Zendeskは、小売業者とサービスプロバイダーの両方の役割を果たします。マーチャントとして、ZendeskはPCI DSSに準拠しています。クラウドベースのサービスプロバイダーとして、Zendeskは支払いカード処理ライフサイクルにおける役割を果たしません。お客様は、ビジネスニーズに合わせてZendeskインスタンスを使用できますが、Zendeskを請求システムとして使用したり、クレジットカードデータを送信したり、保存したりすることは意図されていません。

サービスプロバイダとして、Zendeskは、Zendeskエージェントインターフェイスのカスタムチケットフィールド(PCI準拠チケットフィールド経由)に個人番号(PAN)を入力できる機能を提供しています。PCI準拠チケットフィールドに入力された支払いカード番号は、Zendeskプラットフォームにデータが送信される 前 に、下4桁で墨消しされます。このフィールドおよびそれに関連するコントロールは、PCIに準拠しています。Zendesk PCI DSSコンプライアンスはSupport製品にのみ適用されることに注意してください。 

コンプライアンス証明書(AoC)のコピーをリクエストする (「アーティファクト」の下)。

 

セキュリティとコンプライアンスに対するZendeskのアプローチ 

Zendeskは、業界で認められているセキュリティ対策とプライバシーフレームワークを採用し、プラットフォームのセキュリティを維持し、PCI DSSなどの業界法規制に準拠しています。これには次のものが含まれます。

物理セキュリティ 

Zendeskのサービスデータは、主にISO 27001、PCI DSSサービスプロバイダーレベル1、SOC 2に準拠したAWSデータセンターにホスティングされています。AWSのコンプライアンスについて

データのホスティング場所

Zendeskは、世界中に設置したAWSデータセンターを使用しています。  Zendeskサービスデータのデータホスティング場所について

また、特定のエリアでは、データの局所性の選択肢も用意されています。製品、プラン、地域での提供内容の詳細については、「 地域データのホスティングポリシー」を参照してください。

ネットワークセキュリティ

当社のネットワークは、主要なAWSセキュリティサービスの使用、Cloudflareのエッジ保護ネットワークとの統合、定期的な監査、および既知の悪意のあるトラフィックやネットワーク攻撃を監視およびブロックするネットワークインテリジェンステクノロジーによって保護されています。

アーキテクチャ

当社のネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。データベースサーバーなど、より機密性の高いサーバーは、最も信頼性の高いゾーンで保護されます。他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に収容されます。ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。DMZは、インターネットと内部ネットワークとの間、および信頼性の異なるゾーン間で利用できます。

暗号化

Zendesk UIおよびAPIによる通信はすべて、業界標準のHTTPS/TLS(TLS 1.2以上)を介してパブリックネットワークで暗号化されます。さらにメールについては、Zendeskの製品はデフォルトでTLS(日和見記法)を活用しています。サービスデータは、AWSでの保存時にAES-256キー暗号化を使用して暗号化されます。

自動墨消し

お客様がPCI義務を果たせるように、当社は「自動墨消し」という機能を作成しました。 この機能は、PANがZendeskインスタンスに登録されたときに、Luhnチェックアルゴリズム を適用します。カード番号の一致が確認されると、その番号(最初の6文字と最後の4文字)を切り捨て、変更が行われたことを示すデータをタグ付けします。これにより、UI内のデータをマスクし、ログとデータベースのエントリからデータを墨消しし、Luhnチェックを実行するのに十分な期間だけ保存します。 

「自動墨消し」機能では、有効になった時点から新しいデータのみが墨消しされます。ヘルプセンター、Zendesk Chat、およびその他のZendesk製品には該当しません。  

コンプライアンス証明書(AoC)のメリットを受けるには、クレジットカードカスタムフィールドを有効にする必要があります。このフィールドをアクティブにしないと、インスタンスがAoCまたはPCI準拠の環境のメリットを受けられない可能性があります。

メモ:ストレージの例外として、一時停止中のチケットのMIMEエンコードされたメールとカスタムチケットフィールドがありますが、これら2つの例外を削除する機能を近日中にリリースする予定です。

メッセージングの場合:

エージェントワークスペースがアクティブになっている場合、支払いカード情報はメッセージングで自動的に墨消しされます。この内部墨消し機能は、アプリのmaskCreditCardNumbers設定を使用して制御できます。詳細については、SunCo APIのドキュメントを参照してください。

自動墨消しを有効にする方法

チケットのコンテンツの墨消しについて、さらに詳しく

 

PCI準拠チケットフィールドと自動墨消しの違いは何ですか? 

この2つの機能の主な違いは、墨消し処理が行われるタイミングと、その結果としてZendeskが持つPCIコンプライアンス義務についてです。PCI準拠チケットフィールドの場合、墨消し機能は、PINがZendeskプラットフォームに入力する 前 に実行されます。この機能は、PCIに準拠していることを監査によって認定されており、支払い用カード番号を処理するように設計されています。一方、自動墨消し機能では、Zendeskのシステムに情報が入力された 後で 、支払いカードデータを特定して墨消しすることができます。 

自動墨消しは、PAN情報を受け入れるように設計されていません。これはPCIに準拠した機能で、PCIでの管理を支援し、Zendeskに届くすべての場所で支払いカード情報を墨消しできます。インスタンスをPCIに苦情させる方法の詳細については、「PCI DDSに準拠するために必要なことは何ですか?」を参照してください。

