Se gli agenti o gli utenti finali inseriscono i numeri di carta di credito nei ticket, è possibile aggiungere un campo relativo alla carta di credito al modulo del ticket che soddisfi i requisiti dello standard di sicurezza dei dati (DSS) del settore delle carte di pagamento.
Oltre a descrivere come aggiungere un campo di carta di credito conforme allo standard PCI, questo articolo fornisce ulteriori suggerimenti per rendere più sicuro Zendesk. I consigli non renderanno il tuo Zendesk conforme allo standard PCI, ma contribuiranno a renderlo più sicuro.
Argomenti trattati:
Aggiunta del campo del numero di carta di credito al modulo ticket
Puoi usare il campo ticket conforme a PCI per i numeri di carta di credito. Gli utenti finali e gli agenti possono inserire il numero completo di carta di credito nel campo e tutto, tranne le ultime 4 cifre, verrà rimosso automaticamente.
Una volta abilitato il campo, il tuo account verrà spostato in una parte conforme allo standard PCI dell’infrastruttura Zendesk Support. Il trasferimento può richiedere fino a 5 giorni lavorativi.
Questa sezione descrive come aggiungere il campo e ne descrive i limiti.
Per aggiungere il campo del numero di carta di credito
- Accedi al tuo account Zendesk come amministratore.
- Nel Centro amministrativo, fai clic su Oggetti e regole nella barra laterale, quindi seleziona Ticket > Campi.
- Fai clic suAggiungi camposul lato destro.
- Fai clic sul campo Carta di credito .
- Imposta le seguenti proprietà dei campi e fai clic suSalva.
Proprietà campo Valori Titolo Qualsiasi nome Di sola lettura per gli utenti finali Deselezionata (vedi nota qui sotto) Modificabile dagli utenti finali Non selezionata Obbligatorio Consiglio vivamente di lasciare deselezionata per agenti e utenti finali
Limitazioni
Di seguito sono elencate le limitazioni note con il campo del numero di carta di credito.
Limitazioni del prodotto
- App Zendesk Support per dispositivi mobili: il campo è di sola lettura.
- Web Widget - Il campo non è supportato.
- SDK per dispositivi mobili: il campo accetta solo 4 cifre.
- App framework per app: se il campo è integrato in un’app installata da Zendesk Marketplace. Le app potrebbero visualizzare i contenuti dei campi in uscita nella console del browser prima che vengano rimossi da Zendesk. Valuta le app per questa vulnerabilità prima di attivarle.
- Condivisione ticket: il campo non può essere condiviso tra account Zendesk.
Altre limitazioni
- Zendesk Support non memorizza un numero completo di carta di credito.
- PCI consente di memorizzare le prime 6 e le ultime 4 cifre di una carta di credito, ma Zendesk Support può conservare solo le ultime 4.
- Solo i numeri di carta di credito possono essere memorizzati nel campo del numero di carta di credito. Tutti gli altri caratteri inseriti nel campo vengono rimossi quando l’input viene salvato.
- La funzionalità predefinita per supportare altri campi relativi ai dati di autenticazione delle carte di credito non è disponibile. Ciò include, a titolo esemplificativo, i campi della data di scadenza, del valore di verifica della carta (CVV) o del numero di identificazione personale (PIN). Per usare Zendesk Support in modo conforme allo standard PCI, non devi richiedere queste informazioni agli utenti finali nei commenti dei ticket di assistenza. PCI DSS consente di usare queste informazioni solo durante il processo di autorizzazione della carta di credito e Zendesk Support non è un’applicazione di elaborazione dei pagamenti.
- Ulteriori funzioni abilitate dall’amministratore possono influire sulla sicurezza del campo Carta di credito conforme a PCI. Sebbene Zendesk Support non riceva o memorizzi mai il numero di carta di credito quando il campo conforme allo standard PCI viene usato correttamente, app, estensioni del browser o componenti aggiuntivi, Talk o email di terzi potrebbero intercettare i dati dei titolari di carta degli utenti finali.
Implementazione di severi requisiti per le password
Lo standard di sicurezza dei dati PCI richiede che gli agenti e gli amministratori dell’azienda soddisfino i requisiti per la password descritti in questa sezione. Se le policy della tua organizzazione impongono requisiti più rigorosi, implementa i requisiti più rigorosi.
