Modelo de responsabilidade compartilhada da Zendesk

A Zendesk fornece uma plataforma de atendimento ao cliente altamente configurável e capaz de se adaptar rapidamente a algumas das maiores empresas do mundo de vários setores.  Ajudamos os assinantes a aproveitar a nossa plataforma na nuvem a fim de fornecer serviços de atendimento ao cliente. Assim, os assinantes podem reduzir a sobrecarga, se adaptar para cumprir a demanda e fornecer interações elegantemente simples com os clientes.

Ao migrar seus negócios para a nuvem, você não só obtém os benefícios descritos acima, mas pode incluir ambiguidade com relação a qual parte terá o controle do quê.  Não se preocupe. Vamos compartilhar a seguir o nosso Modelo de Responsabilidade Compartilhada para simplificar tudo.  Essa estrutura esclarece qual parte fica responsável por quais controles relacionados à segurança e à privacidade dos seus dados.  Seja você um administrador consciencioso, um funcionário corporativo de segurança, conformidade ou privacidade, ou qualquer outra pessoa encarregada de configurar os controles apropriados para o uso dos serviços do Zendesk em seu ambiente, esse padrão deve definir claramente os limites que você precisa conhecer.

Resumindo em uma frase, “a Zendesk cuida da segurança do Serviço em si, enquanto você cuida da segurança das suas instâncias do Serviço”. 

1. Higienização e controles de acesso
2. Integrações
3. Dados, privacidade, conformidade e considerações regulatórias
4. Monitoramento
5. Manutenção
6. Incidentes de segurança (funções e responsabilidades)
7. Links úteis
8. Registro de alterações

Observe que os termos em letras maiúsculas terão o significado atribuído a eles no Contrato do Cliente da Zendesk (“ZCA”).

I. Higienização e controles de acesso
Controlar o acesso a sistemas sensíveis e aos dados contidos neles é fundamental por princípios de segurança.

1. O Assinante é responsável por todos os controles de acesso às suas instâncias do serviço, incluindo:
   1. Provisionamento, modificação, higiene regular, manutenção da precisão de privilégio e desprovisionamento de todos os usuários, incluindo usuários finais e agentes (locais, remotos ou da força de trabalho de terceiros)
   2. Escolha e configuração do método de autenticação no serviço a partir de ofertas aceitas (podem ser senhas, MFA, SSO etc.)
   3. Configuração e monitoramento dos aspectos que fazem parte da sessão, tais como saída, dispositivos conectados etc.
   4. Permissão ou veto de entrada à nossa equipe de suporte para fornecer ajuda na instância do Support
   5. Configuração de acesso e compreensão das implicações do uso dos serviços REST API do Zendesk (quando aplicável, por exemplo, integrações, uso do Zendesk Sunshine Service etc.)
   6. Configuração de quaisquer restrições de IP de produtos compatíveis quando quiser
   7. Consideração de outros controles de acesso não relacionados a produtos, como quais tipos de dispositivos você permite que os agentes usem ao acessar as suas instâncias, bem como quaisquer controles físicos, lógicos ou de política aplicáveis aos usuários ou dispositivos permitidos
2. A Zendesk é responsável por todos os controles de acesso aos sistemas que sustentam o serviço, incluindo:
   1. Manter as políticas e os procedimentos de provisionamento seguro, modificação, higiene regular, manutenção da precisão de privilégio e desprovisionamento de todos os usuários, incluindo usuários (locais, remotos e da força de trabalho de terceiros)
   2. Aplicar um Controle de acesso baseado em função (RBAC), o Princípio de privilégio mínimo (PLP), credenciais de segurança adequadas, como Autenticação multifatorial (MFA) em todos os acessos por funcionários e contratados a sistemas e aplicações críticos que contenham Dados de Serviço de um assinante
   3. Realizar verificações periódicas nos itens acima

II. Integrações
Contratar terceiros pode aumentar bastante a eficiência, mas também apresentar considerações sobre segurança.

1. O Assinante é responsável por considerar as implicações de segurança de aproveitar todas as integrações de terceiros que ele faz com o Serviço, incluindo:
   1. Integrações feitas por API e/ou SDK
   2. Integrações feitas com a instalação de aplicativos do Marketplace ou a ativação de canais de terceiros
   3. Integrações com qualquer terceiro para auxiliar assinantes que envolve o fornecimento de equipes, ferramentas, códigos ou instâncias de serviço direto do Zendesk
2. A Zendesk é responsável por integrar cuidadosamente terceiros confiáveis ao serviço, incluindo:
   1. Vetar e realizar auditoria regular em todos os subprocessadores
   2. Integrar aquisições ao Serviço com segurança
   3. Garantir quais parcerias com terceiros relacionadas a produtos e/ou integrações do Serviço tiveram a segurança avaliada 

III. Dados, privacidade, conformidade e considerações regulatórias
Explicar os dados estão em uso, se eles são tratados corretamente, quaisquer quadros regulatórios e a importância de garantias de terceiros é imprescindível.

