Zendesk agisce sia come commerciante che come fornitore di servizi. In qualità di commerciante, Zendesk è conforme allo standard PCI DSS. In quanto provider di servizi basati sul cloud, Zendesk non ha alcun ruolo nel ciclo di vita dell’elaborazione delle carte di pagamento. Sebbene i clienti abbiano la possibilità di usare la propria istanza Zendesk in base alle proprie esigenze aziendali, Zendesk non è concepito per essere usato come sistema di fatturazione o per trasmettere e/o memorizzare i dati delle carte di credito.
In qualità di provider di servizi, Zendesk offre una funzione che consente alle aziende di inserire un numero di account personale (PAN) in un campo ticket personalizzato (tramite il campo ticket conforme allo standard PCI) nell'interfaccia agente di Zendesk. I numeri delle carte di pagamento inseriti nel campo ticket conforme allo standard PCI vengono ridotti fino alle ultime 4 cifre prima dell’invio dei dati alla piattaforma Zendesk. Questo campo e i relativi controlli sono conformi allo standard PCI. La conformità allo standard PCI DSS di Zendesk si applica solo al prodotto Support.
Richiedi una copia dell’attestato di conformità (AoC) (in Risorse).
Un approccio Zendesk alla sicurezza e alla conformità
Zendesk utilizza i controlli di sicurezza e i framework per la privacy accettati nel settore per mantenere la sicurezza della piattaforma e la conformità alle normative del settore, come PCI DSS. Ciò include quanto segue:
Sicurezza fisica
Zendesk ospita i dati dei servizi principalmente nei data center AWS che sono stati certificati come conformi a ISO 27001, PCI DSS Service Provider Level 1 e/o SOC 2. Ulteriori informazioni su Conformità in AWS.
Posizioni di hosting dei dati
Zendesk usa data center AWS dislocati in tutto il mondo. Ulteriori informazioni sulle posizioni di hosting dei dati per i dati del servizio Zendesk.
Forniamo anche la scelta della località dei dati in determinate aree. Per maggiori informazioni su prodotti, piani e offerte regionali, consulta la nostra Policy sull’hosting dei dati a livello regionale.
Sicurezza della rete
La nostra rete è protetta mediante l’uso dei principali servizi di sicurezza AWS, l’integrazione con le nostre reti di protezione perimetrali Cloudflare, verifiche periodiche e tecnologie di intelligence di rete, che monitorano e/o bloccano il traffico dannoso noto e gli attacchi alla rete.
Architettura
La nostra architettura di sicurezza di rete è composta da molteplici aree di sicurezza. I sistemi più sensibili, come i server di database, sono protetti nelle nostre aree più attendibili. Altri sistemi sono alloggiati in zone commisurate alla loro sensibilità, a seconda della funzione, della classificazione delle informazioni e del rischio. A seconda della zona, verranno applicati ulteriori controlli di sicurezza e controlli dell’accesso. Le DMZ vengono utilizzate tra Internet e internamente tra le diverse zone di attendibilità.
Crittografia
Tutte le comunicazioni con l’interfaccia utente e le API Zendesk sono crittografate tramite lo standard HTTPS/TLS (TLS 1.2 o versione successiva) su reti pubbliche. Inoltre, per l’email, il nostro prodotto sfrutta per impostazione predefinita il Transport Layer Security (TLS) opportunistico. I dati del servizio sono crittografati nei dati inattivi in AWS usando la chiave AES-256.
Mascheramento automatico
Per aiutare i nostri clienti a rispettare i propri obblighi PCI, abbiamo creato una funzione chiamata “Rimozione automatica”. Questa funzione applica un algoritmo di verifica Luhn quando un PAN entra nella tua istanza Zendesk. Quando lo strumento identifica una corrispondenza con il numero di una carta, tronca il numero (fino ai primi 6 e agli ultimi 4 caratteri) e lo contrassegna con i dati che indicano che si è verificata la modifica. Questo maschera i dati nell’interfaccia utente, li rimuove dalle voci di registro e database e li memorizza solo per il tempo necessario per eseguire il controllo Luhn.
