Modelo de responsabilidad compartida de Zendesk

Zendesk ofrece a muchas de las compañías líderes en distintos sectores alrededor del mundo una plataforma de servicio de atención al cliente que se puede configurar extensamente y ampliar rápidamente.  Cuando nuestros suscriptores aprovechan nuestra plataforma en la nube para satisfacer sus necesidades de servicio de atención al cliente, en efecto les estamos ayudando a reducir sus gastos, escalar según las demandas y facilitar interacciones increíblemente sencillas con sus clientes.

Trasladar el negocio a la nube genera los beneficios que acabamos de mencionar, pero también puede producir ambigüedad en relación a quién es responsable de qué control.  Pero no se preocupe que para eso hemos elaborado el Modelo de responsabilidad compartida:  un marco que deja claro qué parte es responsable de qué controles relacionados con la seguridad y la privacidad de los datos.  Bien puede ser un administrador meticuloso o un agente de seguridad empresarial, cumplimiento o privacidad, o cualquier otra persona que tenga a su cargo la configuración de los controles apropiados para el uso de los Servicios de Zendesk en su entorno, esta norma detalla claramente los límites que es necesario conocer.

Para resumirlo en una sola frase: “Zendesk se encarga de la seguridad del Servicio propiamente dicho, mientras que usted se encarga de la seguridad dentro de sus instancias particulares del Servicio”.  

1. Controles de acceso e higiene
2. Integraciones
3. Datos, privacidad, cumplimiento y aspectos normativos
4. Monitoreo
5. Mantenimiento
6. Incidentes de seguridad (roles y responsabilidades)
7. Vínculos útiles
8. Registro de cambios

Tenga en cuenta que los términos escritos con mayúsculas tienen el significado que se les atribuye en el Contrato de servicios principales de Zendesk (“MSA”).

I. Controles de acceso e higiene
El control del acceso a los sistemas confidenciales y los datos contenidos en ellos es un aspecto fundamental de los principios de seguridad. 

1. El Suscriptor es responsable de todos los controles de acceso a sus instancias del Servicio, lo que comprende lo siguiente:
   1. Aprovisionar, modificar, asegurar la higiene continua, mantener el rigor de los privilegios y cancelar el aprovisionamiento de todos los usuarios, incluidos los usuarios finales y los agentes (bien sea en el propio local, a distancia o respecto a personal de terceros)
   2. Elegir y configurar el método de autenticación para ingresar al Servicio desde ofertas compatibles (puede incluir contraseñas, la autenticación de múltiples factores (MFA), el inicio de sesión único (SSO), etc.)
   3. Configurar y monitorear los aspectos del manejo de sesión como los cierres de sesión, dispositivos conectados, etc.
   4. Autorizar o desautorizar a nuestro personal de soporte para que pueda ingresar en su instancia de Support con el fin de prestar asistencia
   5. Configurar el acceso a los servicios de la API de REST de Zendesk (donde corresponda, incluidas las integraciones, el uso del Servicio Zendesk Sunshine, etc.) y comprender las repercusiones de su uso
   6. Configurar las restricciones de IP admitidas por los productos donde se deseen
   7. Tomar en cuenta los demás controles de acceso que no se relacionen con los productos, como qué tipos de dispositivos permitir que usen los agentes para acceder a sus instancias, así como los controles físicos, lógicos o de política que puedan aplicarse ya sea a sus usuarios o a los dispositivos permitidos
2. Zendesk es responsable de todos los controles de acceso a los sistemas que son los pilares del Servicio, incluido lo siguiente:
   1. Mantener las políticas y los procedimientos necesarios para aprovisionar, modificar, asegurar la higiene continua, mantener el rigor de los privilegios y cancelar el aprovisionamiento de todos los usuarios de manera segura (bien sea en el propio local, a distancia o respecto a personal de terceros)
   2. Hacer cumplir el Control al acceso basado en roles (“RBAC”), el Principio de mínimo privilegio (“PLP”), la seguridad de credenciales apropiada, incluida la Autenticación de varios factores (“MFA”), en relación al acceso de todos los empleados y contratistas a sistemas y aplicaciones vitales que contienen Datos de servicio del Suscriptor
   3. Realizar verificaciones periódicas de todo lo anterior

II. Integraciones 
Aprovechar los recursos de terceros puede mejorar considerablemente la eficiencia, pero también introduce cuestiones de seguridad que hay que tener en cuenta.

