現在のプランを確認

Suite Enterprise以上のプランで利用可能Support Enterpriseプランで利用可能

エージェントまたはエンドユーザーにクレジットカード番号の入力を求める場合、チケットフォームに、PCI DSS(Payment Card Industry Data Security Standards)要件を満たすクレジットカードフィールドを追加できます。

メモ:クレジットカード番号フィールドは、Zendesk Supportインターフェイスおよびヘルプセンターで、PCIに準拠している唯一の機能です。

この記事では、PCI準拠のクレジットカードフィールドの追加方法と、Zendeskの安全性を強化するその他の推奨事項について説明します。推奨事項に従っても、ZendeskがPCIに準拠するわけではありませんが、安全性が向上します。

次のトピックについて説明します。

  • クレジットカード番号フィールドをチケットフォームに追加する
  • 厳格なパスワード要件を実装する 
  • SSLを必ず有効にする
  • 推奨事項:その他のフィールドで自動墨消しを有効にする
  • 法律上の注意

クレジットカード番号フィールドをチケットフォームに追加する

クレジットカード番号用にPCIに準拠したチケットフィールドを使用できます。エンドユーザーとエージェントがこのフィールドにクレジットカード番号全体を入力すると、下4桁を除くすべての数字が自動的に墨消しされます。

メモ:Zendesk APIを使用したクレジットカードフィールドの更新は、PCI準拠レポートの対象外になります。

このフィールドを有効にした場合、アカウントはZendesk SupportインフラストラクチャのPCI準拠の環境に移行します。この移行プロセスには、最長で5営業日必要です。

このセクションでは、フィールドを追加する方法と、制限の概要について述べます。

クレジットカード番号フィールドを追加するには

  1. Zendeskアカウントに管理者としてログインします。
  2. 管理センターで、サイドバーの「 オブジェクトとルール」をクリックし、「チケット」>「フィールド」を選択します。
  3. 右側の「フィールドを追加」をクリックします。
  4. 「クレジットカード」フィールドをクリックします。
  5. 以下のフィールドプロパティを設定し、「保存」をクリックします。
    フィールドプロパティ 値
    タイトル 任意の名前
    エンドユーザーは読み取り専用 未選択(後述のメモを参照)
    エンドユーザーが編集可能 未選択
    必須 エージェントとエンドユーザーの場合は、未選択にしておくことを推奨
メモ:アカウントをインフラストラクチャのPCI準拠の環境に移行するには、クレジットカードフィールドを追加する必要があります。このフィールドをエンドユーザーに対して非表示にするには、「エンドユーザーは読み取り専用」の選択を解除する必要があります。

制限事項

クレジットカード番号フィールドに対する既知の制限は以下のとおりです。

製品に対する制限

  • Zendesk Supportモバイルアプリ:フィールドは読み取り専用です。
  • Web Widget:フィールドは、フィールドはサポートされません。
  • モバイルSDK:フィールドは4桁の数字のみ入力可能です。
  • App Frameworkアプリ:Zendeskマーケットプレイスからインストールしたアプリにフィールドを組み込んだ場合、Zendeskで墨消しされる前に、送信用フィールドの内容がアプリのブラウザコンソールに表示される可能性があります。すべてのアプリについて、アクティベートする前に、この脆弱性がないかどうか評価してください。
  • チケット共有:フィールドはZendeskアカウント間で共有できません。

その他の制限

  • Zendesk Supportは、クレジットカード番号全体を保管しません。
  • PCIではクレジットカード番号の上6桁と下4桁の保管が許可されていますが、Zendesk Supportは下4桁のみを保管します。
  • クレジットカード番号の欄に保存できるのは、クレジットカード番号だけです。フィールドに入力された他の文字は、入力が保存されるときに削除されます。
  • 初期状態のままでは、クレジットカード認証データに関連した他のフィールドをそのまま使えるようになっていません。関連するフィールドとして、有効期限、CVV番号、PIN番号などのフィールドがあります。Zendesk SupportをPCIに準拠した方法で運用するには、サポートチケットのコメント内でこの種の情報の提供をエンドユーザーに求めるべきでありません。PCI DSS(Data Security Standard)では、クレジットカード認証処理でのみ、これらの情報の使用を許可しており、Zendesk Supportは支払い処理アプリケーションではありません。
  • 管理者が有効にした追加機能により、PCI準拠のクレジットカードフィールドのセキュリティが影響を受けることもあります。PCI準拠のフィールドが正しく使用されていれば、Zendesk Supportはクレジットカード番号を受け取ったり保存することは決してありませんが、サードパーティアプリ、ブラウザ拡張またはアドオン、Talk、またはメールで、エンドユーザーのカード所有者データが盗まれる可能性があります。

