Zendesk agit à la fois en tant que commerçant et prestataire de services. En tant que commerçant, Zendesk se conforme aux normes PCI DSS. En tant que fournisseur de services basés sur le cloud, Zendesk ne joue aucun rôle dans le cycle de vie du traitement des cartes de paiement. Les clients peuvent utiliser leur instance Zendesk d’une façon qui satisfait leurs besoins, mais Zendesk n’est pas conçu pour être utilisé comme système de facturation, ni pour transmettre et/ou stocker les données de carte de crédit.

En tant que fournisseur de services, Zendesk propose une fonctionnalité qui permet aux entreprises d’insérer un numéro de compte personnel dans un champ de ticket personnalisé (via le champ de ticket conforme aux normes PCI) dans l’interface d’agent Zendesk. Les numéros de carte de paiement saisis dans le champ de ticket conforme aux normes PCI sont supprimés des 4 derniers chiffres avant l’envoi des données à la plateforme Zendesk. Ce champ et les contrôles associés sont conformes aux normes PCI. Notez que la conformité PCI DSS Zendesk s’applique uniquement au produit Support. 

Demandez une copie de l’attestation de conformité (AoC) (sous « Artifacts »).

 

Une approche Zendesk de la sécurité et de la conformité 

Zendesk utilise des contrôles de sécurité et des cadres de confidentialité acceptés par le secteur pour assurer la sécurité de la plateforme et la conformité aux réglementations du secteur, comme les normes PCI DSS. Cela inclut les paramètres suivants :

Sécurité physique 

Zendesk héberge les Données de service essentiellement dans des centres de données AWS qui ont été certifiés conformes à ISO 27001, PCI DSS fournisseur de services niveau 1 et/ou SOC 2. En savoir plus sur la conformité chez AWS.

Emplacements d’hébergement des données

Zendesk utilise des centres de données AWS dispersés aux quatre coins du globe.  En savoir plus au sujet des emplacements d’hébergement des données pour vos données de service Zendesk.

Nous fournissons aussi des choix d’emplacement des données dans certaines zones. Pour en savoir plus au sujet des produits, des éditions et des offres régionales, consultez notre Politique d’hébergement régional des données.

Sécurité du réseau

Notre réseau est protégé par l’utilisation des services de sécurité AWS clés, l’intégration avec nos réseaux de protection des bords Cloudflare, des audits réguliers et les technologies d’intelligence réseau, qui surveillent et/ou bloquent le trafic et les attaques réseau connus.

Architecture

Notre architecture de sécurité réseau se compose de plusieurs zones de sécurité. Les systèmes les plus critiques, comme les serveurs de bases de données, sont protégés dans nos zones les plus fiables. Les autres systèmes sont hébergés dans des zones correspondant à leur niveau de sensibilité, selon la fonction, la classification des informations et le risque. En fonction de la zone, une surveillance de la sécurité et des contrôles d’accès supplémentaires peuvent s’appliquer. Des zones démilitarisées (DMZ) sont utilisées entre nos réseaux et Internet, et en interne, entre les différentes zones de confiance.

Cryptage

Toutes les communications avec l’interface utilisateur et les API Zendesk sont chiffrées avec la norme HTTPS/TLS (TLS 1.2 ou supérieure) sur les réseaux publics. En outre, pour l’e-mail, notre produit utilise TLS (Opportunité de sécurité Transport Layer Security) par défaut. Les données de service sont chiffrées au repos dans AWS à l’aide du chiffrement par clés AES-256.

Suppression automatique d'information

Pour aider nos clients à respecter leurs obligations PCI, nous avons créé une fonctionnalité intitulée Suppression automatique d’information. Cette fonctionnalité applique un algorithme de vérification de Luhn lorsqu'un Pan entre dans votre instance Zendesk. Quand l’outil identifie une correspondance de numéro de carte, il tronque le numéro (jusqu’aux 6 premiers et 4 derniers caractères) et marque les données indiquant que la modification a eu lieu. Cela masque les données dans l’interface utilisateur, les supprime des entrées du journal et de la base de données et les stocke uniquement assez longtemps pour effectuer la vérification Luhn. 

La fonctionnalité de suppression automatique d’information ne supprime les nouvelles données qu’à partir du moment où elle a été activée. Elle ne s’applique pas au centre d’aide, à Zendesk Chat ni aux autres produits Zendesk.  

Pour bénéficier de notre attestation de conformité, vous devez activer le champ personnalisé de carte de crédit. Si ce champ n’est pas activé, votre instance risque de ne pas bénéficier de l’environnement conforme AoC ou PCI.

Pour la messagerie :

Si votre espace de travail d’agent est activé, les informations de carte de paiement seront automatiquement supprimées dans la messagerie. Vous pouvez contrôler cette fonctionnalité de suppression d’information interne en configurant l’application masquerCardNumbers. Pour en savoir plus, consultez la documentation de l’API SunCo.

Découvrez comment activer la biffure automatique

En savoir plus au sujet de la suppression du contenu des tickets

 

Quelle est la différence entre le champ de ticket conforme aux normes PCI et la biffure automatique ? 

La différence principale entre les deux fonctionnalités impacte le processus de suppression d’information et les obligations de conformité aux normes PCI de Zendesk qui en résultent. Avec le champ de ticket conforme aux normes PCI, la fonction de suppression d’information a lieu avant l’entrée du Pan dans la plateforme Zendesk. Cette fonctionnalité a été auditée et certifiée conforme aux normes PCI et est conçue pour traiter les numéros de carte de paiement. D’autre part, la suppression automatique d’information identifie et supprime les données de carte de paiement une fois qu’elles sont entrées dans nos systèmes. 