1. El Suscriptor es responsable de tener en cuenta las repercusiones de seguridad que pueden derivarse de aprovechar todas las integraciones de terceros con el Servicio, entre ellas:
   1. Las integraciones efectuadas a través de la API o el SDK
   2. Las integraciones efectuadas instalando aplicaciones del Marketplace o activando canales de terceros
   3. Las integraciones con cualquier tercero que ayude al Suscriptor al proporcionar personal, herramientas, código o prestar servicio directamente a las instancias de Zendesk
2. Zendesk es responsable de integrar al Servicio a terceros que sean de confianza, por lo que debe:
   1. Investigar y practicar continuamente la diligencia debida en relación a todos los Subprocesadores
   2. Integrar las adquisiciones en el Servicio de manera segura
   3. Asegurarse de que las afiliaciones de productos o las integraciones del Servicio con terceros tengan en cuenta todos los aspectos de seguridad que corresponda 

III. Datos, privacidad, cumplimiento y aspectos normativos
Es imprescindible que se asigne la responsabilidad de los datos en uso, su tratamiento correcto, todo marco regulatorio que sea pertinente y la importancia de las garantías de terceros.

1. El Suscriptor es responsable del tratamiento correcto de los datos que recibe y utiliza, lo cual incluye:
   1. Comprender los tipos de datos utilizados en su caso práctico en particular
   2. Tratar tales datos de conformidad con la clasificación de datos y las políticas de privacidad de su compañía, las leyes aplicables que tienen que ver con los datos mismos, los usuarios que los proporcionan, el sector al que pertenece el Suscriptor así como todas las jurisdicciones pertinentes
   3. Elegir qué canales permitir para la comunicación con las instancias del Servicio
   4. Dar mantenimiento a las instancias y a los Datos de servicio de conformidad con todo marco de cumplimiento, legal o normativo, dentro de cuyo ámbito de aplicación se encuentre el sector, los usuarios, o bien el caso práctico del Suscriptor
   5. Proporcionar a Zendesk certificados de TLS alternativos cuando se desee utilizar el mapeo de host a un dominio principal que no sea de Zendesk con el objeto de encriptar el tráfico hacia y desde la interfaz de usuario o las API de Zendesk
   6. Comprender dónde los datos podrían no ser encriptados en tránsito y tratar esos canales o protocolos como corresponde (principalmente el correo electrónico, SMS o integraciones de terceros que no admiten encriptación y que hayan sido realizadas a criterio exclusivo del Suscriptor)
   7. Garantizar que los tipos de datos utilizados en la instancia del Suscriptor no violen los términos y condiciones del Contrato de servicios principales de Zendesk (consulte el MSA de Zendesk)
   8. Asegurarse de que el nivel de disponibilidad y recuperación ante desastres que elija el Suscriptor respete las políticas o reglamentos aplicables al Suscriptor
2. Zendesk es responsable de: 
   1. Proteger debidamente todos los Datos de servicio contra su divulgación a nivel de Servicio (es decir, en la infraestructura o el código)  
   2. Encriptar todos los datos en tránsito por redes públicas desde o hacia nuestra interfaz de usuario o nuestras API
   3. Encriptar todos los Datos de servicio en reposo
   4. Proporcionar a los Suscriptores información acerca de los datos obtenidos por las cookies dentro de los productos y acerca del uso predeterminado de los Servicios 
   5. Describir correctamente cómo usamos los Datos de servicio, incluidos los Datos personales, de manera anónima y no anónima para prestar nuestros Servicios o con algún otro fin
   6. Proporcionar a los Suscriptores las herramientas y funciones que les ayuden a cumplir sus obligaciones en relación al tratamiento adecuado de datos personales o datos reglamentados
   7. Cumplir las leyes y los marcos normativos aplicables a nuestras ofertas de Servicio y a los lugares donde se ubican nuestros negocios
   8. Obtener y ofrecer garantías de cumplimiento de parte de terceros independientes que tengan que ver con nuestras ofertas de Servicio