La funzione di “rimozione automatica” rimuove i nuovi dati solo a partire dal momento in cui vengono attivati. Non si applica al Centro assistenza, a Zendesk Chat e ad altri prodotti Zendesk.
Per usufruire dei vantaggi dell’attestato di conformità (AoC), devi attivare il campo relativo alla carta di credito. Senza attivare questo campo, la tua istanza potrebbe non trarre vantaggio dall’AoC o da un ambiente conforme allo standard PCI.
Nota: Le eccezioni di archiviazione includono email con codifica MIME e campi ticket personalizzati nei ticket sospesi, ma prevediamo che presto verranno rilasciate funzionalità per rimuovere queste due eccezioni.
Per la messaggistica:
Se lo Spazio di lavoro agente è attivato, le informazioni relative alla carta di pagamento saranno nascoste automaticamente in Messaggistica. Questa funzione di rimozione interna può essere controllata usando l’impostazione dell’app maskCreditCardNumbers. Per maggiori informazioni, consulta la documentazione dell’API SunCo.
Scopri come abilitare la mascheratura automatica
Ulteriori informazioni sulla mascheratura dei contenuti dei ticket
Qual è la differenza tra Campo ticket conforme allo standard PCI e Mascheramento automatico?
La differenza principale tra le due funzionalità riguarda il momento in cui viene eseguito il processo di rimozione e quali sono gli obblighi di conformità PCI che Zendesk ha in conseguenza di ciò. Con il campo ticket conforme allo standard PCI, la funzione di rimozione viene eseguita prima che il PAN entri nella piattaforma Zendesk. Questa funzione è stata verificata e certificata come conforme allo standard PCI ed è progettata per gestire i numeri delle carte di pagamento. D’altra parte, la rimozione automatica identifica e rimuove i dati delle carte di pagamento dopo che le informazioni sono entrate nei nostri sistemi.
La rimozione automatica non è progettata per consentire l’accettazione di informazioni PAN. È una funzione conforme allo standard PCI che aiuta a gestire le responsabilità PCI e garantisce di avere i mezzi per mascherare i dati delle carte di pagamento ovunque entrino nel vostro Zendesk. Per maggiori informazioni su come presentare un reclamo PCI per un’istanza, consulta la sezione “Cosa devo fare per essere conforme a PCI DDS?”.
Nota legale
Zendesk mantiene un Attestato di conformità al settore delle carte di pagamento (“AoC”) per gli abbonati che usano il campo carta di credito solo per i servizi di help desk e centro assistenza Zendesk e non include altri servizi o prodotti offerti da Zendesk. L’AoC dimostra la conformità di Zendesk allo standard di sicurezza dei dati del settore delle carte di pagamento ("PCI DSS") versione 3.1, come formulato dal Consiglio per gli standard di sicurezza del settore delle carte di pagamento. Gli abbonati Zendesk che hanno un piano di abbonamento Enterprise possono trarre vantaggio dal controllo di sicurezza di Zendesk seguendo le procedure descritte in questo articolo. In base alle procedure descritte in questo articolo, potrebbero essere necessari fino a 5 giorni lavorativi prima che l'account Zendesk venga spostato in un ambiente conforme allo standard PCI Zendesk.
Questo articolo non deve sostituire la consulenza di un professionista abilitato o autorizzato a esercitare nella tua giurisdizione. È necessario consultare sempre un professionista adeguatamente qualificato in merito a qualsiasi problema legale o di conformità. Nessuna disposizione in questo articolo costituisce una consulenza legale.
Glossario
Acquirer – Denominata anche “banca d’affari”, “banca acquirente” o “istituto finanziario acquirente”. Entità che avvia e mantiene relazioni con i commercianti per l’accettazione di carte di pagamento. In genere, l'acquirente è responsabile del monitoraggio della conformità PCI per l'account del proprio commerciante.
AoC – Acronimo di Attestation of Compliance. Questo è il report di verifica che mostra se e come un’organizzazione è conforme allo standard PCI.