法律上の注意

Zendeskは、Zendeskヘルプデスクサービスおよびヘルプセンターサービスのためだけに、クレジットカードフィールドを使用して、契約者のPayment Card IndustryAttestation of Compliance(AoC) を確保します。Zendeskが提供するその他のサービスや製品はAoCの対象に含まれません。このAoCの確保により、Zendeskは、Payment Card Industry Security Standards Councilにより策定されたPayment Card Industry Data Security Standard(PCI DSS)バージョン3.1に準拠していることを示します。ZendeskのEnterpriseのサブスクリプションプランをご契約された方は、この記事に記載された手順に従うことによって、ZendeskのAoCから利益を得ることができます。  この記事に記載された手順に従った場合、お使いのZendeskアカウントをZendesk PCI準拠の環境に移行するには、最大で5営業日要します。

この記事は、お客様の法域で、認可を受けた専門家または権限のある専門からの助言の代替として使用することはできません。具体的な法律上の問題やコンプライアンス上の問題については、必ず適切な資格のある専門家に相談してください。本記事はいかなる点でも、法的アドバイスを含みません。

 

用語集

アクティラー :「業者銀行」、「引合い銀行」、「引合い金融機関」とも呼ばれます。 支払いカードを受け入れるための小売業者との関係を開始し、維持するエンティティ。通常は、カード購入者は、マーチャントアカウントのPCIコンプライアンスを監視する責任があります。

AiC– Attestation of Compliance(コンプライアンス証明書)の略語。これは、組織がPCIに準拠しているかどうか、および準拠しているかどうかを示す監査レポートです。

カード所有者データ – カード所有者データは、少なくとも、完全なプライマリアカウント番号(PAN)で構成されます。カード所有者のデータは、PANに加えて、カード所有者名、有効期限またはサービスコードのいずれかの形式で表示されることもあります。

CDE– カード所有者データ環境。カード所有者データまたは機密認証データを保存、処理、送信する人、プロセス、技術。

DCP:データ損失防止。データ損失防止ソフトウェアは、潜在的なデータ侵害またはデータ損失イベントを検出するように設計されています。

暗号化 :特定の暗号鍵の所有者を除き、情報を理解できない形式に変換するプロセス。暗号化を使用することで、暗号化プロセスと解除プロセス(暗号化の逆方向)の間で情報を不正開示から保護できます。

Luhnチェック :「Mod 10」アルゴリズムとも呼ばれ、クレジットカード番号などのさまざまな身分証明書番号の検証に使用されるシンプルなチェックサムの式です。ほとんどのクレジットカードでは、有効な番号を入力ミスや間違った番号と区別するための簡単な方法としてアルゴリズムを利用しています。

マスキング :表示または印刷時にデータのセグメントを隠す方法。マスキングは、PAN全体を表示する必要がない場合に使用します。マスキングは、表示または印刷時のPANの保護に関連します。

PCI準拠チケットフィールド : エージェントからのクレジットカード番号を受け付けるように設計されています。Zendeskプラットフォームにデータを送信する前に、クレジットカード番号の最後の4桁を自動的に墨消しします。ZendeskのAoC機能を活用するためには、このフィールドを有効にする必要があります。

PCI-SSC:Payment Card Industry Security Standards Council(Payment Card Industry Security Standards Council)の略語。この会議は、2006年に5つのクレジットカードブランド(VISA、MasterCard、American Express、Discover、JCB)によって設立されました。

PCI-DSS– 支払いカード業界のデータセキュリティ基準。PCI SSCは、すべての小売業者とサービスプロバイダーが対象となる統一基準を作成しました。

PAN:プライマリアカウント番号。「アカウント番号」とも呼ばれます。 発行者および特定のカード所有者を識別する、固有の支払い用カード番号(通常はクレジットカードまたはデビットカード)。

サービスプロバイダー – カード所有者データの処理、保管、移転に直接関与する事業者(支払いカード発行会社ではない)。これには、カード所有者のデータのセキュリティを制御する、または影響を与える可能性のあるサービスを提供する企業も含まれます。たとえば、ファイアウォール、IDS、その他のサービスを提供するマネージドサービスプロバイダー、ホスティングプロバイダーやその他のエンティティなどです。

QSA– Qualified Security Assessor。PCI SSCは、PCI評価を実施し、PCI検証を支援する企業を認定しました。認証局がQSA企業である場合、同様にQSA企業の個人を個人のQSAとして認定することができます。

墨消し - 不要な機密情報(PANなど)を削除するプロセス。

SAQ- 自己評価アンケートPCI準拠を検証する企業は、QSAによる外部認証を受けるか、またはSAQを締結した後、カードブランドまたはマーチャント銀行に送信します。

トークン 化 – クレジットカード番号のような意味のあるテキストのストリームを、実際のデータを表すが、単体では役に立たないトークンと呼ばれるデータ要素に分割するプロセス。トークン化は、システムまたはデータベースからクレジットカードデータを削除することで、CDEの範囲を縮小する方法です。

切り捨て :PANデータのセグメントを完全に削除して、PAN全体を読み取り不能にする方法です。切り捨ては、ファイル、データベースなどに保存される際のPANの保護に関連します。

翻訳に関する免責事項:この記事は、お客様の利便性のために自動翻訳ソフ トウェアによって翻訳されたものです。Zendeskでは、翻訳の正確さを期すために相応の努力を払っておりますが、翻訳の正確性につ いては保証いたしません。

翻訳された記事の内容の正確性に関して疑問が生じた場合は、正式版である英語の記事 を参照してください。

Powered by Zendesk