La suppression automatique d’information n’est pas conçue pour vous permettre d’accepter les informations sur le Pan. C’est une fonctionnalité conforme aux normes PCI qui est là pour vous aider à gérer vos responsabilités en matière de normes PCI et vous fournir les moyens de supprimer les informations de carte de paiement partout où elles arrivent dans votre Zendesk. Pour en savoir plus sur la conformité aux normes PCI de votre instance, consultez « Que dois-je faire pour me conformer aux normes PCI DDS ? ».

Avis juridique

 

Glossaire des termes

Acquéreur – Aussi appelé « banque commerciale », « banque acquéreur » ou « université financière acquéreur ». Entité qui initie et entretient des relations avec les vendeurs pour l’acceptation des cartes de paiement. L’acquéreur est généralement responsable de la conformité aux normes PCI et du compte de son vendeur.

AoC – Acronyme d’attestation de conformité. C’est le rapport d’audit qui montre si et comment une organisation est conforme aux normes PCI.

Données du titulaire de la carte – Au minimum, les données du titulaire de la carte se composent du numéro de compte principal dans sa totalité. Les données des détenteurs de carte peuvent également s’afficher sous la forme du pan entier, plus les éléments suivants : nom du titulaire, date d’expiration et/ou code de service.

CDE - Environnement de données des titulaires de carte.Les personnes, les processus et la technologie qui stockent, traitent ou transmettent les données des titulaires de carte ou les données d’authentification sensibles.

DLP  : Prévention de la perte de données. Le logiciel de prévention des pertes de données est conçu pour détecter les événements potentiels de violation ou de perte de données.

Cryptage  : processus de conversion des informations en une forme inintelligible, sauf pour les détenteurs d’une clé cryptographique spécifique. Le chiffrement protège les informations entre le processus de chiffrement et le processus de déchiffrement (l’inverse du chiffrement) contre toute divulgation non autorisée.

Vérification de Luhn - Aussi appelée algorithme « Mod 10 », c’est une formule de somme de contrôle simple qui sert à valider divers numéros d’identification, comme les numéros de carte de crédit. La plupart des cartes de crédit utilisent l’algorithme pour distinguer les numéros valides des numéros mal saisis ou incorrects.

Masquage  : méthode de masquage d’un segment de données à l’affichage ou à l’impression. Le masquage est utilisé lorsqu’il n’est pas nécessaire de voir la totalité du Pan. Le masquage a trait à la protection du Pan quand il est affiché ou imprimé.

Champ de ticket conforme aux normes PCI  : ce champ est conçu pour accepter les numéros de carte de crédit des agents et supprime automatiquement le numéro dans les 4 derniers chiffres avant l’envoi des données à la plateforme Zendesk. Ce champ doit être activé pour bénéficier de l’attestation de conformité de Zendesk.

PCI-SCC - Acronyme du conseil des normes de sécurité de l’industrie des cartes de paiement. Ce conseil a été créé en 2006 par les cinq marques de cartes de crédit (VISA, MasterCard, American Express, Discover, JCB).

PCI-DSS  : norme de sécurité des données de l’industrie des cartes de paiement. Les PCI SCC ont créé une norme unifiée à laquelle tous les vendeurs et prestataires de services seraient soumis.

Pan - Numéro de compte principal. Aussi appelé « numéro de compte ». Numéro de carte de paiement unique (généralement pour les cartes de crédit ou de débit) qui identifie l’émetteur et le titulaire de la carte spécifique.

Fournisseur de services  : entité commerciale (pas un émetteur de carte de paiement) impliquée directement dans le traitement, le stockage ou la transmission des données de détenteur de carte pour le compte d’une autre entité. Cela inclut aussi les entreprises qui fournissent des services qui contrôlent ou pourraient avoir un impact sur la sécurité des données des détenteurs de carte. Exemple : les prestataires de services gérés qui fournissent des pare-feux, des ID et autres services gérés, ainsi que des fournisseurs d'hébergement et autres entités.

QSA  : évaluateur de sécurité qualifié. Le PCI SSS a certifié les entreprises qui peuvent effectuer des évaluations PCI et aider à la validation PCI ; le nom est une société d’AQ, ou un membre d’une entreprise peut être certifié en tant qu’entreprise de gestion des compétences.

Supprimer les informations – Le processus de suppression des informations sensibles, comme le pan, quand vous n’en avez pas besoin.

SAQ - Questionnaire d’auto-évaluation. Une entité qui valide la conformité aux normes PCI va passer d’une évaluation externe par une AQ, ou remplir un SAQ et l’envoyer aux marques de cartes ou à leurs banques commerciales.

Token  : le processus de segmentation d’un flux de texte pertinent, tel qu’un numéro de carte bancaire, en éléments de données appelés tokens qui représentent les données réelles, mais qui n’ont aucun sens. La tokenisation est une méthode pour supprimer les données de carte de crédit des systèmes ou bases de données, ce qui réduit la portée du CDE.

Troncature  : méthode pour rendre le Pan entier illisible en supprimant définitivement un segment de données Pan. La clôture est liée à la protection du Pan quand il est stocké dans des fichiers, des bases de données, etc.