1. O Assinante é responsável pelo tratamento adequado dos dados que ele recebe e usa, incluindo:
   1. Entender os tipos de dados em seus respectivos casos de uso
   2. Tratar esses dados de acordo com a sua classificação e as políticas de privacidade da sua empresa, com as leis aplicáveis aos dados, aos usuários que fornecem os dados, ao setor do assinante e a outras jurisdições competentes
   3. Escolher quais canais podem se comunicar com as suas instâncias do serviço
   4. Manter as instâncias e Dados de Serviço de acordo com o enquadramento de conformidade, legal ou regulatório pertinente do setor do assinante, dos usuários ou dos casos de uso pode ser necessário
   5. Fornecer à Zendesk outros certificados TLS em que o mapeamento do host a um domínio pai que não seja da Zendesk é necessário para criptografar o tráfego entre suas UI e APIs
   6. Entender quando os dados não podem ser criptografados em trânsito e tratar devidamente esses canais ou protocolos (sobretudo e-mail, SMS ou integrações de terceiros feitas a critério exclusivo do assinante quando a criptografia não é possível)
   7. Garantir que os tipos de dados envolvidos na instância do assinante não violem os termos e condições do Contrato do Cliente da Zendesk (consulte o Zendesk ZCA)
   8. Garantir o nível de tempo de atividade e a recuperação de desastres escolhidos pelo assinante de acordo com quaisquer políticas e regulações às quais os assinantes estejam vinculados
2. A Zendesk é responsável por:
   1. Proteger adequadamente todos os Dados de Serviço contra qualquer divulgação (por exemplo, infraestrutura e código)
   2. Criptografar dados em trânsito entre UIs e APIs em redes públicas
   3. Criptografar todos os Dados de Serviço em repouso
   4. Fornecer informações aos assinantes sobre os dados coletados por cookies de produtos e o uso padrão dos serviços
   5. Descrever corretamente como usamos os Dados de Serviço, inclusive Dados Pessoais, de forma anonimizada ou não, para fornecer os nossos Serviços.
   6. Fornecer ferramentas e recursos que ajudem os assinantes a cumprir as suas obrigações e tratar adequadamente dados pessoais ou regulados.
   7. Cumprir as leis e marcos regulatórios aplicáveis às nossas ofertas de serviços e localizações das empresas
   8. Obter e fornecer garantias de conformidade de terceiros independentes relevantes às nossas ofertas de serviços

IV. Monitoramento
Uma segurança adequada necessita de insight sobre processos e atividades.

1. O Assinante é responsável pelo monitoramento de todas as atividades em suas instâncias do serviço, incluindo:
   1. Monitorar as atividades dos usuários (por visualizações da UI ou registros da API)
   2. Realizar uma auditoria nas comunicações com indivíduos desconhecidos ou em conteúdo não confiável por meio do serviço
   3. Manter registros e dados extraídos do Serviço de acordo com quaisquer regulações aplicáveis
2. O Zendesk é responsável por monitorar os processos e a atividade do próprio serviço, incluindo:
   1. Acesso privilegiado e atividades na rede de produção
   2. Tráfego recebido para alertar ou bloquear envios com erros conhecidos ou endereços IP
   3. Disponibilidade do serviço
   4. Comportamento anormal nos ativos de rede de produção ou corporativos
   5. A segurança do código, da infraestrutura, do tráfego e de pessoal relevante do contratado ou de funcionários

V. Manutenção
Sistemas e códigos sempre atualizados e corrigidos podem impedir vários problemas de segurança.

1. O Assinante é responsável por manter e corrigir quaisquer sistemas ou códigos além dos limites arquitetônicos e/ou contratuais do Zendesk*, incluindo:
   1. Sua própria infraestrutura, incluindo pontos de extremidade de funcionários, redes, infraestrutura personalizada ou middleware de terceiros usados para acessar os Serviços Zendesk e/ou manter o processamento dos Dados do Serviço antes que ingressem ou saiam dos sistemas da Zendesk
   2. Seus próprios códigos não padronizados utilizados para fornecer funcionalidade adicional aos Serviços Zendesk, incluindo códigos desenvolvidos pela equipe interna do Assinante ou por terceiros, ou ainda códigos que o Assinante adquiriu para usar com os Serviços Zendesk. Também estão incluídos códigos personalizados desenvolvidos pelos Serviços profissionais da Zendesk a pedido dos Assinantes, desde que a responsabilidade por esses códigos e a manutenção deles tenha sido transferida para o Assinante como parte de um contrato personalizado.
2. A Zendesk é responsável por manter e corrigir todos os sistemas e códigos dentro de seus limites de arquitetura e/ou contratuais, incluindo:
   1. Sua própria infraestrutura gerenciada logicamente dentro das instalações do provedor de hospedagem usadas para fornecer os Serviços, incluindo sistemas operacionais, infraestrutura de segurança e sistemas sob seu controle direto, sistemas de contêiner e orquestração, etc.
   2. Sua própria infraestrutura gerenciada física e/ou logicamente usada no ambiente corporativo do Zendesk, como pontos de extremidade de funcionários, infraestrutura de rede corporativa etc.
   3. A base de código exclusivo sustentando os Serviços da Zendesk.