厳格なパスワード要件を実装する

PCI Data Security Standardは、会社のエージェントおよび管理者全員が、このセクションで説明したパスワード要件を満たすことを要求しています。組織のポリシーがより厳格な要件を課す場合は、その厳格な要件を実装してください。

エージェントおよび管理者がZendeskサインインを使用する場合、次の手順に従います。エージェントおよび管理者がGoogleサインインまたはシングルサインオン(SSO)を使用する場合、Googleアカウントまたはシングルサインオンサーバーが、このセクションで説明したPCI DSSパスワード要件を満たしていることを確認してください。

  1. Zendeskインスタンスに管理者としてログインします。
  2. 管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「チームメンバーの認証」を選択します。
  3. 「パスワードの強度」メニューから「カスタム」を選択します。
  4. 「編集」をクリックします。
  5. 以下の各要件を設定します。
    設定 最小要件
    再利用を禁止する以前のパスワードの数 4回前までの旧パスワード
    最少文字数 7
    数字および特殊文字を含める必要がある 数字のみ
    大文字と小文字を含むこと ○
    パスワードの有効期限 90日
    ロックアウトするまでの失敗回数 6回
    セッションの有効期限切れまでの時間 15分(メモを参照)
    メモ:セッションの有効期限については、次の場合に設定を省略できます。ワークステーションが15分後にロックされるように設定されていて、かつ、タイムアウト設定が強制的に適用されている信頼済みネットワークからのデバイスのみを許可するようにIP制限で設定されている場合。
  6. 「設定」をクリックして変更を保存します。

上記のパスワード要件は、エージェントと管理者に適用されます。エンドユーザーの場合は、エンドユーザーのアカウントが侵害されないように、以下の推奨事項を検討する必要があります。 これはPCI DSSの要件ではありませんが、カスタマーのサポートアカウントを保護するには、考慮する必要があります。Zendeskでは、管理センター >「アカウント」>「セキュリティ」>「エンドユーザー認証」ページで、エンドユーザーについて「高」オプションを選択することを推奨します。

SSLを必ず有効にする

PCIは、パブリックネットワーク上でやりとりされるすべての通信で、カード所有者のデータが暗号化されることを要求します。

ZendeskインスタンスでTLS暗号化の有効化を設定するには

  1. Zendeskアカウントに管理者としてログインします。
  2. 管理センターで、サイドバーの「アカウント」をクリックし、「セキュリティ」>「その他の設定」を選択します。
  3. 「SSL」タブをクリックします。
  4. ホストSSLを使用する場合は、SSL証明書が有効であることを確認してください。または、「標準SSL」セクションで「有効」チェックボックスが選択されていることを確認します。

ZendeskがTLSを使用する理由は、SSLがPCI DSS要件を満たさなくなったと判断されているからです。ZendeskはデフォルトでTLS 1.2を使用しますが、TLS 1.2に対応できないシステム向けのフォールバックオプションとして、TLS 1.1およびTLS 1.0も有効にされています。

推奨事項:その他のフィールドで自動墨消しを有効にする

エンドユーザーまたはエージェントが、クレジットカード番号フィールドを必ず使用するとは限りません。クレジットカード番号をチケットコメントや、ほかのカスタムチケットフィールドに入力してしまうこともありえます。これらの番号を墨消しする方法については、ヘルプセンターで「クレジットカード番号をチケットで自動的に墨消しする方法」を参照してください。

メモ:この機能は、現時点ではPCI準拠ではありません。この機能は、カード所有者のデータが、Zendeskアカウントとメール通知を通じて拡散しないようにするための追加のセキュリティレイヤーとして提供されます。

法律上の注意

Zendeskは、Zendeskヘルプデスクサービスおよびヘルプセンターサービスのためだけに、クレジットカードフィールドを使用して、サブスクライバーのPayment Card Industry Attestation of Compliance(AoC)を確保します。Zendeskが提供するその他のサービスや製品はAoCの対象に含まれません。「アーティファクト」>「直接ダウンロード可能なリソース(NDA対象外)」>「リソース入手はこちら」で、AoCのコピーをリクエストします。このAoCの確保により、Zendeskは、Payment Card Industry Security Standards Councilにより策定されたPayment Card Industry Data Security Standard(PCI DSS)バージョン4.0に準拠していることを示します。ZendeskのEnterpriseプランをご契約された方は、この記事に記載された手順に従うことによって、ZendeskのAoCから利益を得ることができます。  この記事に記載された手順に従った場合、お使いのZendeskアカウントをZendesk PCI準拠の環境に移行するには、最大で5営業日要します。

この記事は、お客様の法域で、認可を受けた専門家または権限のある専門からの助言の代替として使用することはできません。具体的な法律上の問題やコンプライアンス上の問題については、必ず適切な資格のある専門家に相談してください。本記事はいかなる点でも、法的アドバイスを含みません。

Powered by Zendesk