IV. Monitoreo
Para garantizar una seguridad adecuada, es necesario comprender bien los procesos y la actividad.  

1. El Suscriptor es responsable de monitorear toda la actividad en sus instancias del Servicio, lo que comprende lo siguiente:
   1. Monitorear la actividad de los usuarios (ya sea a través de visualizaciones de la interfaz de usuario o de registros de las API)
   2. Practicar la debida diligencia en relación a las comunicaciones con personas desconocidas o contenido que no sea de confianza y que lleguen a través del Servicio
   3. Mantener registros o datos extraídos del Servicio de conformidad con todo reglamento pertinente
2. Zendesk es responsable de monitorear los procesos y la actividad del propio Servicio, lo cual incluye:
   1. El acceso privilegiado y las actividades que ocurren dentro de la red de producción
   2. El tráfico entrante a fin de alertar o bloquear envíos o direcciones IP conocidos por ser perjudiciales
   3. La disponibilidad del Servicio
   4. El comportamiento anómalo dentro de los recursos de la red corporativa o de producción
   5. La seguridad del código, de la infraestructura, del tráfico y de los empleados pertinentes o contratistas

V. Mantenimiento
Para prevenir problemas de seguridad, es importante mantener los sistemas y el código al día y aplicar los parches debidos. 

1. El Suscriptor es responsable de dar mantenimiento y aplicar los parches necesarios a todo sistema o código que se encuentre fuera del ámbito de la arquitectura y los contratos de Zendesk*, lo que incluye:
   1. Su propia infraestructura, es decir: puntos de acceso de los empleados, redes, infraestructura personalizada o middleware de terceros que se usen para tener acceso a los Servicios de Zendesk o para procesar aun más sus Datos de servicio antes de ingresar o al egresar de los sistemas de Zendesk.  
   2. Su propio código no estándar utilizado para proporcionar funcionalidad adicional a los Servicios de Zendesk, en concreto: código desarrollado internamente o código de terceros que el propio Suscriptor haya desarrollado o comprado para usar con los Servicios de Zendesk. Esto también incluye todo código personalizado desarrollado por los Servicios profesionales de Zendesk a petición de los Suscriptores, a condición de que la responsabilidad de tal código y su mantenimiento se haya cedido al Suscriptor como parte del compromiso personalizado.
2. Zendesk es responsable de dar mantenimiento y aplicar los parches necesarios a todo sistema o código que se encuentre dentro del ámbito de su arquitectura y sus contratos, lo que incluye:
   1. Su propia infraestructura administrada lógicamente dentro de las instalaciones del proveedor de hosting que se utilizan para proporcionar los Servicios, como sistemas operativos, infraestructura de seguridad y sistemas bajo su control directo, sistemas de contenedores y orquestación, etc.
   2. Su propia infraestructura administrada física o lógicamente y utilizada dentro del entorno corporativo de Zendesk como los puntos de acceso de los empleados, la infraestructura de red corporativa, etc.
   3. Las bases de código de propiedad de Zendesk que constituyen los pilares de los Servicios de Zendesk.

* Observe que si bien las aplicaciones del Marketplace se ejecutan dentro del ámbito arquitectónico de Zendesk, estas no están cubiertas dentro del Contrato de servicios principales estándar de Zendesk, sino que están cubiertas bajo términos específicos acordados entre el Suscriptor y los propios desarrolladores de las aplicaciones, tal como se indica en los Términos de uso del Marketplace de Zendesk. El mantenimiento de las aplicaciones del Marketplace es responsabilidad de los terceros desarrolladores de las aplicaciones que se encuentran en el Marketplace.