* Observe que, embora os aplicativos do Marketplace sejam executados dentro dos limites arquitetônicos do Zendesk, eles não são cobertos pelo Contrato do Cliente da Zendesk, mas sim por termos específicos entre o Assinante e os próprios desenvolvedores de aplicativos, conforme indicado em nossos Termos de uso de aplicativos do Marketplace. A manutenção dos aplicativos do Marketplace é de responsabilidade dos desenvolvedores terceirizados desses aplicativos.

VI. Incidentes de segurança
Mesmo com todos os esforços, nem sempre as coisas dão certo.  A forma como você reconhece, responde e se recupera de um incidente de segurança é essencial para mitigar e manter a confiança de um cliente.  Esta seção define as funções e responsabilidades de cada parte em caso de incidentes de segurança.

1. O Assinante é responsável por qualquer incidente ou violação de segurança em suas instâncias específicas, que não tenha sido causado por vulnerabilidades ou incidentes dentro do próprio serviço, incluindo 
   1. Investigar e corrigir qualquer violação suspeita ou real em sua instância específica causada por (i) um controle insuficiente de acesso ou higienização (incluindo o uso de credenciais públicas fracas ou com vulnerabilidades), (ii) um monitoramento insuficiente das atividades dos usuários, (iii) a não realização de auditoria sobre comunicações ou conteúdo não confiável derivado de interações com usuários, ou (iv) qualquer incidente ou violação ocorrido pela interação com terceiros, em que tal integração foi realizada a critério exclusivo do assinante.
   2. Enviar notificações obrigatórias a autoridades do governo ou policiais, ou a usuários finais sobre violações causadas por ações do Assinante, terceiros integrados, ou relacionadas a notificações de Violações de Dados do Serviço recebidas da Zendesk com relação à instância do Assinante
2. A Zendesk é responsável pelos controles de investigação de incidentes de segurança, além de notificar os assinantes afetados sobre violações de dados do serviço que ocorrem por meio do próprio serviço, incluindo 
   1. Contar com uma Política de Resposta a Incidentes de Segurança documentada e uma equipe com funções e responsabilidades de segurança
   2. Investigar atividades anormais
   3. Controlar qualquer Violação de Dados do Serviço confirmada
   4. Notificar quaisquer assinantes afetados ou órgãos governamentais ou policiais competentes quando exigido por lei.
   5. Garantir que processos de backup e recuperação de dados robustos sejam implementados e testados

VII. Links úteis

Atendimento ao cliente seguro com a segurança do Zendesk

Práticas recomendadas de segurança do Zendesk

Portal legal do Zendesk

Higienização e controles de acesso

Gerenciamento de segurança e acesso do usuário no Zendesk Support (links agregados)

Funções dos usuários no Chat

Autenticação de usuário no Chat

Concessão de acesso temporário à sua conta para a Zendesk

Integrações

API da Zendesk

Aplicativos do Marketplace da Zendesk

Subprocessadores da Zendesk

Subprocessadores do Zendesk Connect

Parceiros da Zendesk

Dados, privacidade, conformidade e considerações regulatórias

Política de cookies de produtos da Zendesk

Contrato do cliente Zendesk

Proteção de dados e privacidade da Zendesk

Monitoramento

Registro de auditoria de alterações nas instâncias do Support (UI / API)

API de registro de auditoria de eventos de ticket do Support

Painéis do Chat

UI de histórico do chat

Exportações incrementais e API em tempo real do Chat

Painel do Talk

API incremental do Talk

Objetos personalizados, eventos e API de perfis do Sunshine

Firehose API/tempo real do Sell

 

Em caso de dúvidas, contate-nos pelo e-mailsecurity@zendesk.com  

VIII. Registro de alterações

10 de novembro de 2025

1. O nome do contrato do cliente foi atualizado de Contrato Principal de Serviços para Contrato do Cliente do Zendesk.

16 de junho de 2023

1. Inclusão de um registro de alterações
2. Inclusão da Seção V Manutenção
3. Explicação de incidentes causados pelo uso de credenciais fracas ou com vulnerabilidades públicas por Assinantes e/ou seus Usuários finais sob a responsabilidade do Assinante no âmbito da seção VI “Incidentes de Segurança”