La encriptación avanzada mejora la seguridad de los datos al permitir que su compañía encripte los datos de servicio usando su propio Servicio de administración de claves (KMS). Gracias a ello, la información confidencial que se almacena en Zendesk estará protegida y será inaccesible para las partes no autorizadas. Si mantiene sus propias claves de encriptación, tendrá más seguridad y mejor cumplimiento, además de un control completo sobre el acceso y el uso.
La encriptación avanzada se puede activar en una cuenta de producción o de sandbox. Zendesk recomienda probarla en la cuenta de sandbox primero. Consulte Configuración de la encriptación avanzada si desea más información.
En este artículo se tratan los siguientes temas:
Cómo funciona la encriptación avanzada
Cuando se usa la encriptación avanzada, las claves de encriptación se administran fuera de Zendesk. Puede usar cualquiera de los siguientes sistemas de administración de claves compatibles: AWS KMS, Azure Key Vault, Google Cloud KMS o Thales CipherTrust Manager, que es un KMS basado en la UE y administrado y alojado por compañías europeas.
La encriptación avanzada depende de la encriptación de sobre. Para la encriptación, Zendesk genera una clave de encriptación de datos (DEK) para los bloques de datos y solicita al KMS que encripte esta clave. Luego descarta la clave sin encriptar y guarda la encriptada.
Cada vez que Zendesk necesite acceder a los datos encriptados, solicitará al KMS que desencripte la clave de datos usando la clave maestra. Esto sucede en tránsito; los datos se encriptan cuando llegan a Zendesk antes de que las aplicaciones los procesen, y siguen encriptados hasta que haya un caso de uso que requiera desencriptación.
La encriptación de datos no afecta la experiencia del agente. Los agentes pueden seguir buscando y consultando los datos que tienen permiso para ver en función de su rol. Sin embargo, hay algunas limitaciones.
Datos encriptados en Zendesk
La encriptación avanzada admite la restitución y encriptación de usuarios recién creados y existentes en su cuenta de Zendesk.
La encriptación avanzada encripta los siguientes campos de usuario para los datos de los usuarios finales en Zendesk Support, Guide y Talk:
- Nombre
- Alias
- Firma
- Detalles
- Notas
Los campos de usuario enumerados arriba están encriptados en las siguientes áreas de Zendesk Support:
- Administración de usuarios finales
- Administración de integrantes del equipo
- Datos de usuario en el contexto de un ticket (solicitante, CC, seguidores, agente asignado)
- Afiliaciones a grupos y organizaciones
- Resolución de marcadores de posición de usuarios en los comentarios de ticket y correo electrónico
- Creación de usuarios a través del inicio de sesión único, Web Widget y correo electrónico
- Vistas de tickets
- Búsqueda en Support
- Disparadores y automatizaciones (reglas de negocio)
- Usuarios de Support creados a través de conversaciones de mensajería
- Conversaciones secundarias
Se incluyen todas las funciones de Guide y Talk, excepto las @menciones en Gather y Guide, que se desactivarán si se activa la encriptación.
Encriptación avanzada y encriptación estándar
La encriptación avanzada complementa la encriptación estándar utilizada en todas las cuentas de Zendesk.
Estado | Encriptación avanzada | Encriptación estándar |
---|---|---|
En tránsito |
Los datos se encriptan con claves administradas por el cliente lo antes posible en la capa proxy de HTTP o el punto de entrada equivalente. |
Todas las comunicaciones con la interfaz de usuario y las API de Zendesk se encriptan mediante los protocolos estándar del sector, HTTPS y Transport Layer Security (TLS 1.2 o superior), a través de redes públicas. Así se garantiza la seguridad del tráfico entre el usuario y Zendesk. Para el correo electrónico, Zendesk utiliza TLS oportunista de manera predeterminada. TLS encripta y entrega el correo electrónico de manera segura, lo que sirve para mitigar las escuchas clandestinas entre los servidores de correo donde los servicios de pares admiten este protocolo. Las excepciones para la encriptación pueden incluir lo siguiente: uso de la funcionalidad SMS incorporada en el producto o uso de cualquier otra aplicación de terceros, integración o proveedor de servicio elegido por el cliente. |
En reposo |
Los datos en la base de datos permanecen encriptados. Si un tercero o un gobierno extranjero intenta obtener acceso a una base de datos en ejecución, los datos serán devueltos en texto cifrado. |
Los Datos del Servicio se encriptan en reposo en AWS usando la encriptación de claves AES-256. |
En uso |
Los datos permanecen encriptados mientras están en uso y solo se desencriptan si un caso de uso lo requiere. Las acciones de desencriptación se registran y se pueden auditar cuando se utiliza una integración de Administración de eventos e información de seguridad (SIEM) externa. |
Los datos que se obtienen de los almacenes de datos se procesan en texto sin encriptar. |
Limitaciones de la encriptación avanzada
La encriptación avanzada tiene algunas ventajas y desventajas que se deben tener en cuenta. Cuando los datos están encriptados, puede que encuentre que hay limitaciones en cuanto a la funcionalidad o que algunas funciones no estén disponibles.