VI. Incidentes de seguridad
A pesar de los mejores esfuerzos, a veces las cosas pueden salir mal.  Sin embargo, la manera de reconocer, responder y recuperarse de un incidente de seguridad es clave para mitigarlo exitosamente y mantener la confianza del cliente.  Esta sección describe los roles y las responsabilidades de cada parte durante incidentes de seguridad. 

1. El Suscriptor es responsable de todo incidente o filtración de seguridad que ocurra dentro de sus instancias particulares que no haya sido ocasionado o producido por vulnerabilidades o incidentes dentro del Servicio propiamente dicho, lo cual incluye:  
1. Investigar y corregir toda filtración presunta o real ocurrida dentro de su instancia particular y que sea ocasionada por (i) controles de acceso o higiene insuficientes (lo que incluye el uso de credenciales públicas débiles o explotables); (ii) monitoreo insuficiente de las actividades de los usuarios; (iii) falta de diligencia debida en las comunicaciones o el contenido que no es de confianza y que llega a través de las interacciones con los usuarios; o (iv) todo incidente o filtración que se derive de la integración con un tercero, en los casos en que tal integración se haya efectuado a criterio exclusivo del Suscriptor.
2. Cumplir con toda obligación de dar notificación al gobierno o a las agencias del orden público o a los usuarios finales en relación a filtraciones causadas por acciones del Suscriptor, los terceros integrados o en relación a notificaciones de Filtración de datos de servicio recibidas de Zendesk respecto a la instancia del Suscriptor
2. Zendesk es responsable de los controles para investigar los incidentes de seguridad, así como de notificar a los Suscriptores afectados sobre Filtraciones de datos de servicio que ocurran a través del servicio mismo, lo cual incluye: 
   1. Contar con una Política de respuesta a incidentes de seguridad documentada, y contar con personal con los roles y las responsabilidades pertinentes en materia de seguridad
   2. Investigar la actividad anómala
   3. Contener toda Filtración de datos de servicio que esté confirmada
   4. Notificar a los Suscriptores afectados o a las agencias del gobierno o del orden público correspondientes, si lo exige la ley
   5. Garantizar que existan procesos robustos para las copias de seguridad y para la recuperación ante desastres y que se hayan probado

VII. Vínculos útiles

Atención al cliente segura con la seguridad de Zendesk

Mejores prácticas de seguridad de Zendesk

Portal - Aspectos legales de Zendesk

Controles de acceso e higiene

Administración de la seguridad y el acceso del usuario en Zendesk Support (colección de vínculos)

Roles de usuario en Chat

Autenticación de los usuarios en Chat

Otorgar a Zendesk acceso temporal a una cuenta

Integraciones

API de Zendesk

Aplicaciones del Marketplace de Zendesk

Subprocesadores de Zendesk

Subprocesadores de Zendesk Connect

Socios de Zendesk

Datos, privacidad, cumplimiento y aspectos normativos

Política de cookies dentro de los productos de Zendesk

Contrato de servicios principales de Zendesk

Protección de los datos y la privacidad de Zendesk

Monitoreo

Registro de auditoría de cambios en la instancia de Support (IU / API)

Support: API del registro de auditoría de eventos de tickets

Panel de Chat

IU del historial de chats

Chat: API de exportaciones incrementales y en tiempo real (en inglés)

Panel de Talk

API incremental de Talk

API de objetos personalizados, eventos y perfiles de Sunshine (en inglés)

API en tiempo real/Firehose de Sell (en inglés)

 

Si tiene preguntas adicionales, escríbanos a security@zendesk.com  

VIII. Registro de cambios
16 de junio de 2023

1. Adición de un registro de cambios
2. Adición de la Sección V, Mantenimiento
3. Aclaración del detalle de los incidentes ocasionados por el uso de credenciales débiles o explotables públicamente por parte de los Suscriptores y/o sus Usuarios finales que indica que es la responsabilidad del Suscriptor; referencia a la sección VI, "Incidentes de seguridad"