Dati dei titolari di carta – I dati dei titolari di carta consistono almeno nel numero completo di conto principale (PAN). I dati dei titolari di carta possono anche apparire sotto forma del PAN completo più uno dei seguenti: nome del titolare, data di scadenza e/o codice del servizio.
CDE – Cardholder Data Environment. Le persone, i processi e la tecnologia che memorizzano, elaborano o trasmettono i dati dei titolari di carta o i dati sensibili di autenticazione.
DLP – Prevenzione della perdita di dati. Il software di prevenzione della perdita di dati è progettato per rilevare potenziali eventi di violazione o perdita di dati.
Crittografia : processo di conversione delle informazioni in una forma incomprensibile, tranne che per i titolari di una specifica chiave crittografica. L’uso della crittografia protegge le informazioni tra il processo di crittografia e il processo di decrittografia (l’inverso della crittografia) dalla divulgazione non autorizzata.
Assegno Luhn : noto anche come algoritmo “Mod 10”, è una semplice formula di checksum usata per convalidare una varietà di numeri di identificazione, come i numeri di carta di credito. La maggior parte delle carte di credito usa l’algoritmo come metodo semplice per distinguere i numeri validi da quelli digitati in modo errato.
Mascheramento : un metodo per nascondere un segmento di dati durante la visualizzazione o la stampa. Il mascheramento viene usato quando non è necessario che l’azienda visualizzi l’intero PAN. Il mascheramento si riferisce alla protezione del PAN durante la visualizzazione o la stampa.
Campo ticket conforme allo standard PCI : questo campo è progettato per accettare numeri di carta di credito dagli agenti e rimuove automaticamente il numero della carta di credito fino alle ultime 4 cifre prima che i dati vengano inviati alla piattaforma Zendesk. Questo campo è obbligatorio per poter usufruire di AoC di Zendesk.
PCI-SSC – Acronimo di Payment Card Industry Security Standards Council. Questo consiglio è stato creato nel 2006 dai cinque brand di carte di credito (Visa, MasterCard, American Express, Discover, JCB).
PCI-DSS : lo standard per la sicurezza dei dati nel settore delle carte di pagamento. Il PCI SSC ha creato uno standard unificato a cui tutti i commercianti e i fornitori di servizi sarebbero stati soggetti.
PAN : numero di conto principale. Detto anche “numero di conto”. Numero univoco della carta di pagamento (in genere per le carte di credito o di debito) che identifica l’emittente e il particolare titolare della carta.
Fornitore di servizi : entità aziendale (non emittente di carte di pagamento) direttamente coinvolta nell’elaborazione, memorizzazione o trasmissione dei dati dei titolari di carta per conto di un’altra entità. Sono incluse anche le aziende che forniscono servizi che controllano o potrebbero influire sulla sicurezza dei dati dei titolari di carta. Ad esempio, provider di servizi gestiti che forniscono firewall gestiti, IDS e altri servizi, nonché provider di hosting e altre entità.
QSA – Qualified Security Assessor. Il PCI SSC ha aziende certificate per eseguire valutazioni PCI e assistere con la convalida PCI; la designazione è un’azienda QSA, o in modo simile una persona presso un’azienda QSA può essere certificata come QSA individuale.
Nascondi : il processo di rimozione di informazioni sensibili, come il PAN, dove non sono necessarie.
SAQ – Questionario di autovalutazione. Un’entità che convalida la conformità PCI sarà sottoposta a una valutazione esterna da parte di un QSA oppure completerà un questionario di verifica da inviare ai brand delle carte o alla rispettiva banca d’affari.
Tokenize : il processo di scomposizione di un flusso di testo significativo, come il numero di carta di credito, in elementi di dati chiamati token che rappresentano i dati effettivi, ma che da soli sono privi di significato. La tokenizzazione è un metodo per rimuovere i dati delle carte di credito da sistemi o database, riducendo così l’ambito del CDE.
Troncamento : metodo per rendere illeggibile l’intero PAN rimuovendo in modo permanente un segmento di dati PAN. Il troncamento si riferisce alla protezione della PAN quando è memorizzata in file, database, ecc.
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.