Zendesk actúa como comerciante y como proveedor de servicios. Como comerciante, Zendesk cumple con las normas PCI DSS. Como proveedor de servicios basados en la nube, Zendesk no tiene nada que ver con el ciclo de vida del procesamiento de las tarjetas de pago. Si bien los clientes tienen la capacidad de usar su instancia de Zendesk de manera que satisfagan sus necesidades comerciales, Zendesk no está diseñado para usarse como un sistema de facturación o para transmitir o almacenar datos de tarjetas de crédito.

Como proveedor de servicios, Zendesk ofrece una función que permite a las empresas poner un número de cuenta personal (PAN) en un campo de ticket personalizado (a través del campo de ticket compatible con PCI) en la interfaz de agente de Zendesk. Los números de tarjeta de pago ingresados en el campo de ticket compatible con PCI se suprimen en los últimos 4 dígitos antes de que los datos se envíen a la plataforma de Zendesk. Este campo y sus controles relacionados cumplen con PCI. Tenga en cuenta que el cumplimiento de las PCI DSS de Zendesk solo se aplica al producto Support. 

Solicite una copia de la Atestación de cumplimiento (AoC) (bajo "Artefactos").

 

Un enfoque de Zendesk para la seguridad y el cumplimiento 

Zendesk emplea controles de seguridad y marcos de privacidad aceptados en el sector para mantener la seguridad de la plataforma y el cumplimiento de las normas del sector, como PCI DSS. Esto incluye lo siguiente:

Seguridad física 

Zendesk aloja los Datos de servicio principalmente en los centros de datos de AWS que cuentan con la certificación ISO 27001, PCI DSS Service Provider Level 1 o SOC 2. Más información sobre el cumplimiento en AWS.

Ubicaciones de alojamiento de datos

Zendesk utiliza centros de datos de AWS ubicados en todo el mundo.  Más información sobre las ubicaciones de alojamiento de datos para los datos de servicio de Zendesk.

También ofrecemos opciones de localidad de datos en ciertas áreas. Si desea más información sobre productos, planes y ofertas regionales, consulte nuestra Política regional de hosting de datos.

Seguridad de la red

Nuestra red está protegida mediante el uso de servicios de seguridad clave de AWS, la integración con nuestras redes de protección perimetral de Cloudflare, auditorías periódicas y tecnologías de inteligencia de red, que monitorean o bloquean el tráfico malicioso conocido y los ataques a la red.

Arquitectura

La arquitectura de seguridad de nuestra red consta de varias zonas de seguridad. Los sistemas más confidenciales, como los servidores de bases de datos, están protegidos en nuestras zonas de mayor confianza. Los otros sistemas residen en zonas acordes con su grado de delicadeza, según la función, la clasificación de la información y el riesgo. Según la zona, se aplicarán también un monitoreo de seguridad adicional y controles de acceso. Se pueden utilizar "zonas desmilitarizadas" entre tu red e Internet y, de manera interna, entre distintas zonas de confianza.

Encriptación

Todas las comunicaciones con la interfaz de usuario y las API de Zendesk se cifran a través de HTTPS/TLS (TLS 1.2 o superior) estándar del sector a través de redes públicas. Además, para el correo electrónico, nuestro producto aprovecha la seguridad de la capa de transporte (TLS) oportunista de manera predeterminada. Los Datos del Servicio se encriptan en reposo en AWS usando la encriptación de claves AES-256.

Censura automática

Para ayudar a nuestros clientes a cumplir con sus obligaciones de PCI, creamos una función llamada “Censura automática”. Esta función aplica un algoritmo de verificación de Luhn cuando un PAN ingresa a su instancia de Zendesk. Cuando la herramienta identifica una coincidencia de número de tarjeta, trunca el número (a los primeros 6 y los últimos 4 caracteres) y lo etiqueta con los datos que indican que ocurrió el cambio. Esto enmascara los datos en la interfaz de usuario, los suprime de las entradas del registro y de la base de datos y solo los almacena el tiempo suficiente para realizar la verificación de Luhn. 

La función de “supresión automática” solo suprime los datos nuevos a partir del momento en que se activa. No se aplica al Centro de ayuda, a Zendesk Chat ni a otros productos de Zendesk.  

Para recibir los beneficios de nuestra Atestación de cumplimiento (AoC), tendrá que activar el campo personalizado de tarjeta de crédito. Si no activa este campo, es posible que su instancia no se beneficie de la AoC o de un entorno compatible con PCI.

Para mensajería:

Si el espacio de trabajo de agente está activado, la información de la tarjeta de pago se suprimirá automáticamente en Mensajería. Esta función de supresión interna se puede controlar usando la configuración de la aplicación maskCreditCardNumbers. Si desea más información, consulte la documentación de la API de SunCo.

Más información sobre cómo activar la supresión automática

Más información sobre cómo suprimir el contenido del ticket

 

¿Cuál es la diferencia entre el campo de ticket compatible con PCI y la supresión automática? 

La diferencia clave entre las dos funciones radica en cuándo se lleva a cabo el proceso de supresión y qué obligaciones de cumplimiento de PCI tiene Zendesk como resultado de eso. Con el campo de ticket compatible con PCI, la función de supresión tiene lugar antes de que el PAN ingrese a la plataforma de Zendesk. Esta función ha sido auditada y certificada como compatible con PCI, y está diseñada para manejar números de tarjetas de pago. Por otro lado, la supresión automática identifica y suprime los datos de la tarjeta de pago después de que la información ingresa a nuestros sistemas. 