Limitaciones generales
- Cualquier funcionalidad que quede fuera del alcance descrito en Datos encriptados en Zendesk (lo que incluye pero no se limita a las versiones heredadas de Chat, Sell, QA, integraciones y móvil) podría no funcionar correctamente, o bien mostrar datos encriptados en la interfaz de usuario o las respuestas de la API. Por estas razones, Zendesk recomienda activar y probar la encriptación avanzada en una cuenta de sandbox antes de activarla en producción.
- Aún no se admite la rotación de claves.
Limitaciones de Support
- Aún no se admite la capacidad para compartir tickets.
- Las cuentas encriptadas no serán aptas para los cambios de región. Si desea mover sus datos a una región diferente, solicite el cambio antes de activar la encriptación avanzada.
- Los sandboxes premium creados después de activar la encriptación avanzada mostrarán los datos copiados encriptados.
- Los disparadores de mensajería con condiciones basadas en el nombre de un usuario final no funcionarán.
- No funcionarán el resaltado de fragmentos, la búsqueda con caracteres comodín y la búsqueda por frases, ni tampoco los idiomas que no se separan con espacios (como chino y japonés).
- La coincidencia y clasificación de las búsquedas podría ser diferente.
- La búsqueda de conversaciones secundarias por nombre de usuario no funcionará. Se debe buscar por la línea del asunto de la conversación secundaria o el ticket principal.
- Las vistas de Support ordenadas por nombre de usuario (solicitante y agente asignado) se desactivarán para las cuentas que tienen activada la encriptación.
- Las vistas de Support agrupadas por nombre de usuario (solicitante y agente asignado) mostrarán los nombres de usuario que no estén en orden.
- Las exportaciones a CSV mostrarán marcadores de posición en lugar de nombres de usuario.
Degradación de importaciones y exportaciones
- Los usuarios importados mediante el importador de acciones masivas no serán encriptados, pero los usuarios agregados con el importador de datos sí se encriptarán.
- No se admitirán las exportaciones a XML para los usuarios, pero sí las exportaciones a CSV y JSON.
Degradación de Gather y Guide
- Las @menciones serán desactivadas.
Limitaciones del almacenamiento de datos
La encriptación avanzada introduce una nueva manera de encriptar los datos confidenciales usando claves administradas por el cliente (CMK). Para que la funcionalidad de Zendesk no se vea afectada, los servicios de Zendesk desencriptan los datos confidenciales mientras procesan las solicitudes provenientes de varios canales, incluidos los navegadores, las API de REST y el correo electrónico. Zendesk garantiza que los datos en texto sin encriptar nunca se almacenan de forma permanente y que solo se guardarán por el tiempo mínimo necesario para cumplir la solicitud.
En la actualidad se dan las siguientes excepciones:
- Gateway (NGINX + Cloudflare) almacena las páginas públicas del centro de ayuda, que podrían contener datos del perfil del usuario por un máximo de tres minutos.
- El correo electrónico saliente almacena temporalmente los cuerpos de los mensajes antes de que el correo sea entregado por SMTP (Simple Mail Transfer Protocol).
- El cuerpo original del correo electrónico entrante se conserva después de crear el ticket o comentario e impulsa funciones de colaboración adicionales.
- Los conjuntos de datos de usuarios de Explore se almacenan en forma de texto sin encriptar.
- Los archivos de exportación e importación masiva se almacenan temporalmente en forma de texto sin encriptar por 30 días. Los archivos se borran a los 30 días.
- Los datos de los usuarios en los almacenes de datos en Sunshine Conversations se guardan en forma de texto sin encriptar. (Los almacenes de datos de Support están cubiertos.)
- Los datos de los usuarios en los servicios en tiempo real (por ejemplo, la presencia del agente y la consola de llamadas de Talk) se guardan en forma de texto sin encriptar por hasta siete días para garantizar el funcionamiento de la interfaz de usuario del agente.
- Los datos de usuario del agente y del administrador aparecerán en forma de texto sin encriptar en los casos de ventas y soporte para ayudar a los clientes.
0 comentarios