Zendesk agisce sia come commerciante che come fornitore di servizi. In qualità di commerciante, Zendesk è conforme a PCI DSS. In qualità di provider di servizi basati sul cloud, Zendesk non ha alcun ruolo nel ciclo di vita dell’elaborazione delle carte di pagamento. Sebbene i clienti abbiano la possibilità di usare la propria istanza Zendesk in modi che soddisfino le loro esigenze aziendali, Zendesk non è concepito per essere usato come sistema di fatturazione o per trasmettere e/o memorizzare i dati delle carte di credito.

In qualità di provider di servizi, Zendesk offre una funzione che consente alle aziende di inserire un numero di account personale (PAN) in un campo ticket personalizzato (tramite il campo ticket conforme allo standard PCI) nell'interfaccia agente Zendesk. I numeri delle carte di pagamento inseriti nel campo ticket conforme allo standard PCI vengono ridotti alle ultime 4 cifre prima che i dati vengano inviati alla piattaforma Zendesk. Questo campo e i relativi controlli sono conformi allo standard PCI. Tieni presente che la conformità Zendesk PCI DSS si applica solo al prodotto Support. 

Richiedi una copia dell’Attestation of Compliance (AoC) (in “Artefatti”).

 

Un approccio Zendesk alla sicurezza e alla conformità 

Zendesk utilizza i controlli di sicurezza e i framework per la privacy accettati dal settore per garantire la sicurezza della piattaforma e la conformità alle normative del settore, come PCI DSS. Ciò include quanto segue:

Sicurezza fisica 

Zendesk ospita i dati di servizio principalmente nei data center AWS che sono stati certificati come conformi a ISO 27001, PCI DSS Service Provider Level 1 e/o SOC 2. Ulteriori informazioni sulla conformità in AWS.

Posizioni di hosting dei dati

Zendesk usa data center AWS dislocati in tutto il mondo.  Ulteriori informazioni sulle posizioni di hosting dei dati per i dati del servizio Zendesk.

Forniamo anche scelte di località dei dati in determinate aree. Per maggiori informazioni su prodotti, piani e offerte regionali, consulta la nostra Politica di hosting dei dati a livello regionale.

Sicurezza di rete

La nostra rete è protetta tramite l’uso dei principali servizi di sicurezza AWS, l’integrazione con le nostre reti di protezione edge Cloudflare, controlli regolari e tecnologie di intelligence di rete, che monitorano e/o bloccano il traffico dannoso noto e gli attacchi alla rete.

Architettura

La nostra architettura di sicurezza di rete è composta da più aree di sicurezza. I sistemi più sensibili come i server di database sono protetti nelle nostre zone più attendibili. Altri sistemi sono alloggiati in zone commisurate alla loro sensibilità, a seconda della funzione, della classificazione delle informazioni e del rischio. A seconda della zona, verranno applicati ulteriori controlli di sicurezza e controlli di accesso. Le DMZ vengono utilizzate tra Internet e internamente tra le diverse zone attendibili.

Crittografia

Tutte le comunicazioni con l’interfaccia utente e le API Zendesk sono crittografate tramite HTTPS/TLS standard del settore (TLS 1.2 o versione successiva) su reti pubbliche. Inoltre, per l’email, il nostro prodotto sfrutta per impostazione predefinita il Transport Layer Security (TLS) opportunistico. I dati inattivi del servizio vengono crittografati in AWS usando la crittografia della chiave AES-256.

Mascheramento automatico

Per aiutare i nostri clienti a rispettare i propri obblighi PCI, abbiamo creato una funzione chiamata “Rimozione automatica”. Questa funzione applica un algoritmo di verifica Luhn quando un PAN entra nell’istanza Zendesk. Quando lo strumento identifica la corrispondenza del numero di una carta, tronca il numero (ai primi 6 e agli ultimi 4 caratteri) e gli tagga i dati che indicano che si è verificata la modifica. Questo maschera i dati nell’interfaccia utente, li rimuove dalle voci di registro e database e li memorizza solo per il tempo necessario per eseguire il controllo Luhn. 

La funzione “oscuramento automatico” rimuove i nuovi dati solo a partire dal momento in cui viene attivata. Non si applica al Centro assistenza, a Zendesk Chat e ad altri prodotti Zendesk.  

Per usufruire dei vantaggi del nostro Attestation of Compliance (AoC), devi abilitare il campo personalizzato della carta di credito. Senza attivare questo campo, l’istanza potrebbe non trarre vantaggio dall’AoC o da un ambiente conforme allo standard PCI.

Per la messaggistica:

Se lo Spazio di lavoro agente è attivato, i dati della carta di pagamento verranno automaticamente rimossi in Messaggistica. Questa funzione di rimozione interna può essere controllata usando l’impostazione dell’app maskCreditCardNumbers. Per maggiori informazioni, consulta la documentazione dell’API SunCo.

Scopri come abilitare la rimozione automatica

Ulteriori informazioni sulla rimozione del contenuto dei ticket

 

Qual è la differenza tra il campo ticket conforme allo standard PCI e la rimozione automatica? 