Se usi l’accesso a Zendesk per agenti e amministratori, procedi nel seguente modo. Se stai usando Google Sign-in o Single Sign-On (SSO) per agenti e amministratori, verifica che il tuo account Google o il tuo server Single Sign-On soddisfi i requisiti per la password PCI DSS descritti in questa sezione.
- Accedi alla tua istanza Zendesk come amministratore.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Autenticazione membri del team.
- Seleziona Personalizzato dal menuLivello password .
- Fai clic su Modifica.
- Imposta i seguenti requisiti:
Impostazione Requisito minimo Numero di password precedenti da rifiutare 4 password precedenti Lunghezza minima 7 Deve includere numeri e caratteri speciali Solo numeri Deve includere lettere sia maiuscole che minuscole Sì Scadenza della password 90 giorni Numero di tentativi non riusciti prima del blocco 6 Le sessioni scadono dopo quanti minuti 15 (vedi nota) Nota: Il requisito di scadenza della sessione è facoltativo se le workstation sono configurate per il blocco dopo 15 minuti e le limitazioni IP sono configurate in modo che solo i dispositivi della rete attendibile abbiano le impostazioni di timeout applicate. - Fai clic su Imposta per salvare le modifiche.
I requisiti per la password indicati sopra si applicano ad agenti e amministratori. Per gli utenti finali, si consiglia il seguente consiglio per evitare che i propri account vengano compromessi. Questo non è richiesto da PCI DSS, ma dovrebbe essere preso in considerazione per proteggere gli account di assistenza dei clienti. Zendesk consiglia di selezionare l’opzioneAlta per gli utenti finali nella pagina Centro amministrativo > Account > Sicurezza > Autenticazione utentefinale Utenti finali .
Assicurati che SSL sia abilitato
PCI richiede che tutte le comunicazioni su reti pubbliche che possono includere dati di titolari di carta siano crittografate.
Per configurare l’istanza Zendesk per abilitare la crittografia TLS
- Accedi al tuo account Zendesk come amministratore.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Altre impostazioni.
- Fai clic sulla scheda SSL .
- Se stai usandoSSL in hosting, assicurati che il certificato SSL sia valido. In caso contrario, assicurati che la casella di spuntaAbilitatonella sezione SSL normale sia selezionata.
Zendesk usa TLS perché SSL non è più considerato sufficiente da PCI DSS. Zendesk ha come impostazione predefinita TLS 1.2, ma ha anche abilitato TLS 1.1 e TLS 1.0 come opzioni di fallback per i sistemi che non sono in grado di gestire TLS 1.2.
Suggerimento: Abilita la mascheratura automatica per gli altri campi
Non vi è alcuna garanzia che gli utenti finali o gli agenti useranno sempre il campo del numero di carta di credito. Potrebbero inserire il numero di una carta di credito nei commenti del ticket o in un altro campo ticket personalizzato. Per rimuovere anche questi numeri, consultaRimozione automatica dei numeri di carta di credito dai ticketnel Centro assistenza.
Avviso legale
Zendesk mantiene un Attestato di conformità del settore delle carte di pagamento (AoC) per gli abbonati che usano il campo Carta di credito solo per i servizi Zendesk Help desk e Centro assistenza e non include altri servizi o prodotti offerti da Zendesk. Richiedi una copia dell’AoC in Artifacts > Direct Download Resources (non NDA) > Get resources. L’AoC dimostra la conformità di Zendesk al Payment Card Industry Data Security Standard (PCI DSS) versione 4.0, come formulato dal Payment Card Industry Security Standards Council. Gli abbonati Zendesk che hanno sottoscritto il piano Enterprise possono trarre vantaggio dall’AoC di Zendesk seguendo le procedure descritte in questo articolo. Dopo aver seguito le procedure descritte in questo articolo, potrebbero essere necessari fino a 5 giorni lavorativi prima che il tuo account Zendesk venga spostato in un ambiente conforme allo standard PCI Zendesk.
Questo articolo non deve sostituire la consulenza di un professionista autorizzato o autorizzato a esercitare nella tua giurisdizione. Dovresti sempre consultare un professionista adeguatamente qualificato in merito a qualsiasi specifico problema legale o di conformità. Nessuna disposizione in questo articolo è da intendersi come consulenza legale.
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.