Se gli agenti o gli utenti finali inseriscono i numeri di carta di credito nei ticket, è possibile aggiungere un campo relativo alla carta di credito al modulo del ticket che soddisfi i requisiti dello standard di sicurezza dei dati (DSS) del settore delle carte di pagamento.
Oltre a descrivere come aggiungere un campo per una carta di credito conforme allo standard PCI, questo articolo fornisce ulteriori suggerimenti per aumentare la sicurezza di Zendesk. I consigli non renderanno il tuo Zendesk conforme allo standard PCI, ma contribuiranno a renderlo più sicuro.
Argomenti trattati:
Aggiunta del campo del numero di carta di credito al modulo ticket
Puoi usare il campo ticket conforme allo standard PCI per i numeri di carta di credito. Gli utenti finali e gli agenti possono inserire il numero completo della carta di credito nel campo e tutto, tranne le ultime 4 cifre, verrà rimosso automaticamente.
Una volta abilitato il campo, il tuo account verrà spostato in una parte dell’infrastruttura Zendesk Support conforme allo standard PCI. Il trasferimento può richiedere fino a 5 giorni lavorativi.
Questa sezione descrive come aggiungere il campo e ne descrive i limiti.
Per aggiungere il campo del numero di carta di credito
- Accedi al tuo account Zendesk come amministratore.
- Nel Centro amministrativo, fai clic su Oggetti e regole nella barra laterale, quindi seleziona Ticket > Campi.
- Fai clic suAggiungi camposul lato destro.
- Fai clic sul campo Carta di credito .
- Imposta le seguenti proprietà dei campi e fai clic suSalva.
Proprietà campo Valori Titolo Qualsiasi nome Di sola lettura per gli utenti finali Deselezionata (vedi nota qui sotto) Modificabile dagli utenti finali Non selezionata Obbligatorio Consigliamo vivamente di lasciare deselezionata per agenti e utenti finali
Limitazioni
Di seguito sono elencate le limitazioni note con il campo del numero di carta di credito.
Limitazioni del prodotto
- App per dispositivi mobili Zendesk Support - Il campo è di sola lettura.
- Web Widget - Il campo non è supportato.
- SDK per dispositivi mobili - Il campo accetta solo 4 cifre.
- App framework per app: se il campo è incluso in un’app installata da Zendesk Marketplace. Le app potrebbero visualizzare i contenuti dei campi in uscita nella console del browser prima che vengano rimossi da Zendesk. Valuta le app per questa vulnerabilità prima di attivarle.
- Condivisione ticket: il campo non può essere condiviso tra account Zendesk.
Altre limitazioni
- Zendesk Support non memorizza un numero completo di carta di credito.
- PCI consente di memorizzare le prime 6 e le ultime 4 cifre di una carta di credito, ma Zendesk Support può conservare solo le ultime 4.
- Nel campo del numero di carta di credito possono essere memorizzati solo i numeri di carta di credito. Tutti gli altri caratteri inseriti nel campo vengono rimossi quando l’immissione viene salvata.
- La funzionalità predefinita per supportare altri campi correlati ai dati di autenticazione delle carte di credito non è disponibile. Ciò include, a titolo esemplificativo, i campi della data di scadenza, del valore di verifica della carta (CVV) o del numero di identificazione personale (PIN). Per usare Zendesk Support in modo conforme allo standard PCI, non devi richiedere queste informazioni agli utenti finali nei commenti dei ticket di assistenza. Lo standard PCI DSS consente l’uso di queste informazioni solo durante il processo di autorizzazione della carta di credito e Zendesk Support non è un’applicazione di elaborazione dei pagamenti.
- Ulteriori funzioni abilitate dall’amministratore possono influire sulla sicurezza del campo relativo alla carta di credito conforme allo standard PCI. Sebbene Zendesk Support non riceva o memorizzi mai il numero di carta di credito quando il campo Conformità allo standard PCI viene usato correttamente, le app, le estensioni del browser o i componenti aggiuntivi del browser, Talk o le email di terzi possono intercettare i dati dei titolari di carta degli utenti finali.
Implementazione di severi requisiti per le password
Lo standard di sicurezza dei dati PCI richiede che gli agenti e gli amministratori dell'azienda soddisfino i requisiti per la password descritti in questa sezione. Se le policy della tua organizzazione impongono requisiti più rigorosi, implementa i requisiti più rigorosi.