La differenza fondamentale tra le due funzionalità riguarda il momento in cui viene eseguito il processo di rimozione e gli obblighi di conformità PCI che Zendesk ha in conseguenza di ciò. Con il campo ticket conforme allo standard PCI, la funzione di rimozione avviene prima che il PAN entri nella piattaforma Zendesk. Questa funzione è stata verificata e certificata come conforme allo standard PCI ed è progettata per gestire i numeri delle carte di pagamento. D’altra parte, la rimozione automatica identifica e rimuove i dati delle carte di pagamento dopo che le informazioni sono entrate nei nostri sistemi. 

La rimozione automatica non è progettata per consentirti di accettare informazioni PAN. È una funzione conforme allo standard PCI che ti aiuta a gestire le tue responsabilità PCI e assicurarti di avere i mezzi per rimuovere i dati delle carte di pagamento ovunque entrino in Zendesk. Per ulteriori informazioni su come presentare un reclamo PCI, consulta la sezione "Cosa devo fare per essere conforme a PCI DDS?".

Avviso legale

 

Glossario dei termini

Acquirer – Denominata anche “banca commerciale”, “banca acquirente” o “istituto finanziario acquirente”. Entità che avvia e mantiene relazioni con i commercianti per l’accettazione delle carte di pagamento. L’acquirente è in genere responsabile del monitoraggio della conformità PCI con l’account del commerciante.

AoC – Acronimo di Attestation of Compliance. Questo è il report di verifica che mostra se e come un’organizzazione è conforme allo standard PCI.

Dati del titolare della carta: i dati del titolare della carta sono costituiti almeno dal numero di conto principale (PAN) completo. I dati del titolare della carta possono anche apparire sotto forma di PAN completo più uno dei seguenti: nome del titolare della carta, data di scadenza e/o codice del servizio.

CDE – Cardholder Data Environment. Le persone, i processi e la tecnologia che memorizzano, elaborano o trasmettono i dati dei titolari di carta o i dati sensibili di autenticazione.

DLP – Prevenzione della perdita di dati. Il software di prevenzione della perdita di dati è progettato per rilevare potenziali eventi di violazione o perdita di dati.

Crittografia : processo di conversione delle informazioni in una forma incomprensibile, tranne che per i titolari di una chiave crittografica specifica. L’uso della crittografia protegge le informazioni tra il processo di crittografia e il processo di decrittografia (l’inverso della crittografia) dalla divulgazione non autorizzata.

Assegno Luhn : noto anche come algoritmo “Mod 10”, è una semplice formula di checksum usata per convalidare una varietà di numeri di identificazione, come i numeri di carta di credito. La maggior parte delle carte di credito usa l’algoritmo come metodo semplice per distinguere i numeri validi da quelli digitati in modo errato o altrimenti errati.

Mascheratura : un metodo per nascondere un segmento di dati quando viene visualizzato o stampato. Il mascheramento viene usato quando non è necessario per l’azienda visualizzare l’intero PAN. Il mascheramento si riferisce alla protezione del PAN durante la visualizzazione o la stampa.

Campo ticket conforme a PCI : questo campo è progettato per accettare i numeri di carta di credito dagli agenti e rimuove automaticamente il numero della carta di credito fino alle ultime 4 cifre prima che i dati vengano inviati alla piattaforma Zendesk. Questo campo è obbligatorio per poter beneficiare di AoC di Zendesk.

PCI-SSC – Acronimo di Payment Card Industry Security Standards Council. Questo consiglio è stato istituito nel 2006 dai cinque marchi di carte di credito (Visa, MasterCard, American Express, Discover, JCB).

PCI-DSS : lo standard di sicurezza dei dati del settore delle carte di pagamento. Il PCI SSC ha creato uno standard unificato a cui sarebbero soggetti tutti i commercianti e i fornitori di servizi.

PAN : numero di account principale. Detto anche “numero di conto”. Numero univoco della carta di pagamento (in genere per le carte di credito o di debito) che identifica l’emittente e il particolare titolare della carta.

Fornitore di servizi : entità aziendale (non emittente di carte di pagamento) direttamente coinvolta nell’elaborazione, memorizzazione o trasmissione dei dati dei titolari di carta per conto di un’altra entità. Sono incluse anche le aziende che forniscono servizi che controllano o potrebbero influire sulla sicurezza dei dati dei titolari di carta. Gli esempi includono provider di servizi gestiti che forniscono firewall gestiti, IDS e altri servizi, nonché provider di hosting e altre entità.

QSA – Valutatore di sicurezza qualificato. Il PCI SSC ha aziende certificate per eseguire valutazioni PCI e assistere con la convalida PCI; la designazione è un’azienda QSA o, allo stesso modo, una persona in un’azienda QSA può essere certificata come QSA individuale.

Elimina : il processo di rimozione di informazioni sensibili, come PAN, dove non sono necessarie.

SAQ – Questionario di autovalutazione. Un’entità che convalida la conformità PCI sarà sottoposta a una valutazione esterna da parte di un QSA oppure completerà un questionario di verifica e lo invierà ai brand delle carte o alla banca d’affari.

Tokenize : il processo di suddivisione di un flusso di testo significativo, come il numero di carta di credito, in elementi di dati chiamati token che rappresentano i dati effettivi, ma da soli sono privi di significato. La tokenizzazione è un metodo per rimuovere i dati delle carte di credito dai sistemi o dai database, riducendo così l’ambito del CDE.

Troncamento : metodo per rendere illeggibile l’intero PAN rimuovendo in modo permanente un segmento di dati PAN. Il troncamento si riferisce alla protezione del PAN quando è memorizzato in file, database, ecc.