erforderlich ist. 

Die Funktion „Automatische Schwärzung“ schwärzt nur neue Daten ab dem Zeitpunkt, an dem sie aktiviert wurden. Sie gilt nicht für das Help Center, Zendesk Chat oder andere Zendesk-Produkte.  

Um die Vorteile unserer Erfüllungsbescheinigung (Attestation of Compliance, AoC) in Anspruch zu nehmen, müssen Sie das angepasste Kreditkartenfeld aktivieren. Ohne Aktivierung dieses Felds profitiert Ihre Instanz möglicherweise nicht von der AoC oder einer PCI-konformen Umgebung.

Für Messaging:

Wenn der Arbeitsbereich für Agenten aktiviert ist, werden Zahlungskarteninformationen in Messaging automatisch geschwärzt. Diese interne Schwärzungsfunktion kann über die App-Einstellung maskCreditCardNumbers gesteuert werden. Weitere Informationen finden Sie in der Dokumentation zur SunCo-API.

Lernen Sie, wie Sie die automatische Schwärzung aktivieren

Weitere Infos über das Schwärzen von Ticketinhalten finden Sie hier

 

Was ist der Unterschied zwischen dem PCI-konformen Ticketfeld und der automatischen Schwärzung? 

Der entscheidende Unterschied zwischen den beiden Funktionen besteht darin, wann die Schwärzung stattfindet und welche PCI-Compliance-Verpflichtungen von Zendesk daraus folgen. Beim PCI-konformen Ticketfeld wird die Schwärzungsfunktion durchgeführt, bevor die PaN auf der Zendesk-Plattform verfügbar ist. Diese Funktion wurde geprüft und als PCI-konform zertifiziert. Sie ist für die Verarbeitung von Zahlungskartennummern ausgelegt. Im Gegensatz dazu werden bei automatischer Schwärzung Zahlungskartendaten identifiziert und unkenntlich gemacht, sobald sie in unsere Systeme eingegeben werden. 

Die automatische Schwärzung ist nicht dazu da, damit Sie PAN-Informationen akzeptieren können. Diese PCI-konforme Funktion unterstützt Sie bei der Verwaltung Ihrer PCI-Verantwortlichkeiten und stellt sicher, dass Sie Zahlungskarteninformationen überall in Ihrem Zendesk schwärzen können. Weitere Informationen dazu, wie Sie Ihre Instanz-PCI-Beschwerde einreichen können, finden Sie unter Was muss ich tun, um die PCI-DDS einzuhalten?.

Rechtlicher Hinweis

 

Glossar der Begriffe (auf Englisch).

Erwerber – auch als „Merchant Bank“, „ sichert als Käufer“ oder „erwerbendes Finanzinstitut“ bezeichnet. Organisation initiiert und unterhält Beziehungen zu Händlern, die die Annahme von Zahlungskarten ermöglichen. In der Regel ist der Käufer dafür verantwortlich, die PCI-Compliance im Konto des Händlers zu überwachen.

AoC – das Akronym für „Attestation of Compliance“. Aus dem Auditbericht geht hervor, ob und wie eine Organisation PCI-konform ist.

Karteninhaberdaten – Karteninhaberdaten bestehen mindestens aus der vollständigen Primärkontonummer (Pan). Daten des Karteninhabers können auch in Form der vollständigen PAN plus der folgenden Angaben angezeigt werden: Name des Karteninhabers, Ablaufdatum und/oder Servicecode.

CDE – Karteninhaberdatenumgebung. Die Personen, Prozesse und Technologien, die Karteninhaberdaten oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.

DLP – Data Loss Prevention (Englisch). Software zur Verhinderung von Datenverlust soll potenzielle Datenschutzverletzungen oder Datenverluste erkennen.

Verschlüsselung – Prozess der Umwandlung von Informationen in eine nur für den Inhaber eines bestimmten kryptografischen Schlüssels unverständliche Form. Durch Verschlüsselung werden die Informationen zwischen dem Verschlüsselungsprozess und dem Entschlüsselungsprozess (Umgekehrt zur Verschlüsselung) vor unbefugter Offenlegung geschützt.