Se usi l’accesso a Zendesk per agenti e amministratori, procedi nel seguente modo. Se stai usando Google Sign-in o Single Sign-On (SSO) per agenti e amministratori, verifica che il tuo account Google o il tuo server Single Sign-On soddisfi i requisiti per la password PCI DSS descritti in questa sezione.
- Accedi alla tua istanza Zendesk come amministratore.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Autenticazione membri del team.
- Seleziona Personalizzata dal menua livello di password .
- Fai clic su Modifica.
- Imposta i seguenti requisiti:
Impostazione Requisito minimo Numero di password precedenti da rifiutare 4 password precedenti Lunghezza minima 7 Deve includere numeri e caratteri speciali: Solo numeri Deve includere lettere sia maiuscole che minuscole Sì Scadenza della password 90 giorni Numero di tentativi non riusciti prima del blocco 6 Le sessioni scadono dopo il numero di minuti corrispondente 15 (vedi nota) Nota: Il requisito di scadenza della sessione è facoltativo se le workstation sono configurate per il blocco dopo 15 minuti e le limitazioni IP sono configurate in modo che solo i dispositivi della rete attendibile abbiano le impostazioni di timeout applicate. - Fai clic su Imposta per salvare le modifiche.
I requisiti per la password indicati sopra si applicano ad agenti e amministratori. Per gli utenti finali, si consiglia il seguente consiglio per evitare che i propri account vengano compromessi. Questa operazione non è richiesta da PCI DSS, ma deve essere presa in considerazione per proteggere gli account di assistenza dei clienti. Zendesk consiglia di selezionare l’opzioneAlta per gli utenti finali nella pagina Utenti finali> Account > Account > Sicurezza > Autenticazioneutenti finali .
Assicurati che SSL sia abilitato
Lo standard PCI richiede la crittografia di tutte le comunicazioni su reti pubbliche che possono includere dati di titolari di carta.
Per configurare la tua istanza Zendesk per abilitare la crittografia TLS
- Accedi al tuo account Zendesk come amministratore.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Altre impostazioni.
- Fai clic sulla scheda SSL .
- Se usiil protocollo SSL in hosting, assicurati che il certificato SSL sia valido. Altrimenti, assicurati che la casella di spuntaAbilitatonella sezione SSL normale sia selezionata.
Zendesk usa il protocollo TLS perché il protocollo SSL non è più considerato sufficiente da PCI DSS. Zendesk ha come impostazione predefinita TLS 1.2, ma ha anche TLS 1.1 e TLS 1.0 abilitati come opzioni di fallback per i sistemi che non sono in grado di gestire TLS 1.2.
Suggerimento: Attiva la mascheratura automatica per gli altri campi
Non vi è alcuna garanzia che gli utenti finali o gli agenti usino sempre il campo del numero di carta di credito. Potrebbe inserire il numero di una carta di credito nei commenti del ticket o in un altro campo ticket personalizzato. Per rimuovere anche questi numeri, consultaRimozione automatica dei numeri delle carte di credito dai ticketnel Centro assistenza.
Nota legale
Zendesk mantiene un Attestato di conformità al settore delle carte di pagamento (AoC) per gli abbonati che usano il campo carta di credito solo per i servizi di help desk e centro assistenza Zendesk e non include altri servizi o prodotti offerti da Zendesk. Richiedi una copia dell’AoC in Artifacts > Direct Download Resources (non-NDA) > Get resources. L’AoC dimostra la conformità di Zendesk al Payment Card Industry Data Security Standard (PCI DSS) versione 4.0, come formulato dal Payment Card Industry Security Standards Council. Gli abbonati Zendesk che hanno sottoscritto il piano Enterprise possono trarre vantaggio dal controllo di sicurezza di Zendesk seguendo le procedure descritte in questo articolo. In base alle procedure descritte in questo articolo, potrebbero essere necessari fino a 5 giorni lavorativi prima che l'account Zendesk venga spostato in un ambiente conforme allo standard PCI Zendesk.
Questo articolo non deve sostituire la consulenza di un professionista abilitato o autorizzato a esercitare nella tua giurisdizione. È necessario consultare sempre un professionista adeguatamente qualificato in merito a qualsiasi problema legale o di conformità. Nessuna disposizione in questo articolo costituisce una consulenza legale.
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.