La supresión automática no está diseñada para permitirle aceptar información de PAN. Es una función compatible con PCI que está ahí para ayudarle a administrar sus responsabilidades de PCI y garantizar que tenga los medios para suprimir la información de la tarjeta de pago dondequiera que llegue a su cuenta de Zendesk. Si desea más información sobre cómo presentar una queja de PCI de instancia, consulte "¿Qué debo hacer para cumplir con PCI DDS?".

Aviso legal

 

Glosario de términos

Adquiriente : también conocido como “banco comerciante”, “banco adquirente” o “institución financiera adquirente”. Entidad que inicia y mantiene relaciones con los comerciantes para la aceptación de tarjetas de pago. Por lo general, el adquirente es responsable de monitorear el cumplimiento de PCI en la cuenta del comerciante.

AoC : Acrónimo de Atestación de cumplimiento. Este es el informe de auditoría que muestra si una organización cumple con PCI y cómo lo hace.

Datos del titular de la tarjeta : como mínimo, los datos del titular de la tarjeta consisten en el número de cuenta principal (PAN) completo. Los datos del titular de la tarjeta también pueden aparecer en forma de PAN completo más cualquiera de los siguientes: nombre del titular de la tarjeta, fecha de vencimiento y/o código de servicio.

CDE : Entorno de datos del titular de la tarjeta. Las personas, los procesos y la tecnología que almacenan, procesan o transmiten datos del titular de la tarjeta o datos confidenciales de autenticación.

DLP : prevención de pérdida de datos. El software de prevención de pérdida de datos está diseñado para detectar posibles eventos de violación de datos o pérdida de datos.

Cifrado : proceso de convertir información en un formato ininteligible, excepto para los poseedores de una clave criptográfica específica. El uso del cifrado protege la información entre el proceso de cifrado y el proceso de descifrado (lo contrario del cifrado) contra la divulgación no autorizada.

Verificación de Luhn : también conocido como el algoritmo “Mod 10”, es una fórmula de suma de verificación simple que se usa para validar una variedad de números de identificación, como números de tarjetas de crédito. La mayoría de las tarjetas de crédito usan el algoritmo como un método sencillo para distinguir los números válidos de los números mal escritos o incorrectos.

Enmascaramiento : un método para ocultar un segmento de datos cuando se muestra o se imprime. El enmascaramiento se usa cuando no hay un requisito comercial para ver todo el PAN. El enmascaramiento se relaciona con la protección del PAN cuando se muestra o se imprime.

Campo de ticket compatible con PCI : este campo está diseñado para aceptar números de tarjetas de crédito de los agentes, donde se suprimirá automáticamente el número de tarjeta de crédito a los últimos 4 dígitos antes de que los datos se envíen a la plataforma de Zendesk. Es necesario que este campo esté activado para beneficiarse de la AoC de Zendesk.

PCI-SSC : Acrónimo de Payment Card Industry Security Standards Council. Este consejo fue establecido en 2006 por las cinco marcas de tarjetas de crédito (Visa, MasterCard, American Express, Discover, JCB).

PCI-DSS : el estándar de seguridad de datos de la industria de tarjetas de pago. El PCI SSC creó un estándar unificado al que estarían sujetos todos los comerciantes y proveedores de servicios.

PAN : número de cuenta principal. También se conoce como “número de cuenta”. Número de tarjeta de pago único (normalmente para tarjetas de crédito o débito) que identifica al emisor y al titular de la tarjeta en particular.

Proveedor de servicios : entidad comercial (no un emisor de tarjetas de pago) que participa directamente en el procesamiento, el almacenamiento o la transmisión de los datos del titular de la tarjeta en nombre de otra entidad. Esto también incluye a las compañías que brindan servicios que controlan o podrían afectar la seguridad de los datos de los titulares de tarjetas. Los ejemplos incluyen proveedores de servicios administrados que proporcionan firewalls administrados, IDS y otros servicios, así como proveedores de hosting y otras entidades.

QSA : asesor de seguridad calificado. El PCI SSC cuenta con firmas certificadas para realizar evaluaciones de PCI y ayudar con la validación de PCI; la designación es una firma de QSA, o de manera similar, un individuo en una firma de QSA puede ser certificado como un QSA individual.

Suprimir : el proceso de eliminar información confidencial, como PAN, donde no se necesita.

SAQ : Cuestionario de autoevaluación. Una entidad que valide el cumplimiento de PCI se someterá a una evaluación externa por parte de un QSA, o completará un SAQ y lo enviará a las marcas de tarjetas o a su banco comercial.

Tokenizar : el proceso de dividir un flujo de texto significativo, como el número de tarjeta de crédito, en elementos de datos llamados tokens que representan los datos reales, pero que por sí solos no tienen sentido. La tokenización es un método para eliminar los datos de las tarjetas de crédito de los sistemas o las bases de datos, lo que reduce el alcance del CDE.

Truncamiento : método para hacer que el PAN completo sea ilegible mediante la eliminación permanente de un segmento de los datos del PAN. El truncamiento se relaciona con la protección del PAN cuando se almacena en archivos, bases de datos, etc.