Luhn-Prüfung – auch als „Mod 10“-Algorithmus bekannt. Hierbei handelt es sich um eine einfache Prüfsummenformel, die zum Validieren einer Vielzahl von Identifizierungsnummern, wie z. B. Kreditkartennummern, verwendet wird. Die meisten Kreditkarten verwenden den Algorithmus als einfache Methode, um gültige Nummern von falsch eingegebenen oder anderweitig falschen Nummern zu unterscheiden.

Maskieren – eine Methode, ein Datensegment beim Anzeigen oder Drucken zu verbergen. Die Maskierung wird verwendet, wenn es keine geschäftliche Anforderung gibt, die gesamte PaN anzuzeigen. Maskierung dient zum Schutz von PaN beim Anzeigen oder Drucken.

PCI -konformes Ticketfeld – Dieses Feld akzeptiert Kreditkartennummern von Agenten und schwärzt die Kreditkartennummer automatisch bis auf die letzten vier Ziffern, bevor die Daten an die Zendesk-Plattform übertragen werden. Dieses Feld muss aktiviert werden, damit Sie von der AoC von Zendesk profitieren können.

PCI-SSC – Akronym für Payment Card Industry Security Standards Council (CTI). Dieser Beirat wurde 2006 von den fünf Kreditkartenmarken (VISA, MasterCard, American Express, Discover, JCB) ins Leben gerufen.

PCI-DSS – The Payment Card Industry Data Security Standard (Englisch). Durch den PCI SSC wurde ein einheitlicher Standard geschaffen, der für alle Händler und Dienstanbieter gelten sollte.

PaN – Primäre Kontonummer. Wird auch als „Kontonummer“ bezeichnet. Eindeutige Kreditkartennummer (in der Regel bei Kredit- oder Debitkarten), die den Aussteller und den jeweiligen Karteninhaber identifiziert.

Dienstanbieter – Eine Geschäftseinheit (keine Kreditkartenaussteller), die im Auftrag einer anderen Einheit direkt an der Verarbeitung, Speicherung oder Übertragung von Karteninhaberdaten beteiligt ist. Dazu gehören auch Unternehmen, die Dienste bereitstellen, die die Sicherheit der Daten von Karteninhabern kontrollieren oder beeinträchtigen könnten. Hierzu gehören beispielsweise Managed-Service-Provider, die Managed Firewalls, IDS und andere Services bereitstellen, sowie Hosting-Provider und andere Einheiten.

QSA – Qualified Security Assessor. Der PCI SSC hat Firmen, die PCI-Bewertungen durchführen und bei der PCI-Validierung helfen. die Bezeichnung ist eine QSA-Firma, bzw. eine Einzelperson bei einer QSA-Firma kann als individuelle QSA zertifiziert werden.

Schwärzen – der Prozess der Entfernung sensibler Informationen wie Paun, wenn sie nicht benötigt werden.

SAQ – Fragebogen zur Selbsteinschätzung. Eine Instanz, die die PCI-Compliance validiert, muss sich entweder einer externen Bewertung durch eine QSA unterziehen oder eine SAQ ausfüllen und bei der Kartenmarke oder der Händlerbank einreichen.

Tokenisieren – Prozess des Aufteilens eines Datenflusses aussagekräftigen Texts, wie z. B. Kreditkartennummer, in Datenelemente (Token), die zwar die eigentlichen Daten darstellen, für sich genommen aber bedeutungslos sind. Durch Tokenisierung werden Kreditkartendaten aus Systemen oder Datenbanken entfernt, wodurch der Umfang der CDE reduziert wird.

Abgeschnitten – Methode, die die vollständige Pan unleserlich macht, indem ein Segment der Pan-Daten dauerhaft entfernt wird. Kürzung bezieht sich auf den Schutz der PaN bei der Speicherung in Dateien, Datenbanken usw.